firewalld原生支持区域策略,iptables需通过自定义链模拟;firewalld适用于动态环境,配置直观,而iptables提供精细控制,适合静态场景,二者均能实现基于区域的防火墙管理。
Linux系统中,iptables 和 firewalld 是两种常用的防火墙管理工具。虽然二者底层都依赖于Netfilter框架,但它们在配置方式和策略管理上存在显著差异。实现基于区域(Zone-based)的高级防火墙策略时,firewalld原生支持区域概念,而iptables需通过手动规则组织模拟区域行为。
理解区域(Zone)的概念
区域是一种将网络接口与预定义安全策略关联的机制。每个区域代表不同的信任级别,例如:
- public:公共网络,仅允许明确开放的服务
- internal:内部网络,信任度较高,可开放更多服务
- trusted:完全信任的区域,允许所有流量
- dmz:隔离区,对外提供有限服务
firewalld天然支持这些区域,而iptables需通过链(chain)和规则分组来模拟类似逻辑。
使用firewalld配置基于区域的策略
firewalld通过动态管理区域简化了防火墙配置,支持运行时与永久配置分离。
1. 查看当前区域配置列出激活的区域和绑定的接口:
firewall-cmd --get-active-zones2. 将网络接口分配到指定区域
例如,将ens3绑定到internal区域:
firewall-cmd --zone=internal --change-interface=ens3 --permanent
重新加载使配置生效:
firewall-cmd --reload3. 为区域添加服务或端口
允许internal区域访问SSH和HTTP:
firewall-cmd --zone=internal --add-service=http --permanent firewall-cmd --zone=internal --add-service=https --permanent4. 自定义区域策略
创建自定义区域dmz并设置规则:
firewall-cmd --new-zone=dmz --permanent firewall-cmd --reload firewall-cmd --zone=dmz --add-port=8080/tcp --permanent firewall-cmd --zone=dmz --add-source=192.168.10.0/24 --permanent
上述命令创建一个只允许特定子网访问8080端口的DMZ区域。
使用iptables模拟基于区域的策略
iptables本身无区域概念,但可通过自定义链和规则结构实现类似功能。
1. 创建区域对应的自定义链定义不同区域链:
iptables -N ZONE_public iptables -N ZONE_internal iptables -N ZONE_dmz2. 基于输入接口跳转到对应区域链
根据接口调用相应区域规则:
iptables -A INPUT -i ens3 -j ZONE_internal iptables -A INPUT -i ens4 -j ZONE_public iptables -A INPUT -i ens5 -j ZONE_dmz3. 在区域链中定义策略
为internal区域放行SSH和HTTP:
iptables -A ZONE_internal -p tcp --dport 22 -j ACCEPT iptables -A ZONE_internal -p tcp --dport 80 -j ACCEPT iptables -A ZONE_internal -j DROP
为dmz区域限制来源并开放特定端口:
iptables -A ZONE_dmz -s 192.168.10.0/24 -p tcp --dport 8080 -j ACCEPT iptables -A ZONE_dmz -j DROP4. 持久化保存规则
保存iptables规则以确保重启后有效:
iptables-save > /etc/iptables/rules.v4
具体路径依发行版而异,如Ubuntu常用netfilter-persistent保存。
对比与最佳实践
firewalld更适合动态环境,尤其在桌面或服务器频繁切换网络时。其区域模型清晰,命令直观,适合大多数现代Linux发行版(如CentOS、Fedora)。
iptables更适用于静态、高性能或嵌入式场景,提供完全控制能力,但需手动维护规则顺序与持久化。
若需高级功能如时间控制、富规则(rich rules),firewalld支持如下语法:
firewall-cmd --zone=public --add-rich-rule='rule service name=ssh limit value=5/m accept'
该规则限制每分钟最多5次SSH连接尝试。
基本上就这些。选择哪种工具取决于环境需求和运维习惯。firewalld降低复杂性,iptables提供精细控制。无论使用哪种,清晰的区域划分有助于提升网络安全性和可维护性。
