Linux虚拟机如何配置防火墙

在Linux虚拟机中配置防火墙可以有效地保护系统免受恶意攻击。常用的防火墙工具包括iptables和firewalld。以下是使用这两种工具的详细配置指南。

使用iptables配置防火墙

iptables是Linux系统上最常用的防火墙工具之一，功能强大但配置复杂。

基本配置步骤：

1. 查看当前规则：

   iptables -L -n -v
   

2. 清空规则：

   iptables -F
   iptables -t nat -F
   

3. 添加基础规则：

   • 允许SSH（端口22）入站：

     iptables -A INPUT -p tcp --dport 22 -j ACCEPT
     

   • 允许HTTP/HTTPS（端口80/443）入站：

     iptables -A INPUT -p tcp --dport 80,443 -j ACCEPT
     

   • 拒绝其他所有入站流量（默认策略）：

     iptables -P INPUT DROP
     

4. 保存规则：

   service iptables save
   

高级功能：

• 设置NAT规则（端口转发）：

  iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination :80
  iptables -t nat -A POSTROUTING -j MASQUERADE
  

• 限制IP访问频率：

  iptables -I INPUT -p tcp --dport 22 -m limit --limit 10/min -j ACCEPT
  

使用firewalld配置防火墙

firewalld是CentOS 7及其衍生版本中默认使用的防火墙管理工具，基于服务的动态防火墙，支持NAT和端口转发。

基本配置步骤：

1. 启用与禁用firewalld：

   sudo systemctl start firewalld
   sudo systemctl enable firewalld
   sudo systemctl stop firewalld
   

2. 查看与修改规则：

   • 查看所有活动区域规则：

     sudo firewall-cmd --list-all
     

   • 添加开放端口（永久生效）：

     sudo firewall-cmd --zone public --add-port 80/tcp --permanent
     

3. 高级功能：

   • 设置服务（预定义规则集）：

     sudo firewall-cmd --zone public --add-service http --permanent
     

   • 启用NAT和路由：

     sudo firewall-cmd --zone public --add-masquerade --permanent
     

防火墙策略设计原则：

• 最小化开放端口：仅开放必要服务（如SSH、HTTP）。
• 默认拒绝策略：未明确允许的流量应默认拒绝。
• 分层防御：结合内核防火墙（iptables）和service-level防火墙（firewalld）。
• 日志记录：监控可疑流量（如–log选项）。
• 定期审计：清理过期规则，更新策略。

实战场景

Web服务器防火墙配置：

• 使用ufw：

  sudo ufw allow 80,443/tcp
  sudo ufw default deny incoming
  sudo ufw enable
  

• 使用firewalld：

  sudo firewall-cmd --zone public --add-service http --permanent
  sudo firewall-cmd --zone public --add-service https --permanent
  

SSH安全加固：

• 限制IP白名单（如允许192.168.0.0/24网段）：

  sudo iptables -A INPUT -p tcp --dport 22 -s 192.168.0.0/24 -j ACCEPT
  sudo iptables -A INPUT -p tcp --dport 22 -j DROP
  

通过以上步骤，你可以根据实际需求选择使用iptables或firewalld来配置Linux虚拟机的防火墙。