2.8. 为特定区域自定义防火墙设置来增强安全性

流程

1. 列出可用的防火墙区域：

   # firewall-cmd --get-zones

   Copy to Clipboard Toggle word wrap

   firewall-cmd --get-zones 命令显示系统上所有可用的区，但不显示特定区的详情。要查看所有区域的详情，请使用 firewall-cmd --list-all-zones 命令。

2. 选择您要用于此配置的区域。

3. 修改所选区域的防火墙设置。例如，要允许 SSH 服务并删除 ftp 服务：

   # firewall-cmd --add-service=ssh --zone=<your_chosen_zone>
   # firewall-cmd --remove-service=ftp --zone=<same_chosen_zone>

   Copy to Clipboard Toggle word wrap

4. 向防火墙区域分配一个网络接口：

   1. 列出可用的网络接口：

      # firewall-cmd --get-active-zones

      Copy to Clipboard Toggle word wrap

      区域的活动是由网络接口或匹配其配置的源地址范围的存在来确定的。默认区域对于未分类的流量是处于活跃状态的，但如果没有流量匹配其规则，则不总是处于活跃状态。

   2. 向所选区分配一个网络接口：

      # firewall-cmd --zone=<your_chosen_zone> --change-interface=<interface_name> --permanent

      Copy to Clipboard Toggle word wrap

      向区域分配一个网络接口更适合于将一致的防火墙设置应用到特定接口（物理的或虚拟的）上的所有流量。

      当与 --permanent 选项一起使用时，firewall-cmd 命令通常涉及更新 NetworkManager 连接配置文件，以使对防火墙配置的更改永久。firewalld 和 NetworkManager 之间的这种集成确保一致的网络和防火墙设置。

验证

1. 显示您选择的区域的更新设置：

   # firewall-cmd --zone=<your_chosen_zone> --list-all

   Copy to Clipboard Toggle word wrap

   命令输出显示所有区域设置，包括分配的服务、网络接口和网络连接（源）。