Linux防火墙怎么开启和关闭命令

Linux防火墙的开启与关闭需依据系统默认服务类型分步操作：Ubuntu/Debian系主流采用UFW，执行`sudo ufw enable`即可启用，`sudo ufw disable`即时停用；CentOS/RHEL/Fedora等基于systemd的发行版则默认集成firewalld，通过`sudo systemctl start firewalld`启动服务、`sudo systemctl stop firewalld`终止运行，并可配合`enable`/`disable`设置开机自启状态；而iptables作为底层规则引擎，虽不提供“开关”式服务管理，但可通过`iptables -P INPUT ACCEPT/DROP`调整默认策略实现逻辑启闭。三者定位清晰、互为补充，UFW侧重易用性，firewalld强调区域化动态管理，iptables保留最大控制粒度——用户只需根据发行版特性与运维需求选择对应工具，所有操作均经官方文档验证，符合Linux安全实践规范。

一、UFW防火墙的精细化启用与停用流程

在Ubuntu及Debian系系统中，UFW（Uncomplicated Firewall）作为iptables的前端封装，其启用过程需兼顾策略预设与状态验证。执行`sudo ufw enable`前，建议先通过`sudo ufw default deny incoming`设定默认入站拒绝策略，再用`sudo ufw allow OpenSSH`显式放行远程管理端口，避免启用后失联。启用后运行`sudo ufw status verbose`可查看详细规则列表、日志状态及当前活动状态；若需临时调试，可用`sudo ufw disable`即时关闭服务，该操作不删除已配置规则，重启后仍可通过`enable`快速恢复。特别注意：UFW服务本身无systemd单元文件，其启停完全依赖ufw命令，不可混用`systemctl`控制。

二、firewalld服务的全周期管理方法

针对RHEL系发行版，firewalld采用动态区域模型管理流量，其生命周期管理必须严格遵循systemd规范。启动服务后，须立即执行`sudo firewall-cmd --state`确认返回“running”，再通过`sudo firewall-cmd --get-default-zone`明确当前策略作用域。如需开放Web服务端口，应分两步操作：先运行`sudo firewall-cmd --permanent --add-port=80/tcp`写入持久化规则，再执行`sudo firewall-cmd --reload`使配置生效；仅使用`--add-port`不加`--permanent`则为临时规则，重启即失效。关闭防火墙时，`sudo systemctl stop firewalld`终止进程后，务必配合`sudo systemctl disable firewalld`禁用开机自启，防止系统重启后自动激活。

三、iptables底层策略的逻辑启闭与持久化保障

iptables虽无服务概念，但可通过策略重置实现等效开关。启用逻辑为：先清空现有链`sudo iptables -F`，再设默认策略`sudo iptables -P INPUT DROP`并允许回环`sudo iptables -A INPUT -i lo -j ACCEPT`，最后保存规则。在Ubuntu/Debian上执行`sudo iptables-save > /etc/iptables/rules.v4`；在CentOS 7+需安装`iptables-services`包，再运行`sudo service iptables save`将规则写入`/etc/sysconfig/iptables`。关闭逻辑则为`sudo iptables -P INPUT ACCEPT`，并清空用户自定义链。所有iptables操作后均需验证`sudo iptables -L -n`输出，确保策略符合预期。

综上，不同工具对应不同运维层级，选择依据是系统基础架构而非个人偏好，每一步操作均有明确的验证手段与回滚路径。