持续创作，加速成长！这是我参与「掘金日新计划 · 6 月更文挑战」的第2天，点击查看活动详情

firewalld 是对  iptables 的 新的封装，所以firewalld 本身使用的还是iptables

来源

• firewalld 与 iptables 是共存的，两者也是相互独立的。由引言我们也能够得知道，firewalld更高级，所以我这里推荐能够使用firewalld的尽量还是使用firewalld。毕竟他是站在iptables上的。iptables有的firewalld都有。】
• 如果仅仅是因为firewalld在iptables基础上才选择使用firewalld的好像理由不够说服力。既然是封装，肯定会存在iptables不支持的功能。其中我最喜欢的就是firewalld的动态添加防火墙规则。
• 不知道你们有没有搞过攻击。我们服务开发后期都会加入防攻击策略，其中使用最广泛的就是禁IP。当我们反扒程序检测到异常IP后就会禁止该IP访问。毕竟外网IP不是随便就能搞得。禁一个意味着加大攻击的成本。而动态添加防火墙规则就很符合我们的业务场景了。

常见操作

• 通过将网络划分成不同的区域，制定出不同区域之间的访问控制策略来控制不同程序区域间传送的数据流。例如，互联网是不可信任的区域，而内部网络是高度信任的区域。网络安全模型可以在安装，初次启动和首次建立网络连接时选择初始化。该模型描述了主机所连接的整个网络环境的可信级别，并定义了新连接的处理方式。有如下几种不同的初始化区域

• firewalld默认提供了九个zone配置文件

• 信任区域（trusted）：所有的网络连接都可以接受。

• 公共区域（public）：不相信网络上的任何计算机，只有选择接受传入的网络连接。

• 阻塞区域（block）：任何传入的网络数据包都将被阻止。