Firewalld

firewalld 提供一个动态管理的防火墙，支持网络/防火墙区域，用于定义网络连接或接口的信任级别。它支持 IPv4、IPv6 防火墙设置、以太网桥接和 IP 集合。运行时与永久配置选项分离。还为服务或应用程序提供直接添加防火墙规则的接口。

使用 firewalld 的优势
可在运行时环境中立即进行更改，无需重启服务或守护进程。
通过 firewalld 的 D-Bus 接口，服务、应用程序及用户均可轻松调整防火墙设置。该接口功能完整，并被防火墙配置工具 firewall-cmd、firewall-config 和 firewall-applet 使用。
运行时与永久配置的分离使得可以在运行时进行评估和测试。运行时配置仅在下次服务重新加载、重启或系统重启前有效，之后将重新加载永久配置。利用运行时环境，可对仅需短期生效的设置进行配置。若运行时配置已评估完成且正常工作，可将其保存至永久环境。

特性

完整的 D-Bus API
支持 IPv4、IPv6、桥接和 ipset
支持 IPv4 和 IPv6 NAT
防火墙区域
预定义的区域、服务和 ICMP 类型列表
区域中简单处理服务、端口、协议、源端口、伪装、端口转发、ICMP 过滤、丰富规则、接口和源地址
简单服务定义，支持端口、协议、源端口、模块（netfilter 辅助）和目标地址处理
区域中更灵活复杂的规则支持丰富语言
区域中支持定时防火墙规则
简单的被拒绝数据包日志记录
直接接口
锁定模式：仅允许白名单中的应用程序修改防火墙
自动加载 Linux 内核模块
与 Puppet 集成
支持在线和离线配置的命令行客户端
使用 gtk3 的图形化配置工具
基于 Qt5 的面板应用

谁在使用它？
firewalld 作为默认防火墙管理工具，被以下 Linux 发行版采用：

RHEL 7 及更高版本
CentOS 7 及更高版本
Fedora 18 及更高版本
SUSE 15 及更高版本
OpenSUSE 15 及更高版本
也适用于多个其他发行版

支持 firewalld 作为防火墙管理工具的应用程序和库包括：

NetworkManager
libvirt
podman
docker（仅限 iptables 后端）
fail2ban