linux有防火墙吗(linux有防火墙吗)

本文介绍“linux是否有防火墙”的知识。很多人在实际案例操作中都会遇到这样的困难。让主机频道带领你学习如何应对这些情况！希望你能认真阅读，有所收获！

Linux有防火墙，防火墙几乎是公网上Linux服务器的必备软件。许多Linux发行版已经有了自己的防火墙，通常是iptables；在Fedora、CentOS和Red Hat的发行版上，默认安装的防火墙软件是firewalld，可以通过“firewall-cmd”命令进行配置和控制。

Linux有防火墙和杀毒软件。防火墙几乎是公共网络上Linux服务器的必备软件。此外，几乎所有的机房都有硬件防火墙，用于入侵检测和攻击保护。

合理的防火墙是你的电脑防止网络入侵的第一道屏障。当你在家上网时，通常网络服务提供商会在路由中建立防火墙。出门在外，电脑上的防火墙是唯一的一层，所以在Linux电脑上配置和控制防火墙非常重要。如果您维护一台Linux服务器，知道如何管理您的防火墙也同样重要。只有掌握了这些知识，您才能保护您的服务器免受本地或远程非法流量的侵害。

Linux安装防火墙

许多Linux发行版已经有了自己的防火墙，通常是iptables。它功能强大，可定制，但配置起来有点复杂。幸运的是，一些开发者已经编写了一些前端程序来帮助用户控制防火墙，而无需编写冗长的iptables规则。

在Fedora、CentOS、Red Hat和一些类似的发行版上，默认安装的防火墙软件是firewalld，它由firewall-cmd命令配置和控制。在Debian和大多数其他发行版上，你可以从你的软件仓库安装firewalld。Ubuntu附带了一个简单的防火墙，即简单防火墙(ufw ),因此要使用firewalld，您必须启用universe软件库:

$ sudo add-apt-存储库领域
$ sudo安装防火墙你也需要停止使用ufw:

$ sudo systemctl禁用ufw没有理由不使用ufw。它是一个强大的防火墙前端。然而，本文关注的是firewalld，因为大多数发行版都支持它，并且它被集成到systemd中，几乎所有发行版都附带了systemd。

无论您的发行版是什么，您都必须在防火墙生效之前激活它，并且需要在启动时加载它:

$ sudo system CTL enable-现在防火墙d了解防火墙的域

Firewalld旨在使防火墙的配置尽可能简单。它通过建立一个域区域来实现这个目标。域是一组合理的、通用的规则，适应大多数用户的日常需求。默认情况下有九个域。

受信任:接受所有连接。这是最不偏执的防火墙设置，只能在完全信任的环境下使用，比如测试实验室或者大家都互相认识的家庭网络。

家庭、工作和内部:在这三个域中，大多数传入连接都被接受。它们都排除了来自预期不活动的端口的传入流量。三者都适用于家庭环境，因为家庭环境中不会出现端口不确定的网络流量，一般可以信任家庭网络中的其他用户。

公共:用于公共区域。这是一个偏执的设置，当你不信任网络中的其他计算机时使用。只能接收选定的普通和最安全的传入连接。

Dmz:DMZ代表隔离区。此域主要用于可公开访问的计算机，这些计算机位于组织的外部网络上，并且对内部网络的访问权限有限。对于个人电脑来说，没什么用，但是对于某一类服务器来说，却是一个重要的选项。

外网:用于外网，会开启伪装(你的私网地址映射到一个外网IP地址并隐藏)。与DMZ类似，只接受选定的传入连接，包括SSH。

Block:只接收在该系统中初始化的网络连接。收到的任何网络连接都将被icmp-主机禁止信息拒绝。这种极端偏执的设置对于不可信或不安全环境中的某一类服务器或个人电脑非常重要。

丢弃:所有收到的网络数据包都被丢弃，没有任何回复。只能有传出网络连接。比这个设置更极端的，唯一的办法就是关掉WiFi，拔掉网线。

您可以查看您的发行版的所有域，或者通过配置文件/usr/lib/firewalld/zones查看管理员设置。例如，下面是Fefora 31附带的FedoraWorkstation域:

$ cat/usr/lib/firewalld/zones/fedora workstation . XML
& lt？xml版本= & quot1.0 & quot编码= & quotutf-8 & quot；？& gt
& ltzone & gt
& ltshort & gtFedora工作站& lt/short & gt；
& lt描述& gt从端口1到1024的未经请求的传入网络数据包将被拒绝，但选择网络服务除外。接受与传出网络连接相关的传入数据包。允许传出网络连接。& lt/description & gt；
& lt服务名= & quotDHCP V6-客户端& quot/& gt；
& lt服务名= & quotssh & quot/& gt；
& lt服务名= & quot桑巴-客户端& quot/& gt；
& lt端口协议= & quotudp & quotport = & quot1025-65535 quot；/& gt；
& lt端口协议= & quottcp & quotport = & quot1025-65535 quot；/& gt；
& lt/zone & gt；获取当前域

您可以使用-get - get-active-zones选项随时检查您所在的域:

在$ sudo firewall-cmd-get-active-zones的输出中，会有当前活动域的名称和分配给它的网络接口。在笔记本电脑上，处于默认域中通常意味着您有一张WiFi卡:

fedora工作站
接口:wlp61s0修改您当前的域。

要更改您的域，请将网络接口重新分配给不同的域。例如，将示例中的wlp61s0卡更改为公共域:

$ sudo firewall-cmd-change-interface = WLP 61s 0-zone = public你可以随时以任何理由更改一个接口的活动域——无论你是想去咖啡店，觉得需要增加笔记本的安全策略，还是去上班，需要开放一些端口接入内网，还是其他原因。在你靠记忆学会firewall-cmd命令之前，你只需要记住change和zone这两个关键词，就可以慢慢掌握了，因为当你按Tab的时候，它的选项就会自动完成。