在互联网环境下,任何一台拥有公网 IP 的服务器都时刻处于扫描器的监视之下。如果不进行任何限制,服务器的每一个端口都相当于一扇向黑客敞开的门。防火墙(Firewall) 作为操作系统内核与外部网络之间的过滤层,其核心任务是根据预设的规则准许或拒绝数据包的进入。配置防火墙并非简单的开关操作,而是一场关于权限最小化的严密逻辑实践。
Linux官方安全文档: https://www.linux.org/security/
防火墙的设计逻辑与策略选择
防火墙的操作逻辑通常分为两种:默认允许 和默认拒绝。在生产环境中,合格的运维策略永远是默认拒绝所有入站请求。这意味着除非明确允许某个端口(如 HTTP 的 80 端口或 HTTPS 的 443 端口)通过,否则所有尝试连接服务器的行为都会被拦截。这种策略能有效防御未知的服务漏洞,因为即便某个后台进程由于配置失误监听了敏感端口,只要防火墙规则未开放,外部流量就无法触达。
在配置具体规则之前,必须明确服务器的业务需求。例如,一台 Web 服务器通常只需要开放 SSH (22) 、HTTP (80) 和 HTTPS (443)。如果服务器位于阿里云、腾讯云等公网云平台上,除了系统内部的防火墙,还需配合云厂商提供的**安全组(Security Groups)**进行二次拦截。系统内部防火墙建议使用 UFW 或 Firewalld,这两者分别是 Debian 系和 RedHat 系 Linux 的主流配置工具。
基于 UFW 的快速配置流程
对于使用 Ubuntu 或 Debian 的用户,UFW (Uncomplicated Firewall) 提供了极简的命令行界面。在启用防火墙之前,最关键的一步是确保 SSH 端口已经放行,否则在开启防火墙的一瞬间,当前的远程连接就会被切断,导致无法再次登录服务器。
bash
sudo apt update
sudo apt install ufw
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable执行完上述指令后,服务器将进入高安全模式。除了指定的 Web 服务和远程管理端口,其他所有端口都将处于不可见状态 。如果需要查看当前防火墙的运行状态及已开放的规则,可以使用 sudo ufw status verbose 命令进行核查。
Netfilter项目官网: https://www.netfilter.org/
Enterprise 级别的 Firewalld 管理
在 CentOS、RHEL 或 Fedora 系统中,Firewalld 是更为常见的选择。它引入了"区域"(Zones)的概念,允许根据网络连接的信任程度应用不同的规则集。对于绝大多数服务器,操作通常在默认的 public 区域进行。
bash
sudo systemctl start firewalld
sudo systemctl enable firewalld
sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --reload与 UFW 不同,Firewalld 的修改通常需要加上 --permanent 参数以确保重启后依然生效,并且必须执行 --reload 重新加载配置文件。如果需要针对特定 IP 地址开放数据库端口(如 3306),则需要利用其**富规则(Rich Rules)**功能。
根据《网络安全等级保护基本要求》,服务器应当只开启必要的服务端口,并对管理终端的接入地址进行限制。通过防火墙将管理端口(如 SSH)限制在特定的办公区 IP 范围内,是达成合规要求的关键步骤。
进阶防御:限制来源 IP 与流量监控
仅仅开启端口是不够的。如果 SSH 端口对全球开放,虽然有密码保护,但依然会面临暴力破解攻击。更高级的配置方案是针对来源 IP 进行过滤。例如,只允许公司办公室的固定 IP 访问服务器的 22 端口,而对其他所有流量关闭该端口。
服务器安全配置参考: https://cisecurity.org/benchmark/linux/
除了静态的防火墙规则,配合 Fail2Ban 等动态防御工具可以更进一步。Fail2Ban 会实时监控系统日志,一旦发现某个 IP 地址在短时间内尝试登录失败次数超过阈值,它就会自动生成一条防火墙规则,将该 IP 临时或永久封禁。这种动静结合的防御体系,能够极大地提升服务器在复杂网络环境下的生存能力。
配置防火墙不是一次性的任务,而是一个需要持续审计的过程。随着业务的增减,应及时关闭不再使用的端口,并定期检查是否存在冗余或冲突的规则,确保安全屏障始终严丝合缝。