Rocky Linux firewalld 完全指南：从零基础到精通(增强版)：企业级生产环境适配

原创

已于 2025-08-31 16:22:20 修改 · 875 阅读

12 ·

CC 4.0 BY-SA版权

文章标签：

#linux #运维 #网络安全

于 2025-08-31 14:34:08 首次发布

Rocky Linux firewalld 完全指南：从零基础到精通(增强版)：企业级生产环境适配

前言：防火墙的演进与 firewalld 的崛起

在计算机网络发展的历程中，防火墙作为网络安全的第一道防线，其技术也在不断演进。从最早的包过滤防火墙到状态检测防火墙，再到如今的应用层防火墙，每一次技术迭代都带来了更强的安全性和更灵活的管理方式。

firewalld 是 Red Hat 公司在 RHEL 7 中引入的新一代动态防火墙管理工具，旨在解决传统 iptables 的局限性。它现已成为包括 Rocky Linux 在内的众多 Linux 发行版的默认防火墙解决方案。

与传统的 iptables 相比，firewalld 带来了革命性的变化：

动态性：无需重启服务即可应用规则变更
层次性：通过区域 (Zone) 概念简化复杂网络环境管理
易用性：提供直观的命令行工具和图形界面
灵活性：支持多种配置方式和高级网络功能

本指南将带你全面掌握 firewalld，从最基础的概念到最复杂的企业级配置，助你构建安全可靠的网络防护体系。

一、核心概念与架构设计

1.1 firewalld 的来龙去脉

firewalld 项目始于 2010 年，由 Red Hat 主导开发，旨在解决 iptables 在现代网络环境中的不足：

传统 iptables 需要重启服务才能应用规则变更，导致连接中断
规则管理缺乏层次结构，复杂网络环境下难以维护
对动态网络环境（如笔记本电脑切换网络）支持不足
配置与运行状态分离，容易导致不一致

firewalld 基于 Netfilter 框架构建，与 iptables 共享相同的内核模块，但提供了全新的用户空间管理工具和配置机制。

1.2 动态防火墙的工作原理

firewalld 的动态特性源于其独特的设计：

运行时配置与永久配置分离
- 运行时配置：即时生效，重启后丢失
- 永久配置：需要重载才能生效，重启后保留
D-Bus 通信机制
- 所有配置变更通过 D-Bus 消息传递
- 后台服务 firewalld 守护进程负责处理这些消息
- 无需重启服务即可应用变更，避免连接中断
事务处理
- 复杂规则变更作为一个原子事务处理
- 确保配置的一致性，避免部分应用导致的安全漏洞

1.3 三层抽象模型深度解析

firewalld 采用三层抽象模型，大大简化了防火墙管理：

层级	功能描述	管理对象	核心命令示例
全局层	管理默认设置和整体配置	默认区域、日志级别、IP 集	`--set-default-zone`、`--get-log-denied`
区域层	管理网络区域和关联规则	网络接口、服务、端口	`--zone=public --add-interface=eth0`
规则层	管理具体的访问控制规则	富规则、端口转发、直接规则	`--add-rich-rule`、`--add-forward-port`

1.3.1 全局层（Global）

全局层负责防火墙的整体设置，包括：

默认区域（Default Zone）：未明确指定区域的接口将使用此区域
日志设置：定义日志记录的级别和类型
IP 集（IP Sets）：管理 IP 地址和网段的集合
服务定义：全局可用的服务配置

1.3.2 区域层（Zones）

区域是 firewalld 最核心的概念，代表不同的网络安全级别。每个区域包含一组预定义的规则，适用于特定场景：

预定义区域	安全级别	适用场景	默认规则
drop	最高	公共非信任网络	拒绝所有传入连接，允许所有传出连接
block	高	不信任网络	拒绝所有传入连接（带 ICMP 回复），允许所有传出连接
public	中高	公共网络（如咖啡厅 WiFi）	仅允许明确允许的传入连接
external	中	作为网关的外部网络	允许部分服务，启用伪装（NAT）
dmz	中	非军事区（DMZ）	仅允许访问 DMZ 内的特定服务
work	中低	工作网络	允许常见办公服务（ssh、ipp 等）
home	中低	家庭网络	允许更多服务（ssh、ipp、samba 等）
internal	低	内部网络	与 home 类似，更宽松
trusted	最低	完全信任网络	允许所有连接

