如何查看防火墙状态并修改

查看防火墙状态并修改，需依据操作系统类型选择对应工具与命令。在Windows系统中，可通过“控制面板→系统和安全→Windows防火墙”直观查看启停状态，并借助“高级安全Windows Defender防火墙”配置入站/出站规则；Linux发行版则主要依赖firewalld或iptables服务，使用`systemctl status firewalld`或`firewall-cmd --state`可即时确认运行状态，通过`systemctl start/stop firewalld`控制服务启停，配合`firewall-cmd --permanent --add-port`等指令持久化开放端口、调整区域策略及重载配置。所有操作均需管理员权限，且修改后务必执行重载或重启以确保生效，这是保障系统网络边界安全的基础运维动作。

一、Windows系统防火墙的精细化操作流程

在控制面板路径进入后，若需验证当前策略是否生效，应点击左侧“高级设置”，调出“高级安全Windows Defender防火墙”界面。此处可右键“入站规则”选择“新建规则”，当添加特定服务（如远程桌面）时，务必勾选“域”“专用”“公用”三类网络配置，并在“配置文件”页明确启用范围；修改已有规则时，需双击目标条目，在“常规”选项卡中切换“已启用/已禁用”，在“作用域”选项卡中精确限定源IP段（例如仅允许192.168.1.0/24网段访问），避免全局放行带来风险。所有变更无需重启服务，但必须确认右下角状态栏显示“受保护”且无黄色警告图标。

二、Linux firewalld防火墙的核心管理步骤

以CentOS 8或RHEL 8及以上版本为例，首先执行`firewall-cmd --state`快速验证服务是否活跃，返回“running”即表示正常运行；若需开放Web服务端口，须分两步执行：先运行`firewall-cmd --permanent --add-port=80/tcp`将规则写入持久化配置，再执行`firewall-cmd --reload`重载全部策略——遗漏`--permanent`参数会导致重启后失效。调整默认区域时，使用`firewall-cmd --set-default-zone=drop`后必须配合`--reload`，此时所有未显式声明的接口均按drop策略处理，拒绝一切传入连接。查看完整策略清单可运行`firewall-cmd --list-all-zones`，输出结果中每个区域的“interfaces”“sources”“ports”字段均对应实际生效项，便于交叉核对。

三、iptables防火墙的兼容性操作要点

针对较老版本的CentOS 7或Debian系系统，若启用的是iptables而非firewalld，需先停用firewalld服务（`systemctl stop firewalld && systemctl disable firewalld`），再通过`service iptables status`确认状态。开放端口需编辑`/etc/sysconfig/iptables`文件，在`-A INPUT -j REJECT --reject-with icmp-host-prohibited`前插入`-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT`，保存后执行`service iptables restart`使配置生效。该方式虽灵活但易因语法错误导致规则加载失败，建议优先采用firewalld统一管理。

综上，无论Windows图形界面还是Linux命令行，防火墙配置的本质是“查状态—改策略—重载生效”三步闭环，任何跳过重载环节的操作均无法真正落地。