firewalld防火墙全面指南:从基础配置到高级策略

于 2025-06-18 17:36:35 发布
阅读量684 收藏 5
点赞数 20
CC 4.0 BY-SA版权
文章标签: 运维 linux 系统安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/miracle_again/article/details/148745294

firewalld是CentOS 7及以上版本默认的防火墙管理工具,基于Netfilter框架,支持动态更新规则和区域(zone)管理,相比传统的iptables更适合企业级服务器环境。本文将详细解析firewalld的核心功能、配置方法及实战技巧,帮助你高效管理服务器安全。

一、firewalld基础概念与架构

1. 核心组件

  • firewalld服务:运行于用户空间,负责管理防火墙规则
  • D-Bus接口:提供与其他程序的通信接口,支持API调用
  • 区域(zone):预定义的规则集合,不同区域代表不同安全级别(如publictrusted
  • 规则优先级:后添加的规则优先于区域默认规则执行

2. 区域(zone)默认策略

区域名称适用场景默认放行规则
public公共网络(如互联网)SSH(22端口)、DHCP客户端
trusted可信网络(如内网)所有连接
home家庭网络public+Samba客户端
work工作网络public+MDNS、Samba客户端
dmz隔离区仅放行已建立的连接

二、firewalld基础操作命令

1. 服务管理

# 查看服务状态
systemctl status firewalld

# 启动/停止/重启服务
systemctl start firewalld     # 启动防火墙
systemctl stop firewalld      # 停止防火墙
systemctl restart firewalld   # 重启服务

# 设置开机自启
systemctl enable firewalld    # 启用自启
systemctl disable firewalld   # 禁用自启

2. 规则生效范围

firewalld规则分为「临时生效」和「永久生效」:

  • 临时规则:仅当前会话有效,重启后失效
  • 永久规则:需使用--permanent参数,配置保存至文件,需重载生效

3. 基础查询命令

# 查看当前活动区域
firewall-cmd --get-active-zones

# 查看指定区域的规则
firewall-cmd --zone=public --list-all

# 查看所有区域
firewall-cmd --get-zones

# 查看规则是否存在(如检查80端口是否放行)
firewall-cmd --zone=public --query-port=80/tcp

三、区域(zone)配置实战

1. 切换默认区域

# 将默认区域设置为trusted(危险操作,仅测试用)
firewall-cmd --permanent --set-default-zone=trusted
firewall-cmd --reload  # 重载配置

2. 配置public区域规则

▶ 临时放行80端口(Web服务)
firewall-cmd --zone=public --add-port=80/tcp
▶ 永久放行443端口(HTTPS)
firewall-cmd --permanent --zone=public --add-port=443/tcp
firewall-cmd --reload  # 重载配置使规则生效
▶ 放行指定服务(如MySQL)
# 查看可用服务列表
firewall-cmd --get-services

# 永久放行MySQL服务
firewall-cmd --permanent --zone=public --add-service=mysql
firewall-cmd --reload

四、高级规则配置:Rich Language语法

firewalld的Rich Language提供更灵活的规则定义,支持源/目标IP、端口范围、协议等复杂条件。

1. 禁止特定IP访问(黑名单)

# 禁止192.168.1.100访问
firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' source address='192.168.1.100' drop"
firewall-cmd --reload

# 禁止整个IP段(如192.168.1.0/24)
firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' source address='192.168.1.0/24' drop"
firewall-cmd --reload

2. 允许指定IP访问特定端口

# 允许192.168.1.50访问SSH(22端口)
firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' source address='192.168.1.50' port protocol='tcp' port='22' accept"
firewall-cmd --reload

3. 端口转发(NAT)配置

# 开启IP转发(临时生效)
echo 1 > /proc/sys/net/ipv4/ip_forward

# 永久开启(修改配置文件)
sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/' /etc/sysctl.conf
sysctl -p  # 生效配置

# 将外部8080端口转发到内部80端口
firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' nat port-forward protocol='tcp' port='8080' to-port='80' to-address='192.168.1.10'"
firewall-cmd --reload

