在RHEL 7系統中,firewalld防火牆取代了iptables防火牆。
安全
iptables與firewalld都不是真正的防火牆,它們都只是用來定義防火牆策略的防火牆管理工具而已,或者說,它們只是一種服務。iptables服務會把配置好的防火牆策略交由內核層面的netfilter網絡過濾器來處理,而firewalld服務則是把配置好的防火牆策略交由內核層面的nftables包過濾框架來處理。網絡
iptables服務把用於處理或過濾流量的策略條目稱之爲規則,多條規則能夠組成一個規則鏈,而規則鏈則依據數據包處理位置的不一樣進行分類,具體以下:框架
在進行路由選擇前處理數據包(PREROUTING);
處理流入的數據包(INPUT);
處理流出的數據包(OUTPUT);
處理轉發的數據包(FORWARD);
在進行路由選擇後處理數據包(POSTROUTING)。
ide
ptables是一款基於命令行的防火牆策略管理工具,具備大量參數,學習難度較大。好在對於平常的防火牆策略配置來說,你們無需深刻了解諸如「四表五鏈」的理論概念,只須要掌握經常使用的參數並作到靈活搭配便可,這就足以應對平常工做了。工具
相較於傳統的防火牆管理配置工具,firewalld支持動態更新技術並加入了區域(zone)的概念。簡單來講,區域就是firewalld預先準備了幾套防火牆策略集合(策略模板),用戶能夠根據生產場景的不一樣而選擇合適的策略集合,從而實現防火牆策略之間的快速切換。例如,咱們有一臺筆記本電腦,天天都要在辦公室、咖啡廳和家裏使用。按常理來說,這三者的安全性按照由高到低的順序來排列,應該是家庭、公司辦公室、咖啡廳。學習
firewall-config的界面如圖所示,其功能具體以下。命令行
1:選擇運行時(Runtime)模式或永久(Permanent)模式的配置。
2:可選的策略集合區域列表。
3:經常使用的系統服務列表。
4:當前正在使用的區域。
5:管理當前被選中區域中的服務。
6:管理當前被選中區域中的端口。
7:開啓或關閉SNAT(源地址轉換協議)技術。
8:設置端口轉發策略。
9:控制請求icmp服務的流量。
10:管理防火牆的富規則。
11:管理網卡設備。
12:被選中區域的服務,若勾選了相應服務前面的複選框,則表示容許與之相關的流量。
13:firewall-config工具的運行狀態。
3d