8.1 防火墻管理工具

眾所周知，相較于企業(yè)內(nèi)網(wǎng)，外部的公網(wǎng)環(huán)境更加惡劣，罪惡叢生。在公網(wǎng)與企業(yè)內(nèi)網(wǎng)之間充當(dāng)保護(hù)屏障的防火墻（見(jiàn)圖8-1）雖然有軟件或硬件之分，但主要功能都是依據(jù)策略對(duì)穿越防火墻自身的流量進(jìn)行過(guò)濾。防火墻策略可以基于流量的源目地址、端口號(hào)、協(xié)議、應(yīng)用等信息來(lái)定制，然后防火墻使用預(yù)先定制的策略規(guī)則監(jiān)控出入的流量，若流量與某一條策略規(guī)則相匹配，則執(zhí)行相應(yīng)的處理，反之則丟棄。這樣一來(lái)，就可以保證僅有合法的流量在企業(yè)內(nèi)網(wǎng)和外部公網(wǎng)之間流動(dòng)了。

圖8-1 防火墻作為公網(wǎng)與內(nèi)網(wǎng)之間的保護(hù)屏障

在RHEL 7系統(tǒng)中，firewalld防火墻取代了iptables防火墻。對(duì)于接觸Linux系統(tǒng)比較早或?qū)W習(xí)過(guò)RHEL 6系統(tǒng)的讀者來(lái)說(shuō)，當(dāng)他們發(fā)現(xiàn)曾經(jīng)掌握的知識(shí)在RHEL 7中不再適用，需要全新學(xué)習(xí)firewalld時(shí)，難免會(huì)有抵觸心理。其實(shí)，iptables與firewalld都不是真正的防火墻，它們都只是用來(lái)定義防火墻策略的防火墻管理工具而已，或者說(shuō)，它們只是一種服務(wù)。iptables服務(wù)會(huì)把配置好的防火墻策略交由內(nèi)核層面的netfilter網(wǎng)絡(luò)過(guò)濾器來(lái)處理，而firewalld服務(wù)則是把配置好的防火墻策略交由內(nèi)核層面的nftables包過(guò)濾框架來(lái)處理。換句話說(shuō)，當(dāng)前在Linux系統(tǒng)中其實(shí)存在多個(gè)防火墻管理工具，旨在方便運(yùn)維人員管理Linux系統(tǒng)中的防火墻策略，我們只需要配置妥當(dāng)其中的一個(gè)就足夠了。雖然這些工具各有優(yōu)劣，但它們?cè)诜阑饓Σ呗缘呐渲盟悸飞鲜潜３忠恢碌?。大家甚至可以不用完全掌握本章介紹的內(nèi)容，只要在這多個(gè)防火墻管理工具中任選一款并將其學(xué)透，就足以滿足日常的工作需求了。