Linux防火墙之FirewallD简介

FirewallD提供了支持网络/防火墙区域定义网络连接以及接口安全等级的动态防火墙管理工具。它支持IPv4，IPv6防火墙设置以及以太网桥接，而且拥有运行时配置和永久配置选项。它也支持容许服务或者应用程序直接添加防火墙规则的接口。system-config-firewall/lokkit防火墙模型是静态的，每次修改都要求防火墙彻底重启（注：system-config-firewall就是iptables的图形界面管理工具，而Firewalld是由Red Hat的Thomas Woerner为Fedora开发的，在Fedora15中第一次可以使用，目的是取代目前system-config-firewall的静态防火墙配置）。这个过程包括内核Netfilter防火墙模块的卸载和从新配置所需模块的装载等，模块的卸载会破坏状态防火墙的链接。firewall守护进程daemon动态管理防火墙，不须要重启整个防火墙即可应用更改，于是也就没有必要重载全部的内核防火墙模块了。不过，要使用firewall守护进程daemon就要求防火墙的全部变动都要经过该守护进程来实现，以确保守护进程中的状态和内核里的防火墙是一致的。另外，firewall守护进程daemon没法解析由iptables和ebtalbes命令行工具添加的防火墙规则。守护进程经过D-Bus提供当前激活的防火墙设置信息，也经过D-Bus接受使用PolicyKit认证方式作的更改。

1

应用程序，守护进程和用户能够经过D-Bus请求启用防火墙特性，特性能够是预约义的防火墙功能，如：服务，端口和协议的组合，端口/数据报转发，假装，ICMP拦截或自定义规则等。该功能能够启用指定的一段时间，也能够再次停用。

2

system-config-firewall和lokkit静态防火墙模型实际上仍然可用并将继续提供，但却不能与守护进程同时使用。用户或者管理员能够决定使用哪种方案。在软件安装，初次启动或者首次联网时，将会出现一个选择器，经过它你能够选择要使用的防火墙方案。其余的解决方案将保持完整，能够经过更换模式启用。firewall daemon独立于system-config-firewall，但两者不能同时使用。Linux防火墙在内核中由iptables,ip6tables,arptables和ebtalbes组成。FirewallD集Netfilter的过滤功能于一身，FirewallD在RHEL 7.0中的功能包括：

• 实现动态管理，对于规则的更改再也不须要从新构建整个防火墙。

• 使用一个简单的系统托盘区图标来显示防火墙状态，方便开启和关闭防火墙。

• 提供firewall-cmd命令行界面进行管理及配置工做。

• 为libvirt提供接口及界面，将会在必需的PolicyKit相关权限完成的状况下实现。

• 实现系统全局及用户进程的防火墙规则配置管理。

• 区域的支持。

注：HERL 7（CentOS7）防火墙已使用firewalld取代iptables