centos7之iptables与firewalld

保障数据的安全性是继保障数据的可用性以后最为重要的一项工做。防火墙做为公网 与内网之间的保护屏障，在保障数据的安全性方面起着相当重要的做用。

firewalld与iptables
iptables
firewall-cmd
firewall-config
TCP Wrappers

在生产环境公网条件下，黑客丛生、罪恶漫天，企业会在公网和内网之间砌一座保护墙，这个就叫作防火墙，有软件和硬件之分，其原理都是依据策略对穿越防火墙自身的流量过滤。

centos7 　　firewalld
centos6 　　iptables

iptables 与 firewalld 都不是真正的防火墙， 它们都只是用来定义防火墙策略的防火墙管理工具，是一种服务。

策略和规则链

防火墙会从上至下的顺序来读取配置的策略规则，在找到匹配项后就当即结束匹配工做 并去执行匹配项中定义的行为(即放行或阻止)。若是在读取完全部的策略规则以后没有匹配 项，就去执行默认的策略。通常而言，防火墙策略规则的设置有两种:一种是“通”(即放行)， 一种是“堵”(即阻止)。当防火墙的默认策略为拒绝时(堵)，就要设置容许规则(通)，不然 谁都进不来;若是防火墙的默认策略为容许时，就要设置拒绝规则，不然谁都能进来，防火墙 也就失去了防范的做用。

iptables 服务把用于处理或过滤流量的策略条目称之为规则，多条规则能够组成一个规则 链，而规则链则依据数据包处理位置的不一样进行分类，具体以下:

➢ 在进行路由选择前处理数据包(PREROUTING);

➢ 处理流入的数据包(INPUT); 　　最长用的规则链
➢ 处理流出的数据包(OUTPUT);
➢ 处理转发的数据包(FORWARD);

➢ 在进行路由选择后处理数据包(POSTROUTING)。 



好比我们住的小区，物业有个规定：禁止共享单车入内，各类车辆进入须要登记。可见这俩规则用于小区的正门（流量必经的地方）。
防火墙策略如同物业的规定，
第一条策略：
共享单车禁止入内，无须登记。
第二条策略：
其余车辆须要登记入内。
默认策略：
小区居民能够直接入内。

仅仅有策略还不能保证小区（服务器）的安全，保安（防火墙）不知道用什么动做处理匹配的流量，好比“accept”、