一、防火墙的基础概念

1、防火墙的概念与应用

  网络中的防火墙，是一种将内部网络和外部网络分开的方法，是一种隔离技术。防火墙在内网与外网通信时进行访问控制，依据所设置的规则对数据包作出判断，最大限度地阻止网络中的黑客破坏企业网络，从而加强企业网络安全。

一、案例——基于 IP 和端口的防火墙控制

本文简介

  在CentOS 7中，新引入了firewalld防火墙，取代了CentOS 6之前的iptables防火墙。

  iptables用于过滤数据包，属于网络层防火墙。iptables主要是基于接口，来设置规则，从而判断网络的安全性。

  firewalld能够允许哪些服务可用，哪些端口可用等等，属于更高一层的防火墙。firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置以及以太网桥（在某些高级服务可能会用到，比如云计算）， 并且拥有两种配置模式：运行时（Runtime）模式、永久（Permanent）模式。

  firewalld和iptables都是用来管理防火墙的工具（属于用户态）来定义防火墙的各种规则功能，内部结构都指向netfilter网络过过滤子系统（属于内核态）来实现包过滤防火墙功能。
  firewalld自身并不具备防火墙的功能，而是和iptables一样需要通过内核的netfilter来实现，也就是说firewalld和 iptables一样，他们的作用都是用于维护规则，而真正使用规则干活的是内核的netfilter，只不过firewalld和iptables的结构以及使用方法不一样罢了。

  firewall-cmd是firewalld的字符界面管理工具，firewall-config是firewalld的图形用户界面管理工具。

  
  首先，将所有网络流量分为多个区域（zone），然后，根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域，同时，每个区域都定义了自己打开或者关闭的端口和服务列表。