在centos系統上，如果我們想讓trusted、public等多個表格同時生效，我們可以將/etc/firewalld/firewalld.conf配置文件中AllowZoneDrifting=no改為AllowZoneDrifting=yes，然后重啟防火墻讓其生效。但在麒麟v10操作系統上，這個操作并不生效。對于基于區域的防火墻的一個特點是數據包只能進入一個區域，上述行為違 反了這一規定，它可能會導致流量或服務意外被允許。“目前 0524 的系統上 firewalld 是 0.6.6-2.02 版本出于上述安全考慮，未合入支持AlowZoneDrifting功能的 patch，且目前與主流社區處理方式一致。 所以，為了解決該問題，建議把所有規則寫到同一個區域中，這也是一種規范的做法。       

<dd id='xrV4X'></dd>

        在 Linux 中，特別是使用 firewalld 防火墻管理工具的系統中，防火墻被劃分為不同的區域（zones），每個區域都有特定的規則和策略，用于定義網絡流量的允許或阻止規則。以下是一些常見的防火墻區域和它們的一般介紹：

1. public 區域：

   • 適用于公共網絡，如互聯網。默認情況下，未明確定義的網絡接口通常分配給 public 區域。

2. internal 區域：

   • 適用于內部網絡，例如企業內部網絡。通常情況下，用于連接內部服務器或其他信任網絡。

3. external 區域：

   • 適用于連接到不受信任網絡的接口，例如連接到 Internet 的外部接口。

4. dmz 區域：

   • 適用于連接到 DMZ（Demilitarized Zone）的接口。DMZ 是位于內部和外部網絡之間的一種中立地帶，通常用于托管對外提供服務的服務器，如 Web 服務器或郵件服務器。

5. work 區域：

   • 適用于用于工作目的的接口。這個區域通常用于連接到一個信任的網絡，例如辦公網絡。

6. home 區域：

   • 適用于家庭網絡。這個區域通常用于連接到一個受信任的家庭網絡。

7. trusted 區域：

   • 適用于連接到受信任網絡的接口，通常被用于內部網絡。

8. block 區域：

   • 這是一個特殊的區域，它會阻止所有入站和出站的網絡流量。可以用于快速地關閉所有網絡連接。

每個區域都有預定義的規則集，允許或阻止特定類型的網絡流量。你可以根據實際需求，將網絡接口分配給不同的防火墻區域，并定制每個區域的規則以滿足特定的網絡安全需求。使用 firewall-cmd 命令可以配置這些區域，例如將接口添加到特定區域、定義服務、指定端口等。

       AllowZoneDrifting 是 iptables 中的一個選項，它允許 Linux 防火墻（firewalld）中的網絡接口在運行時漂移（drift）到其他防火墻區域。通常情況下，防火墻區域是定義一組規則和策略的區域，允許或阻止特定類型的網絡流量。 啟用 AllowZoneDrifting 選項后，網絡接口可以動態地從一個防火墻區域漂移到另一個區域，而無需重啟網絡服務。這在一些特定的網絡配置場景下可能會很有用。

        在centos系統上，如果我們想讓trusted、public等多個表格同時生效，我們可以將/etc/firewalld/firewalld.conf配置文件中AllowZoneDrifting=no改為AllowZoneDrifting=yes，然后重啟防火墻讓其生效。但在麒麟v10操作系統上，這個操作并不生效。對于基于區域的防火墻的一個特點是數據包只能進入一個區域，上述行為違 反了這一規定，它可能會導致流量或服務意外被允許。“目前 0524 的系統上 firewalld 是 0.6.6-2.02 版本出于上述安全考慮，未合入支持AlowZoneDrifting功能的 patch，且目前與主流社區處理方式一致。 所以，為了解決該問題，建議把所有規則寫到同一個區域中，這也是一種規范的做法。