五、服务与端口管理最佳实践

1. 常用服务端口配置

▶ 放行远程桌面(RDP,3389端口)
firewall-cmd --permanent --zone=public --add-port=3389/tcp
firewall-cmd --reload
▶ 放行Redis服务(6379端口)
firewall-cmd --permanent --zone=public --add-port=6379/tcp
firewall-cmd --reload
▶ 放行Docker容器端口(如8080)
firewall-cmd --permanent --zone=public --add-port=8080/tcp
firewall-cmd --reload

2. 批量放行端口范围

# 放行10000-20000端口范围(TCP协议)
firewall-cmd --permanent --zone=public --add-port=10000-20000/tcp
firewall-cmd --reload

六、防火墙与SELinux的协同配置

1. 检查SELinux状态

sestatus  # 查看SELinux状态
getenforce  # 查看当前 enforcing 模式(Enforcing/Permissive/Disabled)

2. 允许HTTP服务通过SELinux

# 临时允许(重启后失效)
setsebool -P httpd_can_network_connect 1

# 永久允许(修改SELinux策略)
semanage port -a -t http_port_t -p tcp 8080  # 放行8080端口

七、故障排查与常见问题解决

1. 配置后服务无法访问

排查步骤

  1. 检查规则是否正确添加:
    firewall-cmd --zone=public --list-ports  # 查看放行端口
firewall-cmd --zone=public --list-services  # 查看放行服务
  2. 检查规则是否永久生效:
    cat /etc/firewalld/zones/public.xml  # 查看配置文件
  3. 临时关闭防火墙测试:
    systemctl stop firewalld  # 关闭防火墙后测试服务连通性

2. 云服务器防火墙失效问题

可能原因

  • 云平台安全组未放行对应端口(如阿里云ECS)
  • 实例网络配置错误

解决方法

  1. 登录云平台控制台,在「安全组」中放行对应端口
  2. 检查防火墙规则与安全组规则是否冲突

八、firewalld配置备份与恢复

1. 备份配置文件

# 备份主配置文件
cp /etc/firewalld/firewalld.conf /etc/firewalld/firewalld.conf.bak

# 备份区域配置
cp -r /etc/firewalld/zones /etc/firewalld/zones.bak

2. 恢复配置

# 停止firewalld服务
systemctl stop firewalld

# 覆盖配置文件
cp /etc/firewalld/firewalld.conf.bak /etc/firewalld/firewalld.conf
cp -r /etc/firewalld/zones.bak/* /etc/firewalld/zones/

# 启动服务并重载配置
systemctl start firewalld
firewall-cmd --reload

九、进阶技巧:自动化管理与脚本应用

1. 编写防火墙配置脚本

#!/bin/bash
# firewalld_config.sh - 服务器基础防火墙配置脚本

# 定义区域
ZONE="public"

# 清空现有规则(谨慎使用)
firewall-cmd --permanent --zone=$ZONE --remove-all-rules
firewall-cmd --reload

# 放行基础服务
firewall-cmd --permanent --zone=$ZONE --add-service=ssh
firewall-cmd --permanent --zone=$ZONE --add-service=http
firewall-cmd --permanent --zone=$ZONE --add-service=https

# 放行自定义端口
firewall-cmd --permanent --zone=$ZONE --add-port=3306/tcp  # MySQL
firewall-cmd --permanent --zone=$ZONE --add-port=6379/tcp  # Redis

# 添加黑名单IP
firewall-cmd --permanent --zone=$ZONE --add-rich-rule="rule family='ipv4' source address='119.29.29.29' drop"

# 重载配置
firewall-cmd --reload

echo "firewalld配置完成!"