每个网络接口可以绑定到一个区域，一个区域可以包含多个接口。

1.3.3 规则层（Rules）

规则层包含具体的访问控制规则，主要有以下几种类型：

服务规则：允许特定服务的流量
端口规则：允许特定端口 / 协议的流量
富规则：复杂的条件规则，支持源地址、目标地址、日志、速率限制等
端口转发：将特定端口的流量转发到其他地址 / 端口
直接规则：直接插入 iptables 规则，用于高级场景

二、安装与基础管理

2.1 安装 firewalld

在 Rocky Linux 中，firewalld 通常默认安装。如果未安装，可以通过以下命令安装：

# 安装firewalld软件包
sudo dnf install firewalld -y

# 安装图形界面工具（可选）
sudo dnf install firewall-config -y

2.2 服务管理命令详解

# 启动firewalld服务
sudo systemctl start firewalld
# 解释：
# systemctl：系统服务管理工具
# start：启动服务的指令
# firewalld：要启动的服务名称

# 停止firewalld服务
sudo systemctl stop firewalld

# 重启firewalld服务
sudo systemctl restart firewalld

# 重新加载配置（不中断连接）
sudo firewall-cmd --reload
# 解释：
# firewall-cmd：firewalld的命令行工具
# --reload：重新加载配置文件，应用永久配置
# 此命令不会中断现有连接，是应用配置变更的推荐方式

# 设置开机自启动
sudo systemctl enable firewalld
# 解释：
# enable：设置服务在系统启动时自动启动

# 禁用开机自启动
sudo systemctl disable firewalld

# 查看服务状态
sudo systemctl status firewalld
# 输出解释：
# Active: active (running) 表示服务正在运行
# 显示服务启动时间、进程ID等信息

2.3 查看防火墙基本状态

# 检查firewalld是否正在运行
sudo firewall-cmd --state
# 输出：running（运行中）或not running（未运行）

# 查看版本信息
sudo firewall-cmd --version

# 查看所有支持的功能
sudo firewall-cmd --help

三、配置文件系统详解

3.1 配置文件结构与位置

firewalld 的配置文件分为系统配置和用户配置两个层级：

配置类型	路径	说明
系统默认配置	/usr/lib/firewalld/	发行版提供的默认配置，不建议修改
用户自定义配置	/etc/firewalld/	用户创建的自定义配置，优先级更高

主要配置目录：

/usr/lib/firewalld/zones/ 和 /etc/firewalld/zones/：区域配置文件
/usr/lib/firewalld/services/ 和 /etc/firewalld/services/：服务定义文件
/usr/lib/firewalld/ipsets/ 和 /etc/firewalld/ipsets/：IP 集配置文件
/etc/firewalld/firewalld.conf：firewalld 主配置文件

