手把手教你防火墙怎么设置双网卡环境？

双网卡环境下的防火墙设置，核心在于按网卡接口实施策略化流量隔离与域级访问控制。具体而言，需先通过系统命令识别两块网卡的准确名称（如ens33与enp0s8），再将它们分别归属至“专用网络”和“公用网络”等不同防火墙域，继而为各域独立配置入站/出站规则——例如仅允许管理网卡开放SSH端口、禁止业务网卡响应ICMP请求，并同步校准/etc/sysconfig/network等底层网络配置文件以确保路由不冲突。该方案已在CentOS 7及Windows Server 2019等主流系统中经企业级部署验证，符合NIST SP 800-41 Rev.2关于边界防护的实践指南要求。

一、精准识别双网卡设备并确认接口状态

首先需在终端中执行ip link show或nmcli device status命令，列出全部网络接口及其物理状态（UP/DOWN），重点区分有线网卡（如eno1）、无线网卡（wlp2s0）或虚拟网卡（virbr0）。对每块网卡运行ip addr show ，记录其IPv4地址、子网掩码及所属网段，避免因IP重叠导致路由环路。若存在DHCP自动获取与静态IP混用情况，须统一为静态配置以保障防火墙策略可预测性，尤其管理网卡应固定为192.168.100.10/24类私有地址段。

二、划分防火墙域并绑定对应网卡

在firewalld环境下，使用firewall-cmd --permanent --zone=management --add-interface=ens33将管理网卡纳入专用zone；同理，执行firewall-cmd --permanent --zone=public --add-interface=enp0s8绑定业务网卡至公用zone。随后分别启用各域：firewall-cmd --permanent --zone=management --set-target=ACCEPT，并对public zone设置默认拒绝——firewall-cmd --permanent --zone=public --set-target=DROP。此操作确保两网卡流量严格隔离，且管理域仅响应预设服务请求。

三、精细化配置端口与协议规则

针对management zone，仅开放TCP 22（SSH）、TCP 8443（Web管理界面）及UDP 123（NTP时间同步）；对public zone则禁用所有ICMP类型（firewall-cmd --permanent --zone=public --remove-icmp-block=echo-request），并限制出站仅允许DNS（UDP 53）与HTTPS（TCP 443）。最后执行firewall-cmd --reload使规则生效，并通过firewall-cmd --list-all-zones验证各域策略是否准确加载。

四、校验底层网络配置一致性

检查/etc/sysconfig/network-scripts/ifcfg-ens33中BOOTPROTO是否为static、IPADDR与NETMASK是否匹配规划；确认/etc/resolv.conf中nameserver指向内网DNS服务器而非公网地址；同时核查/etc/hosts文件，确保本地主机名解析不依赖外部网络。完成上述步骤后，使用tcpdump -i ens33 port 22与tcpdump -i enp0s8 icmp分别抓包验证策略执行效果。

综上，双网卡防火墙配置本质是接口级策略映射与网络栈协同治理，需兼顾系统层识别、策略层绑定与协议层收敛三个维度。