Linux防火墙怎样保护系统安全

Linux防火墙保护系统安全的原理与要点

一 核心机制

• 访问控制：通过内核的 netfilter 框架对数据包进行匹配与处理，按“表（table）—链（chain）—规则（rule）”执行，常用动作包括 ACCEPT/REJECT/DROP。
• 状态检测：利用连接跟踪（如 conntrack/ctstate）识别 ESTABLISHED/RELATED 流量，确保已发起会话的响应可以回包，同时拦截未授权的新连接。
• 默认拒绝：采用“默认 DROP、按需 ACCEPT”的白名单思路，仅放行必要来源、端口与协议，显著降低攻击面。
• 日志与告警：对拒绝或异常流量进行 LOG，便于审计与入侵溯源。
• 动态管理：在 firewalld 中通过“区域（zone）”为不同网络环境设置不同信任级别与规则集合，支持运行时热更新与持久化。

二 常用工具与适用场景

• iptables：直接操作内核规则，粒度最细，适合需要复杂策略与深度定制的场景（如端口、协议、源/目的、连接状态、速率限制、日志、NAT 等）。
• firewalld：动态防火墙前端，提供 zone/服务/端口/富规则 等抽象，配置更直观，适合日常运维与快速落地。

三 落地配置示例

• 使用 iptables 的“默认拒绝 + 最小放行”基线

  1. 清空旧规则并设置默认策略
     sudo iptables -F && sudo iptables -X && sudo iptables -Z
     sudo iptables -P INPUT DROP
     sudo iptables -P FORWARD DROP
     sudo iptables -P OUTPUT ACCEPT
  2. 放行本地回环与已建立连接
     sudo iptables -A INPUT -i lo -j ACCEPT
     sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
  3. 按需开放必要服务（示例：仅可信网段访问 SSH 22）
     sudo iptables -A INPUT -p tcp -s 203.0.113.10/32 --dport 22 -j ACCEPT
  4. 可选：限制 SSH 暴力尝试（60 秒内超过 4 次新连接则丢弃）
     sudo iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -m recent --set
     sudo iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
  5. 可选：记录被拒绝的数据包
     sudo iptables -A INPUT -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
  6. 保存规则（持久化）
     sudo iptables-save > /etc/iptables/rules.v4
     说明：规则自上而下匹配，务必先放行回环与已建立连接，再放行业务端口，最后设置默认拒绝，避免把自己锁在外面。

• 使用 firewalld 的“区域 + 服务/端口/富规则”基线

  1. 启动与持久化
     sudo systemctl enable --now firewalld
  2. 选择区域（示例：将网卡设为 public，或按需切换到 internal/drop 等）
     sudo firewall-cmd --set-default-zone=public
     sudo firewall-cmd --zone=public --change-interface=eth0
  3. 放行常用服务（示例：HTTP/HTTPS）
     sudo firewall-cmd --zone=public --add-service=http --permanent
     sudo firewall-cmd --zone=public --add-service=https --permanent
  4. 按源 IP 精细放行（示例：仅可信网段访问 SSH 22）
     sudo firewall-cmd --permanent --zone=public --add-rich-rule=‘rule family=“ipv4” source address=“203.0.113.0/24” port port=“22” protocol=“tcp” accept’
  5. 使配置生效
     sudo firewall-cmd --reload
  6. 紧急“全阻断”（测试环境慎用）
     sudo firewall-cmd --panic-on
     说明：firewalld 提供 public/work/home/internal/external/dmz/trusted/drop/block 等区域；对需要细粒度控制的场景，使用 富规则（rich rule） 指定来源、端口、协议与动作。

四 加固实践与运维建议

• 最小暴露面：仅开放必需端口与服务；对管理口（如 SSH 22）实施 源 IP 白名单 或跳板机策略。
• 状态优先：始终允许 ESTABLISHED/RELATED，避免“只开端口却收不到回包”的可用性故障。
• 日志与监控：开启拒绝日志，定期审计；结合 fail2ban 自动封禁暴力破解来源。
• 纵深防御：与 SSH 密钥登录、禁用密码登录、系统与安全补丁更新、备份恢复演练配合，形成多层防护。

五 常见排错与风险控制

• 规则顺序与默认策略：确保“放行回环/已建立连接”的规则位于前列，默认策略放在最后；错误的 DROP 策略可能导致“远程被锁”。
• 持久化与回滚：iptables 使用 iptables-save/restore 持久化；firewalld 使用 –permanent 与 –reload，变更前先备份与验证。
• 变更窗口与应急：在可回滚窗口内操作；必要时准备控制台/带外通道；firewalld 可用 –panic-off 快速解除全阻断。
• 验证连通性：放行后用 ss -lntp、curl、nc 等工具逐项验证端口与服务可达性。