CentOS防火墙管理：查看与关闭全流程指南

在CentOS系统中，防火墙是保障服务器安全的重要组件。正确管理防火墙状态对于系统安全性和业务连续性至关重要。本文将详细介绍如何查看和关闭CentOS系统中的防火墙，帮助用户根据实际需求进行安全配置。

一、CentOS防火墙体系概述

CentOS系统主要使用两种防火墙管理工具：firewalld（CentOS 7及以后版本默认）和iptables（传统工具，仍广泛使用）。理解这两种工具的差异和适用场景是进行有效管理的基础。

1.1 firewalld特点

firewalld是CentOS 7引入的动态防火墙管理器，采用区域（zone）概念管理网络连接和接口。主要特点包括：

• 动态规则更新（无需重启）
• 基于服务/端口的规则定义
• 支持网络接口绑定到特定区域
• 提供D-Bus接口供程序调用

1.2 iptables特点

iptables是Linux内核netfilter框架的用户空间工具，采用表（tables）、链（chains）和规则（rules）结构：

• 成熟稳定，广泛兼容
• 规则配置精细但复杂
• 修改后需要重载或重启生效
• 仍被许多旧系统和特定应用使用

二、查看防火墙状态

2.1 使用firewalld查看状态

# 检查firewalld服务状态
systemctl status firewalld
# 查看活跃区域和规则
firewall-cmd --list-all
# 查看默认区域
firewall-cmd --get-default-zone
# 查看所有可用区域
firewall-cmd --get-zones

输出解析：

• active (running)表示服务正在运行
• --list-all显示区域名称、接口、服务、端口等完整信息
• 默认区域影响未明确指定区域时的连接处理

2.2 使用iptables查看状态

# 查看iptables规则（过滤表）
iptables -L -n -v
# 查看nat表规则
iptables -t nat -L -n -v
# 查看mangle表规则
iptables -t mangle -L -n -v

参数说明：

• -L：列出规则
• -n：禁用域名解析（显示IP和端口号）
• -v：详细输出（显示数据包计数等）
• -t：指定表类型（filter/nat/mangle/raw）

三、关闭防火墙操作指南

3.1 临时关闭firewalld

# 停止firewalld服务（临时生效）
systemctl stop firewalld
# 验证服务状态
systemctl status firewalld | grep Active

适用场景：需要立即开放所有网络访问的紧急调试场景。

3.2 永久关闭firewalld

# 禁用firewalld自启动
systemctl disable firewalld
# 停止并禁用服务（推荐操作顺序）
systemctl stop firewalld && systemctl disable firewalld
# 验证设置
systemctl is-enabled firewalld

注意事项：

• 禁用自启动可防止系统重启后防火墙自动启动
• 生产环境建议先在测试环境验证

3.3 卸载firewalld（彻底移除）

# 查询firewalld相关包
rpm -qa | grep firewalld
# 卸载firewalld及其依赖
yum remove firewalld firewall-config firewall-applet
# 验证卸载
rpm -q firewalld

风险提示：

• 卸载后将失去所有firewalld功能
• 确保已有替代防火墙方案（如iptables）

3.4 使用iptables的关闭方法

# 清空所有iptables规则
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
# 设置默认策略为ACCEPT（允许所有）
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
# 保存规则（根据系统不同）
# CentOS 6
service iptables save
# CentOS 7+（需安装iptables-services）
yum install iptables-services
systemctl stop iptables
systemctl disable iptables

重要安全提示：

• 完全清空规则前确保在受控网络环境
• 建议先备份规则：iptables-save > /root/iptables_backup.txt

四、安全操作建议

4.1 生产环境最佳实践

1. 优先使用白名单策略：仅开放必要端口和服务
2. 分阶段操作：先查看确认，再逐步修改
3. 保持规则文档：记录所有防火墙变更
4. 定期审计：每月检查规则有效性

4.2 替代方案考虑

• 云服务器安全组：优先使用云平台提供的安全组功能
• 第三方防火墙：如CSF(ConfigServer Security & Firewall)
• 入侵检测系统：配合Fail2ban等工具增强安全

4.3 应急处理流程

1. 立即通过控制台或iLO访问服务器
2. 临时开放ICMP和SSH（如需远程管理）
3. 逐步恢复必要服务端口
4. 记录所有变更并通知相关团队

五、常见问题解答

Q1：关闭防火墙后如何恢复？
A：根据之前的方法，启动服务即可：

systemctl start firewalld  # 对于firewalld
systemctl enable firewalld # 恢复自启动
# 或对于iptables
systemctl start iptables
iptables-restore < /etc/sysconfig/iptables

Q2：如何查看防火墙是否阻止了特定端口？
A：

# firewalld方式
firewall-cmd --query-port=80/tcp
# iptables方式
iptables -L -n | grep 80

Q3：CentOS 8默认使用nftables，如何管理？
A：CentOS 8开始默认使用nftables（iptables的后端实现），但提供兼容层：

# 查看nft规则
nft list ruleset
# 使用iptables命令（实际转换为nft）
iptables -L

六、总结与展望

正确管理CentOS防火墙需要理解不同工具的特性，并根据实际场景选择合适的方法。对于生产环境，建议：

1. 在非业务高峰期进行防火墙变更
2. 使用配置管理工具（如Ansible）自动化规则
3. 建立变更审批流程
4. 定期进行安全渗透测试

未来Linux防火墙技术可能向更智能、自动化的方向发展，但基础管理技能仍是系统管理员的核心能力。掌握本文介绍的方法，将帮助您在保障系统安全的同时，灵活应对各种网络访问需求。