centos7之iptables與firewalld

保障數據的安全性是繼保障數據的可用性以後最爲重要的一項工做。防火牆做爲公網 與內網之間的保護屏障，在保障數據的安全性方面起着相當重要的做用。

firewalld與iptables
iptables
firewall-cmd
firewall-config
TCP Wrappers

在生產環境公網條件下，黑客叢生、罪惡漫天，企業會在公網和內網之間砌一座保護牆，這個就叫作防火牆，有軟件和硬件之分，其原理都是依據策略對穿越防火牆自身的流量過濾。

centos7 　　firewalld
centos6 　　iptables

iptables 與 firewalld 都不是真正的防火牆， 它們都只是用來定義防火牆策略的防火牆管理工具，是一種服務。

策略和規則鏈

防火牆會從上至下的順序來讀取配置的策略規則，在找到匹配項後就當即結束匹配工做 並去執行匹配項中定義的行爲(即放行或阻止)。若是在讀取完全部的策略規則以後沒有匹配 項，就去執行默認的策略。通常而言，防火牆策略規則的設置有兩種:一種是「通」(即放行)， 一種是「堵」(即阻止)。當防火牆的默認策略爲拒絕時(堵)，就要設置容許規則(通)，不然 誰都進不來;若是防火牆的默認策略爲容許時，就要設置拒絕規則，不然誰都能進來，防火牆 也就失去了防範的做用。

iptables 服務把用於處理或過濾流量的策略條目稱之爲規則，多條規則能夠組成一個規則 鏈，而規則鏈則依據數據包處理位置的不一樣進行分類，具體以下:

➢ 在進行路由選擇前處理數據包(PREROUTING);

➢ 處理流入的數據包(INPUT); 　　最長用的規則鏈
➢ 處理流出的數據包(OUTPUT);
➢ 處理轉發的數據包(FORWARD);

➢ 在進行路由選擇後處理數據包(POSTROUTING)。 



好比我們住的小區，物業有個規定：禁止共享單車入內，各類車輛進入須要登記。可見這倆規則用於小區的正門（流量必經的地方）。
防火牆策略如同物業的規定，
第一條策略：
共享單車禁止入內，無須登記。
第二條策略：
其餘車輛須要登記入內。
默認策略：
小區居民能夠直接入內。

僅僅有策略還不能保證小區（服務器）的安全，保安（防火牆）不知道用什麼動做處理匹配的流量，好比「accept」、