firewalld

RHEL中的防火墙种类

1.iptables

2.firewalld

3.ip6tables

4.ebtables

这些软件本身并不具备防火墙功能，他们的作用都是在用户空间中管理和维护规则，只不过规则结构和使用方法不一样罢了，真正利用规则进行过滤是由内核的netfilter完成的

系统中防火墙的结构

一、firewalld的认识

1、firewalld提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。

2、firewalld将网卡分为不同的区域（区域），这些区域的区别在于对待来访的用户及传输的数据包的默认动作的不同，通过制定一  些安全策略从而保证系统在被访问或传输数据时的安全。

二、firewalld区域（zones）

      firewalld分为九个区域，含义如下：

      trust（信任）：可接受所有的网络连接；

      home（家庭）：用于家庭网络，仅接受ssh、mdns、ipp-client、samba-client或dhcpv6-client服务连接；

      internal（内部）：用于内部网络，仅接受ssh、ipp-client、mdns、samba-client或dhcpv6-client服务连接；

      work（工作区）：用于工作区，仅接受ssh、ipp-client、dhcpv6-client服务连接；

      public（公共）：用于公共区域的使用，仅接受ssh、dhcpv6-client服务，为firewalld的默认区域；

      external（外部区域）：出去的ipv4的网络连接经过此区域的伪装和转发，只支持ssh服务；

      dmz（非军事区）：仅接受ssh服务；

      block（限制）：拒绝所有的网络服务；

      drop（丢弃）：任何访问的网络数据包都会被丢弃，没有任何回应。

三、firewalld的控制命令

1、firewalld图形管理工具：firewall-config &

           Runtime                  ##临时性修改会立即生效，服务重启后消失

           Permanet                ##永久性修改，需要重启服务后才会生效

监控命令watch -n 1 firewall-cmd --list-all

临时性修改：（会立即生效）

永久性修改：（不会立即生效）

需要重启防火墙服务systemctl restart firewalld

会发现重启之后临时添加的https服务消失了 永久添加的http服务出现了

永久性更改火墙的服务，会记录到防火墙的配置文件中/etc/firewalld/zones  ls

public.xml.old是对public.xml的备份

/usr/lib/firewalld/zones目录下是对所有火墙服务状态的记录，永久性更改火墙服务，该目录下的文件也会及时做出相应的修改

2、firewall-cmd --state                                     ##查看防火墙状态

3、firewall-cmd --get-active-zones              ##查看被激活的区域（即添加网卡的区域）

4、firewall-cmd --get-default-zone