如何设置防火墙防止恶意访问

防火墙防止恶意访问的实用配置指南
一 核心策略与原则

• 最小权限原则：默认拒绝所有入站，仅放行必要服务（如 SSH 22、HTTP 80、HTTPS 443），出站一般允许，内部回环接口放行。
• 分层防护：在主机防火墙之外，叠加 WAF、CDN、云防火墙/安全组，对应用层与网络层同时加固。
• IP 黑白名单：对可信来源白名单放行，对已知恶意来源黑名单阻断。
• 速率限制与连接控制：限制单 IP 的新建连接速率、并发连接数，缓解暴力破解与扫描。
• 日志与告警：开启并定期审计防火墙日志，出现异常及时处置与封禁。

以上做法可在 iptables、firewalld、UFW 与云环境策略中落地实施。
二 Linux 主机防火墙配置

• UFW（Ubuntu/Debian）
• 启用与默认策略：sudo ufw default deny incoming；sudo ufw default allow outgoing；sudo ufw allow ssh,http,https；sudo ufw enable。
• 封禁恶意 IP/网段：sudo ufw deny from 203.0.113.45；sudo ufw deny from 198.51.100.0/24。
• firewalld（CentOS/RHEL/Fedora）
• 基本放行：sudo firewall-cmd --permanent --add-service=ssh,http,https；sudo firewall-cmd --reload。
• 仅允许指定 IP 访问某端口：sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="203.0.113.10" port port=22 protocol=tcp accept' --permanent && sudo firewall-cmd --reload。
• 关闭不必要端口：sudo firewall-cmd --permanent --remove-port=8080/tcp && sudo firewall-cmd --reload。
• iptables（通用）
• 默认策略与回环放行：sudo iptables -P INPUT DROP；sudo iptables -P FORWARD DROP；sudo iptables -P OUTPUT ACCEPT；sudo iptables -A INPUT -i lo -j ACCEPT。
• 放行必要端口：sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT；sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT；sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT。
• 速率限制（缓解暴力与扫描）：sudo iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -m limit --limit 5/min --limit-burst 10 -j ACCEPT；sudo iptables -A INPUT -p tcp --dport 22 -j DROP。
• 封禁 IP/网段：sudo iptables -A INPUT -s 203.0.113.45 -j DROP；sudo iptables -A INPUT -s 198.51.100.0/24 -j DROP。
• ICMP 洪水缓解：sudo iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/second -j ACCEPT；sudo iptables -A INPUT -p icmp --icmp-type echo-request -j DROP。

以上命令覆盖日常所需的最小加固与常用阻断场景，注意在变更前保留一条当前会话的 SSH 连接，避免被锁。
三 Windows Server 防火墙配置

• 打开：高级安全 Windows Defender 防火墙 → 入站规则 → 新建规则 → 选择 自定义。
• 作用域：在“作用域”中将 远程 IP 地址 设为“下列 IP 地址”，添加要拦截的单个 IP 或 IP 段。
• 操作：选择 阻止连接；完成后可在规则列表中按名称（如“BlackList-拦截恶意IP”）管理并追加更多 IP。
• 云上叠加：在云厂商控制台的安全组/云防火墙中同步配置来源限制，形成双重防护。

四 云环境与 DDoS 缓解

• 云防火墙/安全组：仅开放业务必需端口与协议，对管理口（如 SSH/RDP）限制来源 IP；对数据库、管理后台等仅内网或跳板机可达。
• CDN 与 WAF：启用 Web 应用防火墙 过滤 SQL 注入、XSS 等应用层攻击；利用 CDN 的缓存与边缘规则分担与清洗流量。
• 流量清洗/高防：遭遇大流量攻击时联动 流量清洗服务 或 高防 IP，在边界进行异常流量丢弃与限速。
• 监控与处置：结合云平台监控与告警，对持续异常的来源 IP 批量封禁并溯源。

上述分层方案可与主机防火墙协同，显著降低恶意访问成功率与影响面。
五 验证与运维要点

• 规则验证与查看
• firewalld：sudo firewall-cmd --list-all 或 --list-all-zones 查看生效规则；变更后用 sudo firewall-cmd --reload 使配置生效。
• iptables：sudo iptables -L -n -v 检查规则命中与流量统计，必要时按编号删除误配规则。
• 变更风险控制
• 远程维护时先放行当前管理口来源 IP，或使用 带外管理/控制台 兜底；规则分阶段上线并保留回滚方案。
• 持续运维
• 定期审计日志、更新规则与补丁；对高频来源建立自动化封禁与告警流程。

以上做法有助于确保策略按预期生效并便于快速回滚与排障。