引言

防火墙是服务器安全的第一道防线，负责控制进出网络的流量并阻止恶意访问。合理配置防火墙规则可有效降低端口扫描、暴力破解、DDoS攻击等风险。本文将从基础规则到高级策略，覆盖 Linux iptables/ufw、Windows 防火墙 及 云服务商安全组 的配置方法，并提供企业级安全优化建议。

一、防火墙配置核心原则

1. 最小权限原则
   仅开放必要的端口（如 HTTP/80、HTTPS/443、SSH/22），禁止默认放行所有流量。
2. 分层防御
   结合网络层防火墙（如 iptables）和应用层防火墙（如 ModSecurity）实现纵深防护。
3. 日志监控
   记录被拦截的流量并定期分析，识别潜在攻击模式。
4. 自动化维护
   使用工具定期更新规则，防止过时配置导致漏洞。

二、Linux 服务器防火墙配置

1. 使用iptables（基础工具）

bash

复制

# 清空现有规则（操作前确保已放行SSH端口，避免被踢出！）
iptables -F
iptables -X

# 设置默认策略：禁止所有入站，允许所有出站
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# 允许本地回环流量
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# 开放SSH（限制来源IP段以提高安全性）
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT

# 开放HTTP/HTTPS
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 允许已建立的连接和关联流量
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# 保存规则（根据系统选择工具）
apt install iptables-persistent -y  # Debian/Ubuntu
iptables-save > /etc/iptables/rules.v4

2. 使用ufw（简化工具，适合新手）

bash

复制

# 安装并启用
sudo apt install ufw
sudo ufw enable

# 放行常用端口（限制SSH来源IP）
sudo ufw allow from 192.168.1.0/24 to any port 22
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

# 查看规则状态
sudo ufw status verbose

3. 高级安全策略

• 防止端口扫描
  限制同一IP的连接频率：
• bash
• 复制
• iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP
• 防御SYN洪水攻击
• bash
• 复制
• iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT
• 屏蔽恶意IP
• bash
• 复制
• iptables -A INPUT -s 123.45.67.89 -j DROP # 或批量屏蔽IP段 iptables -A INPUT -s 123.45.67.0/24 -j DROP

三、Windows 服务器防火墙配置

1. 图形界面配置

1. 打开 高级安全 Windows Defender 防火墙。
2. 入站规则 → 新建规则：
3. 选择端口类型（如 TCP 80/443）。
4. 限制允许的源IP（如仅限办公网络）。
5. 出站规则 → 默认禁止所有，按需开放必要服务（如DNS、NTP）。

2. PowerShell 命令配置

powershell

复制

# 开放HTTP端口（限制来源IP）
New-NetFirewallRule -DisplayName "Allow HTTP" -Direction Inbound -Protocol TCP -LocalPort 80 -Action Allow -RemoteAddress 192.168.1.0/24

# 阻止特定IP
New-NetFirewallRule -DisplayName "Block Malicious IP" -Direction Inbound -RemoteAddress 123.45.67.89 -Action Block

四、云服务器安全组配置（AWS/Azure/GCP）

示例：AWS 安全组规则

1. 入口规则（Inbound）
2. 类型协议端口范围来源SSHTCP22公司IP段HTTPTCP800.0.0.0/0HTTPSTCP4430.0.0.0/0
3. 出口规则（Outbound）
   限制服务器主动外连的端口，避免被入侵后作为跳板。

五、企业级防火墙优化策略

1. 网络分段

• 将服务器划分为 公开区（Web服务）和 内网区（数据库），通过防火墙隔离区域间通信。

2. 应用层过滤

• 使用 ModSecurity（Nginx/Apache模块）拦截SQL注入、XSS攻击。
  示例规则：
• nginx
• 复制
• location / { ModSecurityEnabled on; ModSecurityConfig modsecurity.conf; }

3. 入侵检测与自动防御

• 部署 Fail2Ban 自动封锁暴力破解IP：
• bash
• 复制
• # 安装并配置（监控SSH日志） apt install fail2ban echo "[sshd] enabled = true banaction = iptables-multiport" > /etc/fail2ban/jail.local systemctl restart fail2ban

4. 日志与审计

• 集中收集防火墙日志至 SIEM 系统（如ELK Stack），设置告警规则（如1小时内超过50次被拦截的SSH尝试）。

六、验证与故障排除

1. 验证端口状态

bash

复制

# 使用nmap扫描（从外部机器执行）
nmap -Pn -p 22,80,443 your_server_ip

# 预期结果：仅开放配置的端口

2. 常见问题

• 误封锁合法流量：检查规则顺序（防火墙规则通常从上到下匹配）。
• 服务不可达：临时关闭防火墙测试 ufw disable 或 iptables -F。
• 规则未生效：重启防火墙服务（systemctl restart ufw 或 service iptables restart）。

七、总结

防火墙配置需遵循“最小化开放”原则，并结合网络分层、日志监控和自动化工具形成完整防护体系。定期审查规则、更新IP黑名单，并与其他安全措施（如入侵检测、漏洞扫描）联动，才能最大程度抵御动态变化的安全威胁。