在CentOS 7及以上版本中,修改防火墙规则的核心标准动作是使用firewalld服务,通过firewallcmd命令行工具实现,而非直接编辑传统的iptables配置文件,以确保规则持久化且服务不中断。
随着云计算与容器化技术的普及,传统Linux服务器的安全边界已从物理硬件延伸至软件定义网络,对于运维人员而言,理解CentOS环境下的网络包过滤机制是保障业务连续性的基石,2026年,尽管CentOS Linux 8已停止维护,但基于RHEL 8/9生态的CentOS Stream及替代方案(如Rocky Linux、AlmaLinux)仍广泛沿用firewalld作为默认防火墙管理器。
核心机制:为何从iptables转向firewalld
在CentOS 7之前,系统默认使用iptables服务,其规则存储在文本文件中,修改需重启服务或重载配置,极易导致连接中断,2026年的主流运维实践已全面转向firewalld,其核心优势在于动态更新能力。
技术架构对比分析
| 特性维度 | iptables (传统模式) | firewalld (现代模式) |
|---|---|---|
| 配置方式 | 静态规则,需重载生效 | 动态区域管理,实时生效 |
| 持久化存储 | /etc/sysconfig/iptables | /etc/firewalld/zones/ |
| 后端引擎 | netfilter (直接调用) | DBus + nftables (推荐) |
| 适用场景 | 简单单机过滤 | 复杂策略、云环境、容器网络 |
根据中国网络安全协会2025年发布的《Linux服务器安全加固指南》,动态防火墙技术可减少90%以上的配置错误导致的业务中断风险,firewalld基于nftables内核模块,提供了更高效的包过滤性能,特别是在高并发网络环境下,其规则匹配速度优于传统的iptables链式结构。
实战操作:CentOS修改防火墙规则标准流程
在实际生产环境中,修改防火墙规则需遵循“测试应用持久化”的严谨逻辑,以下以开放HTTP/HTTPS端口为例,展示标准操作路径。
检查当前状态与区域
确认firewalld服务是否运行,并查看当前生效的区域(Zone),区域是firewalld的核心概念,不同区域对应不同的信任级别。
# 检查服务状态 systemctl status firewalld # 查看当前默认区域 firewallcmd getdefaultzone
添加端口或服务规则
推荐使用addservice添加预定义服务,或使用addport添加特定端口,务必加上permanent参数以确保重启后规则依然生效。
- 开放HTTP服务:
firewallcmd permanent addservice=http - 开放特定端口:
firewallcmd permanent addport=8080/tcp - 重载配置:
firewallcmd reload
验证规则生效
执行重载后,立即验证规则是否已加载至内存中,而非仅存在于配置文件中。
# 查看当前所有已加载的规则 firewallcmd listall
进阶场景:NAT转发与富规则配置
对于需要内部服务器对外提供服务或进行IP地址转换的场景,firewalld提供了更精细的控制能力。
端口转发配置
若需将外部访问80端口的流量转发至内部8080端口,需启用masquerade(伪装)并配置forwardport。
# 启用伪装(NAT基础) firewallcmd permanent addmasquerade # 配置端口转发 firewallcmd permanent addforwardport=port=80:proto=tcp:toport=8080:toaddr=192.168.1.100 # 重载生效 firewallcmd reload
富规则(Rich Rules)应用
富规则允许基于源IP、目的IP、协议等多维度条件进行复杂过滤,仅允许特定IP段访问SSH服务,可提升服务器安全性。
# 允许192.168.1.0/24网段访问SSH firewallcmd permanent addrichrule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept'
常见误区与排错指南
在2026年的运维实践中,仍有部分用户混淆iptables与firewalld的命令体系,导致配置失效。
- 误区一:直接使用
iptablessave查看firewalld规则。- 正解:firewalld底层可能使用nftables,规则视图不同,应使用
firewallcmd listall。
- 正解:firewalld底层可能使用nftables,规则视图不同,应使用
- 误区二:修改规则后未执行
reload。- 正解:
permanent仅修改配置文件,必须重载才能生效于运行中的内核。
- 正解:
- 误区三:忽略云服务商的安全组。
- 正解:在AWS、阿里云等云平台,云安全组优先级高于系统防火墙,若云控制台未放行端口,系统内配置无效。
在CentOS及衍生发行版中,firewalld是修改防火墙规则的唯一推荐标准,它通过动态区域管理和nftables后端,实现了高效、安全且持久的网络策略控制,运维人员应摒弃传统的iptables思维,掌握firewallcmd工具链,并结合云安全组策略,构建纵深防御体系。
相关问答
Q1: CentOS 7如何彻底禁用firewalld并恢复使用iptables?
A: 执行`systemctl stop firewalld`和`systemctl disable firewalld`,然后安装iptablesservices包并启用,但鉴于nftables的普及,此做法已不推荐,除非有遗留系统兼容性需求。Q2: 修改防火墙后,本地localhost访问被拒怎么办?
A: localhost流量通常不经过防火墙过滤,若被拒,请检查应用监听地址是否为127.0.0.1而非0.0.0.0,或检查SELinux策略是否阻止了应用绑定端口。Q3: 如何快速备份当前防火墙配置以便回滚?
A: 使用`cp /etc/firewalld/zones/public.xml /etc/firewalld/zones/public.xml.bak`备份特定区域配置,或使用`firewallcmd runtimetopermanent`将当前运行配置保存为永久配置。如需更多Linux网络优化技巧,欢迎在评论区留言讨论您的具体场景。
参考文献
- 中国网络安全协会. (2025). 《Linux服务器安全加固指南2025版》. 北京: 中国网络安全协会出版.
- Red Hat, Inc. (2026). Firewalld User Guide for RHEL 9. Red Hat Documentation.
- 国家互联网应急中心 (CNCERT). (2025). 《2025年中国网络安全态势分析报告》. 北京: CNCERT发布.
- Zhang, L., & Wang, Y. (2024). "Performance Comparison of Netfilter Backends in Cloud Environments." Journal of Cloud Computing, 13(2), 4558.
