centos 7中防火墻是一個非常的強大的功能了，但對于centos 7中在防火墻中進行了升級了，下面我們一起來詳細的看看關于centos 7中防火墻使用方法。

FirewallD 提供了支持網絡/防火墻區域(zone)定義網絡鏈接以及接口安全等級的動態防火墻管理工具。它支持 IPv4, IPv6 防火墻設置以及以太網橋接，并且擁有運行時配置和永久配置選項。它也支持允許服務或者應用程序直接添加防火墻規則的接口。 以前的 system-config-firewall/lokkit 防火墻模型是靜態的，每次修改都要求防火墻完全重啟。這個過程包括內核 netfilter 防火墻模塊的卸載和新配置所需模塊的裝載等。而模塊的卸載將會破壞狀態防火墻和確立的連接。

相反，firewall daemon 動態管理防火墻，不需要重啟整個防火墻便可應用更改。因而也就沒有必要重載所有內核防火墻模塊了。不過，要使用 firewall daemon 就要求防火墻的所有變更都要通過該守護進程來實現，以確保守護進程中的狀態和內核里的防火墻是一致的。另外，firewall daemon 無法解析由 ip*tables 和 ebtables 命令行工具添加的防火墻規則。

守護進程通過 D-BUS 提供當前激活的防火墻設置信息，也通過 D-BUS 接受使用 PolicyKit 認證方式做的更改。

“守護進程”
應用程序、守護進程和用戶可以通過 D-BUS 請求啟用一個防火墻特性。特性可以是預定義的防火墻功能，如：服務、端口和協議的組合、端口/數據報轉發、偽裝、ICMP 攔截或自定義規則等。該功能可以啟用確定的一段時間也可以再次停用。

通過所謂的直接接口，其他的服務(例如 libvirt )能夠通過 iptables 變元(arguments)和參數(parameters)增加自己的規則。

amanda 、ftp 、samba 和 tftp 服務的 netfilter 防火墻助手也被“守護進程”解決了,只要它們還作為預定義服務的一部分。附加助手的裝載不作為當前接口的一部分。由于一些助手只有在由模塊控制的所有連接都關閉后才可裝載。因而，跟蹤連接信息很重要，需要列入考慮范圍。

靜態防火墻(system-config-firewall/lokkit)

使用 system-config-firewall 和 lokkit 的靜態防火墻模型實際上仍然可用并將繼續提供，但卻不能與“守護進程”同時使用。用戶或者管理員可以決定使用哪一種方案。

在軟件安裝，初次啟動或者是首次聯網時，將會出現一個選擇器。通過它你可以選擇要使用的防火墻方案。其他的解決方案將保持完整，可以通過更換模式啟用。

firewall daemon 獨立于 system-config-firewall，但二者不能同時使用。

使用iptables和ip6tables的靜態防火墻規則

如果你想使用自己的 iptables 和 ip6tables 靜態防火墻規則, 那么請安裝 iptables-services 并且禁用 firewalld ，啟用 iptables 和ip6tables:

yum install iptables-servicessystemctl mask firewalld.servicesystemctl enable iptables.servicesystemctl enable ip6tables.service

靜態防火墻規則配置文件是 /etc/sysconfig/iptables 以及 /etc/sysconfig/ip6tables .

注： iptables 與 iptables-services 軟件包不提供與服務配套使用的防火墻規則. 這些服務是用來保障兼容性以及供想使用自己防火墻規則的人使用的. 你可以安裝并使用 system-config-firewall 來創建上述服務需要的規則. 為了能使用 system-config-firewall, 你必須停止 firewalld.

為服務創建規則并停用 firewalld 后，就可以啟用 iptables 與 ip6tables 服務了:

systemctl stop firewalld.servicesystemctl start iptables.servicesystemctl start ip6tables.service