掌握firewalld:Linux防火墙配置实战
本章要点理解 firewalld 防火墙的设计思想与工作机制掌握 firewalld 区域Zone的作用与使用场景熟练使用 firewall-cmd 命令行配置防火墙了解 firewall-config 图形界面基本操作能够完成服务、端口、网卡、ICMP 等规则配置前言在现代 Linux 发行版中firewalld 已成为默认的动态防火墙管理服务。相比于传统 iptablesfirewalld 提供了区域化管理、动态更新规则、运行时 / 永久双配置模式等更加便捷的特性无需重启服务即可生效大幅提升了防火墙管理的灵活性与安全性。本章将从 firewalld 的基础概念入手详细讲解它与 iptables 的关系、区域机制、两种配置工具的使用方法并通过完整实例演示企业环境下的防火墙部署方案。一、firewalld 防火墙基础1. firewalld 简介firewalld 是 Linux 系统下动态管理的防火墙服务用于维护网络访问规则实现数据包过滤、放行、端口映射、地址伪装等安全功能。它的核心特点支持IPv4/IPv6双栈支持区域Zone安全模型支持运行时Runtime和永久Permanent两种配置支持动态更新规则不中断现有连接提供命令行工具firewall-cmd和图形工具firewall-config2. firewalld 与 iptables 的关系netfilter内核层面的数据包过滤框架。iptables / firewalld都是用户态管理工具用来向 netfilter 下发规则。两者不能同时启用同一系统只能选择一种防火墙服务。区别总结iptables 清空后重新加载所有规则容易断开连接。firewalld 只更新变化的规则支持动态加载连接不中断。iptables 配置文件/etc/sysconfig/iptablesfirewalld 配置文件/etc/firewalld/和/usr/lib/firewalld/二、firewalld 网络区域Zonefirewalld 通过区域来划分网络信任级别每个区域拥有独立的放行策略简化管理员配置。1. 区域匹配顺序当数据包进入系统时优先匹配源 IP 绑定的区域其次匹配网卡绑定的区域最后使用默认区域默认是 public2. 常用区域及默认策略表格区域名称安全策略说明trusted放行所有流量internal信任内网仅放行 ssh /mdns/dhcpv6-client 等home家庭网络同 internalwork工作网络仅放行 ssh /ipp-client/dhcpv6-clientpublic公共网络默认仅放行 ssh /dhcpv6-clientexternal网关外部网络开启 SNATdmz非军事区仅放行 sshblock拒绝所有入站流量直接拒绝drop直接丢弃所有入站流量无响应三、图形工具 firewall-config1. 安装与启动bash运行dnf install -y firewall-config启动应用程序 → 防火墙配置2. 界面结构运行时配置Runtime临时生效重启失效永久配置Permanent写入配置文件重启依然有效区域配置服务、端口、协议、伪装、端口转发、ICMP 过滤服务配置预定义服务的端口、模块3. 常用功能切换默认区域为网卡绑定区域放行服务 / 端口配置端口转发启用 IP 伪装过滤 ICMP禁 ping四、命令行工具 firewall-cmd1. 基础信息查询bash运行firewall-cmd --get-zones # 查看所有区域 firewall-cmd --get-services # 查看所有预定义服务 firewall-cmd --get-icmptypes # 查看所有ICMP类型 firewall-cmd --get-default-zone # 查看默认区域 firewall-cmd --get-active-zones # 查看已激活区域2. 区域管理bash运行firewall-cmd --set-default-zonepublic # 设置默认区域 firewall-cmd --zonepublic --add-interfaceens33 # 绑定网卡 firewall-cmd --zonepublic --change-interfaceens33 # 修改网卡区域 firewall-cmd --zonepublic --remove-interfaceens33 # 解绑网卡3. 服务管理bash运行firewall-cmd --add-servicehttp # 放行HTTP服务 firewall-cmd --remove-servicehttp # 移除HTTP服务 firewall-cmd --add-servicehttp --permanent # 永久放行4. 端口管理bash运行firewall-cmd --add-port8080/tcp firewall-cmd --remove-port8080/tcp firewall-cmd --add-port20000-25000/udp5. 禁用 PingICMP 过滤bash运行firewall-cmd --add-icmp-blockecho-request6. 配置模式bash运行firewall-cmd --reload # 加载永久配置到运行时 firewall-cmd --runtime-to-permanent # 保存当前配置为永久五、firewalld 企业应用实例实验环境网关服务器双网卡ens33外网→ external 区域ens37内网→ trusted 区域Web 服务器单网卡 → dmz 区域要求仅开放 HTTPS (443)SSH 端口改为 12345禁止 Ping内网可访问外网受限1. 网关配置bash运行systemctl stop iptables systemctl start firewalld systemctl enable firewalld firewall-cmd --set-default-zoneexternal firewall-cmd --zonetrusted --add-interfaceens37 --permanent firewall-cmd --zoneexternal --add-port12345/tcp --permanent firewall-cmd --zoneexternal --remove-servicessh --permanent firewall-cmd --zoneexternal --add-icmp-blockecho-request --permanent firewall-cmd --reload2. Web 服务器配置bash运行firewall-cmd --set-default-zonedmz firewall-cmd --zonedmz --add-servicehttps --permanent firewall-cmd --zonedmz --add-port12345/tcp --permanent firewall-cmd --zonedmz --remove-servicessh --permanent firewall-cmd --zonedmz --add-icmp-blockecho-request --permanent firewall-cmd --reload本章总结本章系统介绍了firewalld 防火墙的核心知识与配置方法基础架构firewalld 是基于 netfilter 的动态防火墙与 iptables 作用相同但管理方式更灵活支持区域、运行时 / 永久双模式。区域机制区域是 firewalld 的核心通过信任级别划分网络public、dmz、trusted、external是最常用区域。命令管理firewall-cmd掌握区域、服务、端口、网卡、ICMP 等配置是日常运维最常用技能。重点命令--add-service、--add-port、--reload、--permanent。图形工具firewall-config适合快速查看与修改规则支持服务、端口、转发、伪装等功能。企业实战能够完成多区域、多网卡、自定义端口、禁 ping、内网 / 外网隔离等安全部署。

