centos7之iptables與firewalld

保障數據的安全性是繼保障數據的可用性之后最為重要的一項工作。防火牆作為公網 與內網之間的保護屏障，在保障數據的安全性方面起着至關重要的作用。

firewalld與iptables
iptables
firewall-cmd
firewall-config
TCP Wrappers

在生產環境公網條件下，黑客叢生、罪惡漫天，企業會在公網和內網之間砌一座保護牆，這個就叫做防火牆，有軟件和硬件之分，其原理都是依據策略對穿越防火牆自身的流量過濾。

centos7 　　firewalld
centos6 　　iptables

iptables 與 firewalld 都不是真正的防火牆， 它們都只是用來定義防火牆策略的防火牆管理工具，是一種服務。

策略和規則鏈

防火牆會從上至下的順序來讀取配置的策略規則，在找到匹配項后就立即結束匹配工作 並去執行匹配項中定義的行為(即放行或阻止)。如果在讀取完所有的策略規則之后沒有匹配 項，就去執行默認的策略。一般而言，防火牆策略規則的設置有兩種:一種是“通”(即放行)， 一種是“堵”(即阻止)。當防火牆的默認策略為拒絕時(堵)，就要設置允許規則(通)，否則 誰都進不來;如果防火牆的默認策略為允許時，就要設置拒絕規則，否則誰都能進來，防火牆 也就失去了防范的作用。

iptables 服務把用於處理或過濾流量的策略條目稱之為規則，多條規則可以組成一個規則 鏈，而規則鏈則依據數據包處理位置的不同進行分類，具體如下:

➢ 在進行路由選擇前處理數據包(PREROUTING);

➢ 處理流入的數據包(INPUT); 　　最長用的規則鏈
➢ 處理流出的數據包(OUTPUT);
➢ 處理轉發的數據包(FORWARD);

➢ 在進行路由選擇后處理數據包(POSTROUTING)。 



比如咱們住的小區，物業有個規定：禁止共享單車入內，各種車輛進入需要登記。可見這倆規則用於小區的正門（流量必經的地方）。
防火牆策略如同物業的規定，
第一條策略：
共享單車禁止入內，無須登記。
第二條策略：
其他車輛需要登記入內。
默認策略：
小區居民可以直接入內。

僅僅有策略還不能保證小區（服務器）的安全，保安（防火牆）不知道用什么動作處理匹配的流量，比如“accept”、