CentOS防火墙怎么配置_CentOS防火墙规则设置教程-CentOS-PHP中文网

答案：CentOS防火墙配置核心在于理解firewalld的区域（zones）概念，通过firewall-cmd工具管理运行时和永久规则，合理分配网络接口到不同信任级别的区域，并结合服务、端口、富规则、端口转发、伪装等高级功能实现精细化安全策略。

centos防火墙怎么配置_centos防火墙规则设置教程

CentOS系统下的防火墙配置，核心在于理解并正确使用

firewalld

登录后复制

这个动态防火墙管理工具。它并非简单地开放或关闭几个端口，而是一套基于区域（zones）和服务的策略管理体系。要高效地设置防火墙规则，关键在于明确你的网络环境，然后将服务、端口或更复杂的规则映射到对应的信任区域，并确保这些配置在系统重启后依然生效。在我看来，掌握

firewalld

登录后复制

的区域概念是其配置的基础，也是避免未来踩坑的关键。

解决方案

配置CentOS防火墙规则，我们主要通过

firewall-cmd

登录后复制

命令行工具与

firewalld

登录后复制

服务交互。下面是一些我认为最常用且关键的操作步骤：

检查
```
firewalld
```
登录后复制
服务状态：在开始任何配置之前，确认
```
firewalld
```
登录后复制
服务正在运行是第一步。
```
systemctl status firewalld
```
登录后复制
如果服务没有运行，你需要启动它并设置开机自启：
```
systemctl start firewalld
systemctl enable firewalld
```
登录后复制

查看当前活动的区域和规则：这是我个人习惯在修改前必做的一步，了解当前防火墙的“全貌”。

firewall-cmd --get-active-zones # 查看当前活动的网络接口及其所属区域
firewall-cmd --list-all-zones # 列出所有区域的详细规则，包括服务、端口、富规则等
firewall-cmd --zone=public --list-all # 或者针对特定区域查看

登录后复制

开放特定端口：这是最常见的需求。例如，开放TCP协议的80端口（HTTP服务）。
```
firewall-cmd --zone=public --add-port=80/tcp --permanent
firewall-cmd --reload
```
登录后复制
```
--permanent
```
登录后复制
参数表示永久生效，下次系统重启后规则依然存在。
```
--reload
```
登录后复制
是重新加载
```
firewalld
```
登录后复制
配置，使永久规则立即生效。如果只是临时测试，可以不加
```
--permanent
```
登录后复制
，但规则会在
```
firewalld
```
登录后复制
重启或系统重启后失效。
开放特定服务：
```
firewalld
```
登录后复制
预定义了许多常用服务（如http, https, ssh等）。使用服务名称比端口号更具可读性。
```
firewall-cmd --zone=public --add-service=http --permanent
firewall-cmd --reload
```
登录后复制
你可以通过
```
firewall-cmd --get-services
```
登录后复制
查看所有支持的服务列表。

移除端口或服务：如果不再需要某个端口或服务，可以使用

--remove-port

登录后复制

或

--remove-service

登录后复制

。

firewall-cmd --zone=public --remove-port=80/tcp --permanent
firewall-cmd --zone=public --remove-service=http --permanent
firewall-cmd --reload

登录后复制

使用富规则（Rich Rules）进行更精细的控制：当简单的端口或服务规则不够用时，富规则提供了更强大的表达能力，比如根据源IP、目标IP、协议、端口等进行更复杂的匹配和动作。例如，允许特定IP地址访问SSH服务：
```
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port port="22" protocol="tcp" accept' --permanent
firewall-cmd --reload
```
登录后复制
或者拒绝某个IP访问所有服务：
```
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.50" reject' --permanent
firewall-cmd --reload
```
登录后复制
修改默认区域：默认情况下，未指定区域的网络接口会使用
```
public
```
登录后复制
区域。你可以根据需要更改默认区域。
```
firewall-cmd --set-default-zone=home
```
登录后复制

这些步骤基本涵盖了日常防火墙配置的大部分场景。记住，每次对

--permanent

登录后复制

规则进行修改后，都需要

--reload

登录后复制

才能让配置生效。

如何在CentOS 7/8中查看和管理防火墙的当前状态与规则？

在我看来，了解当前防火墙的“健康状况”和规则配置是任何系统管理员的必备技能。这不仅仅是为了排查网络连接问题，更是为了确保系统安全策略的正确实施。CentOS 7/8（以及后续版本）主要依赖

firewalld

登录后复制

服务，所以我们的管理和查看都围绕

firewall-cmd

登录后复制

工具展开。

首先，最直接的查看方式是检查

firewalld

登录后复制

服务的运行状态。一个不运行的防火墙，规则再好也形同虚设。

systemctl status firewalld

登录后复制

如果看到

Active: active (running)