2. 设置定时任务检查防火墙状态

# 每分钟检查一次防火墙状态并记录日志
* * * * * /usr/bin/firewall-cmd --state >> /var/log/firewall_status.log 2>&1

通过掌握firewalld的配置技巧,你可以根据服务器的安全需求灵活定义防护策略,有效阻止非法访问并保护关键服务。在实际应用中,建议结合企业安全规范定期更新防火墙规则,及时应对新的安全威胁。firewalld的动态更新特性使其非常适合需要频繁调整规则的生产环境,熟练使用这一工具将大幅提升服务器的安全性和管理效率。

Firewalld 防火墙全面解析与配置指南
卓琢
12-19 988
netfilter在内核层面的工作,能够对网络数据包进行细致的过滤操作,根据预设的规则决定数据包是被允许通过还是被拒绝,从而有效地保护系统免受未经授权的网络访问。trusted:信任区域,通常用于企业内部网络。这个区域的设置非常严格,一旦数据包被判定属于drop区域,将直接被丢弃,不会有任何响应,也不会有任何提示,有效地防止了恶意流量的入侵。通过对Firewalld防火墙的全面了解和掌握其配置方法,能够有效地提升Linux系统的网络安全性,保护系统免受各种网络威胁的侵害,确保网络环境的稳定和安全运行。
【操作系统】防火墙管理工具-iptables
大大不吹泡泡的博客
03-24 1085
netfilter是一个linux内核 功能,用于在 网络数据包 从网络堆栈进入或者离开时进行包过滤和操作。Netfilter 称为防火墙的“内核态”。由软件包iptables提供的命令行工具工作在用户空间,用来编写规则,写好的规则被送往Netfilter-告诉内核如何去处理信息包。
firewall
chiliwa0464的博客
06-13 482
centos 7中防火墙是一个非常的强大的功能了,但对于centos 7中在防火墙中进行了升级了,下面我们一起来详细的看看关于centos 7中防火墙使用方法。 FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4, I...
Linux (CentOS)防火墙策略管理工具(iptables、firewalld、TCP Wrappers)
scdncby的博客
01-15 1343
iptables与firewalld都不是真正的防火墙,它们都只是用来定义防火墙策略防火墙管理工具而已,或者说,它们只是一种服务。iptables服务回把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理,而fiewalld服务则是把配置好的防火墙策略交由内核层面的nftables包过滤框架来处理。精通其中之一就足够了。 iptables 策略与规则链:防火墙规则策略有两种,1种是通(放行);另一种是堵(阻止),其轨规则链都是由上至下执行的,因此一定要把允许的动作放到拒绝动
centos firewalld使用方法
爱笑才不是傻帽的博客
12-25 168
运行、停止、禁用firewalld 启动  systemctl start  firewalld 查看状态 systemctl status firewalld 或者 firewall-cmd --state 停止  systemctl disable firewalld 禁用  systemctl stop firewalld 查看firewall是否运行,下面两个命令都可以 ...
防火墙策略管理工具——网络安全
tkyjqh的专栏
01-23 3047
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、防火墙配置文件1. 地址集合2. 服务集合3. 规则集合二、防火墙策略管理工具的开发1. 主要功能2. 框架设计2.1 IP_Set对象2.2 Service对象2.3 Rule对象2.4 CfgReader对象2.5 规则格式化读取lua脚本2.5.1 读取源地址lua脚本2.5.2 服务集合2.6 rule_inclusion设计2.7 GUI设计2.8 SVG图浏览设计三、使用和示例1. 程序文件夹2. Firwal
CentOS7防火墙管理指南:开启、停止、关闭及端口配置详解
最新发布
07-04
firewalld基础操作 启动服务:systemctl start firewalld 查看状态:firewall-cmd --state 重载规则:firewall-cmd --reload 端口管理 开放端口:firewall-cmd --add-port=80/tcp --permanent 移除端口:firewall-...
Linux基础到进阶】防火墙策略配置(iptables、firewalld、ufw)
weixin_39372311的博客
08-11 631
