news 2026/7/7 19:01:33

防火墙配置:掌握 iptables、firewalld 等工具的使用与管理

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
防火墙配置:掌握 iptables、firewalld 等工具的使用与管理

防火墙配置:掌握 iptables、firewalld 等工具的使用与管理

在现代服务器安全体系中,防火墙是最基础、最关键的安全屏障之一。无论是传统的iptables,还是更现代的firewalld,都承担着“限制访问、减少攻击面、保护系统”的核心职责。

本文将从以下几个方面展开:

  • iptables 与 firewalld 的区别与适用场景
  • iptables 常用规则与管理方法
  • firewalld 的区域、服务与端口管理
  • 企业级防火墙最佳实践

1. iptables 与 firewalld 的区别

项目iptablesfirewalld
工作方式静态规则表动态规则管理
配置难度较高较低
是否支持热更新❌ 重载会中断连接✔ 支持动态更新
管理方式命令行规则区域(zone)+ 服务(service)
适用场景高度自定义、精细控制日常运维、快速配置

总结:

  • 需要精细控制 → 用iptables
  • 需要快速管理、动态更新 → 用firewalld

2. iptables 基础与常用配置

iptables 基于表(table)链(chain)工作:

  • filter:默认表,用于过滤流量
  • nat:地址转换(DNAT/SNAT)
  • mangle:修改数据包
  • raw:绕过连接跟踪

常用链:

  • INPUT:进入本机的流量
  • OUTPUT:从本机发出的流量
  • FORWARD:转发流量

2.1 查看当前规则

iptables -L -n -v

2.2 放行常用端口

放行 SSH(22)

iptables -A INPUT -p tcp --dport22-j ACCEPT

放行 HTTP/HTTPS

iptables -A INPUT -p tcp -m multiport --dports80,443-j ACCEPT

2.3 拒绝所有其他流量(默认策略)

iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT

2.4 允许本地回环与已建立连接

iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

2.5 保存规则

CentOS 7 及以下:

serviceiptables save

Ubuntu:

iptables-save>/etc/iptables.rules

3. firewalld 使用与管理

firewalld 是基于区域(zone)的动态防火墙,支持热更新,不会中断现有连接。


3.1 常用命令

查看状态

systemctl status firewalld

启动/停止

systemctl start firewalld systemctlenablefirewalld

3.2 区域(Zone)概念

常见区域:

区域说明
public默认区域,允许最少服务
internal内网环境
trusted信任所有流量(慎用)
drop丢弃所有流量

查看当前区域:

firewall-cmd --get-active-zones

3.3 开放端口

开放 80 端口

firewall-cmd --zone=public --add-port=80/tcp --permanent firewall-cmd --reload

开放多个端口

firewall-cmd --add-port=3000-3010/tcp --permanent

3.4 开放服务(推荐方式)

firewalld 内置服务定义(如 ssh、http、https)。

开放 HTTP 服务

firewall-cmd --add-service=http --permanent firewall-cmd --reload

查看所有服务:

firewall-cmd --get-services

3.5 移除端口或服务

firewall-cmd --remove-port=80/tcp --permanent firewall-cmd --remove-service=http --permanent firewall-cmd --reload

3.6 允许特定 IP 访问

仅允许某 IP 访问 SSH

firewall-cmd --add-rich-rule='rule family="ipv4" source address="1.2.3.4" port port="22" protocol="tcp" accept'--permanent

4. iptables 与 firewalld 的组合使用建议

  • firewalld 是 iptables 的上层管理工具
  • 不建议同时启用两者,否则规则冲突难以排查
  • 若使用 firewalld,应关闭 iptables 服务

5. 企业级防火墙最佳实践

5.1 最小暴露面原则

  • 只开放业务必须端口
  • 禁用所有默认服务
  • 定期审计端口暴露情况

5.2 使用白名单策略

  • SSH 仅允许固定 IP 登录
  • 管理后台仅允许内网访问

5.3 分环境管理

环境策略
生产严格白名单
测试适度放开
开发内网访问即可

5.4 日志与审计

  • 定期查看防火墙日志
  • 监控异常访问(如暴力破解)
  • 配合 fail2ban 等工具自动封禁恶意 IP

6. 总结

掌握 iptables 与 firewalld,是系统安全加固的基础能力:

  • iptables:适合精细化控制
  • firewalld:适合动态管理与日常运维
  • 最小暴露面 + 白名单 + 审计是企业级最佳实践

通过合理配置防火墙,可以显著降低攻击面,提升系统整体安全性。

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/7 11:01:01

【C2000系列DSP的Bootloader详解】实现过程、流程图与示例代码

【C2000系列DSP的Bootloader详解】实现过程、流程图与示例代码 Bootloader是嵌入式系统启动的“领航员”,负责在芯片上电后完成初始化、程序加载等核心工作,是C2000系列微控制器正常运行的基础。本文基于TMS320F28003x技术参考手册第四章“ROM Code and Peripheral Booting”…

作者头像 李华
网站建设 2026/7/7 7:50:54

【C2000系列DSP的Bootloader详解】如何利用脚本自动生成Hex/Bin/S19文件

【C2000系列DSP的Bootloader详解】如何利用脚本自动生成Hex/Bin/S19 专为TI C2000系列C28x内核芯片设计,实现bootloader.out和user_app.out文件的Hex/Bin/S19转换,以及转换后Hex/Bin/S19文件的合规合并,生成可直接用于Uniflash烧录的文件。 OutconvertHex.py, 可以生成he…

作者头像 李华
网站建设 2026/7/7 16:52:52

Flutter与OpenHarmony购物车组件完整实现

前言 购物车是电商应用中最重要的功能模块之一,它承载着用户的购买意向,直接影响订单转化率。一个设计良好的购物车组件需要展示商品列表、支持数量调整、计算总价、处理选中状态等多种功能。本文将详细介绍如何在Flutter和OpenHarmony平台上实现一个功能…

作者头像 李华
网站建设 2026/7/6 11:52:32

读人机沟通法则:理解数字世界的设计与形成01机器循环运行

1. 计算1.1. 计算是一个无形的陌生宇宙,它无限广阔,同时包含无限多的细节1.2. 它是一种不遵循物理定律的原材料,在某种意义上为互联网提供了远超于电的力量1.3. 它是一种无处不在的媒介,由经验丰富…

作者头像 李华
网站建设 2026/7/6 15:11:57

什么最伤孩子视力?不是手机和电视,则是这些方面家长要注意了

随着数字化时代的到来,电子设备在儿童生活中的渗透率不断提升,家长对电子屏幕的警惕性也随之拉满。数据显示,当前儿童每日近距离用眼场景中,课后作业、阅读绘本、手工制作等非电子设备场景的占比高达65%,且单次持续时长…

作者头像 李华