# 银河麒麟v10高级服务器系统如何防止fiewalld服务自启

不会**正常自动启动**，但有几个“例外情况”你必须注意（麒麟 V10 很容易踩这个坑）。

---

# ✅ 结论先说

执行：

```bash
systemctl stop firewalld
systemctl disable firewalld

```

结果是：

- ✔ 当前立刻停止 firewalld
- ✔ 取消开机自启（systemd 层面）

👉 **正常情况下不会再自动启动**

---

# ⚠️ 但在 Kylin V10 里有 3 个常见“反复复活”情况

---

## ① NetworkManager / 图形策略重新拉起（最常见）

某些麒麟版本：

```text
NetworkManager 或安全策略服务
→ 会重新启用 firewalld

```

检查：

```bash
systemctl status NetworkManager

```

---

## ② 安全基线 / 安全管理组件

麒麟系统可能有：

- 安全中心
- 等保工具
- 国产加固模块

会周期性执行：

```text
恢复默认安全策略 = 启动 firewalld

```

---

## ③ 被误设置为 static / alias 重启依赖

检查：

```bash
systemctl is-enabled firewalld

```

正常应该是：

```text
disabled

```

如果是：

```text
static

```

说明它可能被别的服务依赖启动。

---

# 🔍 如何确认“绝对不会再自动启动”

执行这三步：

## 1️⃣ 确认状态

```bash
systemctl status firewalld

```

---

## 2️⃣ 确认开机自启

```bash
systemctl is-enabled firewalld

```

必须是：

```text
disabled

```

---

## 3️⃣ 彻底屏蔽（推荐）

如果你想“100% 禁止任何方式启动”，执行：

```bash
systemctl mask firewalld

```

👉 这一步最关键

效果：

- 禁止手动启动
- 禁止依赖启动
- 禁止系统恢复启动

---

# 🚨 推荐做法（生产环境）

<table id="bkmrk-%E6%93%8D%E4%BD%9C-%E6%8E%A8%E8%8D%90%E7%A8%8B%E5%BA%A6-stop-%2B-disab"><thead><tr><th>操作</th><th>推荐程度</th></tr></thead><tbody><tr><td>stop + disable</td><td>⚠️ 可能被拉起</td></tr><tr><td>disable</td><td>✔ 基本够用</td></tr><tr><td>mask</td><td>🔒 最彻底（推荐）</td></tr></tbody></table>

---

# ✔ 最终建议命令（标准安全做法）

```bash
systemctl stop firewalld
systemctl disable firewalld
systemctl mask firewalld

```

---

# 🧠 一句话总结

> disable 只是“取消开机启动”  
> mask 才是“彻底封死不让任何服务再启动它”

---

如果你愿意，我可以帮你把 Kylin V10 + Docker 的网络安全整理成一套：

- firewalld 是否保留
- iptables / nft 最佳组合
- DOCKER-USER 标准策略
- 生产端口最小暴露方案

会比现在这种“看起来关了但很混乱”的状态稳定很多。