防火墻技術(shù)是通過有機(jī)結(jié)合各類用于安全管理與篩選的軟件和硬件設(shè)備，幫助計(jì)算機(jī)網(wǎng)絡(luò)于其內(nèi)、外網(wǎng)之間構(gòu)建一道相對(duì)隔絕的保護(hù)屏障，以保護(hù)用戶資料與信息安全性的一種技術(shù)。Firewalld旨在讓防火墻的配置工作盡可能簡單。它通過建立域(zone)來實(shí)現(xiàn)這個(gè)目標(biāo)。一個(gè)域是一組的合理、通用的規(guī)則，這些規(guī)則適配大部分用戶的日常需求。下面為大家詳細(xì)介紹Linux防火墻的域。

一、防火墻的9個(gè)域

默認(rèn)情況下linux防火墻有9個(gè)域：

1.trusted：接受所有的連接。這是最不偏執(zhí)的防火墻設(shè)置，只能用在一個(gè)完全信任的環(huán)境中，如測試實(shí)驗(yàn)室或網(wǎng)絡(luò)中相互都認(rèn)識(shí)的家庭網(wǎng)絡(luò)中。

2.home

3.work

4.internal：在上述的三個(gè)域中，接受大部分進(jìn)來的連接。它們各自排除了預(yù)期不活躍的端口進(jìn)來的流量。這三個(gè)都適合用于家庭環(huán)境中，因?yàn)樵诩彝キh(huán)境中不會(huì)出現(xiàn)端口不確定的網(wǎng)絡(luò)流量，在家庭網(wǎng)絡(luò)中你一般可以信任其他的用戶。

5.public：用于公共區(qū)域內(nèi)。這是個(gè)偏執(zhí)的設(shè)置，當(dāng)你不信任網(wǎng)絡(luò)中的其他計(jì)算機(jī)時(shí)使用。只能接收選定的常見和最安全的進(jìn)入連接。

6.dmz：DMZ 表示隔離區(qū)。這個(gè)域多用于可公開訪問的、位于機(jī)構(gòu)的外部網(wǎng)絡(luò)、對(duì)內(nèi)網(wǎng)訪問受限的計(jì)算機(jī)。對(duì)于個(gè)人計(jì)算機(jī)，它沒什么用，但是對(duì)某類服務(wù)器來說它是個(gè)很重要的選項(xiàng)。

7.external：用于外部網(wǎng)絡(luò)，會(huì)開啟偽裝（你的私有網(wǎng)絡(luò)的地址被映射到一個(gè)外網(wǎng) IP 地址，并隱藏起來）。跟 DMZ 類似，僅接受經(jīng)過選擇的傳入連接，包括 SSH。

8.block：僅接收在本系統(tǒng)中初始化的網(wǎng)絡(luò)連接。接收到的任何網(wǎng)絡(luò)連接都會(huì)被 icmp-host-prohibited 信息拒絕。這個(gè)一個(gè)極度偏執(zhí)的設(shè)置，對(duì)于某類服務(wù)器或處于不信任或不安全的環(huán)境中的個(gè)人計(jì)算機(jī)來說很重要。

9.drop：接收的所有網(wǎng)絡(luò)包都被丟棄，沒有任何回復(fù)。僅能有發(fā)送出去的網(wǎng)絡(luò)連接。比這個(gè)設(shè)置更極端的辦法，唯有關(guān)閉 WiFi 和拔掉網(wǎng)線。

你可以查看你發(fā)行版本的所有域，或通過配置文件 /usr/lib/firewalld/zones 來查看管理員設(shè)置。

舉個(gè)例子：

下面是 Fefora 31 自帶的 FedoraWorkstation 域：

$ cat /usr/lib/firewalld/zones/FedoraWorkstation.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
??<short>Fedora Workstation</short>
??<description>Unsolicited incoming network packets are rejected from port 1 to 1024, except for select network services. Incoming packets that are related to outgoing network connections are accepted. Outgoing network connections are allowed.</description>
??<service name="dhcpv6-client"/>
??<service name="ssh"/>
??<service name="samba-client"/>
??<port protocol="udp" port="1025-65535"/>
??<port protocol="tcp" port="1025-65535"/>
</zone>

二、獲取當(dāng)前的域

任何時(shí)候你都可以通過 --get-active-zones 選項(xiàng)來查看你處于哪個(gè)域：

$ sudo firewall-cmd --get-active-zones

輸出結(jié)果中，會(huì)有當(dāng)前活躍的域的名字和分配給它的網(wǎng)絡(luò)接口。筆記本電腦上，在默認(rèn)域中通常意味著你有個(gè) WiFi 卡：

FedoraWorkstation
??interfaces: wlp61s0

三、修改你當(dāng)前的域

要更改你的域，請將網(wǎng)絡(luò)接口重新分配到不同的域。例如，把例子中的 wlp61s0 卡修改為 public 域：

$ sudo firewall-cmd --change-interface=wlp61s0 --zone=public

你可以在任何時(shí)候、任何理由改變一個(gè)接口的活動(dòng)域 —— 無論你是要去咖啡館，覺得需要增加筆記本的安全策略，還是要去上班，需要打開一些端口進(jìn)入內(nèi)網(wǎng)，或者其他原因。在你憑記憶學(xué)會(huì) firewall-cmd 命令之前，你只要記住了關(guān)鍵詞 change 和 zone，就可以慢慢掌握，因?yàn)榘聪?Tab 時(shí)，它的選項(xiàng)會(huì)自動(dòng)補(bǔ)全。

事實(shí)上，Linux防火墻的功能是十分強(qiáng)大的，并不僅僅局限于對(duì)域的修改和獲取，比如自定義已存在的域，設(shè)置默認(rèn)域，等等。你對(duì)防火墻越了解，你在網(wǎng)上的活動(dòng)就越安全，想要深入了解Linux防火墻的小伙伴可以觀看本站的Linux教程，學(xué)習(xí)更多Linux防火墻的用法。