在CentOS7操作系统中，防火墙是一个至关重要的安全工具，它可以有效地控制网络流量并防止未经授权的访问。随着网络安全威胁的不断增加，了解如何查看和管理防火墙开放端口，确保系统的安全性，是每一个系统管理员必备的技能之一。本文将详细介绍如何在CentOS7中查看防火墙开放的端口，涵盖iptables和firewalld两种常见的防火墙管理工具，帮助你全面掌握防火墙端口查看的方法。

一、CentOS7中的防火墙管理工具

CentOS7默认使用firewalld作为防火墙管理工具。firewalld基于iptables，并提供了更为简便的管理方式。它使用区域(zone)和服务(service)的概念来简化防火墙规则的管理。不过，CentOS7也支持传统的iptables工具，管理员可以根据自己的需求选择使用其中之一。

在进行端口查看之前，了解系统当前使用的是哪种防火墙管理工具是非常重要的。你可以通过以下命令来确认当前系统使用的防火墙工具：

systemctl status firewalld

如果返回的信息中显示firewalld是active状态，则表示正在使用firewalld。如果没有启用firewalld，则系统可能正在使用iptables或者没有启用防火墙。

二、查看firewalld开放端口

firewalld是CentOS7中的默认防火墙工具，它管理着系统的网络流量。firewalld将防火墙规则组织成不同的区域（zones），每个区域有自己的规则集。查看当前firewalld中开放的端口可以帮助管理员快速了解哪些端口可以被外部访问。

2.1 查看所有区域的开放端口

要查看firewalld中所有区域的开放端口，可以使用以下命令：

firewall-cmd --list-all

该命令将输出当前区域的所有配置，包括开放的端口、服务、规则等。注意，该命令会显示当前活动区域的规则信息，如果你想查看其他区域的设置，可以通过指定区域来查询，例如：

firewall-cmd --zone=public --list-ports

上述命令会显示"public"区域开放的所有端口。

2.2 查看特定区域的开放端口

firewalld将网络接口分配给不同的区域，常见的区域包括"public"、"dmz"、"internal"等。你可以通过以下命令查看某个特定区域的开放端口：

firewall-cmd --zone=public --list-ports

如果返回信息为空，则说明在该区域没有开放任何端口。你还可以查看每个区域的详细配置，包括开放的服务和端口。

2.3 查看firewalld开放的服务

除了查看端口，firewalld还允许你查看已开放的服务。你可以使用如下命令列出所有开放的服务：

firewall-cmd --list-services

该命令将显示所有在当前区域中允许的服务。例如，"http"、"https"等服务。如果需要查看某个具体区域的开放服务，可以使用类似以下命令：

firewall-cmd --zone=public --list-services

通过查看已开放的服务，你可以快速了解防火墙配置是否满足你的需求。

三、查看iptables开放端口

虽然firewalld是CentOS7的默认防火墙管理工具，但部分管理员可能仍然使用传统的iptables工具来管理防火墙规则。iptables是一种强大但复杂的工具，通过链和规则来控制数据包的流动。要查看iptables中开放的端口，可以使用以下命令：

iptables -L -n

该命令将列出所有链的规则，包括INPUT、OUTPUT和FORWARD链的规则。每个规则对应一个具体的端口和协议。例如，以下输出显示了允许TCP端口80（HTTP）和443（HTTPS）访问的规则：

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:443

如果你只关心端口信息，可以通过以下命令只列出带有端口号的规则：

iptables -L -n | grep dpt

该命令将过滤出所有包含"destination port"（目标端口）的规则，帮助你更直观地查看当前防火墙开放的端口。

四、使用nmap工具扫描开放端口

除了通过firewalld和iptables查看开放端口外，你还可以使用nmap工具扫描系统的开放端口。nmap是一个非常强大的网络扫描工具，广泛用于网络安全检测。通过nmap，你可以检测目标主机上哪些端口是开放的。

首先，确保系统安装了nmap工具。你可以通过以下命令安装nmap：

sudo yum install nmap

安装完成后，可以使用以下命令扫描本地机器的开放端口：

nmap localhost

该命令将列出本地机器上所有开放的端口及其对应的服务。你也可以扫描指定的IP地址或主机：

nmap 192.168.1.1

nmap提供了多种扫描方式，可以根据需要调整扫描选项。通过这种方式，你可以更加全面地了解系统的开放端口。

五、如何关闭不必要的端口

查看系统开放的端口后，若发现某些端口不需要开放，应该及时关闭它们以增强系统的安全性。对于firewalld，你可以使用以下命令关闭某个端口：

firewall-cmd --zone=public --remove-port=8080/tcp

上述命令会关闭"public"区域中的8080端口。如果需要永久生效，可以加上"--permanent"参数：

firewall-cmd --zone=public --remove-port=8080/tcp --permanent

对于iptables，你可以使用以下命令删除相关规则：

iptables -D INPUT -p tcp --dport 8080 -j ACCEPT

删除规则后，记得保存iptables配置，以便重启后仍然有效：

service iptables save

六、总结

本文详细介绍了在CentOS7中如何查看防火墙开放的端口，涵盖了firewalld和iptables两种工具的使用方法。了解和管理防火墙规则，及时关闭不必要的端口，是保证系统安全的重要措施。管理员应该定期检查系统的开放端口，确保没有多余的端口对外开放，防止潜在的安全风险。

希望本文的内容能够帮助你更好地理解CentOS7防火墙端口管理，提升你对系统安全的掌控力。如果你在操作过程中遇到问题，欢迎随时与我们讨论。