Firewalld简介

在 AlexHost VPS 上使用 Firewalld 保护您的服务器

为什么在 AlexHost 上使用 Firewalld？ Firewalld 简化了动态防火墙管理，增强了服务器安全性。 AlexHost 的 Linux VPS 提供 NVMe 存储、完全的根访问权限和 DDoS 保护，为配置 Firewalld 提供了强大的平台。本指南涵盖了 Firewalld 的概念、设置和在 AlexHost 上的使用。

什么是 Firewalld？

Firewalld 是 iptables 和 nftables 的前端接口，它们是 Linux 系统中底层的防火墙机制。虽然这些传统工具需要手动创建和管理规则，但 Firewalld 提供了一种更简单的方法来动态创建、修改和管理防火墙规则。其主要优点在于能够在不需要重启防火墙服务或中断活动网络连接的情况下更改设置。

Firewalld 中的关键概念

在深入了解如何使用 Firewalld 之前，了解一些构成其操作基础的关键概念是至关重要的。

1. 区域

区域是 Firewalld 中的一个核心概念，代表网络连接的不同信任级别。每个区域可以配置自己的一组防火墙规则，网络接口可以根据其安全需求分配到特定区域。

Firewalld 包含几个预定义区域，例如：

• 公共：适合在机场和咖啡馆等公共场所使用，安全性是首要考虑。
• 私人：用于受信任的网络，例如您的家庭或办公室网络。
• 受信任：允许所有传入连接。此区域仅应用于高度受信任的网络。
• 阻止：传入连接被丢弃而没有任何响应。
• 丢弃：类似于阻止，但静默丢弃所有传入流量。
• 内部：用于受信任的内部网络，允许更宽松的防火墙规则。

您还可以根据特定要求创建自定义区域。

2. 服务

Firewalld 中的服务代表特定网络服务（如 HTTP、FTP 或 SSH）的一组预定义防火墙规则。Firewalld 允许您通过简单的命令启用或禁用服务，而无需手动配置端口和协议。这使得管理防火墙规则变得更容易，而无需了解底层服务的每个技术细节。

3. 丰富规则

丰富规则是 Firewalld 中的高级规则，提供对流量过滤的更细粒度控制。它们允许使用特定条件，如 IP 地址、协议和端口。当您需要更复杂的配置时，丰富规则非常有用，这些配置超出了默认基于区域的规则所能提供的范围。

4. 运行时配置与永久配置

Firewalld 允许您在运行时或永久性地进行更改。运行时更改是立即生效的，但在系统重启时会丢失，而永久更改在重启后仍然有效。

• 运行时配置：立即生效，但临时。
• 永久配置：持久有效，但仅在重新加载或重启后应用。

这种分离允许您在永久提交更改之前进行测试。

安装 Firewalld

如果您的系统默认未安装 Firewalld，您可以使用 Linux 发行版的包管理器轻松安装它。例如：

• 在 RHEL/CentOS/Fedora 上：
  sudo yum install firewalld

• 在 Debian/Ubuntu 上：
  sudo apt-get install firewalld


安装后，启动 Firewalld 服务并启用其在启动时运行：

基本 Firewalld 命令

以下是一些常用的 Firewalld 命令，帮助您入门。

1. 检查 Firewalld 状态

要检查 Firewalld 是否正在运行，请使用：

如果它正在运行，您将看到 running 作为输出。

2. 列出活动区域

要查看哪些区域处于活动状态以及哪些网络接口分配给它们，请运行：

3. 设置默认区域

如果您想为新的网络连接设置默认区域，可以使用：

4. 向区域添加服务

您可以使用以下命令在区域内允许某个服务（如 SSH 或 HTTP）：

要使此更改永久生效，请使用 –permanent 标志：

5. 打开特定端口

如果您需要打开特定端口而不是启用预定义服务，可以使用：

通过添加 –permanent 使其永久生效，如前所述。

6. 移除服务或端口

要从区域中移除服务或端口，请使用 –remove-service 或 –remove-port 命令：