CentOS网络访问控制详解（手把手教你配置firewalld防火墙）

一、什么是firewalld？

firewalld 是 CentOS 7 及以后版本默认的动态防火墙管理工具，它替代了旧版的 iptables 服务。与传统防火墙不同，firewalld 支持“区域（zone）”概念，允许你为不同网络环境（如家庭、办公、公共网络）设置不同的访问策略，操作更直观、灵活。

二、检查并启动firewalld服务

首先，确认 firewalld 是否已安装并运行：

# 检查firewalld状态systemctl status firewalld# 如果未运行，启动并设置开机自启sudo systemctl start firewalldsudo systemctl enable firewalld

三、常用firewalld命令速查

以下是几个最常用的命令，帮助你快速上手 firewalld使用教程：

# 查看默认区域firewall-cmd --get-default-zone# 查看所有可用区域firewall-cmd --get-zones# 查看当前激活的区域及规则firewall-cmd --list-all# 永久开放SSH端口（22）sudo firewall-cmd --permanent --add-service=ssh# 永久开放HTTP（80）和HTTPS（443）端口sudo firewall-cmd --permanent --add-service=httpsudo firewall-cmd --permanent --add-service=https# 重新加载配置使永久规则生效sudo firewall-cmd --reload

四、实战：限制特定IP访问数据库端口

假设你的MySQL运行在3306端口，只希望公司内网（如192.168.1.0/24）能访问，可执行以下操作：

# 先移除对3306端口的全局开放（如有）sudo firewall-cmd --permanent --remove-port=3306/tcp# 仅允许192.168.1.0/24网段访问3306sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="3306" accept'# 重载配置sudo firewall-cmd --reload

这样就实现了精细化的CentOS网络访问控制，极大提升了服务器安全性。

五、常见问题排查

• 规则不生效？记得加 --permanent 参数并执行 --reload。
• 不确定当前规则？用 firewall-cmd --list-all 查看。
• 临时测试规则可不加 --permanent，重启后自动失效。

六、总结

掌握 firewalld使用教程 是每个Linux运维人员的必备技能。通过本文介绍的命令和策略，你可以轻松实现从基础端口开放到高级IP限制的 网络安全设置。记住：安全不是一次性的配置，而是持续的监控与优化。

提示：生产环境中建议结合 SELinux、Fail2ban 等工具构建多层防护体系。