Linux防火墙如何阻止恶意访问

Linux防火墙可通过以下方式阻止恶意访问，不同工具命令略有差异，核心逻辑一致：

一、基础规则配置（以常见工具为例）

1. iptables（传统工具，适用于多数发行版）

• 拒绝特定IP访问：
  sudo iptables -A INPUT -s 恶意IP地址 -j DROP
  例：sudo iptables -A INPUT -s 192.168.1.100 -j DROP
• 拒绝IP段访问：
  sudo iptables -A INPUT -m iprange --src-range 192.168.1.1-192.168.1.100 -j DROP
• 限制端口访问：
  sudo iptables -A INPUT -p tcp --dport 22 -j DROP（拒绝SSH访问）
• 默认拒绝策略（增强安全性）：
  sudo iptables -P INPUT DROP（仅允许明确放行的流量）

2. ufw（Ubuntu简化工具）

• 拒绝IP访问：
  sudo ufw deny from 恶意IP地址
  例：sudo ufw deny from 203.0.113.5
• 拒绝端口访问：
  sudo ufw deny 22/tcp（拒绝SSH端口）

3. firewalld（CentOS 7+默认工具）

• 拒绝IP访问：
  sudo firewall-cmd --add-rich-rule='rule source address="恶意IP地址" drop'
  例：sudo firewall-cmd --add-rich-rule='rule source address="10.0.0.1" drop'
• 拒绝端口访问：
  sudo firewall-cmd --remove-port=80/tcp --permanent（关闭HTTP端口）

二、进阶防护策略

• 限制连接频率（防暴力破解）：
  sudo iptables -A INPUT -p tcp --dport 22 -m limit --limit 5/min -j ACCEPT（限制SSH每分钟最多5次连接）
• 阻止扫描行为：
  sudo iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP（丢弃无标志位的扫描包）
• 保存规则（确保重启生效）：
  • iptables：sudo service iptables save（CentOS）或 sudo iptables-save > /etc/iptables/rules.v4（Ubuntu）
  • firewalld：规则默认持久化，无需额外操作

三、工具选择建议

• 新手/简单场景：优先用 ufw（命令简洁，适合Ubuntu）。
• 复杂需求/服务器：使用 iptables（功能强大，支持精细化规则）。
• 动态环境：选择 firewalld（支持区域隔离和动态更新）。

四、注意事项

• 执行规则前建议先备份现有配置（如 iptables-save > backup.rules）。
• 避免误操作拒绝正常业务流量，建议先在测试环境验证规则。
• 结合日志监控（如 iptables -A INPUT -j LOG）分析异常流量。

以上命令参考自，可根据实际需求选择对应工具和规则。