如何实现Linux网络隔离 firewalld区域配置详解-linux运维-PHP中文网

firewalld通过“区域”实现linux网络隔离。1. 区域是预设安全策略的规则集合，代表不同信任级别；2. 可将接口或源ip分配至特定区域，绑定其流量与规则；3. 每个区域可定义允许的服务和端口，限制未授权访问；4. 实战步骤包括查看当前配置、分配接口/源ip到区域、添加/移除服务/端口、创建自定义区域；5. 高级功能如富规则、直接规则、伪装、端口转发等增强网络安全。

如何实现Linux网络隔离 firewalld区域配置详解

Linux网络隔离，尤其是基于

firewalld

登录后复制

的区域配置，本质上就是把不同的网络接口或流量归类到不同的安全级别里，然后针对这些级别定义各自的防火墙规则。这就像给你的房子分了客厅、卧室、书房，每个房间有不同的门禁和用途，互不干扰，或者说，干扰得有规矩，从而有效限制未授权访问和潜在威胁。

解决方案

实现Linux网络隔离的核心在于合理利用

firewalld

登录后复制

的“区域”（zones）概念。

firewalld

登录后复制

不像传统的

iptables

登录后复制

那样直接操作规则链，它引入了区域作为管理防火墙规则的逻辑分组。每个区域代表一个信任级别，你可以将网络接口、源IP地址或两者同时分配到特定的区域。例如，你可以有一个“公共”区域用于面向互联网的服务，一个“内部”区域用于内部网络通信，甚至一个“受信任”区域用于你的核心服务器。通过为每个区域定义允许的服务和端口，你就能确保只有符合该区域安全策略的流量才能通过，从而实现网络隔离。这个思路极大地简化了复杂的网络安全策略部署，因为它把“接口/来源”和“规则集”做了绑定，清晰明了。

Firewalld区域到底是什么，为什么它能实现网络隔离？

说实话，刚接触

firewalld

登录后复制

的时候，我个人觉得“区域”这个概念有点抽象，不像

iptables

登录后复制

的INPUT、OUTPUT链那么直观。但用了一段时间后，才真正体会到它的妙处。简单来说，

firewalld

登录后复制

的区域就是一套预设的、带有特定安全策略的规则集合。你可以把它想象成不同安全级别的“围墙”或“堡垒”。

为什么它能实现网络隔离？关键在于它的“绑定”能力。你可以把一个网络接口（比如你的

eth0

登录后复制

连接到公网，

eth1

登录后复制

连接到内网）或者一个特定的IP地址段（比如你内部服务器的网段）分配给某个区域。一旦分配，所有流经该接口或源自该IP地址的流量，都会自动套用这个区域里定义的规则。

举个例子，

firewalld

登录后复制

默认有几个区域，像

public

登录后复制

（公共）、

internal

登录后复制

（内部）、

trusted

登录后复制

（信任）、

drop

登录后复制

（丢弃）等等。

```
public
```
登录后复制
区域通常默认只允许SSH、HTTP等有限服务，其他一概拒绝，适合暴露在公网的接口。
```
internal
```
登录后复制
区域可能允许更多的内部服务，比如NFS、Samba，因为它假定内部网络相对安全。
```
drop
```
登录后复制
区域则简单粗暴，所有进入的包直接丢弃，不返回任何信息，非常适合那些你完全不希望被访问的接口或IP。

通过这种方式，你不需要针对每个端口或每个IP单独写规则，而是把一类流量归属到一个区域，然后一次性定义这个区域的规则。这种抽象和分组，让网络策略的管理变得异常清晰，也大大降低了配置错误的风险。比如，你有一个web服务器，同时对外提供服务，又需要访问内部数据库。你可以把对外服务的接口放到

public

登录后复制

区域，只开放80/443端口；而把访问数据库的流量源IP或接口放到

internal

登录后复制

区域，只允许到数据库端口的连接。这样，外部流量和内部流量就自然地隔离开来了，互不干扰，即使外部服务被攻破，内部数据库也多了一层防护。

Firewalld区域配置的实战步骤是怎样的？

实际操作起来，

firewalld

登录后复制

的区域配置并不复杂，但有几个关键点需要注意，尤其是

--permanent

登录后复制

和

--reload

登录后复制

这两个命令。我见过不少人，包括我自己，刚开始时会忘记加

--permanent

登录后复制

，导致重启后配置丢失，或者加了

--permanent

登录后复制

却忘记

--reload

登录后复制

，导致配置不生效，然后一脸懵逼。

以下是一些实战步骤：

查看当前区域及接口分配： 这是第一步，先搞清楚你的系统现在是个什么状态。
```
firewall-cmd --get-active-zones
```
登录后复制
这条命令会告诉你哪些区域是活跃的，以及每个区域下有哪些网络接口。比如你可能会看到
```
public
```
登录后复制
区域下挂着
```
eth0
```
登录后复制
。
查看所有可用区域及其默认配置： 了解
```
firewalld
```
登录后复制
提供了哪些区域以及它们默认允许的服务，这有助于你选择合适的区域。
```
firewall-cmd --get-zones
firewall-cmd --zone=public --list-all # 查看public区域的详细配置
```
登录后复制
将接口分配到特定区域： 这是实现隔离的关键一步。假设你的
```
eth1
```
登录后复制
接口连接到内部网络，你希望它处于
```
internal
```
登录后复制
区域。
```
firewall-cmd --zone=internal --add-interface=eth1 --permanent
firewall-cmd --reload
```
登录后复制
注意，
```
--permanent
```
登录后复制
是让配置永久生效，
```
--reload
```
登录后复制
是让
```
firewalld
```
登录后复制
重新加载配置，使其立即生效。如果只是临时测试，可以不加
```
--permanent
```
登录后复制
。

