Firewalld 是什么

在深入探讨 Firewalld 能否限制带宽之前，先来认识一下 Firewalld 到底是什么。Firewalld 是 Linux 系统上的一款动态防火墙管理工具，它的出现为系统网络安全防护带来了更为便捷和灵活的解决方案 。
随着网络攻击手段日益复杂多样，服务器的安全防护变得愈发重要。Firewalld 作为防火墙管理工具，就像是网络的 “安全卫士”，它依照特定的规则，允许或限制传输的数据通过，从而保护网络免受未经授权的访问和恶意攻击，极大地减少了服务器遭受攻击的风险，提升了整体服务的安全性。
与传统的 iptables 管理方式不同，Firewalld 基于 zones（区域）和 services（服务）进行管理。它将网络连接按照信任等级划分为不同的区域，比如 public（公共区域）、internal（内部区域）、trusted（信任区域）等。不同区域可以设置不同的访问规则，例如 public 区域通常用于公共网络环境，其安全策略相对严格，默认只放行 dhcpv6 - client 和 ssh 服务，其他服务和端口需要手动配置放行规则；而 trusted 区域则对所有流量放行，适用于完全信任的设备或网络 。同时，通过对 services 的定义，Firewalld 可以方便地对特定端口和协议的集合进行管理，比如开启 http 服务，就相当于开放了 80 端口的 TCP 协议访问。这种基于区域和服务的管理方式，使得防火墙的配置更加人性化和易于理解。
Firewalld 并非完全摒弃 iptables，而是对 iptables 的规则管理进行了封装，其内部仍然使用 iptables 或 nftables 作为底层防火墙框架。这就意味着，Firewalld 既继承了 iptables 强大的功能，又通过自身的优化，解决了 iptables 配置复杂、不易管理的问题，为用户提供了更加友好的防火墙管理体验。

Firewalld 常见功能盘点

在了解了 Firewalld 的基本概念之后，接下来看看它都有哪些常见的功能，这些功能在日常的网络管理中又发挥着怎样的作用呢？

端口管理

端口管理是 Firewalld 的一项基础且重要的功能 。在网络通信中，不同的服务使用不同的端口进行数据传输，比如 Web 服务常用 80 端口（HTTP）和 443 端口（HTTPS），SSH 服务使用 22 端口。通过 Firewalld，管理员可以方便地对端口进行控制，决定哪些端口允许被访问，哪些端口需要被关闭。例如，在搭建 Web 服务器时，只需要使用命令sudo firewall-cmd --zone=public --add-port=80/tcp --permanent和sudo firewall-cmd --zone=public --add-port=443/tcp --permanent，就可以将 80 端口和 443 端口开放给公共区域（public zone），使得外部用户能够正常访问 Web 服务 。同时，对于一些暂时不需要的服务端口，如远程桌面服务的 3389 端口（假设服务器未提供该服务），可以通过sudo firewall-cmd --zone=public --remove-port=3389/tcp --permanent命令将其关闭，从而减少潜在的安全风险 。这种对端口的精准控制，有效地保障了网络服务的正常运行和系统的安全性。

区域管理

Firewalld 引入的区域管理概念，为网络管理带来了极大的便利 。它根据网络环境的信任程度划分了多个区域，每个区域都有一套独立的防火墙规则 。比如，public区域适用于公共网络，安全性要求较高，默认只允许少量基本服务（如 SSH、DHCPv6 - client）通过；home区域通常用于家庭网络，信任度相对较高，可以开放更多的服务，如 Samba 文件共享服务等；trusted区域则对所有流量完全放行，适用于完全信任的设备或网络，比如企业内部的核心服务器之间的通信网络 。管理员可以根据网络连接的来源和安全需求，将网络接口分配到不同的区域 。例如，服务器的公网网卡可以分配到public区域，而内网网卡可以分配到internal区域 。通过这种区域化的管理方式，Firewalld 能够更加灵活地应对不同网络环境下的安全需求，实现网络访问的精细化控制 。

