---在系統(tǒng)安全管理中，F(xiàn)irewallD扮演著至關重要的角色。它使用兩個配置集：運行時和持久。運行時配置的更改在系統(tǒng)重新啟動或重新加載FirewallD時不會被保留，而對持久配置集的更改則不會立即應

---

在系統(tǒng)安全管理中，F(xiàn)irewallD扮演著至關重要的角色。它使用兩個配置集：運行時和持久。運行時配置的更改在系統(tǒng)重新啟動或重新加載FirewallD時不會被保留，而對持久配置集的更改則不會立即應用于正在運行的系統(tǒng)。所有這些配置文件都保存在 `/etc/firewalld` 下，并且這些文件將覆蓋默認配置。

運行時與持久性規(guī)則設置

默認情況下，`firewall-cmd` 命令適用于運行時配置。然而，通過添加 `--permanent` 標志，可以將規(guī)則保存到持久配置中。要添加和激活持久性規(guī)則，有兩種方法：將規(guī)則同時添加到持久規(guī)則集和運行時規(guī)則集中。

添加規(guī)則到持久性規(guī)則集

將規(guī)則添加到持久規(guī)則集后，通過重新加載FirewallD，可以使其應用生效。`reload` 命令會刪除所有運行時配置并應用永久配置。由于firewalld動態(tài)管理規(guī)則集，因此它不會中斷現(xiàn)有的連接和會話。

設置防火墻區(qū)域

防火墻設置往往伴隨著不同的區(qū)域設置。首次啟用FirewallD后，`public` 將成為默認區(qū)域。例如，在 `external` 區(qū)域可能只允許 HTTP 和 SSH 服務。若未明確將接口分配給特定區(qū)域，則它們將自動添加到默認區(qū)域中。如需確認默認區(qū)域，可以通過相應命令找到。

修改默認區(qū)域

每個區(qū)域允許不同的網(wǎng)絡服務和入站流量類型，同時拒絕其他流量?？梢愿鶕?jù)需要修改默認區(qū)域設置，以增強網(wǎng)絡安全性。

查看網(wǎng)絡接口區(qū)域

了解網(wǎng)絡接口所處的區(qū)域非常重要。通過輸出網(wǎng)絡接口的區(qū)域信息，可以更好地進行審查。此外，F(xiàn)irewallD提供了各種信任級別的預定義規(guī)則集，可供參考。

配置所有區(qū)域

逐個配置所有區(qū)域，根據(jù)特定網(wǎng)絡服務的預定義規(guī)則來允許相關流量。除了使用系統(tǒng)預定義規(guī)則外，還可以創(chuàng)建自定義規(guī)則，并將其添加到所需的區(qū)域中，從而進一步加強系統(tǒng)的安全性。

通過以上最佳實踐，可以有效地配置FirewallD前端控制器，確保系統(tǒng)在面臨網(wǎng)絡威脅時能夠提供良好的保護，并保障數(shù)據(jù)的安全傳輸與存儲。