登录后复制

，那就说明防火墙服务正常工作。

接下来，要查看当前生效的防火墙规则，我通常会从整体入手，再细化到特定区域。

firewall-cmd --list-all-zones

登录后复制

是一个非常强大的命令，它会列出

firewalld

登录后复制

中所有预定义和用户自定义区域的详细配置，包括每个区域开放的服务、端口、协议、富规则（rich rules）以及接口绑定情况。这个输出量可能会比较大，但它能让你对整个防火墙策略有一个全面的认识。

如果只想查看当前活动的区域（即有网络接口绑定的区域）的规则，可以使用：

firewall-cmd --get-active-zones # 查看哪些区域是活动的
firewall-cmd --zone=public --list-all # 假设public是活动区域，查看其所有规则

登录后复制

这里有个小细节，

firewall-cmd

登录后复制

的规则分为运行时（runtime）和永久（permanent）两种。运行时规则是当前立即生效的，但不会在

firewalld

登录后复制

服务重启或系统重启后保留。永久规则则相反，它们存储在配置文件中，会在重启后加载，但需要

firewall-cmd --reload

登录后复制

才能使之立即生效。所以，在排查问题时，我会先

--list-all

登录后复制

看当前生效的，再结合

--permanent --list-all

登录后复制

看持久化的，对比两者差异能很快定位问题。

管理方面，除了前面提到的

--add-port

登录后复制

、

--add-service

登录后复制

、

--add-rich-rule

登录后复制

等添加和删除规则的命令，你还可以：

更改接口所属区域：如果你的服务器有多个网卡，或者你希望某个网卡应用不同的安全策略，可以将它分配到不同的区域。例如，将
```
eth0
```
登录后复制
接口从默认区域移到
```
home
```
登录后复制
区域：
```
firewall-cmd --zone=home --change-interface=eth0 --permanent
firewall-cmd --reload
```
登录后复制
设置默认区域：当你没有明确指定区域时，系统会使用默认区域。
```
firewall-cmd --set-default-zone=internal
```
登录后复制
这在我配置内网服务器时比较常用，因为内网环境通常比公网更受信任。

火山方舟
火山引擎一站式大模型服务平台，已接入满血版DeepSeek

99

查看详情

通过这些命令的组合使用，你就可以对CentOS防火墙的当前状态了如指掌，并进行精细化管理。我个人觉得，多用

--list-all

登录后复制

来验证自己的配置，是个很好的习惯。

理解firewalld的区域（Zones）概念及其在安全策略中的作用

说实话，

firewalld

登录后复制

的区域（Zones）概念，在我看来，是其设计中最具智慧和灵活性的地方。它不像传统

iptables

登录后复制

那样直接面对复杂的链和规则，而是提供了一种更高级、更语义化的方式来管理网络连接的信任级别。如果你能透彻理解Zones，那么

firewalld

登录后复制

的配置将变得异常清晰和高效。

简单来说，一个“区域”就是一组预设的、针对特定网络环境的安全规则集合。

firewalld

登录后复制

预定义了多个区域，每个区域都代表了一种不同的信任级别或使用场景。例如：

drop: 最不信任的区域。任何传入的网络包都会被直接丢弃，不返回任何错误信息。
block: 比
```
drop
```
登录后复制
稍好一点，会拒绝所有传入的网络包，并返回一个错误信息（例如ICMP host-prohibited）。
public: 公共区域。适用于你不信任网络上其他计算机的场景，例如咖啡馆的Wi-Fi或互联网。默认只允许SSH和DHCP客户端。
external: 外部区域。主要用于路由器的外部网络接口，启用了网络地址转换（NAT）伪装。
internal: 内部区域。适用于内部网络，信任网络上其他计算机，例如公司内部网络。
home: 家庭区域。与
```
internal
```
登录后复制
类似，但通常信任度更高，适用于家庭网络。
work: 工作区域。与
```
home
```
登录后复制
类似，适用于工作环境。
trusted: 最信任的区域。允许所有网络连接。我个人很少直接把接口放到这个区域，除非是测试环境。

这些区域的引入，使得我们可以根据网络接口所处的实际环境，快速应用一套合适的安全策略。比如，一台服务器，面向公网的网卡（如

eth0

登录后复制

）可以分配到

public

登录后复制

区域，只开放HTTP/HTTPS和SSH。而面向内网的网卡（如

eth1

登录后复制

）则可以分配到

internal

登录后复制

区域，开放更多的内部服务端口，因为内网环境通常被认为是相对安全的。

Zones在安全策略中的作用：

简化管理复杂性：想象一下，如果没有Zones，你可能需要为每个网络接口手动添加大量的
```
iptables
```
登录后复制
规则。有了Zones，你只需要将接口分配到合适的区域，该区域预设的规则就会自动生效，大大减少了配置的工作量和出错的可能性。
提高策略的可读性：当看到一个接口属于
```
public
```
登录后复制
区域时，你立即就能明白它面临着高风险，应该采取严格的限制。这比直接查看一堆IP和端口规则要直观得多。
动态适应网络变化：
```
firewalld
```
登录后复制
是动态的，这意味着你可以在不中断现有连接的情况下修改防火墙规则。当你的笔记本电脑从家庭网络切换到咖啡馆Wi-Fi时，如果配置得当，可以自动切换到不同的区域，应用不同的安全策略。
增强安全性：通过将不同信任级别的网络流量隔离到不同的区域，可以有效地实现“最小权限原则”。只有那些被明确允许的流量才能通过，从而降低了潜在的安全风险。

