使用Linux的iptables与firewalld配置基于区域的高级防火墙策略-电脑知识-PHP中文网

使用Linux的iptables与firewalld配置基于区域的高级防火墙策略

betcha

发布： 2025-11-12 21:33:35

原创

375人浏览过

firewalld原生支持区域策略，iptables需通过自定义链模拟；firewalld适用于动态环境，配置直观，而iptables提供精细控制，适合静态场景，二者均能实现基于区域的防火墙管理。

使用linux的iptables与firewalld配置基于区域的高级防火墙策略

Linux系统中，iptables 和 firewalld 是两种常用的防火墙管理工具。虽然二者底层都依赖于Netfilter框架，但它们在配置方式和策略管理上存在显著差异。实现基于区域（Zone-based）的高级防火墙策略时，firewalld原生支持区域概念，而iptables需通过手动规则组织模拟区域行为。

理解区域（Zone）的概念

区域是一种将网络接口与预定义安全策略关联的机制。每个区域代表不同的信任级别，例如：

public：公共网络，仅允许明确开放的服务
internal：内部网络，信任度较高，可开放更多服务
trusted：完全信任的区域，允许所有流量
dmz：隔离区，对外提供有限服务

firewalld天然支持这些区域，而iptables需通过链（chain）和规则分组来模拟类似逻辑。

使用firewalld配置基于区域的策略

firewalld通过动态管理区域简化了防火墙配置，支持运行时与永久配置分离。

1. 查看当前区域配置

列出激活的区域和绑定的接口：

firewall-cmd --get-active-zones

登录后复制

2. 将网络接口分配到指定区域

例如，将ens3绑定到internal区域：

firewall-cmd --zone=internal --change-interface=ens3 --permanent

登录后复制

重新加载使配置生效：

firewall-cmd --reload

登录后复制

3. 为区域添加服务或端口

允许internal区域访问SSH和HTTP：

firewall-cmd --zone=internal --add-service=http --permanent
firewall-cmd --zone=internal --add-service=https --permanent

登录后复制

4. 自定义区域策略

创建自定义区域dmz并设置规则：

firewall-cmd --new-zone=dmz --permanent
firewall-cmd --reload
firewall-cmd --zone=dmz --add-port=8080/tcp --permanent
firewall-cmd --zone=dmz --add-source=192.168.10.0/24 --permanent

登录后复制

上述命令创建一个只允许特定子网访问8080端口的DMZ区域。

使用iptables模拟基于区域的策略

iptables本身无区域概念，但可通过自定义链和规则结构实现类似功能。

1. 创建区域对应的自定义链

定义不同区域链：

奇域

奇域是一个专注于中式美学的国风AI绘画创作平台

查看详情

iptables -N ZONE_public
iptables -N ZONE_internal
iptables -N ZONE_dmz

登录后复制

2. 基于输入接口跳转到对应区域链

根据接口调用相应区域规则：

iptables -A INPUT -i ens3 -j ZONE_internal
iptables -A INPUT -i ens4 -j ZONE_public
iptables -A INPUT -i ens5 -j ZONE_dmz

登录后复制

3. 在区域链中定义策略

为internal区域放行SSH和HTTP：

iptables -A ZONE_internal -p tcp --dport 22 -j ACCEPT
iptables -A ZONE_internal -p tcp --dport 80 -j ACCEPT
iptables -A ZONE_internal -j DROP

登录后复制

为dmz区域限制来源并开放特定端口：

iptables -A ZONE_dmz -s 192.168.10.0/24 -p tcp --dport 8080 -j ACCEPT
iptables -A ZONE_dmz -j DROP

登录后复制

4. 持久化保存规则

保存iptables规则以确保重启后有效：

iptables-save > /etc/iptables/rules.v4

登录后复制

具体路径依发行版而异，如Ubuntu常用netfilter-persistent保存。

对比与最佳实践

firewalld更适合动态环境，尤其在桌面或服务器频繁切换网络时。其区域模型清晰，命令直观，适合大多数现代Linux发行版（如CentOS、Fedora）。

iptables更适用于静态、高性能或嵌入式场景，提供完全控制能力，但需手动维护规则顺序与持久化。

若需高级功能如时间控制、富规则（rich rules），firewalld支持如下语法：

firewall-cmd --zone=public --add-rich-rule='rule service name=ssh limit value=5/m accept'

登录后复制

该规则限制每分钟最多5次SSH连接尝试。

基本上就这些。选择哪种工具取决于环境需求和运维习惯。firewalld降低复杂性，iptables提供精细控制。无论使用哪种，清晰的区域划分有助于提升网络安全性和可维护性。

以上就是使用Linux的iptables与firewalld配置基于区域的高级防火墙策略的详细内容，更多请关注php中文网其它相关文章！

大家都在看：

Linux操作系统相比Windows在服务器领域占据主导地位的核心原因是什么？ Linux的命令行终端相比图形界面在处理批量任务和系统管理时有何强大之处？ Linux的软件包管理系统如APT和YUM是如何解决依赖关系并简化软件安装的？为什么Linux发行版有如此多的版本（如Ubuntu、CentOS、Arch）？为什么Linux系统对老旧硬件兼容性更好？