firewalld中常用的区域名称及策略规则详解

时间:2019-10-31 13:35:06 作者:快盘下载人气:

红帽RHEL7（Centos7）系统中，firewalld防火墙取代了iptables防火墙。我们都知道iptables的防火墙策略是交由内核层面的netfilter网络过滤器来处理的，而firewalld则是交由内核层面的nftables包过滤框架来处理。

相较于iptables防火墙而言，firewalld支持动态更新技术并加入了区域（zone）的概念。简单来说，区域就是firewalld预先准备了几套防火墙策略集合（策略模板），用户可以根据生产场景的不同而选择合适的策略集合，从而实现防火墙策略之间的快速切换。

iptables每一个更改都需要先清除所有旧有的规则，然后重新加载所有的规则（包括新的和修改后的规则）；搞不好就把自己干死在外边了。

而firewalld任何规则的变更都不需要对整个防火墙规则重新加载。只要不reload就没事。

firewalld服务的主配置文件是firewalld.conf，防火墙策略的配置文件是以xml格式为主，存放在以下两个目录里。
/etc/firewalld # 用户配置文件，一般自己写好规则后，查看这里边的文件
/usr/lib/firewalld #系统配置文件，预定义配置文件

firewall-cmd（终端管理工具）

firewall-config（图形管理工具）。

加载全部内容