查看防火墙状态
systemctl status firewalld
firewall-cmd --state

查看防火墙规则
firewall-cmd --list-all

查询端口是否开放
firewall-cmd --query-port=8080/tcp

开放80端口
firewall-cmd --permanent --add-port=80/tcp

移除端口
firewall-cmd --permanent --remove-port=80/tcp

重启防火墙(修改配置后要重启防火墙)
firewall-cmd --reload

参数解释

1、firwall-cmd：是Linux提供的操作firewall的一个工具；
2、--permanent：表示设置为持久；
3、--add-port：标识添加的端口；

所有参数：
防火墙相关命令都可以联想输入

--get-default-zone	查询默认的区域名称
--set-default-zone=<区域名称>	设置默认的区域，使其永久生效
--get-zones	显示可用的区域
--get-services	显示预先定义的服务
--get-active-zones	显示当前正在使用的区域与网卡名称
--add-source=	将源自此IP或子网的流量导向指定的区域
--remove-source=	不再将源自此IP或子网的流量导向某个指定区域
--add-interface=<网卡名称>	将源自该网卡的所有流量都导向某个指定区域
--change-interface=<网卡名称>	将某个网卡与区域进行关联
--list-all	显示当前区域的网卡配置参数、资源、端口以及服务等信息
--list-all-zones	显示所有区域的网卡配置参数、资源、端口以及服务等信息
--add-service=<服务名>	设置默认区域允许该服务的流量
--add-port=<端口号/协议>	设置默认区域允许该端口的流量
--remove-service=<服务名>	设置默认区域不再允许该服务的流量
--remove-port=<端口号/协议>	设置默认区域不再允许该端口的流量
--reload	让“永久生效”的配置规则立即生效，并覆盖当前的配置规则
--panic-on	开启应急状况模式
--panic-off	关闭应急状况模式

防火墙有区域概念，可以自定义区域，快速切换区域达到预设的目的，默认是public区域
区域 默认规则策略
trusted 允许所有的数据包
home 拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关，则允许流量
internal 等同于home区域
work 拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、ipp-client与dhcpv6-client服务相关，则允许流量
public 拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、dhcpv6-client服务相关，则允许流量
external 拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh服务相关，则允许流量
dmz 拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh服务相关，则允许流量
block 拒绝流入的流量，除非与流出的流量相关
drop 拒绝流入的流量，除非与流出的流量相关