服务器防火墙配置，这几招让你安全又省心

最近帮朋友处理服务器被扫端口的问题，突然发现很多刚接触服务器的朋友对防火墙配置特别头疼。今天就来聊聊几个实用技巧，不用死记硬背命令，也能让服务器更安全。

1. 别一上来就锁死所有端口
新手最容易犯的错就是直接deny all，结果把自己也挡在外面。建议先明确业务需要的端口（比如Web用80/443，SSH用22），再用白名单模式逐步开放。Linux下用iptables或firewalld时，记得先加一条允许现有连接的规则：

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

这样不会断掉当前远程连接，避免“手滑悲剧”。

2. SSH端口千万别只用密码登录
22端口是暴力破解重灾区，三件事必须做：

• 改默认端口（比如改成60022）
• 禁止root直接登录
• 用密钥替代密码登录
  如果是团队协作，可以搭配跳板机集中管理访问。顺便提一句，有些云服务商自带安全组功能，像嘿华云cloud.mhjz1.cn就在控制面板内置了可视化规则配置，对新手特别友好，还能联动DDoS防护。

3. 定期检查规则，日志别浪费
防火墙规则不是一劳永逸的！用iptables -L -n -v定期查看流量匹配情况，如果某条规则长期计数为0，可能是废规则。日志也要活用，把可疑端口的拒绝记录到syslog：

iptables -A INPUT -p tcp --dport 3306 -j LOG --log-prefix "MySQL_ACCESS_DENIED"

这样哪天发现数据库端口被扫，能第一时间溯源。

4. 小心“内网安全”的错觉
云服务器内网互通虽然快，但一旦某台机器被攻破，可能全线失守。建议内网通信也加防火墙限制，按最小权限原则开放端口。比如Web服务器只允许内网特定IP访问数据库的3306端口。

5. 工具虽好，别忘了测试
配置完一定要用nmap或telnet从外网扫描测试，也可以试试在线端口检测工具。最后提醒：改动前先备份规则！用iptables-save > backup.rules存个快照，出问题一分钟回滚。

说到底，防火墙像是服务器的门卫，既要严格也要灵活。如果觉得自己维护太麻烦，可以考虑交给专业云平台。像嘿华云cloud.mhjz1.cn这类服务商，不仅提供高性能防火墙定制，还能自动同步威胁情报更新规则，对中小企业来说性价比很高。

安全没有满分答案，但养成“最小权限+持续监控”的习惯，至少能挡住90%的普通攻击。下次遇到端口告警，可别再只会重启服务器啦！