8.3 Firewalld

RHEL 7系統(tǒng)中集成了多款防火墻管理工具，其中firewalld（Dynamic Firewall Manager of Linux systems，Linux系統(tǒng)的動態(tài)防火墻管理器）服務是默認的防火墻配置管理工具，它擁有基于CLI（命令行界面）和基于GUI（圖形用戶界面）的兩種管理方式。

相較于傳統(tǒng)的防火墻管理配置工具，firewalld支持動態(tài)更新技術并加入了區(qū)域（zone）的概念。簡單來說，區(qū)域就是firewalld預先準備了幾套防火墻策略集合（策略模板），用戶可以根據(jù)生產(chǎn)場景的不同而選擇合適的策略集合，從而實現(xiàn)防火墻策略之間的快速切換。例如，我們有一臺筆記本電腦，每天都要在辦公室、咖啡廳和家里使用。按常理來講，這三者的安全性按照由高到低的順序來排列，應該是家庭、公司辦公室、咖啡廳。當前，我們希望為這臺筆記本電腦指定如下防火墻策略規(guī)則：在家中允許訪問所有服務；在辦公室內(nèi)僅允許訪問文件共享服務；在咖啡廳僅允許上網(wǎng)瀏覽。在以往，我們需要頻繁地手動設置防火墻策略規(guī)則，而現(xiàn)在只需要預設好區(qū)域集合，然后只需輕點鼠標就可以自動切換了，從而極大地提升了防火墻策略的應用效率。firewalld中常見的區(qū)域名稱（默認為public）以及相應的策略規(guī)則如表8-2所示。

表8-2 firewalld中常用的區(qū)域名稱及策略規(guī)則