在CentOS 7中，默認(rèn)使用firewall代替了iptables service。雖然繼續(xù)保留了iptables命令，但已經(jīng)僅是名稱(chēng)相同而已。除非手動(dòng)刪除firewall再安裝iptables，否

在CentOS 7中，默認(rèn)使用firewall代替了iptables service。雖然繼續(xù)保留了iptables命令，但已經(jīng)僅是名稱(chēng)相同而已。除非手動(dòng)刪除firewall再安裝iptables，否則不能繼續(xù)使用以前的iptables配置方法。

預(yù)定義網(wǎng)絡(luò)服務(wù)

在/usr/lib/firewalld/services目錄中，存放著預(yù)定義的網(wǎng)絡(luò)服務(wù)和端口參數(shù)，僅用于參考，不能修改。這里只定義了一部分通用網(wǎng)絡(luò)服務(wù)。如果需要使用的服務(wù)不在該目錄中定義，也不必增加相關(guān)xml定義文件，后續(xù)可以直接通過(guò)管理命令進(jìn)行添加。

如果需要使用某個(gè)服務(wù)的xml文件，可以從上述目錄中拷貝到/etc/firewalld/services/目錄下，并根據(jù)需要修改端口數(shù)值或自己編寫(xiě)相關(guān)定義。

開(kāi)啟防火墻服務(wù)

首先要啟動(dòng)防火墻服務(wù)（如果防火墻已經(jīng)運(yùn)行，則跳過(guò)此步驟）：

```

systemctl start firewalld

```

開(kāi)放特定服務(wù)

以FTP服務(wù)為例，以下是臨時(shí)開(kāi)放FTP服務(wù)的命令：

```

firewall-cmd --add-serviceftp

```

若要永久開(kāi)放FTP服務(wù)，可以使用如下命令：

```

firewall-cmd --add-serviceftp --permanent

```

如果需要永久關(guān)閉FTP服務(wù)，可以使用以下命令：

```

firewall-cmd --remove-serviceftp --permanent

```

重啟防火墻

為使設(shè)置生效，需要重啟防火墻服務(wù)：

```

systemctl restart firewalld

```

需要注意的是，有兩種方式可以激活最新配置：通過(guò)`systemctl restart firewalld`或`firewall-cmd --reload`。建議使用后者，即"重載配置文件"。重載配置文件后，不會(huì)中斷正在進(jìn)行的TCP會(huì)話(huà)；而重啟服務(wù)則會(huì)導(dǎo)致TCP會(huì)話(huà)中斷。

檢查配置是否生效

可以使用以下命令來(lái)查看設(shè)定是否生效：

```

iptables -L -n | grep 21

```

檢測(cè)防火墻狀態(tài)

可以使用以下命令來(lái)檢測(cè)防火墻狀態(tài)：

```

firewall-cmd --state

```

查看服務(wù)啟動(dòng)狀態(tài)

可以使用以下命令來(lái)查看特定服務(wù)的啟動(dòng)狀態(tài)，比如FTP和SSH：

```

firewall-cmd --query-service ftp

firewall-cmd --query-service ssh

```

顯示防火墻應(yīng)用列表

如果希望查看當(dāng)前防火墻規(guī)則的詳細(xì)信息，可以使用以下命令：

```

firewall-cmd --list-all

```

添加自定義開(kāi)放端口

如果想要添加自定義的開(kāi)放端口，可以使用以下命令：

```

firewall-cmd --add-port8001/tcp

```

以上是在CentOS 7中開(kāi)啟防火墻的一些基本操作和命令。根據(jù)自己的需求，可以使用不同的命令來(lái)配置防火墻，并確保網(wǎng)絡(luò)安全性。