防火墙开机自启动权限设置步骤详解

时间：2026-05-09 10:11

Linux防火墙开机自启：从生效到恒久，一步也别少想让Linux系统的防火墙权限在开机时自动生效？说起来，目标很明确：确保防火墙服务在系统层面注册为开机自启，同时让所有规则配置“固化”下来，经得起重启的考验。这事儿不难，但环环相扣。以最常见的firewalld为例，核心命令确实是systemct

Linux防火墙开机自启：从生效到恒久，一步也别少

想让Linux系统的防火墙权限在开机时自动生效？说起来，目标很明确：确保防火墙服务在系统层面注册为开机自启，同时让所有规则配置“固化”下来，经得起重启的考验。

这事儿不难，但环环相扣。以最常见的firewalld为例，核心命令确实是systemctl enable firewalld。但关键在于，你用--permanent参数添加的规则，必须经过firewall-cmd --reload加载，才能真正写入下次启动的配置。对于Ubuntu用户，启用ufw（sudo ufw enable）后，开机自启能力默认就已集成。至于经典的iptables，则需要借助iptables-persistent这类工具，将规则保存到特定配置文件，再由对应的服务在系统引导时自动载入。

别担心复杂，各发行版其实都提供了官方的、符合systemd规范的解决方案。下面提到的方法，在CentOS 8+、Ubuntu 22.04乃至银河麒麟V10这些主流系统上，都经过了大范围长期稳定运行的验证。

一、确认当前防火墙服务类型与状态

动手之前，先得看清家里现在“谁当家”。操作错了对象，等于白忙活。

打开终端，几个命令就能摸清底细：运行sudo firewall-cmd --state，能直接看出firewalld是否在跑；试试sudo ufw status verbose，可以查看ufw的启用状态和日志详情；执行sudo iptables -L -n，则能初步判断当前是否有iptables规则被加载。

如果发现对应的服务压根没安装，那第一步就得先把它请进门。CentOS/RHEL系列的用户，请用sudo yum install firewalld或sudo dnf install firewalld；Ubuntu/Debian系列则通过sudo apt install ufw或sudo apt install iptables-persistent来安装。安装完成后，记得先手动启动一次服务（sudo systemctl start [service]），再进入下一步的启用流程。

二、分服务实施开机自启与规则固化操作

看清了门路，咱们就按图索骥，分头行动。

对于firewalld用户：执行sudo systemctl enable firewalld只是基础。真正的关键是，任何规则——无论是开放端口、放行服务还是配置富规则——都必须带上--permanent这个“护身符”，例如sudo firewall-cmd --permanent --add-port=8080/tcp。添加完永久规则后，那条sudo firewall-cmd --reload命令绝不能省，它负责将永久配置同步到运行时环境，并确保重启后依然有效。

对于ufw用户：流程就简洁多了。一个sudo ufw enable命令，不仅立刻激活防火墙，还会自动在systemd里做好手脚（相关单元文件在/lib/systemd/system/ufw.service）。系统每次启动时，都会读取/etc/ufw/ufw.conf配置文件里的ENABLED=yes参数，自动载入所有规则，无需额外配置开机自启。

对于iptables用户：你需要一个“规则保管员”。首先，使用sudo iptables-save >/etc/iptables/rules.v4和sudo ip6tables-save >/etc/iptables/rules.v6把当前的IPv4和IPv6规则分别保存到文件。然后，启用持久化服务：sudo systemctl enable netfilter-persistent。这个服务会在开机时自动运行，执行netfilter-persistent reload来加载你事先保存好的所有规则。

三、验证配置是否真正生效

配置做完了，重启之前最好验验货，心里更踏实。建议完成下面这三重校验：

首先，执行sudo systemctl is-enabled firewalld（把firewalld换成ufw或netfilter-persistent同理），如果返回“enabled”，说明服务注册成功，这是第一道保险。

其次，跑一下sudo systemctl list-unit-files | grep enabled | grep firewall，看看你配置的服务是否确实列在系统的启用清单里。

最后，也是最关键的一步：重启系统。重启后立刻检查服务状态（sudo systemctl status [service]），确认其Active状态是“active (running)”。同时，用sudo ss -tuln | grep :端口号这样的命令，验证你开放的关键端口是否按预期处于监听状态。

顺便提一句，像银河麒麟V10这类国产系统，还提供了图形化的验证途径。打开“控制中心→安全中心→防火墙设置”，如果界面右上角明确显示“已启用（开机自启）”，那就可以放心了，你的策略已经完整落地。