3.2 主配置文件详解（firewalld.conf）

# firewalld主配置文件
# 位于/etc/firewalld/firewalld.conf

# 默认区域设置
DefaultZone=public
# 解释：未指定区域的接口将使用public区域

# 最小化标记（yes/no）
MinimalMark=100

# 网络接口更新时是否自动重新加载
CleanupOnExit=yes
# 解释：服务停止时是否清理规则

# 日志拒绝消息的级别（off/unicast/broadcast/multicast/all）
LogDenied=off
# 解释：设置拒绝连接的日志记录级别，off表示不记录

# 自动添加的 helper 模块（yes/no）
AutomaticHelpers=yes

# IPv4 转发（yes/no）
IPv4Forwarding=no

# IPv6 转发（yes/no）
IPv6Forwarding=no

# 单个区域中可以绑定的最大接口数
MaxZoneInterfaces=

# 防火墙使用的模块
FirewallBackend=nf_tables
# 解释：指定防火墙后端，nf_tables是新一代后端，替代传统的iptables

修改主配置文件后，需要重启 firewalld 服务才能生效：

sudo systemctl restart firewalld

3.3 XML 配置文件语法详解

firewalld 使用 XML 格式的文件定义区域、服务等配置。XML 是一种标记语言，具有自我描述性，适合存储结构化数据。

3.3.1 XML 基本结构

<?xml version="1.0" encoding="utf-8"?>
<!-- 根元素，根据配置类型可以是<zone>、<service>等 -->
<root-element>
  <!-- 子元素，包含具体配置 -->
  <child-element attribute="value">内容</child-element>
</root-element>

<?xml version="1.0" encoding="utf-8"?>：XML 声明，指定版本和编码
：注释内容，不会被解析
元素由开始标签<element>和结束标签</element>组成
元素可以包含属性attribute="value"
元素可以嵌套

3.3.2 服务定义文件详解

服务定义文件描述了一个网络服务需要的端口和协议等信息，位于/usr/lib/firewalld/services/（系统默认）和/etc/firewalld/services/（用户自定义）目录下，扩展名为.xml。

示例：自定义 Web 服务（/etc/firewalld/services/myweb.xml）

<?xml version="1.0" encoding="utf-8"?>
<!-- 服务定义的根元素 -->
<service>
  <!-- 服务的短名称，用于显示 -->
  <short>My Web Service</short>
  
  <!-- 服务的详细描述 -->
  <description>Custom web service running on ports 8080 (HTTP) and 8443 (HTTPS)</description>
  
  <!-- 定义服务使用的端口和协议 -->
  <port protocol="tcp" port="8080"/>
  <!-- 解释：
       protocol：指定协议，可以是tcp或udp
       port：指定端口号，可以是单个端口（如8080）或端口范围（如8000-9000）
  -->
  
  <port protocol="tcp" port="8443"/>
  
  <!-- 指定需要加载的内核模块 -->
  <module name="nf_conntrack_http"/>
  <!-- 解释：
       某些服务需要特定的内核模块来跟踪连接状态
       HTTP服务通常需要nf_conntrack_http模块
  -->
</service>

创建自定义服务文件后，需要重新加载防火墙配置：

sudo firewall-cmd --reload

3.3.3 区域配置文件详解

区域配置文件定义了一个区域包含的接口、允许的服务、端口和规则等，位于/usr/lib/firewalld/zones/和/etc/firewalld/zones/目录下。

示例：自定义 DMZ 区域（/etc/firewalld/zones/mydmz.xml）

<?xml version="1.0" encoding="utf-8"?>
<!-- 区域定义的根元素 -->
<zone target="DROP">
  <!-- 解释：
       target属性：指定默认策略，可选值为ACCEPT、DROP或REJECT
       ACCEPT：默认允许所有未明确拒绝的流量
       DROP：默认丢弃所有未明确允许的流量，不发送任何响应
       REJECT：默认拒绝所有未明确允许的流量，发送拒绝响应
  -->
  
  <!-- 区域的短名称 -->
  <short>My DMZ</short>
  
  <!-- 区域的详细描述 -->
  <description>Custom DMZ zone for public-facing services</description>
  
  <!-- 绑定到该区域的网络接口 -->
  <interface name="eth1"/>
  <!-- 解释：name属性指定网络接口的名称 -->
  
  <!-- 允许的服务 -->
  <service name="ssh"/>
  <service name="http"/>
  <service name="https"/>
  <!-- 解释：name属性指定服务名称，对应服务定义文件 -->
  
  <!-- 允许的端口 -->
  <port protocol="tcp" port="8080"/>
  
  <!-- 富规则定义 -->
  <rich-rule>
    <rule family="ipv4">
      <!-- 源地址限制 -->
      <source address="192.168.1.0/24"/>
      
      <!-- 允许访问的端口 -->
      <port protocol="tcp" port