IP 伪装

IP 伪装，也被称为网络地址转换（NAT），是 Firewalld 在网络地址处理方面的一个重要功能 。在企业网络或家庭网络中，通常会有多个内部设备使用私有 IP 地址（如 192.168.x.x、10.x.x.x 等），这些私有 IP 地址无法直接在公网上进行通信 。通过 IP 伪装，Firewalld 可以将内部设备的私有 IP 地址转换为一个公网 IP 地址，使得内部设备能够访问互联网 。这不仅解决了公网 IP 地址不足的问题，还隐藏了内部网络结构，增强了网络的安全性 。例如，在一个小型企业网络中，所有员工的办公电脑都使用私有 IP 地址，通过防火墙的 IP 伪装功能，这些电脑可以共享一个公网 IP 地址访问互联网，同时外部网络无法直接访问内部的办公电脑，有效地保护了企业内部网络的安全 。在配置 IP 伪装时，可以使用命令sudo firewall-cmd --zone=external --add-masquerade来启用指定区域（如external区域）的 IP 伪装功能 。

端口转发

端口转发是 Firewalld 实现网络服务发布和访问的一种重要手段 。它允许将一个 IP 地址和端口号的流量映射到另一个 IP 地址和端口上 。在企业网络中，经常会遇到这样的场景：内部服务器使用私有 IP 地址提供服务，为了让外部用户能够访问这些服务，就需要通过端口转发将公网 IP 地址的某个端口映射到内部服务器的相应端口 。比如，内部有一台 Web 服务器，其 IP 地址为 [192.168.1.100](192.168.1.100)，端口为 80，要让外部用户能够通过公网 IP 地址访问该 Web 服务器，可以使用命令sudo firewall-cmd --zone=public --add-rich-rule='rule family=ipv4 destination address=公网IP/32 forward-port port=80 protocol=tcp to-addr=192.168.1.100'，这样外部用户访问公网 IP 的 80 端口时，流量就会被转发到内部 Web 服务器的 80 端口 。端口转发功能使得企业能够在保障内部网络安全的前提下，将内部服务安全地发布到互联网上，满足外部用户的访问需求 。

富规则（Rich Rules）配置

富规则为 Firewalld 提供了一种更为灵活和强大的规则配置方式 。它允许管理员基于多种条件来定义防火墙规则，这些条件包括源 IP 地址、目标 IP 地址、端口号、协议等 。通过富规则，可以实现一些复杂的访问控制策略 。例如，要允许来自特定 IP 段（如 [192.168.1.0/24](192.168.1.0/24)）的设备访问服务器的 SSH 服务（端口 22），可以使用命令sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept'；要拒绝某个 IP 地址（如 [10.0.0.1](10.0.0.1)）访问服务器的所有端口，可以使用命令sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.0.0.1" reject' 。富规则的使用，使得 Firewalld 能够满足各种复杂的网络安全需求，为网络提供更加细致和精准的防护 。

带宽限制的概念和作用

在深入探讨 Firewalld 是否具备带宽限制功能之前，先来理解一下带宽限制的概念以及它在网络管理中的重要作用 。
带宽，简单来说，就是网络传输数据的能力，通常用 Mbps（兆比特每秒）或 Gbps（吉比特每秒）来衡量 。它就像是网络的 “高速公路”，带宽越大，数据传输的速度就越快，能够同时通过的 “车辆”（数据量）也就越多 。例如，100Mbps 的带宽理论上每秒可以传输 12.5MB 的数据（100Mbps÷8 = 12.5MB/s，因为 1 字节 = 8 比特） 。
而带宽限制，就是对网络传输数据的速率进行限制，规定在一定时间内，网络能够传输的数据量上限 。这一限制通常以每秒传输的比特数来衡量，比如常见的 1Mbps、10Mbps 等 。带宽限制实际上就是限制了数据传输的比特率，使得数据传输的速率不能超过设定的限制值 。例如，将某个网络连接的带宽限制为 1Mbps，那么该连接在理想情况下，数据传输的比特率就不能超过 1Mbps，大约每秒只能传输 128KB 的数据（1Mbps÷8 = 128KB/s） 。
在网络管理中，带宽限制有着举足轻重的作用，主要体现在以下几个方面：

避免网络拥塞

在企业网络或家庭网络中，当多个设备同时进行大量数据传输时，如多人同时在线观看高清视频、下载大文件等，如果不对带宽进行限制，就容易导致网络拥塞 。网络拥塞就像高速公路上车辆过多造成的交通堵塞一样，数据传输会变得缓慢甚至中断，严重影响网络体验 。通过设置带宽限制，可以合理分配网络资源，避免个别设备占用过多带宽，确保每个设备都能获得一定的网络传输速率，维持网络的正常运行 。比如，在企业办公室中，限制每个员工的下载带宽为 2Mbps，即使有员工在下载大文件，也不会对其他员工的日常办公网络造成太大影响 。

