在RHEL 7系统中,firewalld防火墙取代了iptables防火墙。
安全
iptables与firewalld都不是真正的防火墙,它们都只是用来定义防火墙策略的防火墙管理工具而已,或者说,它们只是一种服务。iptables服务会把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理,而firewalld服务则是把配置好的防火墙策略交由内核层面的nftables包过滤框架来处理。网络
iptables服务把用于处理或过滤流量的策略条目称之为规则,多条规则能够组成一个规则链,而规则链则依据数据包处理位置的不一样进行分类,具体以下:框架
在进行路由选择前处理数据包(PREROUTING);
处理流入的数据包(INPUT);
处理流出的数据包(OUTPUT);
处理转发的数据包(FORWARD);
在进行路由选择后处理数据包(POSTROUTING)。
ide
ptables是一款基于命令行的防火墙策略管理工具,具备大量参数,学习难度较大。好在对于平常的防火墙策略配置来说,你们无需深刻了解诸如“四表五链”的理论概念,只须要掌握经常使用的参数并作到灵活搭配便可,这就足以应对平常工做了。工具
相较于传统的防火墙管理配置工具,firewalld支持动态更新技术并加入了区域(zone)的概念。简单来讲,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户能够根据生产场景的不一样而选择合适的策略集合,从而实现防火墙策略之间的快速切换。例如,咱们有一台笔记本电脑,天天都要在办公室、咖啡厅和家里使用。按常理来说,这三者的安全性按照由高到低的顺序来排列,应该是家庭、公司办公室、咖啡厅。学习
firewall-config的界面如图所示,其功能具体以下。命令行
1:选择运行时(Runtime)模式或永久(Permanent)模式的配置。
2:可选的策略集合区域列表。
3:经常使用的系统服务列表。
4:当前正在使用的区域。
5:管理当前被选中区域中的服务。
6:管理当前被选中区域中的端口。
7:开启或关闭SNAT(源地址转换协议)技术。
8:设置端口转发策略。
9:控制请求icmp服务的流量。
10:管理防火墙的富规则。
11:管理网卡设备。
12:被选中区域的服务,若勾选了相应服务前面的复选框,则表示容许与之相关的流量。
13:firewall-config工具的运行状态。
3d