防火墙白名单 IP 设置是保障服务器安全的重要手段,通过允许指定 IP 访问服务器,既能阻挡恶意攻击,又能确保合法用户正常连接。但实际操作中,常出现设置白名单后无法访问服务器的问题,需结合设置流程排查原因。下面详细介绍不同场景下防火墙白名单 IP 的设置方法,及设置后无法访问的解决方
防火墙白名单 IP 的设置方法
防火墙白名单 IP 设置需根据服务器操作系统(Windows、Linux)及部署环境(本地服务器、云服务器)选择对应方式,核心逻辑是 “添加允许访问的 IP 及端口规则”。
1. Windows 系统防火墙设置白名单 IP
Windows 自带防火墙可通过图形化界面快速配置白名单,适合非技术用户:
按下 Win+R,输入 “control” 打开控制面板,依次进入 “系统和安全 - Windows Defender 防火墙 - 高级设置”;
在左侧栏选择 “入站规则”,点击右侧 “新建规则”,规则类型选择 “自定义”,点击 “下一步”;
程序选择 “所有程序”,协议类型默认 “所有”,点击 “下一步”;
在 “远程 IP 地址” 栏选择 “这些 IP 地址”,点击 “添加”,输入需加入白名单的 IP(单个 IP 直接输入,IP 段格式为 “192.168.1.1 - 192.168.1.100”),点击 “下一步”;
操作选择 “允许连接”,点击 “下一步”;
勾选适用的网络类型(通常全选),点击 “下一步”,输入规则名称(如 “允许办公 IP 访问”),完成设置。
若需针对特定端口(如远程桌面 3389 端口、Web 服务 80 端口)设置白名单,可在 “协议和端口” 步骤中,选择特定协议(TCP/UDP),并填写 “本地端口”(如 “3389”),其余步骤同上。
2. Linux 系统防火墙设置白名单 IP
Linux 常用防火墙为 firewalld(CentOS 7 及以上)或 iptables(CentOS 6 及以下),需通过命令行配置:
(1)firewalld 防火墙(主流)
查看防火墙状态:执行systemctl status firewalld,确保状态为 “active(running)”;
永久添加单个 IP 白名单(允许所有端口访问):firewall-cmd --permanent --add-source=192.168.1.100;
永久添加 IP 段白名单(仅允许 8080 端口访问):firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="8080" accept";
重新加载规则使配置生效:firewall-cmd --reload;
查看已配置的白名单规则:firewall-cmd --permanent --list-all。
(2)iptables 防火墙(老旧系统)
临时添加 IP 白名单(允许所有端口):iptables -A INPUT -s 192.168.1.100 -j ACCEPT;
临时添加 IP 段白名单(仅允许 22 端口 SSH 访问):iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT;
保存配置(CentOS 6):service iptables save;
重启防火墙:service iptables restart。
3. 云服务器防火墙(安全组)设置白名单 IP
阿里云、腾讯云等云服务器的防火墙通过 “安全组” 实现白名单配置,操作更便捷:
登录云服务商控制台,进入云服务器实例管理页面,找到 “安全组” 配置入口;
选择需配置的安全组,点击 “添加规则”,规则方向选择 “入站”;
协议类型根据需求选择(如 “TCP”“UDP” 或 “全部”),端口范围填写需开放的端口(如 “80/80”“3389/3389”,全端口填 “0/65535”);
授权对象填写白名单 IP(单个 IP 填 “192.168.1.100/32”,IP 段填 “192.168.1.0/24”,允许所有 IP 填 “0.0.0.0/0”);
规则描述填写备注(如 “允许办公网 IP 访问 Web 服务”),点击 “确定” 完成添加。
云服务器需注意:安全组规则需区分 “入站”(外部访问服务器)和 “出站”(服务器访问外部),白名单 IP 通常配置在 “入站规则” 中;部分云服务商默认拒绝所有入站请求,需手动添加白名单规则才能访问。
