美国服务器防护规则配置实操指南
一 规划与分层
- 明确资产与暴露面:梳理业务所需端口与协议(如 Web 的 80/443、SSH 的 22、数据库如 3306/5432 等),仅开放必要项,遵循最小权限原则。
- 分层防护思路:优先采用“云防火墙/安全组 + 主机防火墙 + 应用层防护”的多层模型,降低单点失效风险。
- 规则设计要点:默认拒绝、按业务细化、重视日志与告警、定期审计与更新;云侧可启用DDoS 防护与访问日志;必要时叠加 IPS/IDS 提升威胁识别与阻断能力。
二 云侧与网络边界配置
- 安全组/云防火墙:仅允许可信来源访问管理端口(如 22),对公网业务仅放通 80/443;对管理口设置源 IP 白名单;为关键端口设置速率限制与连接数限制;开启访问日志与告警。
- 边界设备:在数据中心或网络入口部署下一代防火墙(NGFW)/硬件防火墙,启用IPS/反病毒/应用识别与应用层过滤;按安全域划分(公网区、应用区、数据区)并实施微分段;策略按“自上而下、先精确后宽泛”的顺序编排,定期测试与优化。
三 Linux 主机防火墙示例
- firewalld(CentOS/Fedora/RHEL)
systemctl start firewalld
firewall-cmd --permanent --zone=public --add-service=http
firewall-cmd --permanent --zone=public --add-service=https
firewall-cmd --permanent --zone=public --add-service=ssh
firewall-cmd --reload
apt update && apt install -y ufw
ufw default deny incoming
ufw default allow outgoing
ufw allow 80/tcp
ufw allow 443/tcp
ufw allow 22/tcp
ufw enable
ufw status verbose
iptables -F; iptables -X
iptables -P INPUT DROP; iptables -P FORWARD DROP; iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# 持久化(视发行版而定)
iptables-save > /etc/iptables/rules.v4
- 加固提示:SSH 建议改为非默认端口并限制来源 IP;数据库端口仅内网开放;规则变更前备份,变更后按“先放行已建立连接、再放行业务端口、最后默认拒绝”的顺序验证。
四 Windows 主机防火墙示例
- 图形界面:启用“Windows Defender 防火墙”,在“高级安全”中对入站/出站规则仅允许必要程序或端口(如 80/443/3389),对管理口设置IP 白名单与日志。
- PowerShell:
New-NetFirewallRule -DisplayName "Allow HTTP" -Direction Inbound -LocalPort 80 -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "Allow HTTPS" -Direction Inbound -LocalPort 443 -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "Allow RDP" -Direction Inbound -LocalPort 3389 -Protocol TCP -Action Allow
- 建议:RDP 仅限跳板或管理网段访问;为关键服务器开启安全审计策略与日志收集。
五 验证与运维
- 连通性与回归测试:从外网与内网分别验证 80/443/22 等端口;变更窗口内保持控制台/带外可达,避免锁死;对数据库、管理口等限制访问的服务进行白名单回归。
- 日志与监控:持续查看防火墙与系统日志,关注异常来源、扫描与暴力登录;结合入侵检测/防御(IDS/IPS)与主机加固(如MFA、禁用 root 直登、及时补丁)形成闭环。
- 备份与演练:定期备份规则与配置,在测试环境演练规则变更与故障回滚流程;对云侧与边界设备固件/特征库进行及时更新。
