CentOS 7云主机如何使用firewalld防火墙

CentOS 7云主机使用firewalld防火墙的摘要：CentOS 7默认使用firewalld作为防火墙管理工具。要配置firewalld，可使用firewall-cmd命令行工具。通过添加服务、端口或开放特定IP地址，可控制网络访问。持久化规则需使用firewall-cmd的--permanent选项。重启firewalld服务应用更改。

问：我在使用CentOS 7云主机时，想要配置firewalld防火墙来保护我的服务器安全，但不知道如何操作，能否提供一个详细的指南？

答：当然可以！firewalld是CentOS 7及其衍生版本中的默认防火墙管理工具，它提供了丰富的功能来管理网络包过滤规则，从而保护服务器安全，下面是一个关于如何在CentOS 7云主机上使用firewalld防火墙的详细指南。

1. 查看firewalld状态

你需要确认firewalld是否已经在你的CentOS 7云主机上安装并运行，可以通过以下命令来查看firewalld的状态：

sudo systemctl status firewalld

如果firewalld正在运行，你将看到“active (running)”这样的输出，如果未安装或未运行，你可以使用以下命令来安装并启动它：

sudo yum install firewalld
sudo systemctl start firewalld
sudo systemctl enable firewalld

2. 查看当前区域和规则

firewalld使用区域（zones）的概念来管理不同的网络连接和接口，你可以使用以下命令来查看当前的区域和规则：

sudo firewall-cmd --get-active-zones
sudo firewall-cmd --list-all

3. 配置区域和规则

你可以根据需要配置不同的区域和规则，如果你想允许所有传入的HTTP请求（TCP端口80），你可以执行以下命令：

sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --reload

这里，--permanent选项表示这个规则是永久性的，即使重启firewalld或系统也不会丢失。--reload选项用于重新加载firewalld的配置，使新的规则生效。

4. 添加和移除服务

除了预定义的服务（如http、https等），你还可以添加自定义的服务，如果你想允许传入的SSH连接（TCP端口22），你可以执行以下命令：

sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --reload

同样，如果你想移除一个服务，可以使用--remove-service选项：

sudo firewall-cmd --permanent --remove-service=ssh
sudo firewall-cmd --reload

5. 管理端口

除了服务，你还可以直接管理特定的端口，如果你想允许传入的TCP端口8080，可以执行以下命令：

sudo firewall-cmd --permanent --add-port=8080/tcp
sudo firewall-cmd --reload

6. 启用和禁用接口

你还可以将网络接口绑定到特定的区域，并控制该接口的流量，如果你想将eth0接口绑定到public区域，并允许该接口的所有传入流量，可以执行以下命令：

sudo firewall-cmd --permanent --zone=public --add-interface=eth0
sudo firewall-cmd --reload

7. 查看和日志

你可以使用以下命令来查看firewalld的日志，以了解哪些流量被允许或拒绝：

sudo journalctl -f -u firewalld

通过以上步骤，你应该能够在CentOS 7云主机上成功配置和使用firewalld防火墙了，记得在修改配置后重新加载firewalld，以确保新的规则生效，定期检查和更新你的防火墙规则，以应对不断变化的网络威胁。