相关新闻

在 VS Code中搭建Claude SOP文件结构

在 VS Code中搭建Claude SOP文件结构

做了10年独立站SEO,我见多了一上来就对着网页版AI聊天框输入“帮我写一篇关于某某产品的文章”的新手。这种做法最大的问题是:上下文容易丢失、Prompt(提示词)越写越长导致模型变傻,最后产出的全是带有极强“AI味”的同…

2026/5/17 6:30:50 阅读更多 →
C++中static和const区别总结

C++中static和const区别总结

1.static——静态成员变量,静态成员函数,静态局部变量,静态全局变量1.1静态成员变量:在类中修饰成员变量,存放在静态区,所有实例化的类对象共用,静态成员变量可以通过类名直接访问,也…

2026/7/4 2:49:39 阅读更多 →
东华Oj66,70-76

东华Oj66,70-76

66.菱形输出作者: 孙辞海时间限制: 1s章节: 函数问题描述明明这次又碰到问题了:给定一个正整数N,明明的爸爸让他输出一个以Z开始的菱形,以后依次为Y,X…,比如当N等于1的时候输出图形:Z当N等于2的时候&#…

2026/5/17 3:14:49 阅读更多 →

最新新闻

从TT100K到YOLO:一份完整的交通标志数据集转换与实战指南

从TT100K到YOLO:一份完整的交通标志数据集转换与实战指南

1. 为什么需要转换TT100K数据集格式第一次接触TT100K数据集时,我完全被它复杂的目录结构和标注格式搞懵了。这个由清华大学和腾讯联合发布的交通标志数据集,包含了10万张图片和3万多个标注实例,但它的JSON标注格式和YOLO完全不兼容。当时为了…