保证关键业务的网络质量

对于企业来说，有些业务对网络质量要求极高，如视频会议、在线交易系统、远程医疗等 。这些关键业务需要稳定且足够的带宽来保证数据的实时传输和交互 。通过带宽限制，可以优先保障关键业务的网络需求，为其分配足够的带宽资源，确保业务的正常运行 。例如，将视频会议系统的带宽优先级设置为最高，并分配一定的带宽，即使在网络繁忙时，也能保证视频会议的流畅进行，避免出现卡顿、掉线等问题 。

优化网络资源分配

不同的网络应用对带宽的需求各不相同 。一些低带宽需求的应用，如网页浏览、即时通讯等，不需要大量的带宽就能正常运行；而一些高带宽需求的应用，如高清视频播放、大文件下载等，则需要占用较多的带宽 。通过带宽限制，可以根据应用的类型和需求，合理分配网络带宽资源，提高网络资源的利用率 。比如，在家庭网络中，为在线游戏分配较高的带宽，以保证游戏的低延迟和流畅性；为普通的网页浏览分配相对较低的带宽，因为网页浏览对带宽的要求并不高 。这样，既满足了不同应用的需求，又避免了带宽资源的浪费 。

提升网络安全性

带宽限制在一定程度上还可以增强网络的安全性 。一些恶意攻击，如 DDoS（分布式拒绝服务）攻击，会通过大量的流量来耗尽目标服务器的带宽资源，使其无法正常提供服务 。通过设置带宽限制，可以限制单个 IP 地址或设备的流量，当检测到异常的大流量时，及时进行限制或阻断，从而有效地抵御 DDoS 攻击，保护网络的安全 。例如，将单个 IP 地址的访问带宽限制在一定范围内，如果某个 IP 地址在短时间内发起大量的请求，超出了设定的带宽限制，就可以判定为异常流量，并采取相应的防护措施 。

Firewalld 能否限制带宽

那么，回到最初的问题，Firewalld 可以限制带宽么？答案是否定的 ，Firewalld 本身并没有直接限制带宽的功能 。
Firewalld 主要基于 netfilter 框架构建，其核心功能聚焦于包过滤和网络地址转换，旨在实现对网络连接的访问控制 。例如，通过定义规则，决定哪些 IP 地址、端口和协议的数据包可以进入或离开系统，以此保障网络安全 。在日常使用中，我们利用 Firewalld 开放或关闭特定服务的端口，如允许 SSH 服务的 22 端口访问，禁止某些未知来源的 IP 地址访问特定端口等 。这些操作都围绕着网络连接的安全性和合法性进行，与带宽限制所涉及的流量速率控制并无直接关联 。
带宽限制涉及到对网络流量传输速率的精确控制，通常需要借助专门的流量控制工具来实现 。这些工具能够根据预设的规则，对网络数据包的传输速率进行限制和调整，以满足不同的网络需求 。而 Firewalld 的设计初衷和功能定位并不在此，所以无法直接完成带宽限制的任务 。

实现带宽限制的替代方案

虽然 Firewalld 无法直接限制带宽，但在 Linux 系统中，我们可以借助其他工具或技术来实现这一需求，其中较为常用的是 tc（traffic control）命令 。
tc 命令是 Linux 系统中用于流量控制的强大工具，它通过在输出端口处建立队列来实现对网络流量的精细化管理 。其基本原理基于对数据包的排队、分类和调度 。当数据包从网络接口输出时，tc 命令会按照预设的规则，将数据包放入相应的队列中，并根据队列的优先级和带宽分配策略，决定数据包的发送顺序和速率 。例如，在一个繁忙的企业网络中，通过 tc 命令可以将视频会议的数据包放入高优先级队列，并为其分配较大的带宽，确保视频会议的流畅进行；而将普通的文件传输数据包放入低优先级队列，并限制其带宽，避免其占用过多网络资源 。
下面通过一些示例来展示 tc 命令的基本使用方法：

