Linux防火墙之FirewallD简介

FirewallD提供了支持网络/防火墙区域定义网络链接以及接口安全等级的动态防火墙管理工具。它支持IPv4，IPv6防火墙设置以及以太网桥接，并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。system-config-firewall/lokkit防火墙模型是静态的，每次修改都要求防火墙完全重启（注：system-config-firewall就是iptables的图形界面管理工具，而Firewalld是由Red Hat的Thomas Woerner为Fedora开发的，在Fedora15中第一次可使用，目的是取代目前system-config-firewall的静态防火墙配置）。这个过程包括内核Netfilter防火墙模块的卸载和重新配置所需模块的装载等，模块的卸载会破坏状态防火墙的连接。firewall守护进程daemon动态管理防火墙，不需要重启整个防火墙便可应用更改，因而也就没有必要重载所有的内核防火墙模块了。不过，要使用firewall守护进程daemon就要求防火墙的所有变更都要通过该守护进程来实现，以确保守护进程中的状态和内核里的防火墙是一致的。另外，firewall守护进程daemon无法解析由iptables和ebtalbes命令行工具添加的防火墙规则。守护进程通过D-Bus提供当前激活的防火墙设置信息，也通过D-Bus接受使用PolicyKit认证方式做的更改。

1

应用程序，守护进程和用户可以通过D-Bus请求启用防火墙特性，特性可以是预定义的防火墙功能，如：服务，端口和协议的组合，端口/数据报转发，伪装，ICMP拦截或自定义规则等。该功能可以启用指定的一段时间，也可以再次停用。

2

system-config-firewall和lokkit静态防火墙模型实际上仍然可用并将继续提供，但却不能与守护进程同时使用。用户或者管理员可以决定使用哪一种方案。在软件安装，初次启动或者首次联网时，将会出现一个选择器，通过它你可以选择要使用的防火墙方案。其他的解决方案将保持完整，可以通过更换模式启用。firewall daemon独立于system-config-firewall，但二者不能同时使用。Linux防火墙在内核中由iptables,ip6tables,arptables和ebtalbes组成。FirewallD集Netfilter的过滤功能于一身，FirewallD在RHEL 7.0中的功能包括：

• 实现动态管理，对于规则的更改不再需要重新构建整个防火墙。

• 使用一个简单的系统托盘区图标来显示防火墙状态，方便开启和关闭防火墙。

• 提供firewall-cmd命令行界面进行管理及配置工作。

• 为libvirt提供接口及界面，将会在必需的PolicyKit相关权限完成的情况下实现。

• 实现系统全局及用户进程的防火墙规则配置管理。

• 区域的支持。

注：HERL 7（CentOS7）防火墙已使用firewalld取代iptables