配置防火墙是保障云服务器安全的核心措施,通过控制进出流量可有效防御攻击、限制非法访问。本地防火墙直接控制服务器端口,需手动定义规则。配置防火墙的日志存储功能,确保日志能够长期保存,本文详细为大家介绍下关于防火墙配置的相关步骤。
一、配置防火墙的步骤
1. Linux系统本地防火墙配置
使用iptables
bash1# 查看当前规则
2sudo iptables -L -n
4# 允许SSH(22端口)和HTTP(80端口)
5sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
6sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
8# 拒绝其他所有入站流量
9sudo iptables -A INPUT -j DROP
11# 保存规则
12sudo apt install iptables-persistent # Debian/Ubuntu
13sudo netfilter-persistent save
使用firewalld(CentOS/RHEL)
bash1# 启动并启用firewalld
2sudo systemctl start firewalld
3sudo systemctl enable firewalld
5# 开放端口(如80、443)
6sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
7sudo firewall-cmd --zone=public --add-port=443/tcp --permanent
9# 重新加载规则
10sudo firewall-cmd --reload
12# 查看开放端口
13sudo firewall-cmd --list-ports
2. 云平台安全组配置
登录云控制台,进入ECS实例页面。
找到目标实例,点击安全组 → 配置规则。
添加入方向规则:
类型:自定义TCP
端口范围:22(SSH)、80/443(Web)等
授权对象:0.0.0.0/0或指定IP段
保存规则后立即生效。
二、配置防火墙的注意事项
1.避免误封关键服务
确保开放必要端口,否则可能导致无法远程连接或服务中断。
测试时建议先在本地网络环境验证规则,再应用到生产环境。
2.最小化权限原则
仅允许可信IP访问敏感端口。
示例:限制SSH访问为特定IP段
bash1sudo iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
2sudo iptables -A INPUT -p tcp --dport 22 -j DROP
3.定期更新规则
业务变更时及时调整防火墙规则。
删除无用规则,避免规则堆积导致管理混乱。
4.日志监控与审计
启用防火墙日志记录攻击行为:
bash1# iptables日志配置
2sudo iptables -A INPUT -j LOG --log-prefix "FIREWALL: "
定期检查日志,分析异常流量。
5.多层级防护
结合云平台安全组和本地防火墙实现双重保护。
示例:安全组限制公网访问,本地防火墙限制内网访问。
6.备份与恢复
配置前备份当前规则:
bash1sudo iptables-save > /backup/iptables_rules.txt # iptables
2sudo firewall-cmd --list-all > /backup/firewalld_rules.txt # firewalld
误操作后可快速恢复。
三、常见问题处理
问题1:配置后无法远程连接
检查是否误封了22端口或安全组未放行。
通过云平台VNC控制台登录,修正防火墙规则。
问题2:规则不生效
确认防火墙服务是否运行。
检查规则顺序。
问题3:性能下降
复杂规则可能增加CPU负载,建议合并相似规则。
防火墙配置需遵循“默认拒绝、按需开放”原则,结合云平台安全组和本地防火墙实现纵深防御。定期审计规则、监控日志,并根据业务变化动态调整,可显著提升服务器安全性。
