服务器防火墙设置文档，新手如何一步步配置安全规则？

服务器设置防火墙帮助文档

防火墙基础概念

防火墙是网络安全的第一道防线,通过控制进出网络的数据流量，阻止未经授权的访问，保护服务器免受恶意攻击，常见防火墙类型包括软件防火墙（如iptables、firewalld）和硬件防火墙，本文以Linux系统常用的iptables和firewalld为例，介绍防火墙的配置方法。

iptables防火墙配置

基本语法与常用命令

iptables是Linux内核集成的包过滤工具,通过表（table）和链（chain）管理规则，常用表包括filter（过滤数据包）、nat（网络地址转换）和mangle（修改数据包），以下是基础命令：

• 查看规则：sudo iptables -L -n -v
• 清空规则：sudo iptables -F
• 设置默认策略：sudo iptables -P INPUT DROP（默认拒绝所有输入）

常用规则配置

• 允许特定端口：

  sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT  # 允许SSH端口  
  sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT  # 允许HTTP端口  

• 允许已建立的连接：

  sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT  

• 禁止IP访问：

  sudo iptables -A INPUT -s 192.168.1.100 -j DROP  

规则保存与持久化

不同Linux发行版的保存方式不同：

• CentOS/RHEL：sudo service iptables save
• Ubuntu/Debian：sudo iptables-save > /etc/iptables/rules.v4

firewalld防火墙配置

firewalld是CentOS 7及以上版本的默认防火墙管理工具，支持动态规则更新，无需重启服务。

基本操作

• 启动服务：sudo systemctl start firewalld
• 开机自启：sudo systemctl enable firewalld
• 查看状态：sudo firewall-cmd --state

区域（Zone）管理

firewalld通过区域划分网络信任级别,默认区域为public，常用命令：

• 查看区域：sudo firewall-cmd --get-active-zones
• 修改默认区域：sudo firewall-cmd --set-default-zone=home

端口与服务管理

• 开放端口：

  sudo firewall-cmd --permanent --add-port=8080/tcp  # 永久开放8080端口  
  sudo firewall-cmd --reload  # 重新加载配置  

• 允许服务：

  sudo firewall-cmd --permanent --add-service=http  # 允许HTTP服务  

• 查看已开放端口：sudo firewall-cmd --list-ports

富规则（Rich Rules）高级配置

富规则可实现更精细的控制,例如限制特定IP访问端口：

sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.50" port protocol="tcp" port="22" accept'  

防火墙安全最佳实践

1. 最小权限原则：仅开放必要的端口和服务，避免全开策略。
2. 定期更新规则：根据业务需求调整规则，及时关闭无用端口。
3. 日志监控：启用防火墙日志，记录异常访问行为：
   • iptables日志：sudo iptables -A INPUT -j LOG
   • firewalld日志：sudo firewall-cmd --set-log-denied=all
4. 测试规则：配置新规则前，确保保留管理端口（如SSH），避免锁死服务器。

常见问题排查

1. 无法访问服务：

   • 检查防火墙是否运行：sudo systemctl status firewalld
   • 确认端口是否开放：sudo firewall-cmd --list-ports
   • 查看日志：sudo journalctl -u firewalld

2. 规则未生效：

   • firewalld需执行--reload：sudo firewall-cmd --reload
   • iptables规则需手动保存（如上文所述）。

3. 误操作导致无法连接：

   • 通过控制台重启服务器,或使用iptables的-P INPUT ACCEPT临时恢复访问。

防火墙是服务器安全的核心组件,合理配置规则能有效抵御外部威胁，无论是iptables还是firewalld，均需结合业务场景灵活调整，并配合日志监控和定期维护，确保服务器安全稳定运行，管理员应熟悉基础命令，掌握规则备份与恢复方法，以应对突发安全事件。