防火墙添加白名单ip会自动保存吗？

防火墙添加白名单IP不会自动保存，必须由管理员主动执行保存操作才能使配置持久生效。无论是通过Linux系统的iptables命令行、firewalld的--permanent参数配置，还是Windows防火墙图形界面或Web管理平台，所有白名单条目在录入后均处于临时运行状态，需手动点击“保存”“应用”或执行service iptables save、firewall-cmd --reload等指令，方可写入配置文件并确保重启后依然有效；部分设备支持设置老化时间实现自动清理，但初始添加与持久化仍依赖人工确认，这一设计既保障了策略变更的可控性，也符合网络安全运维中“显式授权、明确生效”的通用规范。

一、Linux系统下iptables白名单的保存流程

在使用iptables添加白名单IP后，规则仅存在于内存中，系统重启或服务重载即会丢失。必须执行“service iptables save”命令（CentOS 6）或“iptables-save > /etc/sysconfig/iptables”（CentOS 7及部分发行版）将当前规则写入配置文件。部分新版本系统已默认使用nftables替代iptables，此时需通过“nft list ruleset > /etc/nftables.conf”导出并设置开机加载服务。未执行上述任一保存动作，即便规则测试有效，下次系统启动时白名单将完全失效，导致预期放行的IP被拦截。

二、firewalld环境中的永久化操作要点

firewalld要求所有需持久生效的白名单配置必须携带--permanent参数。例如添加源IP应使用“firewall-cmd --permanent --add-source=203.107.128.45”，而非仅用临时命令“--add-source”。完成全部规则添加后，必须依次执行“firewall-cmd --reload”以激活永久规则，并验证“firewall-cmd --permanent --list-all”输出是否包含目标IP。若遗漏--permanent或未reload，规则虽在当前会话可见，但无法跨会话或重启延续。

三、Windows防火墙与Web管理平台的操作规范

Windows服务器通过“高级安全Windows防火墙”添加入站规则时，填写IP地址后需点击“确定”完成规则创建，再右键选择“属性”确认“启用此规则”已勾选，最后关闭窗口即自动保存至注册表；但若通过PowerShell命令Add-NetFirewallRule，则必须指定-Profile和-Enabled参数，并确保使用Set-NetFirewallRule配合-Enabled True才可固化。主流Web管理界面（如pfSense、FortiGate）均设有明确的“Apply”与“Save”双按钮，仅点“Apply”仅刷新运行时策略，必须点击“Save”才能写入磁盘配置。

四、白名单老化机制与人工干预的关系

部分企业级防火墙支持为白名单IP设定老化时间（如30分钟、24小时），超时后自动移除。但该机制不改变初始配置的非持久特性——老化策略本身也需手动配置并保存，且老化功能仅作用于已成功持久化的条目。若未保存，IP甚至无法进入老化队列，直接处于无效状态。

综上，防火墙白名单的“添加”与“保存”是两个不可合并的独立动作，任何跳过显式保存环节的操作，都将导致安全策略无法长期稳定运行。