centos 7中防火墙FirewallD是一个非常的强大的功能了, FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4, IPv6 防火墙设置以及以太网桥接，并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。

以前的 system-config-firewall/lokkit 防火墙模型是静态的，每次修改都要求防火墙完全重启。这个过程包括内核 netfilter 防火墙模块的卸载和新配置所需模块的装载等。而模块的卸载将会破坏状态防火墙和确立的连接。

相反，firewall daemon 动态管理防火墙，不需要重启整个防火墙便可应用更改。因而也就没有必要重载所有内核防火墙模块了。不过，要使用 firewall daemon 就要求防火墙的所有变更都要通过该守护进程来实现，以确保守护进程中的状态和内核里的防火墙是一致的。

另外，firewall daemon 无法解析由 ip*tables 和 ebtables 命令行工具添加的防火墙规则。

下面我们一起来详细地看看关于centos 7中FirewallD 防火墙使用方法：

一、区域管理

1、网络区域简介

通过将网络划分成不同的区域，制定出不同区域之间的访问控制策略来控制不同程序区域间传送的数据流。例如，互联网是不可信任的区域，而内部网络是高度信任的区域。网络安全模型可以在安装，初次启动和首次建立网络连接时选择初始化。该模型描述了主机所连接的整个网络环境的可信级别，并定义了新连接的处理方式。

有如下几种不同的初始化区域：

阻塞区域（block）：任何传入的网络数据包都将被阻止。工作区域（work）：相信网络上的其他计算机，不会损害你的计算机。家庭区域（home）：相信网络上的其他计算机，不会损害你的计算机。公共区域（public）：不相信网络上的任何计算机，只有选择接受传入的网络连接。隔离区域（DMZ）：隔离区域也称为非军事区域，内外网络之间增加的一层网络，起到缓冲作用。对于隔离区域，只有选择接受传入的网络连接。信任区域（trusted）：所有的网络连接都可以接受。丢弃区域（drop）：任何传入的网络连接都被拒绝。内部区域（internal）：信任网络上的其他计算机，不会损害你的计算机。只有选择接受传入的网络连接。外部区域（external）：不相信网络上的其他计算机，不会损害你的计算机。只有选择接受传入的网络连接。

注：FirewallD的默认区域是public。

2、显示支持的区域列表

firewall-cmd --get-zones

3、 设置为家庭区域

firewall-cmd --set-default-zone=home

4、查看当前区域

firewall-cmd --get-active-zones

5、设置当前区域的接口

firewall-cmd --get-zone-of-interface=enp03s

6、显示所有公共区域（public）

firewall-cmd --zone=public --list-all

7、 临时修改网络接口（enp0s3）为内部区域（internal）

firewall-cmd --zone=internal --change-interface=enp03s

8、 永久修改网络接口enp03s为内部区域（internal）

firewall-cmd --permanent --zone=internal --change-interface=enp03s 

1、显示服务列表

Amanda, FTP, Samba和TFTP等最重要的服务已经为FirewallD提供相应的服务，可以使用如下命令查看：

firewall-cmd --get-services

2、允许SSH服务通过

firewall-cmd --enable service=ssh

3、禁止SSH服务通过

firewall-cmd --disable service=ssh

4、打开TCP的8080端口

firewall-cmd --enable ports=8080/tcp 

5、临时允许Samba服务通过600秒

firewall-cmd --enable service=samba --timeout=600

6、显示当前服务

firewall-cmd --list-services

7、添加HTTP服务到内部区域（internal）

firewall-cmd --permanent --zone=internal --add-service=http

firewall-cmd --reload #在不改变状态的条件下重新加载防火墙

三、端口管理

1、打开端口

#打开443/TCP端口

firewall-cmd --add-port=443/tcp

#永久打开3690/TCP端口

firewall-cmd --permanent --add-port=3690/tcp

#永久打开一个端口段

firewall-cmd --permanent --add-port=1000-2000/tcp

#永久打开端口好像需要reload一下，临时打开好像不用，如果用了reload临时打开的端口就失效了

#其它服务也可能是这样的，这个没有测试

firewall-cmd --reload

#查看防火墙，添加的端口也可以看到

firewall-cmd --list-all

2、删除服务或端口

firewall-cmd --permanent --zone=public --remove-service=httpsfirewall-cmd --permanent --zone=public --remove-port=8080-8081/tcpfirewall-cmd --reload

FirewallD包括一种直接模式，使用它可以完成一些工作，例如打开TCP协议的9999端口：

firewall-cmd --direct -add-rule ipv4 filter INPUT 0 -p tcp --dport 9000 -j ACCEPTfirewall-cmd --reload

你也可以关闭目前还不熟悉的FirewallD防火墙，而使用iptables，命令如下：

systemctl stop firewalldsystemctl disable firewalldyum install iptables-servicessystemctl start iptablessystemctl enable iptables