防火墙守护 firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。

动态防火墙后台程序firewalld提供了一个动态管理的防火墙，用以支持网络“zone”，以分配对一个网路及其相关连接和界面的支持

它支持 ipv4 与 ipv6，并支持网桥，采用 firewall-cmd (command) 或 firewall-config (gui) 来动态的管理 kernel netfilter 的临时或永久的接口规则，并实时生效而无需重启服务。

在RHEL7里有几种防火墙共存：firewalld、iptables、ebtables，默认使用firewalld来管理netfilter子系统，不过底层调用的命令仍然是iptables等。

netfilter才是防火墙，firewalld和iptables是两种不同的防火墙管理工具，其底层都是iptables命令

systemctl start firewalld   ##启用
systemctl enable firewalld   ##开机自启动
systemctl disable firewalld  ##开机禁启动
systemctl stop firewalld     ##关闭

firewalld跟iptables比起来至少有两大好处：

1、firewalld可以动态修改单条规则，而不需要像iptables那样，在修改了规则后必须得全部刷新才可以生效；
2、firewalld在使用上要比iptables人性化很多，即使不明白“五张表五条链”而且对TCP/IP协议也不理解也可以实现大部分功能

数据包要进入到内核必须要通过这些zone中的一个，而不同的zone里定义的规则不一样（即信任度不一样，过滤的强度也不一样）。可以根据网卡所连接的网络的安全性来判断，这张网卡的流量到底使用哪个zone，比如上图来自eth0的流量全部使用zone1的过滤规则，eth1的流量使用zone3。一张网卡同时只能绑定到一个zone。大家就可以把这些zone想象成进入火车站（地铁）的安检，不同的入口检测的严格度不一样

阻塞区域（block）：任何传入的网络数据包都将被阻止。
工作区域（work）：相信网络上的其他计算机，不会损害你的计算机。
家庭区域（home）：相信网络上的其他计算机，不会损害你的计算机。
公共区域（public）：不相信网络上的任何计算机，只有选择接受传入的网络连接。
隔离区域（DMZ）：隔离区域也称为非军事区域，内外网络之间增加的一层网络，起到缓冲作用。对于隔离区域，只有选择接受传入的网络连接。
信任区域（trusted）：所有的网络连接都可以接受。
丢弃区域（drop）：任何传入的网络连接都被拒绝。
内部区域（internal）：信任网络上的其他计算机，不会损害你的计算机。只有选择接受传入的网络连接。
外部区域（external）：不相信网络上的其他计算机，不会损害你的计算机。只有选择接受传入的网络连接

firewalld的配置文件以xml格式为主（主配置文件firewalld.conf例外），他们有两个存储位置
1、/etc/firewalld/
2、/usr/lib/firewalld/

当需要一个文件时firewalld会首先到第一个目录中去查找，如果可以找到，那么就直接使用否则会继续到第二个目录中查找。
firewalld的这种配置文件结构的主要作用是这样的：

在第二个目录中存放的是firewalld给提供的通用配置文件，如果我们想修改配置， 那么可以copy一份到第一个目录中，然后再进行修改。

这么做有两个好处：首先我们日后可以非常清晰地看到都有哪些文件是我们自己创建或者修改过的，

其 次，如果想恢复firewalld给提供的默认配置，只需要将自己在第一个目录中的配置文件删除即可，非常简                                    单，而不需要像其他很多软件那样在修改之前还 得先备份一下，而且时间长了还有可能忘掉之前备份的是什                                  么版本

firewalld的主配置文件，是键值对的格式，不过非常简单，只有五个配置项

firewalld默认提供了九个zone配置文件：block.xml、dmz.xml、drop.xml、external.xml、 home.xml、internal.xml、public.xml、trusted.xml、work.xml，他们都保存在“/usr/lib /firewalld/zones/”目录下

上面的九个zone其实就是九种方案，而且起决定作用的其实是每个xml文件所包含的内容，而不是 文件名，所以大家不需要对每种zone（每个文件名）的含义花费过多的精力，比如trusted这个zone会信任所有的数据包，也就是说所有数据包都会 放行，但是public这个zone只会放行其中所配置的服务，其他的一律不予放行，其实我们如果将这两个文件中的内容互换一下他们的规则就换过来了，也 就是public这个zone会放行所有的数据包，下面我们来看一下这两个文件的内容

public：

<?xml version="1.0" encoding="utf-8"?>
<zone><short>Public</short><description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description><service name="ssh"/><service name="dhcpv6-client"/>
</zone>

tusted：

<?xml version="1.0" encoding="utf-8"?>
<zone target="ACCEPT"><short>Trusted</short><description>All network connections are accepted.</description>
</zone>

我们要特别注意trusted.xml中zone的target，就是因为他设置为了ACCEPT，所以才会放行所有的数据包，而 public.xml中的zone没有target属性，这样就会默认拒绝通过，所以public这个zone（这种方案）只有其中配置过的服务才可以通 过

firewall-cmd --list-all-zones

永久打开3690/TCP端口

永久打开端口需要reload一下

永久打开一个端口段

永久打开端口需要reload一下