第十八课linux 防火墙管理实战应用：Firewalld 命令行与图形化超详细全面详解

在当今复杂多变的网络环境中，确保服务器的安全性成为了每一位系统管理员必须面对的重要课题。Linux 系统提供了多种防火墙工具来帮助我们实现这一目标，而在众多的选择中，firewalld 因其灵活性和易用性而逐渐成为 CentOS 7 及其后续版本的默认防火墙解决方案。本节课将深入探讨 firewalld 的基础知识、命令行操作以及图形化界面的使用方法，并通过实际案例展示如何在不同场景下高效地配置和管理防火墙策略。
第一部分：从 iptables 到 firewalld
首先，我们需要了解为什么自 CentOS 7 开始，官方推荐使用 firewalld 而非传统的 iptables。尽管 iptables 功能强大且广泛应用于早期版本的 Linux 系统中，但它的配置相对繁琐，特别是在动态调整规则时需要重新加载整个规则集，这可能会导致短暂的服务中断。相比之下，firewalld 提供了一个更加直观且易于管理的框架，支持动态更新防火墙规则而不影响现有连接。更重要的是，它引入了“区域”（zones）的概念，使得针对不同网络环境制定相应的安全策略变得更加简便。
第二部分：Firewalld 基础知识
在深入了解 firewalld 之前，有必要先掌握一些基础概念：
区域（Zones）：用于定义不同的信任级别，如公共区（public）、工作区（work）、家庭区（home）等。
服务（Services）：预定义或用户自定义的一组端口和服务类型，例如 HTTP、HTTPS、SSH 等。
接口（Interfaces）：指网络接口，每个接口可以分配到一个特定的区域中。
此外，firewalld 还允许用户创建自定义服务，这对于那些不使用标准端口的应用程序来说尤为重要。所有这些配置最终都会以 XML 格式存储在一个目录内，便于管理和维护。
第三部分：命令行操作实战
接下来，我们将详细介绍如何利用 firewalld 的命令行工具进行日常操作。例如，要开放 HTTP 服务，只需执行以下命令：
bash

编辑



sudo firewall-cmd --add-service=http --permanent
sudo firewall-cmd --reload
对于非标准端口的应用，比如运行在 2580 端口上的某个服务，则可以通过指定端口号的方式开放：
bash

编辑



sudo firewall-cmd --add-port=2580/tcp --permanent
sudo firewall-cmd --reload
同时，考虑到服务器可能拥有多个网卡并连接至不同的网络，firewalld 允许为每个网卡设置独立的区域，从而实现精细化的流量控制。例如，如果你希望内部网络中的设备能够访问数据库服务器，而外部网络仅限于 Web 访问，那么你可以分别为这两个网卡分配不同的区域，并根据需求配置相应的规则。
第四部分：图形化界面简介
虽然命令行是大多数运维人员的首选工具，但对于初学者而言，图形化界面无疑提供了一种更为友好的交互方式。firewalld 内置了一个基于 GTK+ 的图形界面，用户只需点击几下鼠标即可完成基本的防火墙设置。然而，在实际生产环境中，出于稳定性和可控性的考虑，许多企业仍然倾向于使用命令行来进行更复杂的配置。
第五部分：实际应用案例分析
为了让学员更好地理解和运用所学知识，本节课还包含了一系列实际应用案例。无论是搭建一个简单的 Web 服务器，还是构建一个复杂的多层网络架构，我们都将演示如何利用 firewalld 实现最佳的安全实践。例如，在一个多网卡服务器上，如何合理划分内外网流量；或者当需要临时开放某个特定 IP 地址的访问权限时，怎样快速而准确地调整防火墙规则。

课程用到的讲义：https://blog.csdn.net/m0_62081777/art...
幻城云笔记：https://hcnote.cn/