在互联网世界里,Linux服务器就像一座城池,而防火墙便是城池的守卫者。没有防火墙,外部的任何流量都能毫无阻拦地进入服务器;而有了防火墙,就可以像设关卡一样,对进出城门的人进行盘查和控制。对企业运维人员来说,访问控制正是防火墙的核心使命。那么,在Linux服务器中,防火墙究竟是如何实现访问控制的?又该如何设计与更新规则,才能既保证业务的顺畅,又最大程度地降低风险?
一、访问控制的意义
访问控制,说白了就是"谁能进,谁不能进"。在Linux服务器环境中,访问控制主要体现在:
1.基于IP的控制
允许或拒绝某个IP或IP段访问服务器。
常见于只允许内网IP访问数据库。
2.基于端口的控制
不同服务运行在不同端口,如Web服务(80/443)、SSH(22)、MySQL(3306)。
防火墙通过端口限制,确保只有必要的服务能被外部访问。
3.基于协议的控制
TCP、UDP、ICMP等协议,不同业务依赖的协议不同。
防火墙可根据协议决定是否放行。
通过组合以上维度,管理员就能在Linux服务器上搭建起一套灵活的访问控制体系。
二、Linux防火墙的三大主流工具
不同版本的Linux发行版,默认的防火墙工具有所不同。
iptables:基于规则链机制,流量逐条匹配。功能强大但语法复杂。
firewalld:CentOS 7及以后默认使用,支持动态更新规则。通过区域和服务概念,简化配置。
nftables:新一代框架,整合了iptables、ip6tables等功能。简洁高效,未来趋势。
不同工具的实现方式略有差异,但访问控制的逻辑是一致的:对进入、流出服务器的数据包进行逐步筛选。
三、iptables实现访问控制
iptables作为经典的防火墙工具,规则灵活且细致。
- 基于IP的访问控制
只允许特定IP访问SSH:
php
iptables -A INPUT -p tcp -s 192.168.1.10 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP这样,只有来自 192.168.1.10 的IP可以登录服务器。
- 基于端口的访问控制
关闭对外的3306端口:
php
iptables -A INPUT -p tcp --dport 3306 -j DROP如果数据库只给内网用,这是必不可少的操作。
- 基于协议的访问控制
屏蔽Ping请求:
php
iptables -A INPUT -p icmp -j DROP可以防止被恶意扫描,但也会影响排错,所以需要谨慎。
- 保存规则
不同系统保存方式不同,例如:
php
service iptables save或
php
iptables-save > /etc/iptables/rules.v4四、firewalld实现访问控制
相比iptables,firewalld的规则更直观,也支持动态调整。
- 开放端口
php
firewall-cmd --zone=public --add-port=8080/tcp --permanent
firewall-cmd --reload- 限制IP访问
php
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='203.0.113.5' port port=22 protocol=tcp accept"这样只允许某个IP访问SSH端口。
- 拒绝策略
如果要屏蔽某段IP:
php
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='203.0.113.0/24' drop"- 查看规则
php
firewall-cmd --list-all方便核查现有策略。
Linux服务器要安全稳定运行,离不开防火墙的访问控制。无论是iptables的灵活精细,还是firewalld的高效易用,其核心目的都是相同的:只放行必要的访问,阻挡一切无关甚至恶意的流量。合理的访问控制,能大幅降低被入侵的概率,保障业务连续性。对于运维人员来说,掌握防火墙访问控制的原理与实践,不仅是技能,更是守护整个系统安全的责任。