在美国服务器上设置防火墙的实用步骤
一 规划与准备
- 明确服务器角色与必要端口:Web 服务常用 80/443,SSH 管理默认 22,数据库如 3306/5432 等仅在需要时开放,并尽量只对内网或跳板机开放。
- 选择防火墙层级:优先采用“云防火墙/安全组 + 操作系统防火墙”的多层防护;云侧负责粗粒度策略与 DDoS、IP 过滤,系统侧负责细粒度端口与应用控制。
- 备份与变更窗口:修改前备份现有规则,选择低峰时段变更,准备回滚方案,避免锁死远程连接。
- 原则:坚持最小权限、分级防护、日志监控与报警、定期审计与更新。
二 Linux 服务器配置
- 方案A firewalld(CentOS/Fedora/RHEL)
1) 启动与开机自启:systemctl start firewalld && systemctl enable firewalld
2) 放行必要服务:firewall-cmd --permanent --add-service=ssh、--add-service=http、--add-service=https
3) 重新加载:firewall-cmd --reload
4) 按需限制管理源 IP(示例):firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="203.0.113.10" port port="22" protocol="tcp" accept'
1) 安装与启用:apt update && apt install ufw -y && ufw enable
2) 默认策略:ufw default deny incoming、ufw default allow outgoing
3) 放行端口:ufw allow 22/tcp, 80/tcp, 443/tcp
4) 状态检查:ufw status verbose
1) 允许回环与已建立连接:iptables -A INPUT -i lo -j ACCEPT、iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
2) 放行服务端口:iptables -A INPUT -p tcp --dport 22 -j ACCEPT、-p tcp --dport 80 -j ACCEPT、-p tcp --dport 443 -j ACCEPT
3) 默认拒绝入站:iptables -P INPUT DROP(务必确保已有 SSH 规则后再设置)
4) 保存规则(视发行版):iptables-save > /etc/iptables/rules.v4 或 service iptables save
- 提示:规则顺序影响命中;在远程变更时,建议先放行 22 并保留当前会话,确认无误后再收紧来源 IP。
三 Windows 服务器配置
- 图形界面:打开“高级安全 Windows 防火墙”,在“入站规则”中新建规则,选择“端口”,指定 TCP 80/443/3389,操作选择“允许连接”,按需应用到域/专用/公用配置文件。
- PowerShell(管理员):
- 允许 HTTP/HTTPS:
New-NetFirewallRule -DisplayName "Allow HTTP" -Direction Inbound -LocalPort 80 -Protocol TCP -Action Allow - 允许 RDP:
New-NetFirewallRule -DisplayName "Allow RDP" -Direction Inbound -LocalPort 3389 -Protocol TCP -Action Allow - 建议:仅允许受控来源 IP 访问 3389,并开启安全日志与告警。
四 云服务器与多层防护
- 云防火墙/安全组:在云平台控制台创建策略,仅放行业务所需端口与协议;对管理端口(如 22/3389)实施源 IP 白名单;开启访问日志与DDoS 防护。
- 分层示例:
- 网络层:云安全组限制端口与来源;
- 主机层:操作系统防火墙细化到端口/协议;
- 应用层:部署 WAF/ModSecurity 抵御 SQL 注入、XSS 等常见 Web 攻击。
- 维护:定期审计规则、更新防火墙组件与策略,结合监控告警快速处置异常。
五 验证与运维清单
- 连通性验证:
- SSH:
ssh -p 22 user@server_ip - HTTP/HTTPS:
curl -I https://your_domain - 端口探测:
nc -vz server_ip 80、443、22 - 日志与监控:
- Linux:
sudo grep 'IN' /var/log/syslog | less 查看防火墙日志; - 持续监控规则命中与异常流量,必要时设置告警。
- 变更与回滚:每次变更前备份规则;遵循“先放行、后收紧、再验证”的流程;保留可回滚的命令行历史或脚本。