安装 tc 命令

在大多数 Linux 发行版中，tc 命令通常包含在 iproute2 软件包中。如果系统中没有安装该软件包，可以使用以下命令进行安装 ：

# Debian/Ubuntu系统 sudo apt-get install iproute2 # Red Hat/CentOS系统 sudo yum install iproute2

简单带宽限制设置

假设我们要将 eth0 网络接口的出站带宽限制为 1Mbps，可以使用以下命令 ：

sudo tc qdisc add dev eth0 root tbf rate 1mbit latency 100ms burst 1540
在这个命令中 ：

• tc 是流量控制命令 。
• qdisc add 表示添加一个排队规则（queueing discipline） 。
• dev eth0 指定要应用规则的网络接口为 eth0 。
• root 表示该排队规则是根规则 。
• tbf 是 Token Bucket Filter 的缩写，是一种用于限制流量速率的排队规则 。
• rate 1mbit 设置带宽限制为 1Mbps 。
• latency 100ms 设置延迟为 100 毫秒 。
• burst 1540 设置突发流量的大小为 1540 字节 。

基于 IP 地址的带宽限制

如果要对特定 IP 地址的流量进行带宽限制，比如限制 IP 地址为 [192.168.1.100](192.168.1.100) 的设备出站带宽为 512Kbps，可以按照以下步骤进行设置 ：

1. 首先添加一个根排队规则，这里使用 Hierarchical Token Bucket（HTB）规则，它可以实现更灵活的带宽分配和管理 ：

sudo tc qdisc add dev eth0 root handle 1: htb default 10

2. 然后添加一个类（class），用于定义带宽限制 ：

sudo tc class add dev eth0 parent 1: classid 1:1 htb rate 512Kbit ceil 1mbit
这里 rate 512Kbit 设置该类的保证带宽为 512Kbps，ceil 1mbit 设置该类的最大带宽为 1Mbps 。 3. 接着添加一个过滤器（filter），将 IP 地址 [192.168.1.100](192.168.1.100) 的流量关联到刚才创建的类 ：

sudo tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip dst 192.168.1.100/32 flowid 1:1
这样，IP 地址为 [192.168.1.100](192.168.1.100) 的设备出站带宽就被限制在了 512Kbps 。

基于端口的带宽限制

以限制 HTTP 服务（端口 80）的入站带宽为例，假设要将其限制为 2Mbps ：

1. 添加根 HTB 排队规则 ：

sudo tc qdisc add dev eth0 root handle 1: htb default 10

2. 添加类定义带宽 ：

sudo tc class add dev eth0 parent 1: classid 1:1 htb rate 2mbit ceil 4mbit

3. 添加过滤器，根据端口号将 HTTP 流量关联到类 ：

sudo tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip sport 80 0xffff flowid 1:1
这里 match ip sport 80 0xffff 表示匹配源端口为 80 的 IP 数据包 。通过这些设置，就实现了对 HTTP 服务入站带宽的限制 。

综合运用提升网络管理效率

虽然 Firewalld 本身不能直接限制带宽，但在实际的网络管理场景中，我们可以将 Firewalld 与带宽限制工具（如 tc 命令）结合使用，以实现更全面的网络管理 。
例如，在企业网络中，首先利用 Firewalld 的区域管理功能，将企业的内网划分为不同的区域，如办公区域、研发区域、服务器区域等，并根据各区域的安全需求设置相应的访问规则 。同时，对于需要限制带宽的区域或服务，使用 tc 命令进行带宽限制配置 。假设办公区域的员工在上班时间需要进行大量的网络访问，为了避免个别员工的大流量操作（如下载大文件）影响整个办公网络的正常运行，可以在办公区域的网络接口上使用 tc 命令限制每个员工设备的下载带宽为 2Mbps，上传带宽为 512Kbps 。而对于服务器区域，为了保证关键业务服务器（如邮件服务器、Web 服务器）的网络质量，为其分配足够的带宽，并设置较高的带宽优先级 。
通过这种将 Firewalld 与带宽限制工具相结合的方式，我们既可以利用 Firewalld 强大的网络访问控制功能保障网络安全，又可以借助带宽限制工具合理分配网络资源，提升网络的整体性能和稳定性 。在实际操作过程中，需要根据网络的具体需求和环境，灵活调整 Firewalld 和带宽限制工具的配置，以达到最佳的网络管理效果 。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御