Linux云服务器防火墙配置完全指南：从入门到精通

一、为什么需要在云服务器上配置防火墙？

云服务器虽然提供了基础的网络安全措施，但配置自己的防火墙仍然是必要的：

• 防止未经授权的访问尝试
• 限制特定端口的访问
• 防御DDoS攻击
• 符合数据安全合规要求

二、常见的Linux防火墙工具

1. iptables

iptables是Linux系统中最传统的防火墙工具，功能强大但配置相对复杂。

# 查看当前iptables规则
sudo iptables -L -n -v

2. firewalld

firewalld是较新的防火墙管理工具，提供了更简单的配置方式和动态更新功能。

# 启动firewalld服务
sudo systemctl start firewalld

3. UFW (Uncomplicated Firewall)

UFW是Ubuntu系统上简化的防火墙配置工具，适合初学者使用。

# 允许SSH连接
sudo ufw allow ssh

三、详细配置步骤

1. 配置iptables防火墙

下面是一个基本的iptables配置示例：

# 清空现有规则
sudo iptables -F

# 设置默认策略
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT

# 允许本地回环
sudo iptables -A INPUT -i lo -j ACCEPT

# 允许已建立的连接
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 开放SSH端口(22)
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 开放HTTP(80)和HTTPS(443)端口
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 保存规则
sudo iptables-save > /etc/iptables.rules

2. 使用firewalld配置防火墙

firewalld使用zone和service的概念来管理规则：

# 查看当前活动zone
sudo firewall-cmd --get-active-zones

# 添加HTTP服务到public zone
sudo firewall-cmd --zone=public --add-service=http --permanent

# 添加自定义端口
sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent

# 重新加载防火墙配置
sudo firewall-cmd --reload

3. UFW简单配置

# 启用UFW
sudo ufw enable

# 允许SSH连接
sudo ufw allow ssh

# 允许特定IP访问
sudo ufw allow from 192.168.1.100

# 拒绝特定端口
sudo ufw deny 3306

# 查看规则
sudo ufw status numbered

四、高级防火墙策略

1. 速率限制

防止暴力破解攻击：

# 限制SSH连接尝试(每分钟3次)
sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

2. 防止SYN洪水攻击

sudo iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
sudo iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT

3. 日志记录

记录被拒绝的连接尝试：

sudo iptables -A INPUT -j LOG --log-prefix "IPTABLES-DROPPED: "

五、常见问题解决

Q: 配置后无法远程连接服务器怎么办？

A: 通过云服务商的控制台登录，检查防火墙规则是否错误地阻止了SSH端口。

Q: 如何备份和恢复防火墙规则？

A: 使用iptables-save备份，iptables-restore恢复；firewalld规则会自动保存。

Q: 为什么我的规则在重启后消失了？

A: iptables规则需要持久化保存，Ubuntu可以安装iptables-persistent包。

六、最佳实践建议

• 遵循最小权限原则，只开放必要的端口
• 定期审查防火墙规则
• 结合云服务商的安全组功能实现多层防护
• 测试配置前确保有备用访问方式
• 考虑使用fail2ban等工具增强防护

通过合理配置Linux防火墙，您可以显著提高云服务器的安全性。根据您的具体需求和技术水平，选择最适合的防火墙工具和配置策略。记住，安全是一个持续的过程，需要定期维护和更新。