iptables是一个命令行工具,用于配置 Linux 内核防火墙。它提供了强大的数据包过滤功能,可以基于各种条件定义复杂的规则。firewalld是一个动态的防火墙管理工具,支持定义复杂的防火墙规则,并支持网络区域的概念,可以更灵活地管理网络接口和服务。ufw(Uncomplicated Firewall) 是 Ubuntu 提供的一个简单易用的防火墙配置工具,专为简化iptables配置而设计。防火墙策略配置是确保系统安全的重要步骤。本文详细介绍了如何使用iptablesfirewalld和ufw。
Linux安装Jenkins详解:从基础高级配置的全方位指南
weixin_42593797的博客
05-28 1110
本文详细介绍了在Linux系统上安装、配置和优化Jenkins的完整流程。主要内容包括:1)系统环境准备,包括依赖安装和防火墙配置;2)Jenkins安装与初始化,包括服务启动和首次访问设置;3)高级配置,如修改系统参数、Nginx反向代理和HTTPS证书配置;4)插件管理,列举常用插件和命令行安装方法;5)Pipeline实践示例,展示构建、测试、Docker打包和部署的自动化流程。文章通过具体代码示例,帮助开发者快速搭建稳定高效的Jenkins CI/CD环境。
Linux服务器配置指南:从基础到中级技巧
9. **安全设置**:Linux服务器的安全设置至关重要,包括系统安全加固、防火墙配置(如iptables、firewalld)、入侵检测系统(IDS)和入侵防御系统(IPS)的配置,以及定期的安全审计和日志分析等。 10. **故障排查*...
centos7防火墙firewalld)使用方法
小白学习日记
02-08 314
查看已开放的端口 firewall-cmd --list-ports 开放端口(开放后需要要重启防火墙才可生效) firewall-cmd --zone=public --add-port=3338/tcp --permanent 关闭端口(关闭后需要要重启防火墙才可生效) firewall-cmd --zone=public --remove-port=3338/tcp --permanent ...
防火墙策略firewalld管理工具
weixin_46138661的博客
04-06 1005
文章目录一.firewalld的开启二.关于firewalld的域三.关于firewalld的设定原理及数据存储四. firewalld的管理命令5. firewalld高级规则6.firewalld中的NAT 一.firewalld的开启 systemctl stop iptables systemctl disable iptables systemctl mask iptables sys...
火墙策略(下) & firewalld
mon_star的博客
08-21 691
firewalld概述,参数,服务配置,两种火墙的区别,伪装策略,selinuxfirewalld 策略端口的限制
CentOS7 防火墙 firewalld使用方法
热门推荐
清晨一场梦
07-17 1万+
1、firewalld的基本使用 启动: systemctl start firewalld 查看状态 systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2.systemctl是CentOS7的服务管理工具中主要的工...
CentOs7 防火墙firewalld基本使用方法
Keep It Simple, Stupid
07-03 584
原文地址: https://www.ningto.com/edit/5abaf23c43bef42108349a5d 1.firewalld的基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firew...
Firewalld防火墙使用详解
Eucalyptus's blog
03-15 1489
firewall-cmd #是命令行配置firewall-config #是图形化配置 默认中文不支持福规则的动作设置需要LANG=C 转一下英文ASCII环境端口转发需要用到forward-port7、防火墙富规则策略具体配置案例查询firewalld.richlanguage。
Linux运维总结:firewalld防火墙使用教程》
东城绝神
11-04 6597
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例
centos 7如何使用firewalld 添加策略
weixin_33962923的博客
07-19 602
1、运行、停止、禁用firewalld启动:# systemctl start firewalld查看状态:# systemctl status firewalld或者firewall-cmd --state停止:# systemctl disable firewalld禁用:# systemctl stop firewalld2、vim /etc/firewalld/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值