如何配置香港服务器防火墙

香港服务器防火墙配置实操指南
一 架构与总体策略

• 分层防护：优先在云服务商安全组/防火墙做第一道粗粒度控制，再在操作系统防火墙（Linux 的 iptables/firewalld/ufw，Windows 的 Windows Defender 防火墙）做细粒度策略，必要时叠加应用层 WAF/第三方防护。
• 最小暴露面：仅开放必要端口（如 SSH 22、HTTP 80、HTTPS 443），数据库端口（如 3306/5432）仅内网或白名单访问。
• 默认拒绝：入站默认拒绝，出站默认允许（便于业务拉取依赖），并按需收紧。
• 变更可控：规则变更遵循“先测试、再上线、可回滚”，全程保留变更记录与审计日志。
• 纵深防御：结合IDS/IPS、DDoS 缓解、漏洞与补丁管理、日志审计等形成体系化安全。

二 云安全组与系统防火墙协同配置

• 云安全组（控制台先行）
• 入站：仅放行业务必需端口；SSH/RDP 限制为管理源 IP；HTTP/HTTPS 对 0.0.0.0/0；数据库端口仅内网/VPC或指定白名单。
• 出站：通常允许所有，若需合规可细化到目标端口/地址。
• 绑定实例后保存并测试，确保规则生效。
• Linux 系统防火墙
• UFW（Ubuntu/Debian）
• 启用与放行：sudo ufw enable、sudo ufw allow 22/tcp、sudo ufw allow 80/tcp、sudo ufw allow 443/tcp
• 来源限制：sudo ufw allow from 203.0.113.0/24 to any port 22
• 防暴力：对 SSH 限速 sudo ufw limit 22/tcp
• 状态查看：sudo ufw status
• firewalld（CentOS/RHEL）
• 启动与放行：sudo systemctl start firewalld && sudo systemctl enable firewalld
• 端口/服务：sudo firewall-cmd --permanent --add-service=ssh --permanent --add-service=http --permanent --add-service=https
• 自定义端口：sudo firewall-cmd --permanent --add-port=8080/tcp
• 重载与查看：sudo firewall-cmd --reload、sudo firewall-cmd --list-all
• iptables（全场景）
• 放行常用端口：sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT、sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT、sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
• 封禁 IP：sudo iptables -A INPUT -s 203.0.113.1 -j DROP
• 持久化：Debian/Ubuntu 安装 iptables-persistent，CentOS/RHEL 使用 service iptables save 或相应保存机制。
• Windows 防火墙
• 入站规则：控制面板 → 系统和安全 → Windows Defender 防火墙 → 高级设置 → 入站规则 → 新建规则（端口/程序/自定义）→ 指定 TCP 22/80/443/3389 → 允许连接 → 配置文件（域/专用/公用）→ 命名保存。
• 出站规则：同法按需配置；完成后用外部访问与端口工具验证。

三 关键加固与访问控制

• SSH 安全
• 更改默认端口并限制来源 IP；必要时仅允许跳板机/VPN访问。
• 禁用 root 直登：PermitRootLogin no；优先使用密钥登录，必要时再启用密码并配合强口令/多因素。
• 防暴力：启用 UFW limit 22/tcp 或同类限速/失败锁定机制。
• 数据库与后台
• 3306/5432 等仅内网或白名单访问；禁止公网直连。
• 后台管理界面（如 8080/8443）限制来源 IP，或置于内网/VPN 后。
• 日志与监控
• 启用防火墙与系统日志，集中到 SIEM/日志平台进行异常检测与告警。
• 定期审计规则与访问记录，清理过期/冗余规则。

四 香港节点的网络特性与 DDoS 缓解

• 就近清洗与 CDN：面向全球用户建议接入 Cloudflare 等 CDN/WAF，利用其 DDoS 缓解与 Web 应用防护能力，降低源站暴露与带宽压力。
• 速率限制与连接控制：在系统防火墙或边界设备上对高频端口（如 22/80/443）设置速率限制/连接数限制，缓解暴力与爬虫。
• 纵深防护：结合 IDS/IPS、恶意软件防护、漏洞扫描与补丁管理，形成多层防御闭环。

五 快速模板与验证

• 快速模板
• UFW（Ubuntu/Debian）
• sudo ufw default deny incoming
• sudo ufw default allow outgoing
• sudo ufw allow 22/tcp
• sudo ufw allow 80/tcp
• sudo ufw allow 443/tcp
• sudo ufw allow from 203.0.113.0/24 to any port 22
• sudo ufw limit 22/tcp
• sudo ufw enable && sudo ufw status
• firewalld（CentOS/RHEL）
• sudo firewall-cmd --permanent --set-default-zone=public
• sudo firewall-cmd --permanent --add-service=ssh --permanent --add-service=http --permanent --add-service=https
• sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="203.0.113.0/24" port port="22" protocol="tcp" accept'
• sudo firewall-cmd --reload && sudo firewall-cmd --list-all
• Windows
• 入站规则放行 TCP 22/80/443/3389（按需），出站默认允许；完成后用外部访问与端口扫描工具验证。
• 验证与回滚
• 从白名单与公网分别测试访问；使用 ufw status、firewall-cmd --list-all、iptables -L -n -v 或 Windows 防火墙 MMC 检查生效状态。
• 变更前备份规则（如 iptables-save > rules.v4），出现异常按备份快速回滚。