Firewall 防火墙

firewalld和iptables的关系：

firewalld自身并不具备防火墙的功能，而是和iptables一样需要通过内核的netfilter来实现。
也就是说firewalld和iptables一样，他们的作用都是用于维护规则，而真正使用规则干活的是内核的netfilter，只不过firewalld和iptables的结构以及使用方法不一样罢了。

 

firewalld简介：
   firewalld是centos7的一大特性，最大的好处有两个：
支持动态更新，不用重启服务；
加入了防火墙的“zone”概念；
firewalld有图形界面和工具界面
firewalld的字符界面管理工具是 firewall-cmd 
firewalld默认配置文件有两个：/usr/lib/firewalld/ （系统配置，尽量不要修改）和 /etc/firewalld/ （用户配置地址）

 

 

“zone”概念：
我们知道每个zone就是一套规则集，但是有那么多zone，对于一个具体的请求来说应该使用哪个zone（哪套规则）来处理呢？
对于一个接受到的请求具体使用哪个zone，firewalld是通过三种方法来判断的：

1、source，也就是源地址 优先级最高

2、interface，接收请求的网卡 优先级第二

3、firewalld.conf中配置的默认zone 优先级最低

这三个的优先级按顺序依次降低，也就是说如果按照source可以找到就不会再按interface去查找，如果前两个都找不到才会使用第三个。 

 

启动控制命令：

查看防火墙状态
systemctl status firewalld.service

启动防火墙
systemctl start firewalld.service

关闭防火墙 
systemctl stop firewalld.service

重新启动防火墙 
systemctl restart firewalld.service