Centos7自帶firewalld防火牆，也可以自行安裝iptables。能開啟的話儘量開啟，而不是關閉，比如web伺服器，放行80和443埠就行了。但是有些服務和firewalld有衝突，比如docker，以及docker叢集swarm、k8s。雖然可以解決衝突，但是仍是按官方要求關閉為好。

總之，防火牆在沒有特殊原因的情況下應該開啟。

首先可以明確的告訴你，CentOS7上的防火牆是必須要開啟的，任何伺服器都一樣。

要知道，伺服器是暴露在公網上的，時刻都有駭客在尋找攻擊目標。一般中小型企業的伺服器託管時都沒有配置硬體防火牆（硬防），此時若不開啟系統自帶的軟體防火牆（軟防），那無疑受到的風險更大。

而當我們開啟了CentOS上的iptables或者firewalld，我們就能透過它實現一些涉及網路的安全防護，比如說：

控制埠是否能被網路訪問，關閉一些不必要的埠在很大程度上是可以降低風險的。比如說Redis的6379埠，若允許網路訪問且Redis沒有開啟帳戶授權，那就很容易被人提權了；

禁用某個IP或IP段訪問伺服器；

禁用ICMP回顯，別人無法Ping通伺服器；

如果沒有開啟軟防，相當於你家大門是對外開啟的，任何人隨意進出。所以說考慮到安全性，必要的防護是需要的，否則伺服器被攻擊只是時間問題。

防火牆是必須要開啟的，無論是centos7的firewalld，還是使用之前的iptables。

因為可以最大化的保證伺服器安全，除了業務埠（全開）和管理埠（做訪問限制）。

可以更有效的降低安全風險。

當然在學會使用之前，還是可以關掉的，必定基礎學習上會有一些影響，防火牆規則又比較複雜還涉及到網路協議。可以等真正學習時再開。