firewalld 的區(qū)域配置關(guān)鍵在于理解不同區(qū)域的適用場景并進(jìn)行合理分配。默認(rèn)區(qū)域如 public 適用于公共網(wǎng)絡(luò)，trusted 用于完全信任的環(huán)境，home 和 work 適合家庭或辦公網(wǎng)絡(luò)，block 和 drop 用于高安全性場景。要查看默認(rèn)區(qū)域使用 firewall-cmd --get-default-zone，修改默認(rèn)區(qū)域用 sudo firewall-cmd --set-default-zone=zone_name。為網(wǎng)卡分配區(qū)域可用 sudo firewall-cmd --zone=zone_name --change-interface=interface_name，加 --permanent 可持久化設(shè)置。配置規(guī)則時可通過 --add-service 或 --add-port 開放服務(wù)或端口，加 --permanent 并執(zhí)行 reload 使配置生效。查看區(qū)域信息用 firewall-cmd --info-zone=zone_name，臨時切換區(qū)域可用于測試。掌握這些核心操作即可靈活管理 firewalld 區(qū)域配置。

配置 firewalld 的防火墻區(qū)域其實(shí)并不復(fù)雜，關(guān)鍵是要理解每個區(qū)域的作用和適用場景。firewalld 是 Linux 系統(tǒng)中常用的動態(tài)防火墻管理工具，它通過“區(qū)域（zones）”來控制不同網(wǎng)絡(luò)環(huán)境下的訪問策略。你可以把區(qū)域想象成不同的安全等級，比如家里是信任區(qū)域，公司是限制較多的區(qū)域，而公共 Wi-Fi 就是高度限制的區(qū)域。

下面是一些實(shí)用的操作建議，幫助你更好地理解和配置 firewalld 的區(qū)域設(shè)置。

了解默認(rèn)區(qū)域

firewalld 默認(rèn)有幾個預(yù)定義的區(qū)域，比如 public、home、trusted、work 等。它們各自有不同的安全級別：

• public：最常用的默認(rèn)區(qū)域，適合公共網(wǎng)絡(luò)環(huán)境，只允許基本的服務(wù)
• trusted：完全信任的網(wǎng)絡(luò)，不設(shè)限制
• home 和 work：適用于家庭或辦公環(huán)境，允許一些常見服務(wù)
• block 和 drop：安全性最高，會丟棄大部分連接請求

你可以用以下命令查看當(dāng)前系統(tǒng)使用的默認(rèn)區(qū)域：

firewall-cmd --get-default-zone

如果想修改默認(rèn)區(qū)域，可以使用：

sudo firewall-cmd --set-default-zone=home

給網(wǎng)卡分配區(qū)域

一個常見的需求是為不同的網(wǎng)絡(luò)接口分配不同的區(qū)域。比如 eth0 接口用于對外提供服務(wù)，可以設(shè)為 public；而 eth1 是內(nèi)部網(wǎng)絡(luò)接口，可以設(shè)為 trusted。

使用下面的命令查看各個接口所屬的區(qū)域：

firewall-cmd --get-active-zones

要為某個接口指定區(qū)域，可以用：

sudo firewall-cmd --zone=internal --change-interface=eth1

注意：這個設(shè)置重啟后會失效，除非加上 --permanent 參數(shù)：

sudo firewall-cmd --permanent --zone=internal --change-interface=eth1

配置區(qū)域規(guī)則（開放端口/服務(wù)）

每個區(qū)域都可以自定義放行哪些服務(wù)或端口。例如，在 public 區(qū)域中，你想允許 HTTP 流量：

sudo firewall-cmd --add-service=http --zone=public

或者直接開放某個端口：

sudo firewall-cmd --add-port=8080/tcp --zone=public

這些臨時添加的規(guī)則在重啟后會失效，記得加 --permanent 來持久化保存：

sudo firewall-cmd --permanent --add-service=http --zone=public

然后執(zhí)行重載命令使配置生效：

sudo firewall-cmd --reload

查看和調(diào)試區(qū)域配置

如果你不確定某個區(qū)域是否生效，可以通過以下命令查看詳細(xì)信息：

firewall-cmd --info-zone=public

這會列出該區(qū)域的所有規(guī)則、服務(wù)、端口等信息，方便排查問題。

另外，也可以臨時切換區(qū)域進(jìn)行測試：

sudo firewall-cmd --zone=trusted --change-interface=eth0

但要注意，這種臨時切換不會影響其他接口的設(shè)置。

總的來說，firewalld 的區(qū)域機(jī)制雖然功能強(qiáng)大，但只要掌握了幾個核心命令，就能靈活應(yīng)對各種網(wǎng)絡(luò)環(huán)境的需求?；旧暇瓦@些操作，別忘了每次修改完都要 reload 才能生效。

? ??? ??? Zones Firewalld? ???? ??? ?? ?????. ??? ??? PHP ??? ????? ?? ?? ??? ?????!