Linux防火牆之FirewallD簡介

FirewallD提供了支持網絡/防火牆區域定義網絡連接以及接口安全等級的動態防火牆管理工具。它支持IPv4，IPv6防火牆設置以及以太網橋接，而且擁有運行時配置和永久配置選項。它也支持容許服務或者應用程序直接添加防火牆規則的接口。system-config-firewall/lokkit防火牆模型是靜態的，每次修改都要求防火牆徹底重啓（注：system-config-firewall就是iptables的圖形界面管理工具，而Firewalld是由Red Hat的Thomas Woerner爲Fedora開發的，在Fedora15中第一次可以使用，目的是取代目前system-config-firewall的靜態防火牆配置）。這個過程包括內核Netfilter防火牆模塊的卸載和從新配置所需模塊的裝載等，模塊的卸載會破壞狀態防火牆的鏈接。firewall守護進程daemon動態管理防火牆，不須要重啓整個防火牆即可應用更改，於是也就沒有必要重載全部的內核防火牆模塊了。不過，要使用firewall守護進程daemon就要求防火牆的全部變動都要經過該守護進程來實現，以確保守護進程中的狀態和內核裏的防火牆是一致的。另外，firewall守護進程daemon沒法解析由iptables和ebtalbes命令行工具添加的防火牆規則。守護進程經過D-Bus提供當前激活的防火牆設置信息，也經過D-Bus接受使用PolicyKit認證方式作的更改。

1

應用程序，守護進程和用戶能夠經過D-Bus請求啓用防火牆特性，特性能夠是預約義的防火牆功能，如：服務，端口和協議的組合，端口/數據報轉發，假裝，ICMP攔截或自定義規則等。該功能能夠啓用指定的一段時間，也能夠再次停用。

2

system-config-firewall和lokkit靜態防火牆模型實際上仍然可用並將繼續提供，但卻不能與守護進程同時使用。用戶或者管理員能夠決定使用哪種方案。在軟件安裝，初次啓動或者首次聯網時，將會出現一個選擇器，經過它你能夠選擇要使用的防火牆方案。其餘的解決方案將保持完整，能夠經過更換模式啓用。firewall daemon獨立於system-config-firewall，但兩者不能同時使用。Linux防火牆在內核中由iptables,ip6tables,arptables和ebtalbes組成。FirewallD集Netfilter的過濾功能於一身，FirewallD在RHEL 7.0中的功能包括：

• 實現動態管理，對於規則的更改再也不須要從新構建整個防火牆。

• 使用一個簡單的系統托盤區圖標來顯示防火牆狀態，方便開啓和關閉防火牆。

• 提供firewall-cmd命令行界面進行管理及配置工做。

• 爲libvirt提供接口及界面，將會在必需的PolicyKit相關權限完成的狀況下實現。

• 實現系統全局及用戶進程的防火牆規則配置管理。

• 區域的支持。

注：HERL 7（CentOS7）防火牆已使用firewalld取代iptables