---在系統(tǒng)安全管理中，F(xiàn)irewallD扮演著至關(guān)重要的角色。它使用兩個(gè)配置集：運(yùn)行時(shí)和持久。運(yùn)行時(shí)配置的更改在系統(tǒng)重新啟動(dòng)或重新加載FirewallD時(shí)不會(huì)被保留，而對(duì)持久配置集的更改則不會(huì)立即應(yīng)

---

在系統(tǒng)安全管理中，F(xiàn)irewallD扮演著至關(guān)重要的角色。它使用兩個(gè)配置集：運(yùn)行時(shí)和持久。運(yùn)行時(shí)配置的更改在系統(tǒng)重新啟動(dòng)或重新加載FirewallD時(shí)不會(huì)被保留，而對(duì)持久配置集的更改則不會(huì)立即應(yīng)用于正在運(yùn)行的系統(tǒng)。所有這些配置文件都保存在 `/etc/firewalld` 下，并且這些文件將覆蓋默認(rèn)配置。

運(yùn)行時(shí)與持久性規(guī)則設(shè)置

默認(rèn)情況下，`firewall-cmd` 命令適用于運(yùn)行時(shí)配置。然而，通過添加 `--permanent` 標(biāo)志，可以將規(guī)則保存到持久配置中。要添加和激活持久性規(guī)則，有兩種方法：將規(guī)則同時(shí)添加到持久規(guī)則集和運(yùn)行時(shí)規(guī)則集中。

添加規(guī)則到持久性規(guī)則集

將規(guī)則添加到持久規(guī)則集后，通過重新加載FirewallD，可以使其應(yīng)用生效。`reload` 命令會(huì)刪除所有運(yùn)行時(shí)配置并應(yīng)用永久配置。由于firewalld動(dòng)態(tài)管理規(guī)則集，因此它不會(huì)中斷現(xiàn)有的連接和會(huì)話。

設(shè)置防火墻區(qū)域

防火墻設(shè)置往往伴隨著不同的區(qū)域設(shè)置。首次啟用FirewallD后，`public` 將成為默認(rèn)區(qū)域。例如，在 `external` 區(qū)域可能只允許 HTTP 和 SSH 服務(wù)。若未明確將接口分配給特定區(qū)域，則它們將自動(dòng)添加到默認(rèn)區(qū)域中。如需確認(rèn)默認(rèn)區(qū)域，可以通過相應(yīng)命令找到。

修改默認(rèn)區(qū)域

每個(gè)區(qū)域允許不同的網(wǎng)絡(luò)服務(wù)和入站流量類型，同時(shí)拒絕其他流量?？梢愿鶕?jù)需要修改默認(rèn)區(qū)域設(shè)置，以增強(qiáng)網(wǎng)絡(luò)安全性。

查看網(wǎng)絡(luò)接口區(qū)域

了解網(wǎng)絡(luò)接口所處的區(qū)域非常重要。通過輸出網(wǎng)絡(luò)接口的區(qū)域信息，可以更好地進(jìn)行審查。此外，F(xiàn)irewallD提供了各種信任級(jí)別的預(yù)定義規(guī)則集，可供參考。

配置所有區(qū)域

逐個(gè)配置所有區(qū)域，根據(jù)特定網(wǎng)絡(luò)服務(wù)的預(yù)定義規(guī)則來允許相關(guān)流量。除了使用系統(tǒng)預(yù)定義規(guī)則外，還可以創(chuàng)建自定義規(guī)則，并將其添加到所需的區(qū)域中，從而進(jìn)一步加強(qiáng)系統(tǒng)的安全性。

通過以上最佳實(shí)踐，可以有效地配置FirewallD前端控制器，確保系統(tǒng)在面臨網(wǎng)絡(luò)威脅時(shí)能夠提供良好的保護(hù)，并保障數(shù)據(jù)的安全傳輸與存儲(chǔ)。