centos防火墙安装步骤是什么

时间2025-11-06 01:09:03发布访客分类主机资讯浏览861

导读：CentOS防火墙（firewalld）安装与基础配置步骤 1. 检查firewalld是否预装 CentOS 7及以上版本默认集成firewalld，无需手动安装。可通过以下命令验证： rpm -q firewalld 若返回版本号（如...

CentOS 7及以上版本默认集成firewalld，无需手动安装。可通过以下命令验证：

rpm -q firewalld

若返回版本号（如firewalld-0.6.3-1.el7.noarch），则表示已安装；若未安装，继续下一步。

使用包管理器安装（CentOS 7用yum，8及以上用dnf）：

安装过程会自动解决依赖关系。

安装完成后，立即启动服务并设置开机自启（确保系统重启后防火墙仍生效）：

sudo systemctl start firewalld      # 启动服务
sudo systemctl enable firewalld     # 设置开机自启

启动后，可通过以下命令验证状态：

sudo systemctl status firewalld     # 查看服务状态（显示"active (running)"即为正常）
sudo firewall-cmd --state           # 直接查看firewalld运行状态（输出"running"）

firewalld通过**区域（Zone）**管理不同网络的信任级别，默认区域为public（适用于不信任的网络，如互联网）。可根据需求修改默认区域：

sudo firewall-cmd --get-default-zone    # 查看当前默认区域
sudo firewall-cmd --set-default-zone=public  # 设置默认区域为public（常用）

修改后需重新加载配置生效。

firewalld支持两种方式开放访问：端口（直接指定端口及协议）或服务（使用预定义的服务规则，如HTTP、SSH）。

开放端口（永久生效）：
例如，开放TCP端口80（HTTP）和443（HTTPS）：
```
sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
sudo firewall-cmd --zone=public --add-port=443/tcp --permanent
```
--permanent参数表示规则永久有效，重启后不丢失；若省略则仅临时生效（当前会话有效）。
开放服务（推荐）：
若需开放常见服务（如HTTP），可直接使用服务名称（需提前定义在/usr/lib/firewalld/services/下）：
```
sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=https --permanent
```
服务规则包含端口、协议等预定义配置，更安全便捷。
重新加载配置：
修改规则后，必须执行以下命令使更改生效：
```
sudo firewall-cmd --reload
```
若不想中断当前连接，可使用--complete-reload（会重启防火墙服务）。

避免误操作：禁止开放所有端口（如--add-port=0-65535/tcp），仅开放必要服务端口。
结合SELinux：SELinux是CentOS的强制访问控制模块，建议启用（sudo setenforce 1）并与firewalld配合使用，提升安全性。
备份配置：修改规则前，可通过sudo cp /etc/firewalld/firewalld.conf /etc/firewalld/firewalld.conf.bak备份配置文件。

以上步骤覆盖了firewalld的基础安装与配置，满足大多数场景的安全需求。如需更复杂的规则（如富规则、接口绑定），可参考firewalld官方文档扩展。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！