- A+
所属分类:linux技术
在CentOS7之前,linux系统安全主要是由selinux以及iptables来维护的
在CentOS7中,引入了一个新的服务,Firewalld。这张图能够让大家了解Firewall与iptables之间的关系
话说前面,iptables与firewalld都不是真正的防火墙,他们都只是用来定义防火墙策略功能的“防火墙管理工具”而已
iptables服务会把配置好的防火墙策略提交给内核层面的netfilter网络过滤器来管理;
firewalld服务会把配置好的防火墙策略交给由内核层面的nftables包过滤框架来处理。
也就是说,当前linux系统中其实有多个防火墙管理工具同时存在,他们的作用都是为了方便运维人员管理防火墙策略,只需要配置好其中一个就能发挥出心中想要的效果。
firewalld和iptables services之间最本质不同的是:
-
iptables的配置文件在
/etc/sysconfig/iptables
,firewalld的配置文件在/usr/bin/firewalld
和/etc/firewalld
中的各种XML文件中。 -
使用 iptables service,每一个单独更改意味着清除所有旧有的规则和从
/etc/sysconfig/iptables
里读取所有新的规则,然而使用firewalld却不会再创建任何新的规则;仅仅运行规则中的不同之处。因此firewalld可以在运行时间内,改变设置而不丢失现行连接。