在CentOS7之前,linux系統安全主要是由selinux以及iptables來維護的
在CentOS7中,引入了一個新的服務,Firewalld,這張圖能夠讓大家了解Firewall與iptables之間的關系
話說前面,iptables與firewalld都不是真正的防火墻,他們都只是用來定義防火墻策略功能的“防火墻管理工具”而已
iptables服務會把配置好的防火墻策略提交給內核層面的netfilter網路過濾器來管理;
firewalld服務會把配置好的防火墻策略交給由內核層面的nftables包過濾框架來處理,
也就是說,當前linux系統中其實有多個防火墻管理工具同時存在,他們的作用都是為了方便運維人員管理防火墻策略,只需要配置好其中一個就能發揮出心中想要的效果,
firewalld和iptables services之間最本質不同的是:
-
iptables的組態檔在
/etc/sysconfig/iptables,firewalld的組態檔在/usr/bin/firewalld和/etc/firewalld中的各種XML檔案中, -
使用 iptables service,每一個單獨更改意味著清除所有舊有的規則和從
/etc/sysconfig/iptables里讀取所有新的規則,然而使用firewalld卻不會再創建任何新的規則;僅僅運行規則中的不同之處,因此firewalld可以在運行時間內,改變設定而不丟失現行連接,
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/223873.html
標籤:其他