奇域
奇域是一个专注于中式美学的国风AI绘画创作平台

30

查看详情
将源IP地址分配到特定区域： 有时候你可能不想把整个接口都放到某个区域，而是希望某个特定的IP地址或IP段的流量走某个区域的规则。
```
firewall-cmd --zone=trusted --add-source=192.168.1.0/24 --permanent
firewall-cmd --reload
```
登录后复制
这样，来自
```
192.168.1.0/24
```
登录后复制
这个网段的流量，就会被
```
trusted
```
登录后复制
区域的规则所管理。

在区域中添加或移除服务/端口： 一旦接口或源被分配到区域，你就可以针对该区域开放或关闭服务。

firewall-cmd --zone=public --add-service=http --permanent # 允许public区域的HTTP服务
firewall-cmd --zone=public --add-port=8080/tcp --permanent # 允许public区域的8080/tcp端口
firewall-cmd --reload

firewall-cmd --zone=internal --remove-service=ssh --permanent # 从internal区域移除SSH服务
firewall-cmd --reload

登录后复制

创建自定义区域（可选但推荐）： 如果默认区域不满足你的需求，你可以创建自己的区域。这在复杂的网络环境中非常有用。

firewall-cmd --new-zone=my-custom-zone --permanent
firewall-cmd --reload
firewall-cmd --zone=my-custom-zone --add-service=mysql --permanent
firewall-cmd --zone=my-custom-zone --add-port=3307/tcp --permanent
firewall-cmd --zone=my-custom-zone --add-interface=eth2 --permanent
firewall-cmd --reload

登录后复制

创建自定义区域后，别忘了给它添加规则，并将其分配给接口或源。

配置过程中，多用

--list-all

登录后复制

和

--list-all-zones

登录后复制

来检查你的配置是否如预期。一步步来，确保每一步都生效，这样能有效避免后续的排查麻烦。

除了区域，Firewalld还有哪些高级特性可以增强网络安全？

firewalld

登录后复制

的区域功能固然强大，是实现网络隔离的基础，但它并非

firewalld

登录后复制

的全部。在更复杂的场景下，我们可能需要更细粒度的控制，或者一些额外的安全加固措施。

富规则（Rich Rules）： 这是我个人认为
```
firewalld
```
登录后复制
除了区域之外最强大的功能之一。区域规则往往是针对服务或端口的简单放行，但富规则能让你实现更复杂的逻辑，比如：
- 允许特定源IP访问特定端口：
```
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="1.2.3.4" port port="22" protocol="tcp" accept' --permanent
```
  登录后复制
- 拒绝某个IP访问某个服务：
```
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="5.6.7.8" service name="ssh" reject' --permanent
```
  登录后复制
- 基于时间或日期的规则：比如只在工作时间允许某个服务。
- 端口转发（Port Forwarding）：
```
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" forward-port port="80" protocol="tcp" to-port="8080" to-addr="192.168.1.100"' --permanent
```
  登录后复制
  富规则的灵活性极高，几乎能满足所有
```
iptables
```
  登录后复制
  能做到的事情，而且语法更易读。
直接规则（Direct Rules）： 虽然
```
firewalld
```
登录后复制
抽象了
```
iptables
```
登录后复制
，但它也提供了一个“后门”——直接规则。如果你对
```
iptables
```
登录后复制
命令非常熟悉，或者需要实现一些
```
firewalld
```
登录后复制
富规则难以表达的复杂逻辑（这种情况比较少见），你可以直接插入
```
iptables
```
登录后复制
或
```
ip6tables
```
登录后复制
命令。
```
firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 25 -j DROP --permanent
firewall-cmd --reload
```
登录后复制
这就像是
```
firewalld
```
登录后复制
给高级用户提供了一个逃生舱，直接操作底层防火墙。但通常不推荐滥用，因为它会绕过
```
firewalld
```
登录后复制
的区域管理，增加配置的复杂性和潜在冲突。
服务和端口集：
```
firewalld
```
登录后复制
预定义了大量的服务（如
```
http
```
登录后复制
、
```
ssh
```
登录后复制
、
```
mysql
```
登录后复制
等），这些服务实际上是端口和协议的集合。你可以直接引用服务名，而不是记住具体的端口号。你也可以自定义服务。
```
firewall-cmd --permanent --new-service=my-web-app
firewall-cmd --permanent --service=my-web-app --add-port=8080/tcp
firewall-cmd --permanent --service=my-web-app --add-port=8443/tcp
firewall-cmd --reload
firewall-cmd --zone=public --add-service=my-web-app --permanent
firewall-cmd --reload
```
登录后复制
这样，管理多个端口的服务就更方便了。
伪装（Masquerading）和端口转发：
```
firewalld
```
登录后复制
可以轻松配置网络地址转换（NAT），比如将内部网络的流量伪装成出口IP，或者将外部请求转发到内部的特定服务器。
```
firewall-cmd --zone=public --add-masquerade --permanent # 开启伪装
firewall-cmd --zone=public --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.1.10 --permanent # 端口转发
firewall-cmd --reload
```
登录后复制
紧急模式（Panic Mode）： 这是一个非常极端的安全措施。当系统遭受严重攻击，或者你怀疑网络被入侵时，可以立即启用紧急模式。
```
firewall-cmd --panic-on
```
登录后复制
这会立即阻止所有网络流量，除了那些已经建立的连接。它就像一个紧急断路器，在最危急的时刻保护系统。当然，使用后别忘了
```
firewall-cmd --panic-off
```
登录后复制
来恢复正常。