CentOS8作为一款企业级Linux操作系统，在服务器环境中被广泛应用。为了保障系统的安全性，防火墙配置至关重要。防火墙能够有效地过滤和控制网络流量，防止未经授权的访问。本文将详细介绍CentOS8系统的防火墙设置和配置方法，帮助用户了解如何正确配置防火墙，确保系统的安全性。

在CentOS8中，Firewalld是默认的防火墙管理工具。它比传统的iptables更易于使用和管理，能够通过动态规则的方式来进行防火墙配置。本篇文章将从安装、配置到管理等多个方面，全面讲解CentOS8防火墙的使用方法。

一、Firewalld简介

Firewalld是CentOS8中用于管理防火墙的工具，它通过区分不同的区域来管理不同的网络接口，以实现更灵活的防火墙配置。Firewalld的核心概念包括区域（Zone）、服务（Service）和规则（Rule）。其中，区域决定了哪些网络接口可以访问哪些服务，服务则定义了哪些网络应用可以被允许访问。

二、安装Firewalld

在CentOS8中，Firewalld默认已安装。如果您的系统中未安装Firewalld，可以使用以下命令进行安装：

sudo dnf install firewalld

安装完成后，您可以使用以下命令启动并使Firewalld在系统启动时自动启动：

sudo systemctl start firewalld
sudo systemctl enable firewalld

三、Firewalld的基本概念

Firewalld通过“区域”和“服务”来管理防火墙规则。系统默认有多个区域（如：public、internal、dmz等），每个区域的规则集不同，适用于不同的网络环境。每个区域内可以包含多个接口和服务。

四、查看当前防火墙状态

在配置防火墙之前，首先需要检查当前防火墙的状态。可以使用以下命令查看Firewalld的状态：

sudo firewall-cmd --state

该命令会返回当前Firewalld的运行状态（running或not running）。如果返回“not running”，可以使用以下命令启动防火墙：

sudo systemctl start firewalld

五、查看当前防火墙区域

CentOS8默认有多个预定义的防火墙区域，您可以使用以下命令查看当前的区域配置：

sudo firewall-cmd --get-active-zones

该命令会列出所有活动区域及其相关接口。默认情况下，系统通常会使用“public”区域。

六、切换区域

有时，您可能需要根据实际需求切换到不同的区域。您可以使用以下命令将网络接口分配到指定区域：

sudo firewall-cmd --zone=public --change-interface=eth0

在上述命令中，"eth0"是网络接口名称，您可以根据实际情况进行修改。

七、配置Firewalld规则

Firewalld的配置方式主要依赖于规则。每个规则都定义了允许或拒绝某些特定流量的策略。可以通过以下命令添加新的规则：

sudo firewall-cmd --zone=public --add-service=http --permanent

上述命令允许在“public”区域内开放HTTP服务。通过添加"--permanent"选项，规则会被永久保存。若没有添加该选项，规则仅在当前会话中有效。

八、删除防火墙规则

如果您需要删除某个规则，可以使用以下命令：

sudo firewall-cmd --zone=public --remove-service=http --permanent

该命令将删除public区域中的HTTP服务规则。

九、查看已配置的规则

要查看当前所有已配置的规则，可以使用以下命令：

sudo firewall-cmd --zone=public --list-all

该命令会显示当前区域内的所有服务、端口和规则。

十、添加端口规则

如果您需要允许特定的端口访问，可以通过以下命令添加端口规则：

sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent

此命令将在public区域内允许访问TCP协议的8080端口。

十一、重载防火墙配置

每当您添加或删除规则时，都需要重载防火墙配置才能使更改生效。可以使用以下命令重载防火墙配置：

sudo firewall-cmd --reload

十二、开启或关闭防火墙

如果您需要临时关闭防火墙，可以使用以下命令：

sudo systemctl stop firewalld

若要重新启用防火墙，可以使用：

sudo systemctl start firewalld

十三、配置防火墙的IPv6规则

除了配置IPv4规则，您还可以对IPv6进行防火墙设置。CentOS8支持对IPv6流量的控制。默认情况下，Firewalld会同时管理IPv4和IPv6流量。如果需要配置IPv6规则，可以使用以下命令：

sudo firewall-cmd --zone=public --add-service=https --permanent

这个命令会同时对IPv6流量开放HTTPS服务。

十四、测试防火墙配置

完成防火墙规则配置后，可以使用一些网络工具测试规则是否生效。例如，您可以使用"curl"命令或浏览器来测试HTTP/HTTPS服务是否正常工作。此外，您还可以使用"nc"（netcat）工具检查端口是否开放。

十五、总结

通过本文的介绍，您已经了解了CentOS8系统中防火墙的基本配置方法。从安装、启用、防火墙区域配置，到服务、端口规则的管理，Firewalld为用户提供了简洁高效的防火墙管理工具。掌握这些配置方法，您可以根据实际需求灵活调整防火墙设置，保障系统的安全性。

无论是日常的服务器维护，还是应对潜在的安全威胁，防火墙的配置都是必不可少的。在实际工作中，您可以结合不同的服务需求，合理配置防火墙规则，提升服务器的安全防护能力。