防火墙作为公网和内网之间的保护屏障，对于保护服务器和数据的安全有着至关重要的作用，我们不能直接管理和修改服务器上的防火墙规则，只能通过管理工具去管理。在众多的管理工具中，iptables和firewalld只是启动的两个工具而已，在redhat7之前一直使用的是iptables工具去管理服务器上的防火墙，但是在redhat7之后舍弃了iptables，取而代之的是firewalld。这就是为什么要去学习使用firewalld。

firewalld

简介

firewalld拥有基于CLI（命令行界面）和GUI（图形化界面）两种管理方式。
和之前的iptables相比，firewalld支持动态更新技术并加入了区域（zone）的概念。区域就是firewalld提前准备好了几套防火墙的规则模板，用户可以根据不同的工作场景对模板进行动态切换，因为不同的工作场景对安全的要求是不一样的。避免了每次都手动去修改每一条防火墙的规则，这点确实是提高了效率。
fiewalld中常用的区域（模板）：

firewall-cmd管理工具

firewall-cmd是firewalld防火墙配置管理工具的CLI版本，参数支持tab补齐，firewalld配置有两种模式：

• 运行时模式（Runtime），又叫做当前生效模式，在这个模式下配置的规则会立即生效，但是系统重启会失效。

• 永久模式（Permanent），在添加规则是加上 --permanent参数，就可以配置到永久模式，但是永久模式的规则，需要下次重启系统时才会生效，如果想要是永久配置立即生效，可以手动执行 firewalld-cmd --reload 命令。

  常用参数如下：

命令演示

查看当前所在的区域

[root@localhost Desktop]# firewall-cmd --get-default-zone 
public

查询网卡eno16777736所在的区域

[root@localhost Desktop]# firewall-cmd --get-zone-of-interface=eno16777736 
public

将网卡eno16777736的默认区域修改为external，并在系统重启后生效。分别查看网卡eno16777736 在当前模式和用户模式下的区域：

[root@localhost Desktop]# firewall-cmd --permanent --zone=external --change-interface=eno16777736 
success
[root@localhost Desktop]# firewall-cmd --get-zone-of-interface=eno16777736 
public
[root@localhost Desktop]# firewall-cmd --get-zone-of-interface=eno16777736 --permanent 
external

把firewall服务的当前默认区域设置成public

[root@localhost Desktop]# firewall-cmd --set-default-zone=public
success
[root@localhost Desktop]# firewall-cmd --get-default-zone 
public

启动、关闭firewalld防火墙的应急状况模式，阻断一些网络连接（当远程控制服务器时慎用、慎用、慎用）

[root@localhost Desktop]# firewall-cmd --panic-on
success
[root@localhost Desktop]# firewall-cmd --panic-off
success

查询public区域是否允须ssh和https协议的流量

[root@localhost Desktop]# firewall-cmd --zone=public --query-service=ssh
yes
[root@localhost Desktop]# firewall-cmd --zone=public --query-service=https
no

将https协议设置为永久允许，并立即生效

[root@localhost Desktop]# firewall-cmd --permanent --zone=public --add-service=https
success
[root@localhost Desktop]# firewall-cmd --reload
success

将http洗衣设置为永久拒绝，并立即生效

[root@localhost Desktop]# firewall-cmd --permanent --zone=public --remove-service=http
success
[root@localhost Desktop]# firewall-cmd --reload
success

将8080和8081端口设置为允许，仅当前生效

[root@localhost Desktop]# firewall-cmd --zone=public --add-port=8080/tcp
success
[root@localhost Desktop]# firewall-cmd --zone=public --add-port=8081/tcp
success
[root@localhost Desktop]# firewall-cmd --list-ports 
8081/tcp 8080/tcp

将本机的888端口转发到222端口，当前和永久生效

端口转发的格式：
firewall-cmd --permanent --zone=<区域名> --add-forward-port=port=<源端口>:proto=<协议>:toport=<目标端口>:toaddr=<目标IP地址>

[root@localhost Desktop]# firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toadr=192.168.137.10
success

添加一条富规则，使其拒绝192.168.10.0/24网段访问本机的22端口

富规则表示更细致、更详细的防火墙策略配置，可以针对系统服务、端口、源地址和目标地址等多种信息进行配置，它的优先级在所有防火墙策略中也是最高的

[root@localhost Desktop]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.0/24" service name="ssh" reject"
success

图形界面的配置

打开图形界面的命令式firewall-config

[root@localhost Desktop]# firewall-config 

1. 选择模式
2. 选择区域
3. 对服务进行设置，点击服务前面的方框即可生效
4. 对端口进行配置
5. 开启snat
6. 设置端口转发
7. 管理ICMP
8. 设置富规则
9. 对网卡进行关联设置

图形界面比较简单，在runtime模式下，设置完立即生效，不用其他操作
如果是在permanent模式设置的，最后需要点击左上角菜单中的“Options”-“Reload Firewalld”，是永久配置立即生效。
这就是我对firwalld的简单了解和基本的操作