CentOS网络访问控制（新手入门指南：轻松掌握firewalld防火墙配置）

一、什么是firewalld？

从CentOS 7开始，系统默认使用 firewalld 作为防火墙管理工具，取代了旧版的iptables。它支持动态更新规则，无需重启服务，并且提供了更友好的区域（zone）概念来管理不同网络环境下的访问策略。

二、检查firewalld状态

首先，我们需要确认firewalld是否正在运行。打开终端，输入以下命令：

# 查看firewalld服务状态sudo systemctl status firewalld# 如果未启动，可使用以下命令启动并设置开机自启sudo systemctl start firewalldsudo systemctl enable firewalld

三、常用firewalld操作命令

下面是一些最常用的 firewalld使用教程 命令，帮助你快速配置CentOS网络访问控制规则。

1. 查看当前活动区域和规则

# 查看默认区域firewall-cmd --get-default-zone# 查看所有活动区域firewall-cmd --get-active-zones# 查看public区域开放的端口和服务firewall-cmd --zone=public --list-all

2. 开放指定端口（例如开放Web服务的80和443端口）

# 临时开放端口（重启后失效）firewall-cmd --add-port=80/tcpfirewall-cmd --add-port=443/tcp# 永久开放端口（需加--permanent参数）firewall-cmd --permanent --add-port=80/tcpfirewall-cmd --permanent --add-port=443/tcp# 重新加载配置使永久规则生效firewall-cmd --reload

3. 允许特定服务（如SSH、HTTP等）

# 永久允许SSH服务firewall-cmd --permanent --add-service=ssh# 永久允许HTTP和HTTPS服务firewall-cmd --permanent --add-service=httpfirewall-cmd --permanent --add-service=https# 重载配置firewall-cmd --reload

4. 封禁某个IP地址

# 永久拒绝来自192.168.1.100的所有连接firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" reject'# 重载生效firewall-cmd --reload

四、常见区域（Zone）说明

firewalld通过“区域”来定义信任级别。常用区域包括：

• public：默认区域，适用于公共网络，只开放选定的服务。
• trusted：完全信任，所有流量都被允许（慎用）。
• drop：丢弃所有入站包，不回应（类似黑名单）。
• internal：用于内部网络，信任程度较高。

五、总结

通过本教程，你应该已经掌握了在CentOS中进行基本网络安全设置的方法。记住：firewalld使用教程的核心在于理解“区域”和“服务/端口”的关系。合理配置防火墙不仅能防止外部攻击，还能确保你的服务正常对外提供。

建议定期检查防火墙规则，避免因误配置导致服务不可用。如果你是初学者，可以先在测试环境中练习，再应用到生产服务器。

注意：修改防火墙规则前，请确保你有其他方式（如控制台）可以访问服务器，以防SSH被意外阻断！