2026/7/4 23:19:08 阅读更多 →
数据科学转行实战路径:问题驱动的认知构建法

数据科学转行实战路径:问题驱动的认知构建法

1. 这不是一张“通关地图”,而是一份我带过37个转行学员后画出的实战路标 数据科学学习路径——这个词听起来像一份标准化的课程表,但实际操作中,它更接近于在浓雾里徒步时手绘的地形草图:有标记、有涂改、有折痕,甚至…

2026/7/4 23:19:08 阅读更多 →
2026普通人AI使用指南:看懂参数、混合思考与国产模型三大核心

2026普通人AI使用指南:看懂参数、混合思考与国产模型三大核心

1. 这不是科幻预告片,是普通人下周就该打开手机查的“技术天气预报”2026年4月这个时间点,听起来像科幻小说里随手写的年份,但如果你最近刷过几条国产大模型发布会的短视频,或者留意过身边朋友突然开始用“文心一言新版本”写周报…

2026/7/4 23:17:06 阅读更多 →
Let‘s Encrypt泛域名证书申请与自动化续期实战指南

Let‘s Encrypt泛域名证书申请与自动化续期实战指南

1. 项目概述与核心价值最近在折腾自己的个人博客和几个内部服务,域名下挂了好几个子域名,每次给每个子域名单独申请SSL证书,不仅麻烦,续期更是让人头大。直到我开始用Let‘s Encrypt的泛域名证书,配合自动化续期脚本&a…

2026/7/4 23:17:06 阅读更多 →
多维聚合实战:超越GROUP BY的OLAP数据操作指南

多维聚合实战:超越GROUP BY的OLAP数据操作指南

1. 项目概述:多维聚合中的数据操作,远不止GROUP BY那么简单“Part 20: Data Manipulation in Multi-Dimensional Aggregation”这个标题乍看像教科书某章编号,但实际踩中了数据分析和商业智能工程中最常被低估、最易出错、也最具业务价值的一…

2026/7/4 23:17:06 阅读更多 →
AMD ROCm 7.1.1正式支持Windows:本地AI电影制作全栈落地

AMD ROCm 7.1.1正式支持Windows:本地AI电影制作全栈落地

1. 项目概述:当本地AI电影制作从“概念图”变成“开机键”2025年11月26日,我盯着终端里一行绿色的True输出,手有点抖。不是因为咖啡喝多了,而是因为torch.cuda.is_available()终于没再报错——它真真切切地返回了True,…

2026/7/4 23:15:05 阅读更多 →

日新闻

Memcached 1.6.43 发布:关键安全修复版本,多项问题得到解决

Memcached 1.6.43 发布:关键安全修复版本,多项问题得到解决

Memcached 1.6.43 正式发布,这是一个关键的安全修复版本,修复了多个方面的问题,还对部分功能进行了优化。 安全修复亮点 此次发布在安全修复上表现突出。binprot 避免了项目引用计数溢出,mcmc 因安全问题提升了上游版本号&#xf…

2026/7/4 0:04:29 阅读更多 →
终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案

终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案

终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案 【免费下载链接】HMCL A Minecraft Launcher which is multi-functional, cross-platform and popular 项目地址: https://gitcode.com/gh_mirrors/hm/HMCL HMCL(Hello Minecraft! Lau…

2026/7/4 0:06:29 阅读更多 →
KMX63与PIC18F66K40在嵌入式HMI中的硬件协同与低功耗设计

KMX63与PIC18F66K40在嵌入式HMI中的硬件协同与低功耗设计

1. KMX63与PIC18F66K40的硬件协同架构解析KMX63作为一款三轴加速度计和磁力计组合传感器,与PIC18F66K40微控制器的搭配堪称嵌入式HMI开发的黄金组合。这套硬件组合的核心优势在于KMX63提供的高精度运动感知能力与PIC18F66K40强大的信号处理能力形成了完美互补。KMX6…

2026/7/4 0:06:29 阅读更多 →

周新闻

月新闻