使用firewalld限制网络通信

    笔者以前写过iptables的文章- Linux的netfilter/iptables简介 。netfilter是防火墙安全框架，允许内核模块对遍历系统的每个数据包进行检查。在红帽7之前，iptables是与内核netfilter交互的主要方法，红帽7之之后交互的新方法是firewalld ，是一个配置和监控系统防火墙规则的系统守护进程。

    不管是iptables还是firewalld，都是用于维护规则，而真正使用规则干活的是内核的netfilter。firewalld可以动态修改单条规则，使用上要也比iptables人性化 。

    firewalld 将网络流量分为多个区域，既是策略模板，可以根据生产场景的不同而选择合适的策略集合，从而实现防火墙策略之间的快速切换，简化防火墙管理。根据数据包的源IP地址或传入网络接口等条件，流量将传入相应区域的防火墙规则，每个区域都具有自己要打开或关闭的端口或服务。FirewallD的默认区域是public 。

    系统预定义区域有9种，可以查看不管哪一种，都是允许数据包流出，除了预定义服务外，默认都是流入数据包是拒绝的。

    与firewalld交互有三种方式：

    1、直接编辑/etc/firewalld 配置文件

    2、使用firewalld-config图形界面，可以可视化的配置策略。firewalld-config需要安装，命令行或者应用程序里面搜索安装即可。

里面有两种模式可选：

Runtime：当前生效模式，但重启后失效。

Permanent：重启后永久有效，但不能立即生效，需要在options里面reload或者命令行firewall-cmd --reload  。

    3、在命令行使用firewall-cmd

    实践中firewall-cmd命令行使用较多。 systemctl status firewalld查看服务正常运行，firewall-cmd --help查看命令行使用方法。 firewall-cmd --state查看运行状态。在笔者的虚拟机centos8上，firewalld默认是开启的，在腾讯云服务器上firewalld是关闭的，本文以虚拟机centos8为例。

    firewalld-cmd配置防火墙。

1、firewall-cmd --list-all  列出默认区域所有设置

    firewall-cmd --list-all-zones 查看所有区域设置

        可以看到流量与ssh、dhcpv6-client服务相关，则允许进入。

2、firewall-cmd --get-default-zone  查看默认区域

3、firewall-cmd --set-default-zone =     更改区域，快速切换防火墙策略

4、源自此IP或子网的流量导向指定的区域。 --permanent代表永久设置，-reload 代表使用永久设置立马生效。--zone代表设置的区域，不写就是默认区域。

    firewall-cmd --permanent --zone=public --add-source=19216800/24

    firewall-cmd --permanent --zone=public --remove-source=19216800/24

5、添加或移除mysql服务

    firewall-cmd --permanent --zone=public --add-service=mysql

    firewall-cmd --permanent --zone=public --remove-service=mysql

6、 添加或移除端口

    firewall-cmd --permanent --zone=public --add-port=3306

    firewall-cmd --permanent --zone=public --remove-port=3306

7、允许或取消icmp协议流量，即ping

    firewall-cmd --zone=drop --add-protocol=icmp

    firewall-cmd --zone=drop --remove-protocol=icmp

8、其他的选项如下：

9、 firewall-cmd --reload  更改配置后reload使其失效

腾讯云d性裸金属服务器相比同配置的物理机，d性裸金属服务器的性能大幅提升。在双十一大促中，d性裸金属服务器提供了数百万vCPU计算能力，顺利承载双十一流量洪峰。 你也可以找你提到的时鱼科技进行了解和咨询，恰巧我们也是在你提到的这家腾讯云代理开的，还不错。

国内可以尝试阿里云腾讯云这两家，稳定性、品牌力度、速度、售后、技术都是很不错的。

1、注册域名
2、选购服务器
3、网站备案
4、搭建网站环境
5、安装网站程序
6、充实网站内容

选虚拟主机时主要考虑以下几项：
1、空间支持的网站程序编程语言
有的空间只支持HTML和PHP编写的网站程序，有的空间则几乎支持各种主流的编程语言。空间支持的语言越多，空间自然灵活实用性更广。 *** 作系统是linux还是windows，linux对php程序语言支持较好，windows对asp、aspnet支持比较好。
2、空间的带宽
空间的带宽大小是决定空间速度的最重要因素之一。很大程度上可以说带宽大，网站速度就快。好的虚拟主机带宽其实并不小，甚至比一些中低端云服务器的带宽还要大好几倍。例如，西部数码的最普通型虚拟主机带宽也在16M以上，而一些中低端云服务器带宽才有3M/5M左右。
3、空间的稳定性
网站空间必须稳定，这个是压倒性的指标。空间价格即便再便宜，如果空间稳定性欠佳，三天两头出现问题的话，也是要不得的。所以选择虚拟主机还是要选择大品牌，如西部数码、阿里云、腾讯云等国内的知名品牌，这些品牌中西部数码在主机空间业务这一块儿要早于阿里云和腾讯云，在主机空间服务方面更是经验丰富。
4、空间的大小以及可开子站的数量
空间大小，够用就好，一般来说没有必要选择过大的空间。可开子站的数量，是说该虚拟主机空间可以多建立几个站点。比如一块空间，不可以建立子站，那么该空间就只能建立一个网站，如果说该空间可以建立一个子站，那么就是说该空间可以一共建立两个网站。
5、空间的CPU占用率限制、流量限制、并发限制
虚拟主机，都有这些限制，只是不同品牌限制的重点不同。有的品牌流量限制比较宽松甚至宣传不限流量，那么该品牌必然公开和不公开的限制CPU占用率、限制网站并发连接、限制带宽大小。阿里云的虚机，流量限制就较为宽松，所以带宽就相对偏小。香港云空间代理的西部数码的主机空间，带宽很大，但每款空间都有相应的流量限制。若网站访问量很大，流量不够用，用户可以购买流量，也可以升级空间，总之就是花点小钱来突破流量限制。
6、是否备案
选择国内虚拟主机是需要备案的，而港澳台及国外虚拟主机不需要备案，可即买即用。
7、空间的价格
虚拟主机相比云服务器价格要便宜不少，而且好的虚拟主机性能比一些中低端云服务器还要强，上面已经介绍西部数码是国内知名老牌主机商，旗下虚拟主机带宽是中低端云服务器的好几倍，性能上并不输于中低端云服务器，价格又比云服务器便宜，而且西部数码有很多代理商，在代理商这购买产品更优惠，例如香港云空间（yunhktop），西部数码同款产品这家的定价要便宜很多。

---