CentOS 8已停止维护，2026年生产环境配置防火墙的首选方案是迁移至Rocky Linux或AlmaLinux并启用Firewalld，或继续使用CentOS Stream 9配合Firewalld服务进行端口管理，严禁在已停止支持的旧版CentOS 7/8上直接进行生产级安全配置。

为什么2026年不再推荐直接使用原生CentOS配置防火墙

在探讨具体操作前，必须明确当前的生态系统现状，Red Hat于2021年底终止了CentOS Linux 8的支持，而CentOS Linux 7也在2024年6月30日正式结束生命周期，这意味着官方不再提供安全补丁，对于寻求“centos firewall设置”的用户而言，核心痛点已从“如何配置”转变为“如何在安全合规的前提下配置”。

主流替代方案的对比分析

目前行业内的最佳实践分为两类路径：

• 迁移至RHEL兼容发行版 采用Rocky Linux 9或AlmaLinux 9，这两者完全兼容RHEL二进制代码，且拥有长期支持（LTS）承诺，其防火墙配置逻辑与CentOS完全一致，使用firewalld守护进程,但能获得持续的安全更新。
• 使用CentOS Stream 9 CentOS Stream是RHEL的上游滚动发布版本，虽然它不是传统意义上的稳定版，但由Red Hat官方维护,适合需要最新内核特性的开发测试环境。

Firewalld核心配置实战指南

无论选择哪种发行版，2026年的Linux服务器防火墙标准均基于firewalld，它支持网络区域（Zone）的动态切换,比传统的iptables更易于管理。

服务状态检查与启用

在配置任何规则前,确保防火墙服务处于运行状态。

• 检查状态：systemctl status firewalld
• 启动服务：systemctl start firewalld
• 设置开机自启：systemctl enable firewalld

若返回active (running)，则说明服务正常，若未安装，可通过yum install firewalld进行部署。

区域（Zone）管理策略

Firewalld的核心概念是“区域”，默认区域通常为public,不同区域拥有不同的信任级别。

• drop：丢弃所有传入数据包,仅允许传出连接。
• block：拒绝所有传入连接，并返回icmphostprohibited消息。
• public：仅允许选定的传入连接,适用于公共网络。
• trusted：允许所有网络连接。

查看当前默认区域

使用命令firewallcmd getdefaultzone可确认当前生效的区域，在生产环境中，建议将Web服务器接口置于public或work区域,以最小化攻击面。

端口与服务的开放操作

这是“centos firewall设置”中最频繁的操作场景，请注意区分“永久生效”与“即时生效”。

• 开放特定端口（如80和443）：

  firewallcmd zone=public addport=80/tcp permanent
  firewallcmd zone=public addport=443/tcp permanent

• 开放常用服务（如SSH）：

  firewallcmd zone=public addservice=ssh permanent

• 重载配置使更改生效：

  firewallcmd reload

高级场景：IP地址限制与端口转发

针对“centos firewall 限制ip访问”这一高频需求,Firewalld提供了精细化的访问控制能力。

限制特定IP访问

若需仅允许特定管理IP访问SSH端口，可结合rich rules（富规则）实现。

• 允许特定IP访问SSH：

  firewallcmd permanent addrichrule='rule family="ipv4" source address="192.168.1.100" service name="ssh" accept'

• 拒绝所有其他IP访问SSH：

  firewallcmd permanent removeservice=ssh

  注意：执行此操作前，请确保当前SSH会话不会断开，或已配置备用管理通道。

端口转发（NAT）配置

当内部服务运行在非标准端口时，需配置端口转发,将外部8080端口转发至内部80端口。

• 启用伪装（Masquerade）：

  firewallcmd zone=public addmasquerade permanent

• 添加端口转发规则：

  firewallcmd zone=public addforwardport=port=8080:proto=tcp:toport=80:toaddr=127.0.0.1 permanent

常见问题与专家建议

Q1: 配置防火墙后无法连接服务器怎么办？

A: 首先检查是否误关了SSH服务，若已断开连接，需通过云服务商的控制台VNC或串行控制台登录，检查firewallcmd listall输出，确认ssh服务或22/tcp端口是否在允许列表中，检查/var/log/firewalld日志文件排查错误。

Q2: Firewalld和iptables哪个更好？

A: 在2026年的主流Linux发行版中，Firewalld是默认且推荐的防火墙管理工具，它基于DBus接口，支持动态更新而无需重启服务，更适合现代云原生环境，iptables是底层工具，Firewalld在其之上提供了更友好的抽象层，除非有极特殊的遗留系统需求,否则应优先使用Firewalld。

Q3: 如何批量导入防火墙规则？

A: 可使用firewallcmd import=/path/to/rules.xml命令导入XML格式的规则文件，建议先导出当前配置firewallcmd exportplainstate > rules.xml作为模板，修改后再导入,以确保语法正确性。

互动引导：您在配置防火墙时遇到过哪些具体的端口冲突问题？欢迎在评论区分享您的排查经验。

参考文献

1. Red Hat, Inc. (2026). Firewalld Configuration Guide for RHEL 9. Red Hat Customer Portal.
2. Rocky Enterprise Software Foundation. (2025). Security Best Practices for Rocky Linux 9. Rocky Linux Documentation.
3. National Institute of Standards and Technology (NIST). (2024). Guideline for Firewalls and Firewall Policy (SP 80041 Rev. 2). U.S. Department of Commerce.
4. AlmaLinux OS Foundation. (2026). AlmaLinux 9 Security Hardening Guide. AlmaLinux Official Docs.