---在系統(tǒng)安全管理中，F(xiàn)irewallD扮演著至關(guān)重要的角色。它使用兩個配置集：運行時和持久。運行時配置的更改在系統(tǒng)重新啟動或重新加載FirewallD時不會被保留，而對持久配置集的更改則不會立即應(yīng)

---

在系統(tǒng)安全管理中，F(xiàn)irewallD扮演著至關(guān)重要的角色。它使用兩個配置集：運行時和持久。運行時配置的更改在系統(tǒng)重新啟動或重新加載FirewallD時不會被保留，而對持久配置集的更改則不會立即應(yīng)用于正在運行的系統(tǒng)。所有這些配置文件都保存在 `/etc/firewalld` 下，并且這些文件將覆蓋默認配置。

運行時與持久性規(guī)則設(shè)置

默認情況下，`firewall-cmd` 命令適用于運行時配置。然而，通過添加 `--permanent` 標(biāo)志，可以將規(guī)則保存到持久配置中。要添加和激活持久性規(guī)則，有兩種方法：將規(guī)則同時添加到持久規(guī)則集和運行時規(guī)則集中。

添加規(guī)則到持久性規(guī)則集

將規(guī)則添加到持久規(guī)則集后，通過重新加載FirewallD，可以使其應(yīng)用生效。`reload` 命令會刪除所有運行時配置并應(yīng)用永久配置。由于firewalld動態(tài)管理規(guī)則集，因此它不會中斷現(xiàn)有的連接和會話。

設(shè)置防火墻區(qū)域

防火墻設(shè)置往往伴隨著不同的區(qū)域設(shè)置。首次啟用FirewallD后，`public` 將成為默認區(qū)域。例如，在 `external` 區(qū)域可能只允許 HTTP 和 SSH 服務(wù)。若未明確將接口分配給特定區(qū)域，則它們將自動添加到默認區(qū)域中。如需確認默認區(qū)域，可以通過相應(yīng)命令找到。

修改默認區(qū)域

每個區(qū)域允許不同的網(wǎng)絡(luò)服務(wù)和入站流量類型，同時拒絕其他流量?？梢愿鶕?jù)需要修改默認區(qū)域設(shè)置，以增強網(wǎng)絡(luò)安全性。

查看網(wǎng)絡(luò)接口區(qū)域

了解網(wǎng)絡(luò)接口所處的區(qū)域非常重要。通過輸出網(wǎng)絡(luò)接口的區(qū)域信息，可以更好地進行審查。此外，F(xiàn)irewallD提供了各種信任級別的預(yù)定義規(guī)則集，可供參考。

配置所有區(qū)域

逐個配置所有區(qū)域，根據(jù)特定網(wǎng)絡(luò)服務(wù)的預(yù)定義規(guī)則來允許相關(guān)流量。除了使用系統(tǒng)預(yù)定義規(guī)則外，還可以創(chuàng)建自定義規(guī)則，并將其添加到所需的區(qū)域中，從而進一步加強系統(tǒng)的安全性。

通過以上最佳實踐，可以有效地配置FirewallD前端控制器，確保系統(tǒng)在面臨網(wǎng)絡(luò)威脅時能夠提供良好的保護，并保障數(shù)據(jù)的安全傳輸與存儲。