服务器如何配置防火墙规则开放/关闭端口?

m0_694845572025-07-04 11:58

配置服务器防火墙规则(开放/关闭端口)是服务器安全管理的基础操作,不同操作系统和防火墙工具的配置方式有所不同。以下是主流系统的详细操作指南:

一、Linux系统(iptables/firewalld/UFW)

1. iptables(传统方式)
复制代码 
# 查看当前规则
sudo iptables -L -n

# 开放端口(如80/TCP)
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# 关闭端口(如3306/TCP)
sudo iptables -A INPUT -p tcp --dport 3306 -j DROP

# 保存规则(CentOS/RHEL)
sudo service iptables save
# 或(Ubuntu/Debian)
sudo iptables-save > /etc/iptables.rules
2. firewalld(CentOS/RHEL 7+)
复制代码 
# 开放端口
sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
sudo firewall-cmd --reload

# 关闭端口
sudo firewall-cmd --zone=public --remove-port=3306/tcp --permanent
sudo firewall-cmd --reload

# 查看已开放端口
sudo firewall-cmd --list-ports
3. UFW(Ubuntu/Debian简化工具)
复制代码 
# 启用UFW
sudo ufw enable

# 开放端口
sudo ufw allow 22/tcp    # SSH
sudo ufw allow 80/tcp    # HTTP

# 关闭端口
sudo ufw deny 3306/tcp   # MySQL

# 查看规则
sudo ufw status numbered

二、Windows系统

1. 通过防火墙图形界面

  1. 打开 控制面板 > Windows Defender 防火墙 > 高级设置

  2. 选择 入站规则 > 新建规则

  3. 选择 端口 > TCP/UDP,输入端口号(如80)

  4. 选择 允许/阻止连接,设置作用域(公用/私有/域)

  5. 命名规则并保存

2. 通过PowerShell命令

powershell

复制代码 
# 开放端口(如80/TCP)
New-NetFirewallRule -DisplayName "Allow HTTP" -Direction Inbound -Protocol TCP -LocalPort 80 -Action Allow

# 关闭端口(如3389/TCP)
Remove-NetFirewallRule -DisplayName "Remote Desktop"

三、云服务器(安全组配置)

1. 莱卡云/腾讯云/AWS

  1. 登录云控制台,进入 安全组管理

  2. 添加规则:

    • 协议类型:TCP/UDP/ICMP

    • 端口范围:单个(80)或范围(8000-9000)

    • 授权对象:0.0.0.0/0(开放公网)或指定IP

  3. 绑定到目标服务器实例

2. 快速命令示例(AWS CLI)
复制代码 
aws ec2 authorize-security-group-ingress \
  --group-id sg-xxxxxx \
  --protocol tcp \
  --port 22 \
  --cidr 203.0.113.0/24

四、关键注意事项

  1. 最小权限原则

    • 仅开放必要端口(如Web服务:80/443,SSH:22)。

    • 避免开放高危端口(如135-139、445、3389)。

  2. 端口伪装(安全增强)

    复制代码 
    # 修改SSH默认端口(Linux)
sudo sed -i 's/#Port 22/Port 2222/g' /etc/ssh/sshd_config
sudo systemctl restart sshd

  3. 日志监控

    复制代码 
    # 查看防火墙拦截记录(Linux)
sudo grep DROP /var/log/syslog

  4. 多工具冲突

    • 避免同时启用iptablesfirewalld,可能导致规则混乱。

五、常用端口对照表

端口 服务 风险等级 建议操作
22 SSH 改端口+IP白名单
80 HTTP 开放
443 HTTPS 必须开放
3306 MySQL 限制内网访问
3389 RDP 极高 仅VPN访问

通过以上步骤,您可以灵活控制服务器端口的开放与关闭。建议首次配置后使用工具(如telnetnmap)测试端口状态:

复制代码 
nmap -p 80,443 your-server-ip
相关推荐
小Mie不吃饭2 分钟前
FastAPI 小白教程:从入门级到实战(源码教程)
运维·服务器
爱奥尼欧1 小时前
【Linux 系统】基础IO——Linux中对文件的理解
linux·服务器·microsoft
戒不掉的伤怀2 小时前
【Navicat 连接MySQL时出现错误1251:客户端不支持服务器请求的身份验证协议;请考虑升级MySQL客户端】
服务器·数据库·mysql
超喜欢下雨天2 小时前
服务器安装 ros2时遇到底层库依赖冲突的问题
linux·运维·服务器·ros2
搬码临时工2 小时前
小企业如何搭建本地私有云服务器,并设置内部网络地址提供互联网访问
运维·服务器
old-six-programmer2 小时前
NAT 类型及 P2P 穿透
服务器·网络协议·webrtc·p2p·nat
tan77º2 小时前
【Linux网络编程】网络基础
linux·服务器·网络
风口上的吱吱鼠2 小时前
Armbian 25.5.1 Noble Gnome 开启远程桌面功能
服务器·ubuntu·armbian
缘友一世2 小时前
网安系列【4】之OWASP与OWASP Top 10:Web安全入门指南
安全·web安全
笑衬人心。3 小时前
Ubuntu 22.04 + MySQL 8 无密码登录问题与 root 密码重置指南
linux·mysql·ubuntu
热门推荐
01Coze实战第13讲:飞书多维表格读取+豆包生图模型,轻松批量生成短剧封面02手机电脑之间快速传输图片视频文件,不压缩画质、不限制大小的方法!03Coze扣子平台完整体验和实践(附国内和国际版对比)04华为昇腾 910B 部署 DeepSeek-R1 蒸馏系列模型详细指南05免费可用!最强AI数字人对口型神器:让照片开口说话唱歌,支持多人对口型+全身动作,1分钟学会!(附保姆级教程)06扣子(coze)实战|我用扣子搭建了一个自动分析小红薯笔记内容的AI应用|详细步骤拆解072024年 最新 iPhone手机 历代机型、屏幕尺寸、纵横比、分辨率 整理08C#调用WechatOCR.exe实现本地OCR文字识别09DeepSeek各版本说明与优缺点分析10Coze平台 创建AI智能体的详细步骤指南