防火墻技術是通過有機結合各類用于安全管理與篩選的軟件和硬件設備，幫助計算機網絡于其內、外網之間構建一道相對隔絕的保護屏障，以保護用戶資料與信息安全性的一種技術。Firewalld旨在讓防火墻的配置工作盡可能簡單。它通過建立域(zone)來實現這個目標。一個域是一組的合理、通用的規則，這些規則適配大部分用戶的日常需求。下面為大家詳細介紹Linux防火墻的域。

一、防火墻的9個域

默認情況下linux防火墻有9個域：

1.trusted：接受所有的連接。這是最不偏執的防火墻設置，只能用在一個完全信任的環境中，如測試實驗室或網絡中相互都認識的家庭網絡中。

2.home

3.work

4.internal：在上述的三個域中，接受大部分進來的連接。它們各自排除了預期不活躍的端口進來的流量。這三個都適合用于家庭環境中，因為在家庭環境中不會出現端口不確定的網絡流量，在家庭網絡中你一般可以信任其他的用戶。

5.public：用于公共區域內。這是個偏執的設置，當你不信任網絡中的其他計算機時使用。只能接收選定的常見和最安全的進入連接。

6.dmz：DMZ 表示隔離區。這個域多用于可公開訪問的、位于機構的外部網絡、對內網訪問受限的計算機。對于個人計算機，它沒什么用，但是對某類服務器來說它是個很重要的選項。

7.external：用于外部網絡，會開啟偽裝（你的私有網絡的地址被映射到一個外網 IP 地址，并隱藏起來）。跟 DMZ 類似，僅接受經過選擇的傳入連接，包括 SSH。

8.block：僅接收在本系統中初始化的網絡連接。接收到的任何網絡連接都會被 icmp-host-prohibited 信息拒絕。這個一個極度偏執的設置，對于某類服務器或處于不信任或不安全的環境中的個人計算機來說很重要。

9.drop：接收的所有網絡包都被丟棄，沒有任何回復。僅能有發送出去的網絡連接。比這個設置更極端的辦法，唯有關閉 WiFi 和拔掉網線。

你可以查看你發行版本的所有域，或通過配置文件 /usr/lib/firewalld/zones 來查看管理員設置。

舉個例子：

下面是 Fefora 31 自帶的 FedoraWorkstation 域：

$ cat /usr/lib/firewalld/zones/FedoraWorkstation.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
??<short>Fedora Workstation</short>
??<description>Unsolicited incoming network packets are rejected from port 1 to 1024, except for select network services. Incoming packets that are related to outgoing network connections are accepted. Outgoing network connections are allowed.</description>
??<service name="dhcpv6-client"/>
??<service name="ssh"/>
??<service name="samba-client"/>
??<port protocol="udp" port="1025-65535"/>
??<port protocol="tcp" port="1025-65535"/>
</zone>

二、獲取當前的域

任何時候你都可以通過 --get-active-zones 選項來查看你處于哪個域：

$ sudo firewall-cmd --get-active-zones

輸出結果中，會有當前活躍的域的名字和分配給它的網絡接口。筆記本電腦上，在默認域中通常意味著你有個 WiFi 卡：

FedoraWorkstation
??interfaces: wlp61s0

三、修改你當前的域

要更改你的域，請將網絡接口重新分配到不同的域。例如，把例子中的 wlp61s0 卡修改為 public 域：

$ sudo firewall-cmd --change-interface=wlp61s0 --zone=public

你可以在任何時候、任何理由改變一個接口的活動域 —— 無論你是要去咖啡館，覺得需要增加筆記本的安全策略，還是要去上班，需要打開一些端口進入內網，或者其他原因。在你憑記憶學會 firewall-cmd 命令之前，你只要記住了關鍵詞 change 和 zone，就可以慢慢掌握，因為按下 Tab 時，它的選項會自動補全。

事實上，Linux防火墻的功能是十分強大的，并不僅僅局限于對域的修改和獲取，比如自定義已存在的域，設置默認域，等等。你對防火墻越了解，你在網上的活動就越安全，想要深入了解Linux防火墻的小伙伴可以觀看本站的Linux教程，學習更多Linux防火墻的用法。