centos7之iptables与firewalld

保障数据的安全性是继保障数据的可用性之后最为重要的一项工作。防火墙作为公网 与内网之间的保护屏障，在保障数据的安全性方面起着至关重要的作用。

firewalld与iptables
iptables
firewall-cmd
firewall-config
TCP Wrappers

在生产环境公网条件下，黑客丛生、罪恶漫天，企业会在公网和内网之间砌一座保护墙，这个就叫做防火墙，有软件和硬件之分，其原理都是依据策略对穿越防火墙自身的流量过滤。

centos7 　　firewalld
centos6 　　iptables

iptables 与 firewalld 都不是真正的防火墙， 它们都只是用来定义防火墙策略的防火墙管理工具，是一种服务。

策略和规则链

防火墙会从上至下的顺序来读取配置的策略规则，在找到匹配项后就立即结束匹配工作 并去执行匹配项中定义的行为(即放行或阻止)。如果在读取完所有的策略规则之后没有匹配 项，就去执行默认的策略。一般而言，防火墙策略规则的设置有两种:一种是“通”(即放行)， 一种是“堵”(即阻止)。当防火墙的默认策略为拒绝时(堵)，就要设置允许规则(通)，否则 谁都进不来;如果防火墙的默认策略为允许时，就要设置拒绝规则，否则谁都能进来，防火墙 也就失去了防范的作用。

iptables 服务把用于处理或过滤流量的策略条目称之为规则，多条规则可以组成一个规则 链，而规则链则依据数据包处理位置的不同进行分类，具体如下:

➢ 在进行路由选择前处理数据包(PREROUTING);

➢ 处理流入的数据包(INPUT); 　　最长用的规则链
➢ 处理流出的数据包(OUTPUT);
➢ 处理转发的数据包(FORWARD);

➢ 在进行路由选择后处理数据包(POSTROUTING)。 



比如咱们住的小区，物业有个规定：禁止共享单车入内，各种车辆进入需要登记。可见这俩规则用于小区的正门（流量必经的地方）。
防火墙策略如同物业的规定，
第一条策略：
共享单车禁止入内，无须登记。
第二条策略：
其他车辆需要登记入内。
默认策略：
小区居民可以直接入内。

仅仅有策略还不能保证小区（服务器）的安全，保安（防火墙）不知道用什么动作处理匹配的流量，比如“accept”、