FirewallD提供了支持網絡/防火牆區域定義網絡連接以及接口安全等級的動態防火牆管理工具。它支持IPv4,IPv6防火牆設置以及以太網橋接,而且擁有運行時配置和永久配置選項。它也支持容許服務或者應用程序直接添加防火牆規則的接口。system-config-firewall/lokkit防火牆模型是靜態的,每次修改都要求防火牆徹底重啓(注:system-config-firewall就是iptables的圖形界面管理工具,而Firewalld是由Red Hat的Thomas Woerner爲Fedora開發的,在Fedora15中第一次可以使用,目的是取代目前system-config-firewall的靜態防火牆配置)。這個過程包括內核Netfilter防火牆模塊的卸載和從新配置所需模塊的裝載等,模塊的卸載會破壞狀態防火牆的鏈接。firewall守護進程daemon動態管理防火牆,不須要重啓整個防火牆即可應用更改,於是也就沒有必要重載全部的內核防火牆模塊了。不過,要使用firewall守護進程daemon就要求防火牆的全部變動都要經過該守護進程來實現,以確保守護進程中的狀態和內核裏的防火牆是一致的。另外,firewall守護進程daemon沒法解析由iptables和ebtalbes命令行工具添加的防火牆規則。守護進程經過D-Bus提供當前激活的防火牆設置信息,也經過D-Bus接受使用PolicyKit認證方式作的更改。安全
1
網絡
應用程序,守護進程和用戶能夠經過D-Bus請求啓用防火牆特性,特性能夠是預約義的防火牆功能,如:服務,端口和協議的組合,端口/數據報轉發,假裝,ICMP攔截或自定義規則等。該功能能夠啓用指定的一段時間,也能夠再次停用。工具
2
spa
system-config-firewall和lokkit靜態防火牆模型實際上仍然可用並將繼續提供,但卻不能與守護進程同時使用。用戶或者管理員能夠決定使用哪種方案。在軟件安裝,初次啓動或者首次聯網時,將會出現一個選擇器,經過它你能夠選擇要使用的防火牆方案。其餘的解決方案將保持完整,能夠經過更換模式啓用。firewall daemon獨立於system-config-firewall,但兩者不能同時使用。Linux防火牆在內核中由iptables,ip6tables,arptables和ebtalbes組成。FirewallD集Netfilter的過濾功能於一身,FirewallD在RHEL 7.0中的功能包括:命令行
實現動態管理,對於規則的更改再也不須要從新構建整個防火牆。接口
使用一個簡單的系統托盤區圖標來顯示防火牆狀態,方便開啓和關閉防火牆。進程
提供firewall-cmd命令行界面進行管理及配置工做。ip
爲libvirt提供接口及界面,將會在必需的PolicyKit相關權限完成的狀況下實現。開發
實現系統全局及用戶進程的防火牆規則配置管理。cmd
區域的支持。
注:HERL 7(CentOS7)防火牆已使用firewalld取代iptables