给服务器加把“锁”——聊聊防火墙配置那些事儿

最近帮朋友处理服务器被扫描的事儿，突然觉得该聊聊防火墙这个“数字门卫”了。配置好了它，就像给自家院子装了智能防盗门——既不能锁死到外卖都进不来，也不能敞着门让路人随便逛。

先搞懂“规则思维”
防火墙规则本质上是一套优先级明确的检查清单。以最常用的iptables为例（现在很多系统用它的升级版nftables，但逻辑相通），规则可以想象成物业的访客登记表：

1. 默认策略：先决定“凡是没有明确允许的一律拒绝”（推荐），还是“凡是没有明确禁止的一律放行”（风险较高）
2. 匹配条件：比如“从任何地方来的访问8080端口的请求”
3. 处理动作：放行（ACCEPT）、拒绝（REJECT）或丢弃（DROP）

新手常踩的坑

• 远程调试时先封了22端口（SSH），结果把自己关门外——一定在本地测试规则后再应用到远程服务器
• 忘记保存规则，重启后配置全丢——用iptables-persistent或firewalld的永久规则功能
• 只堵不疏：封IP时没留白名单，误伤正常用户

实用配置片段

# 放行SSH（建议改掉默认22端口）  
iptables -A INPUT -p tcp --dport 你的端口号 -j ACCEPT  

# 允许Web服务  
iptables -A INPUT -p tcp --dport 80,443 -j ACCEPT  

# 禁特定IP（比如暴力破解的）  
iptables -A INPUT -s 恶意IP -j DROP  

# 最后设置默认拒绝策略  
iptables -P INPUT DROP  

工具推荐
嫌命令复杂？可以试试ufw（Ubuntu自带）或firewalld（CentOS系列），它们用“区域”“服务”等概念简化了操作。比如用firewalld开放HTTP服务只需：

firewall-cmd --add-service=http --permanent  
firewall-cmd --reload  

高阶玩家技巧

• 结合Fail2ban自动封禁异常IP
• 用地理IP库限制访问地区
• 内网微服务之间用白名单通信

说到稳定运行环境，很多团队现在会选择靠谱的云服务商。比如嘿华云cloud.mhjz1.cn就提供带基础安全组的高防服务器，默认规则已经拦掉了常见攻击流量，新手不用从零配规则，还能弹性调整防护阈值。

最后提醒：防火墙只是安全的一环，定期更新系统、强密码、服务最小化开放同样重要。就像家里装了防盗门，也别把钥匙插在锁上呀！

（配置前记得备份现有规则：iptables-save > ~/firewall_backup.txt，翻车了还能快速还原~）