防火墙配置:掌握 iptables、firewalld 等工具的使用与管理
在现代服务器安全体系中,防火墙是最基础、最关键的安全屏障之一。无论是传统的iptables,还是更现代的firewalld,都承担着“限制访问、减少攻击面、保护系统”的核心职责。
本文将从以下几个方面展开:
- iptables 与 firewalld 的区别与适用场景
- iptables 常用规则与管理方法
- firewalld 的区域、服务与端口管理
- 企业级防火墙最佳实践
1. iptables 与 firewalld 的区别
| 项目 | iptables | firewalld |
|---|---|---|
| 工作方式 | 静态规则表 | 动态规则管理 |
| 配置难度 | 较高 | 较低 |
| 是否支持热更新 | ❌ 重载会中断连接 | ✔ 支持动态更新 |
| 管理方式 | 命令行规则 | 区域(zone)+ 服务(service) |
| 适用场景 | 高度自定义、精细控制 | 日常运维、快速配置 |
总结:
- 需要精细控制 → 用iptables
- 需要快速管理、动态更新 → 用firewalld
2. iptables 基础与常用配置
iptables 基于表(table)和链(chain)工作:
- filter:默认表,用于过滤流量
- nat:地址转换(DNAT/SNAT)
- mangle:修改数据包
- raw:绕过连接跟踪
常用链:
- INPUT:进入本机的流量
- OUTPUT:从本机发出的流量
- FORWARD:转发流量
2.1 查看当前规则
iptables -L -n -v2.2 放行常用端口
放行 SSH(22)
iptables -A INPUT -p tcp --dport22-j ACCEPT放行 HTTP/HTTPS
iptables -A INPUT -p tcp -m multiport --dports80,443-j ACCEPT2.3 拒绝所有其他流量(默认策略)
iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT2.4 允许本地回环与已建立连接
iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT2.5 保存规则
CentOS 7 及以下:
serviceiptables saveUbuntu:
iptables-save>/etc/iptables.rules3. firewalld 使用与管理
firewalld 是基于区域(zone)的动态防火墙,支持热更新,不会中断现有连接。
3.1 常用命令
查看状态
systemctl status firewalld启动/停止
systemctl start firewalld systemctlenablefirewalld3.2 区域(Zone)概念
常见区域:
| 区域 | 说明 |
|---|---|
| public | 默认区域,允许最少服务 |
| internal | 内网环境 |
| trusted | 信任所有流量(慎用) |
| drop | 丢弃所有流量 |
查看当前区域:
firewall-cmd --get-active-zones3.3 开放端口
开放 80 端口
firewall-cmd --zone=public --add-port=80/tcp --permanent firewall-cmd --reload开放多个端口
firewall-cmd --add-port=3000-3010/tcp --permanent3.4 开放服务(推荐方式)
firewalld 内置服务定义(如 ssh、http、https)。
开放 HTTP 服务
firewall-cmd --add-service=http --permanent firewall-cmd --reload查看所有服务:
firewall-cmd --get-services3.5 移除端口或服务
firewall-cmd --remove-port=80/tcp --permanent firewall-cmd --remove-service=http --permanent firewall-cmd --reload3.6 允许特定 IP 访问
仅允许某 IP 访问 SSH
firewall-cmd --add-rich-rule='rule family="ipv4" source address="1.2.3.4" port port="22" protocol="tcp" accept'--permanent4. iptables 与 firewalld 的组合使用建议
- firewalld 是 iptables 的上层管理工具
- 不建议同时启用两者,否则规则冲突难以排查
- 若使用 firewalld,应关闭 iptables 服务
5. 企业级防火墙最佳实践
5.1 最小暴露面原则
- 只开放业务必须端口
- 禁用所有默认服务
- 定期审计端口暴露情况
5.2 使用白名单策略
- SSH 仅允许固定 IP 登录
- 管理后台仅允许内网访问
5.3 分环境管理
| 环境 | 策略 |
|---|---|
| 生产 | 严格白名单 |
| 测试 | 适度放开 |
| 开发 | 内网访问即可 |
5.4 日志与审计
- 定期查看防火墙日志
- 监控异常访问(如暴力破解)
- 配合 fail2ban 等工具自动封禁恶意 IP
6. 总结
掌握 iptables 与 firewalld,是系统安全加固的基础能力:
- iptables:适合精细化控制
- firewalld:适合动态管理与日常运维
- 最小暴露面 + 白名单 + 审计是企业级最佳实践
通过合理配置防火墙,可以显著降低攻击面,提升系统整体安全性。
