8.1 防火墻管理工具

眾所周知，相較于企業(yè)內網，外部的公網環(huán)境更加惡劣，罪惡叢生。在公網與企業(yè)內網之間充當保護屏障的防火墻（見圖8-1）雖然有軟件或硬件之分，但主要功能都是依據策略對穿越防火墻自身的流量進行過濾。防火墻策略可以基于流量的源目地址、端口號、協(xié)議、應用等信息來定制，然后防火墻使用預先定制的策略規(guī)則監(jiān)控出入的流量，若流量與某一條策略規(guī)則相匹配，則執(zhí)行相應的處理，反之則丟棄。這樣一來，就可以保證僅有合法的流量在企業(yè)內網和外部公網之間流動了。

圖8-1 防火墻作為公網與內網之間的保護屏障

在RHEL 7系統(tǒng)中，firewalld防火墻取代了iptables防火墻。對于接觸Linux系統(tǒng)比較早或學習過RHEL 6系統(tǒng)的讀者來說，當他們發(fā)現曾經掌握的知識在RHEL 7中不再適用，需要全新學習firewalld時，難免會有抵觸心理。其實，iptables與firewalld都不是真正的防火墻，它們都只是用來定義防火墻策略的防火墻管理工具而已，或者說，它們只是一種服務。iptables服務會把配置好的防火墻策略交由內核層面的netfilter網絡過濾器來處理，而firewalld服務則是把配置好的防火墻策略交由內核層面的nftables包過濾框架來處理。換句話說，當前在Linux系統(tǒng)中其實存在多個防火墻管理工具，旨在方便運維人員管理Linux系統(tǒng)中的防火墻策略，我們只需要配置妥當其中的一個就足夠了。雖然這些工具各有優(yōu)劣，但它們在防火墻策略的配置思路上是保持一致的。大家甚至可以不用完全掌握本章介紹的內容，只要在這多個防火墻管理工具中任選一款并將其學透，就足以滿足日常的工作需求了。