Linux虛擬機如何配置防火墻

在Linux虛擬機中配置防火墻可以有效地保護系統免受惡意攻擊。常用的防火墻工具包括iptables和firewalld。以下是使用這兩種工具的詳細配置指南。

使用iptables配置防火墻

iptables是Linux系統上最常用的防火墻工具之一，功能強大但配置復雜。

基本配置步驟：

1. 查看當前規則：

   iptables -L -n -v
   

2. 清空規則：

   iptables -F
   iptables -t nat -F
   

3. 添加基礎規則：

   • 允許SSH（端口22）入站：

     iptables -A INPUT -p tcp --dport 22 -j ACCEPT
     

   • 允許HTTP/HTTPS（端口80/443）入站：

     iptables -A INPUT -p tcp --dport 80,443 -j ACCEPT
     

   • 拒絕其他所有入站流量（默認策略）：

     iptables -P INPUT DROP
     

4. 保存規則：

   service iptables save
   

高級功能：

• 設置NAT規則（端口轉發）：

  iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination :80
  iptables -t nat -A POSTROUTING -j MASQUERADE
  

• 限制IP訪問頻率：

  iptables -I INPUT -p tcp --dport 22 -m limit --limit 10/min -j ACCEPT
  

使用firewalld配置防火墻

firewalld是CentOS 7及其衍生版本中默認使用的防火墻管理工具，基于服務的動態防火墻，支持NAT和端口轉發。

基本配置步驟：

1. 啟用與禁用firewalld：

   sudo systemctl start firewalld
   sudo systemctl enable firewalld
   sudo systemctl stop firewalld
   

2. 查看與修改規則：

   • 查看所有活動區域規則：

     sudo firewall-cmd --list-all
     

   • 添加開放端口（永久生效）：

     sudo firewall-cmd --zone public --add-port 80/tcp --permanent
     

3. 高級功能：

   • 設置服務（預定義規則集）：

     sudo firewall-cmd --zone public --add-service http --permanent
     

   • 啟用NAT和路由：

     sudo firewall-cmd --zone public --add-masquerade --permanent
     

防火墻策略設計原則：

• 最小化開放端口：僅開放必要服務（如SSH、HTTP）。
• 默認拒絕策略：未明確允許的流量應默認拒絕。
• 分層防御：結合內核防火墻（iptables）和service-level防火墻（firewalld）。
• 日志記錄：監控可疑流量（如–log選項）。
• 定期審計：清理過期規則，更新策略。

實戰場景

Web服務器防火墻配置：

• 使用ufw：

  sudo ufw allow 80,443/tcp
  sudo ufw default deny incoming
  sudo ufw enable
  

• 使用firewalld：

  sudo firewall-cmd --zone public --add-service http --permanent
  sudo firewall-cmd --zone public --add-service https --permanent
  

SSH安全加固：

• 限制IP白名單（如允許192.168.0.0/24網段）：

  sudo iptables -A INPUT -p tcp --dport 22 -s 192.168.0.0/24 -j ACCEPT
  sudo iptables -A INPUT -p tcp --dport 22 -j DROP
  

通過以上步驟，你可以根據實際需求選擇使用iptables或firewalld來配置Linux虛擬機的防火墻。