🗣 Wd提问: 服务器防火墙配置
🤖 Ai回答:服务器防火墙配置是保障服务器安全的重要环节。合理的防火墙策略可以有效防止未经授权的访问、攻击和数据泄露。以下是常见的服务器防火墙配置步骤与建议,适用于主流操作系统(如 Linux 和 Windows)。
一、常见防火墙工具
| 操作系统 | 常用防火墙工具 |
| Linux | `iptables` / `nftables` / `ufw`(Ubuntu/Debian) / `firewalld`(CentOS/RHEL) |
| Windows | Windows 防火墙(内置) |
推荐使用现代工具:
Ubuntu/Debian:`ufw`(简单易用)
CentOS/RHEL/Fedora:`firewalld`
其他 Linux 发行版:`nftables` 或 `iptables`
二、通用配置原则
1、默认拒绝所有流量(除非明确允许)
2、只开放必要的端口和服务
3、定期审查规则
4、启用日志记录以监控异常流量
5、使用状态检测(stateful filtering)
三、Linux 防火墙配置示例
1、使用 UFW(Ubuntu/Debian)
bash
启用 UFW
sudo ufw enable
查看当前状态
sudo ufw status verbose
允许 SSH(端口 22)
sudo ufw allow ssh
允许 HTTP (80) 和 HTTPS (443)
sudo ufw allow http
sudo ufw allow https
允许特定 IP 访问 SSH
sudo ufw allow from 192.168.1.100 to any port 22
拒绝所有其他流量
sudo ufw default deny incoming
sudo ufw default allow outgoing
删除规则(例如删除 SSH 规则)
sudo ufw delete allow ssh
✅ 优点:语法简洁,适合初学者。
2、使用 firewalld(CentOS/RHEL/Fedora)
bash
启动并设置开机自启
sudo systemctl start firewalld
sudo systemctl enable firewalld
查看状态
sudo firewall-cmd state
查看当前区域和活动区域
sudo firewall-cmd get-active-zones
添加服务(如 http, https, ssh)
sudo firewall-cmd permanent add-service=http
sudo firewall-cmd permanent add-service=https
sudo firewall-cmd permanent add-service=ssh
添加自定义端口(如 8080)
sudo firewall-cmd permanent add-port=8080/tcp
重新加载配置
sudo firewall-cmd reload
查看当前规则
sudo firewall-cmd list-all
✅ 支持动态更新,支持多区域(zone)管理。
3、使用 iptables(通用但较复杂)
bash
清空现有规则
sudo iptables -F
sudo iptables -X
设置默认策略:拒绝所有入站,允许出站
sudo iptables -P INPUT DROP
sudo iptables -P OUTPUT ACCEPT
sudo iptables -P FORWARD DROP
允许本地回环
sudo iptables -A INPUT -i lo -j ACCEPT
允许已建立的连接
sudo iptables -A INPUT -m state state ESTABLISHED,RELATED -j ACCEPT
允许 SSH(端口 22)
sudo iptables -A INPUT -p tcp dport 22 -j ACCEPT
允许 HTTP/HTTPS
sudo iptables -A INPUT -p tcp dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp dport 443 -j ACCEPT
保存规则(不同发行版方式不同)
Ubuntu/Debian:
sudo apt install iptables-persistent
sudo netfilter-persistent save
CentOS/RHEL:
sudo service iptables save
⚠️ 注意:iptables 规则重启后可能丢失,需持久化。
四、Windows 防火墙配置
方法 1:图形界面(推荐)
1、打开“控制面板” → “系统和安全” → “Windows Defender 防火墙”
2、点击“高级设置” → “入站规则”或“出站规则”
3、添加新规则:
类型:程序、端口、预定义等
指定端口(如 TCP 80, 443)
设置允许或阻止
4、保存规则
方法 2:命令行(PowerShell)
powershell
开放端口(如 8080)
New-NetFirewallRule -DisplayName Allow Port 8080 -Direction Inbound -LocalPort 8080 -Protocol TCP -Action Allow
删除规则
Remove-NetFirewallRule -DisplayName Allow Port 8080
五、最佳实践建议
| 建议 | 说明 |
| 🔐 限制 SSH 访问 | 只允许特定 IP 登录,或使用密钥认证 |
| 🛡️ 启用状态检测 | 使用 `state=ESTABLISHED,RELATED` 过滤非法连接 |
| 📊 日志记录 | 启用防火墙日志,便于分析攻击行为 |
| 🔄 定期审查 | 每月检查一次规则,移除不再需要的规则 |
| 🧱 多层防护 | 结合云防火墙(如 AWS Security Group、阿里云安全组) |
| 📦 使用安全组 | 在云平台中同时配置安全组 + 服务器防火墙 |
六、测试防火墙是否生效
bash
测试端口是否开放(从外部机器)
telnet <server_ip 80
nc -zv <server_ip 443
检查本地监听
ss -tuln | grep :80
netstat -an | grep :22
七、常见问题排查
| 问题 | 解决方案 |
| 无法远程登录 | 检查 SSH 端口是否被防火墙阻挡 |
| Web 服务不可访问 | 检查 80/443 是否开放 |
| 规则不生效 | 重启防火墙服务(`sudo systemctl restart firewalld`) |
| 规则丢失 | 检查是否未保存配置 |
总结
| 工具 | 适用场景 | 易用性 |
|
| UFW | Ubuntu/Debian 快速部署 | ⭐⭐⭐⭐☆ |
| firewalld | RHEL/CentOS/Fedora | ⭐⭐⭐⭐ |
| iptables | 通用、灵活 | ⭐⭐ |
| Windows 防火墙 | Windows 服务器 | ⭐⭐⭐⭐ |
✅ 建议:选择适合你系统的工具,并遵循最小权限原则。
如果你提供具体的服务器环境(如:Ubuntu 22.04、CentOS 7、AWS EC2 等),我可以给出更详细的配置脚本。欢迎补充!
📣 商家广告:
0
IP地址: 9.137.153.98
搜索次数: 0
提问时间: 2025-11-03 07:29:41
🛒 域名购买:
61.gold
lytxw.com
tuosou.cn
souru.com.cn
pai.show
838.net.cn
cgbc.cn
63.gs
51.biz
287.net.cn
❓️ 热门提问:
idc运维项目
香港二天游最佳路线
初始服务器
se域名
关键词自动更新工具无广告
优惠的vps
ns游戏主机
icmp属于tcp/ip网络中的哪层协议
虚拟主机0元
船的主机是什么
豌豆Ai站群搜索引擎系统
🌐 域名评估:
mypettoy.com
uavtower.cn
s-k.com.cn
sun.nx.cn
t-x.com.cn
zz.jl.cn
evtol.xj.cn
aaa.ah.cn
le.fj.cn
yw.gs
⛏ 最新挖掘:
凯里酸汤鱼
贵阳烤脑花
都匀毛尖茶
花溪牛肉粉
贵阳烤生蚝
贵阳烤豆腐
贵阳纸包鱼
贵阳特色菜
🤝 关于我们:
豌豆Ai
域名
建站
站群
留痕
推广
评估
源码
开发Ai
工具
日记
价格
加盟
广告
流量
留言
联系
📢 温馨提示:本站所有问答由Ai自动创作,内容仅供参考,若有误差请用“联系”里面信息通知我们人工修改或删除。
👉 技术支持:本站由豌豆Ai提供技术支持,使用的最新版:《豌豆Ai站群搜索引擎系统 V.25.10.25》搭建本站。