firewalld 提供了一个动态管理的防火墙，支持网络/防火墙区域，这些区域定义了网络连接或接口的信任级别。它支持 IPv4、IPv6 防火墙设置、以太网桥接和 IP 集合。firewalld 实现了运行时配置和永久配置的分离。此外，它还提供了服务或应用程序直接添加防火墙规则的接口。

使用 firewalld 的优势

可以在运行时环境立即进行更改，无需重启服务或守护进程。

通过 firewalld 的 D-Bus 接口，服务、应用程序以及用户都可以轻松调整防火墙设置。该接口功能完整，被防火墙配置工具 firewall-cmd、firewall-config 和 firewall-applet 所使用。

运行时配置与永久配置的分离，使得可以在运行时进行评估和测试。运行时配置仅在下一次服务重新加载、重启或系统重启前有效。之后将重新加载永久配置。通过运行时环境，可以设置仅在有限时间内有效的规则。如果运行时配置已用于评估，并且完整且正常工作，则可以将其保存到永久配置中。

功能特性

完整的 D-Bus API
支持 IPv4、IPv6、桥接和 IP 集合
支持 IPv4 和 IPv6 的 NAT
防火墙区域
预定义的区域、服务和 ICMP 类型列表
区域中简单的服务、端口、协议、源端口、端口映射、伪装、ICMP 过滤、复杂规则、接口和源地址处理
简单服务定义，支持端口、协议、源端口、模块（netfilter 辅助模块）和目标地址处理
区域中的丰富语言，支持更灵活和复杂的规则
区域中的定时防火墙规则
对被拒绝数据包的简单日志记录
直接接口
锁定模式：白名单应用程序，以防止其修改防火墙
自动加载 Linux 内核模块
与 Puppet 的集成
支持在线和离线配置的命令行客户端
基于 gtk3 的图形化配置工具
基于 Qt5 的小工具（applet）

谁在使用它？

firewalld 被以下 Linux 发行版作为默认防火墙管理工具使用：

RHEL 7 及更高版本
CentOS 7 及更高版本
Fedora 18 及更高版本
SUSE 15 及更高版本
OpenSUSE 15 及更高版本
在多个其他发行版中也提供支持

支持 firewalld 作为防火墙管理工具的应用程序和库包括：

NetworkManager
libvirt
podman
docker（仅限 iptables 后端）
fail2ban