防火牆

在centos7上防火牆採用了firewalld服務，而捨棄了原來的iptable

對防火牆服務進行控制（開啟/關閉/重啟：start/stop/restart）

systemctl {start/stop/restart} firewalld

防火牆的zone分類

由firewalld 提供的zine一共有7種，以下按照從不信任到信任的順序排序。
通過命令可以檢視的zone

firewall-cmd --get-zones

包括以下9種：
· 丟棄 drop
任何流入網路的包都被丟棄，不作出任何響應。只允許流出的網路連線。
· 阻塞 block
任何進入的網路連線都被拒絕，並返回 IPv4 的 icmp-host-prohibited 報文或者 IPv6 的 icmp6-adm-prohibited 報文。只允許由該系統初始化的網路連線。
· 公開 public

用以可以公開的部分。你認為網路中其他的計算機不可信並且可能傷害你的計算機。只允許選中的連線接入。
· 外部 external
用在路由器等啟用偽裝的外部網路。你認為網路中其他的計算機不可信並且可能傷害你的計算機。只允許選中的連線接入。
· 隔離區dmz
用以允許隔離區（dmz）中的電腦有限地被外界網路訪問。只接受被選中的連線。
· 工作 work
用在工作網路。你信任網路中的大多數計算機不會影響你的計算機。只接受被選中的連線。
· 家庭 home
用在家庭網路。你信任網路中的大多數計算機不會影響你的計算機。只接受被選中的連線。
· 內部 internal
用在內部網路。你信任網路中的大多數計算機不會影響你的計算機。只接受被選中的連線。
· 受信任的 trusted
允許所有網路連線。

檢視預設zone

firewall-cmd --get-default-zone

port 埠

開放埠

# 開啟443/TCP埠      【立即失效，reload後失效】
firewall-cmd --add-port=443/tcp
# 永久開啟3690/TCP埠  【不會立即生效，reload後永久生效】
firewall-cmd --permanent --add-port=3690/tcp

以上命令可以新增–zone=[指定zone]，為制定的zone開發埠。不加的話會新增至當前的預設zone。–permanent引數是使配置永久生效，但是新增後對當前的runtime環境不會立即生效，需要執行命令

firewall-cmd --reload

才能生效