红帽RHEL7(Centos7)系统中,firewalld防火墙取代了iptables防火墙。我们都知道iptables的防火墙策略是交由内核层面的netfilter网络过滤器来处理的,而firewalld则是交由内核层面的nftables包过滤框架来处理。
相较于iptables防火墙而言,firewalld支持动态更新技术并加入了区域(zone)的概念。简单来说,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换。
iptables每一个更改都需要先清除所有旧有的规则,然后重新加载所有的规则(包括新的和修改后的规则);搞不好就把自己干死在外边了。
而firewalld任何规则的变更都不需要对整个防火墙规则重新加载。只要不reload就没事。
firewalld服务的主配置文件是firewalld.conf,防火墙策略的配置文件是以xml格式为主,存放在以下两个目录里。
/etc/firewalld # 用户配置文件,一般自己写好规则后,查看这里边的文件
/usr/lib/firewalld #系统配置文件,预定义配置文件
firewall-cmd(终端管理工具)
firewall-config(图形管理工具)。
