银河麒麟v10高级服务器系统如何防止fiewalld服务自启

不会 正常自动启动 ，但有几个“例外情况”你必须注意（麒麟 V10 很容易踩这个坑）。 

 

 ✅ 结论先说 

 执行： 

 systemctl stop firewalld

systemctl disable firewalld

 

 结果是： 

 

 

 ✔ 当前立刻停止 firewalld 

 

 

 ✔ 取消开机自启（systemd 层面） 

 

 

 👉 正常情况下不会再自动启动 

 

 ⚠️ 但在 Kylin V10 里有 3 个常见“反复复活”情况 

 

 ① NetworkManager / 图形策略重新拉起（最常见） 

 某些麒麟版本： 

 NetworkManager 或安全策略服务

→ 会重新启用 firewalld

 

 检查： 

 systemctl status NetworkManager

 

 

 ② 安全基线 / 安全管理组件 

 麒麟系统可能有： 

 

 

 安全中心 

 

 

 等保工具 

 

 

 国产加固模块 

 

 

 会周期性执行： 

 恢复默认安全策略 = 启动 firewalld

 

 

 ③ 被误设置为 static / alias 重启依赖 

 检查： 

 systemctl is-enabled firewalld

 

 正常应该是： 

 disabled

 

 如果是： 

 static

 

 说明它可能被别的服务依赖启动。 

 

 🔍 如何确认“绝对不会再自动启动” 

 执行这三步： 

 1️⃣ 确认状态 

 systemctl status firewalld

 

 

 2️⃣ 确认开机自启 

 systemctl is-enabled firewalld

 

 必须是： 

 disabled

 

 

 3️⃣ 彻底屏蔽（推荐） 

 如果你想“100% 禁止任何方式启动”，执行： 

 systemctl mask firewalld

 

 👉 这一步最关键 

 效果： 

 

 

 禁止手动启动 

 

 

 禁止依赖启动 

 

 

 禁止系统恢复启动 

 

 

 

 🚨 推荐做法（生产环境） 

 

 

 

 操作 

 推荐程度 

 

 

 

 

 stop + disable 

 ⚠️ 可能被拉起 

 

 

 disable 

 ✔ 基本够用 

 

 

 mask 

 🔒 最彻底（推荐） 

 

 

 

 

 ✔ 最终建议命令（标准安全做法） 

 systemctl stop firewalld

systemctl disable firewalld

systemctl mask firewalld

 

 

 🧠 一句话总结 

 

 disable 只是“取消开机启动” mask 才是“彻底封死不让任何服务再启动它” 

 

 

 如果你愿意，我可以帮你把 Kylin V10 + Docker 的网络安全整理成一套： 

 

 

 firewalld 是否保留 

 

 

 iptables / nft 最佳组合 

 

 

 DOCKER-USER 标准策略 

 

 

 生产端口最小暴露方案 

 

 

 会比现在这种“看起来关了但很混乱”的状态稳定很多。