我个人的经验是，在规划服务器网络架构时，首先就应该考虑每个网络接口会面临什么样的网络环境，然后选择最合适的

firewalld

登录后复制

区域。而不是先考虑要开放哪些端口，那样容易陷入细节而忽略整体安全策略。比如，我有一台Web服务器，它既有公网IP也有内网IP，我就会把公网接口放到

public

登录后复制

区，内网接口放到

internal

登录后复制

区，这样既能对外提供服务，又能保证内部通信的相对安全。这种分区的思想，是

firewalld

登录后复制

带给我们的最大价值。

除了开放端口，firewalld还能实现哪些高级的防火墙规则配置？

很多人提到防火墙，第一反应就是“开放端口”。但

firewalld

登录后复制

的能力远不止于此。它提供了一系列高级功能，能够应对更复杂、更精细的网络安全需求。在我看来，这些高级配置才是真正体现

firewalld

登录后复制

强大之处的地方。

富规则（Rich Rules）：精细到极致的控制 如果说开放端口是粗放式管理，那么富规则就是手术刀级别的精细操作。它允许你基于更复杂的条件（如源/目的IP地址、协议、端口范围、ICMP类型等）来定义允许、拒绝或丢弃流量的规则。
- 限制特定IP访问特定服务：比如，只允许你的办公室IP访问服务器的SSH端口。
```
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="203.0.113.45" port port="22" protocol="tcp" accept' --permanent
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" port port="22" protocol="tcp" reject' --permanent # 拒绝其他所有IP访问22端口
firewall-cmd --reload
```
  登录后复制
  这里我用了两条规则，第一条允许特定IP，第二条是拒绝所有其他IP。顺序很重要，
```
firewalld
```
  登录后复制
  会按顺序匹配。
- 基于时间段的访问控制：虽然不常用，但富规则甚至可以定义在特定时间段内生效的规则。
- 日志记录：你可以让
```
firewalld
```
  登录后复制
  记录匹配到某个富规则的流量，这对于安全审计和问题排查非常有帮助。
```
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" log prefix="BLOCKED-INTERNAL " level="info" reject' --permanent
firewall-cmd --reload
```
  登录后复制
端口转发（Port Forwarding/NAT） 这是我个人在部署内部服务时经常会用到的功能。如果你有一个内部服务（比如运行在8080端口的Web应用）不想直接暴露在公网，但又希望通过公网的80端口访问，就可以使用端口转发。
```
firewall-cmd --zone=public --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.1.10 --permanent
firewall-cmd --reload
```
登录后复制
这条命令的意思是，所有进入
```
public
```
登录后复制
区域80端口的TCP流量，都转发到内网IP
```
192.168.1.10
```
登录后复制
的8080端口。注意，如果目标地址是本机，
```
toaddr
```
登录后复制
可以省略。
网络地址伪装（Masquerading） 当你的CentOS服务器作为网关，让内部网络中的多台设备共享一个公网IP访问互联网时，就需要开启网络地址伪装。它会将内部网络的私有IP地址伪装成服务器的公网IP地址。
```
firewall-cmd --zone=external --add-masquerade --permanent
firewall-cmd --reload
```
登录后复制
通常，外部接口会放在
```
external
```
登录后复制
区域，并开启伪装。
直接规则（Direct Rules）：当firewalld抽象不够用时
```
firewalld
```
登录后复制
在底层仍然是操作
```
iptables
```
登录后复制
或
```
nftables
```
登录后复制
。如果某些非常特殊的场景，
```
firewalld
```
登录后复制
的抽象层无法满足你的需求（这种情况比较少见），你可以使用
```
--direct
```
登录后复制
选项直接插入
```
iptables
```
登录后复制
命令。但这需要你对
```
iptables
```
登录后复制
有深入的了解，并且我个人建议，除非万不得已，尽量使用
```
firewalld
```
登录后复制
的抽象层，因为它更安全、更易管理。
```
firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT --permanent
firewall-cmd --reload
```
登录后复制
这条命令直接在
```
iptables
```
登录后复制
的
```
INPUT
```
登录后复制
链中添加了一条规则。
ICMP过滤 你可以控制允许或拒绝哪些ICMP消息类型。例如，为了避免被扫描，可以禁止外部Ping请求：
```
firewall-cmd --zone=public --remove-service=icmp --permanent # 或者移除icmp协议
firewall-cmd --add-icmp-block=echo-request --permanent
firewall-cmd --reload
```
登录后复制
或者更精细地使用富规则来拒绝特定源的ICMP请求。