Linux防火墙如何管理防火墙策略

Linux防火墙可通过以下工具管理策略，核心操作包括规则配置、持久化及优化：

一、主流管理工具

1. iptables（传统工具，适合复杂规则）

   • 规则配置：通过-A（添加）、-D（删除）、-I（插入）等命令操作规则链（如INPUT、OUTPUT），支持源/目标IP、端口、协议等匹配条件。

     # 允许SSH（22端口）入站  
     iptables -A INPUT -p tcp --dport 22 -j ACCEPT  
     # 拒绝特定IP访问  
     iptables -A INPUT -s 192.168.1.100 -j DROP  
     

   • 持久化：用iptables-save保存规则到文件，iptables-restore恢复。

2. firewalld（动态管理，适合动态环境，CentOS 7+默认）

   • 区域（Zone）管理：按信任级别划分区域（如public、trusted），每个区域预设不同规则。

     # 查看当前区域规则  
     firewall-cmd --zone=public --list-all  
     # 开放HTTP端口（永久生效）  
     firewall-cmd --permanent --zone=public --add-port=80/tcp  
     # 重启生效  
     firewall-cmd --reload  
     

   • 富规则（Rich Rule）：支持IP限制、端口转发、日志记录等高级功能。

     # 限制IP访问频率（防暴力破解）  
     firewall-cmd --add-rich-rule='rule source address="192.168.1.100" service name="ssh" limit value="3/m" accept'  
     

3. ufw（简化版，适合新手，Ubuntu默认）

   • 基于iptables封装，命令更简洁，支持快速开放端口、拒绝IP等。

     # 允许SSH  
     ufw allow ssh  
     # 拒绝IP  
     ufw deny from 192.168.1.100  
     

二、核心管理操作

1. 规则优化
   • 按“先允许后拒绝”顺序排列规则，避免冗余。
   • 合并同类规则（如多个IP访问同一端口），减少规则数量。
2. 日志与监控
   • 启用日志记录可疑流量，通过/var/log/syslog或journalctl查看。
   • 使用nftables或firewalld的监控功能实时查看流量。
3. 备份与恢复
   • 定期备份规则文件（如iptables-save > /etc/iptables.backup），避免误操作丢失配置。

三、安全最佳实践

• 最小权限原则：仅开放必要端口和服务，默认拒绝所有非必要流量。
• 动态调整：定期审查规则，删除过时规则，根据网络环境变化更新策略。
• 高可用性：在关键服务器上配置冗余防火墙，避免单点故障。

不同工具适用于不同场景，优先选择firewalld（动态灵活）或ufw（简单易用），复杂需求可选用iptables。