Подсистема netfilter позволяет модулям ядра проверять каждый пакет, проходящий через систему. Все входящие, исходящие и перенаправленные сетевые пакеты проверяются.

firewalld упрощает управление брандмауэром, распределяя весь сетевой трафик по зонам. Каждая зона имеет собственный список портов и служб. Зона public установлена как зона по умолчанию.

Служба firewalld поставляется с различными стандартными службами. Отобразить список служб можно с помощью команды firewall-cmd --get-services.

Сетевой трафик регулируется политикой SELinux. Сетевые порты имеют метки. Например, с портом 22/TCP связана метка ssh_port_t. Когда процессу требуется прослушивать порт, SELinux проверяет, разрешено ли привязывать метку, связанную с этим процессом, к метке порта.

С помощью команды semanage можно добавлять, удалять и изменять метки.