刚才也说了，firewalld是有区域的概念，现在许多的硬件防火墙也有划分区域，例如华为防火墙，可以手动的某一个接口或者多个接口划入到指定的区域下，添加策略时需要选择区域，例如从UNtrust到trust区域。

firewalld默认区域划分如下：

—block

适合于：任何传入的网络连接都会被拒绝，并对 IPv4 显示 icmp-host-prohibited 消息，对 IPv6 显示 icmp6-adm-prohibited 消息。

接受：只有从系统内启动的网络连接。

—dmz

适用于：DMZ 中可使用访问您的内部网的有限权限公开访问的计算机。

接受: 只有所选的传入连接。

—drop

适合于：任何被丢失，但没有任何通知的传入网络数据包。

接受：只有传出的网络连接。

—external

适用于：启用了伪装的外部网络，特别是路由器。不信任网络上其他计算机的情况。

接受: 只有所选的传入连接。

—home

适用于：家庭环境，基本上信任网络上的其他计算机。

接受: 只有所选的传入连接。

—internal

适用于：内部网络，基本上信任网络上其他计算机的。

接受: 只有所选的传入连接。

—public

适用于：公共区域，不信任网络上的其他计算机。

接受: 只有所选的传入连接。

—trusted

接受：所有网络连接。

—work

适用于：工作环境，信任大多数网络上的其他计算机。

接受: 只有所选的传入连接。

当接口连接被添加到 NetworkManager 中时，它们会被分配到默认区。初次安装时firewalld 中的默认区域是 public 区域。同时可以更改默认区域。

同时firewalld有如下原则

1、流量只流入一个区域。

2、流量只流出一个区域。

3、一个区域定义一个信任级别。

4、默认允许区域内流量（在同一区域内）。

5、默认拒绝区域内流量（从区域到区域）。

我们再添加防火墙策略时网络需要某些参数，例如源IP地址、目的IP地址、目的端口、协议、动作等等这些参数，一般就只需要者四种参数，源端口一般是不需要的，因为普通的请求发起方往往源端口是随机的，无法指定，只有一些特殊的服务源端口才是固定。

例如要放开访问本机的22号端口，那么策略可以这样使用：

这样就放开访问本机的ssh服务，如果你的ssh服务改了默认的端口，那么就不能用这个了，就需要改成下边这样的：

firewall-cmd --zone=public --add-port=22/tcp

如果你想要你的这条策略永久保存，那么还应该加上一个永久保存的参数，不然你下次重启服务器这条策略就没了，应该如下：

firewall-cmd --zone=public --add-service=ssh --permanent

在后边加一条--permanent参数即可

现在防火墙都有地址对象、地址组这个功能，就是可以把许多地址加到一个组里，然后策略里面去引用这个地址组，firewalld也有这个。

首先我们创建一个地址组，地址组名称为test123

firewall-cmd --permanent --new-ipset=test123 --type=hash:ip

然后我们加入我们要增加10.10.10.0/24、20.20.20.0/24这两个个地址段，又不想单独加一条策略，那么就需要将两个地址段加入到这个组内，然后引用。

firewall-cmd --permanent --ipset=test123--add-entry=10.10.10.0/24firewall-cmd --permanent --ipset=test123--add-entry=20.20.20.0/24

创建一条引用的策略

firewall-cmd --permanent --zone=public --add-source=ipset:test123

重新载入防火墙配置启用这条策略

firewall-cmd --reload

然后使用firewalld --get-ipsets就可以看到

看下这个地址组里面有那些地址

看看public这个区域的策略情况

大家可能也注意到了，我们上述添加策略时只用了一部分参数，例如区域、源地址或者目的端口，那么为啥源地址和源端口不一起用呢，那是因为firewalld默认上同时只支持一个参数的变化，两个参数会造成互斥，不像iptables可以加一条参数，有许多参数，当然firewalld也有办法添加多个参数的策略，那就是“富规则”。