Linux防火墻怎樣阻止惡意訪問

Linux防火墻可通過配置規則阻止惡意訪問，常用工具包括iptables、ufw、firewalld，以下是具體方法及示例：

• 使用iptables

  • 拒絕特定IP訪問：sudo iptables -A INPUT -s 惡意IP地址 -j DROP。
  • 拒絕IP段訪問：sudo iptables -A INPUT -m iprange --src-range 起始IP-結束IP -j DROP。
  • 限制端口訪問：sudo iptables -A INPUT -p tcp --dport 端口號 -j DROP。
  • 保存規則：sudo iptables-save > /etc/iptables/rules.v4（Ubuntu）或iptables-save > /etc/sysconfig/iptables（CentOS）。

• 使用ufw（Ubuntu/Debian）

  • 拒絕IP訪問：sudo ufw deny from 惡意IP地址。
  • 拒絕端口訪問：sudo ufw deny 端口號/tcp。
  • 啟用防火墻：sudo ufw enable。

• 使用firewalld（CentOS/RHEL/Fedora）

  • 拒絕IP訪問：sudo firewall-cmd --permanent --add-rich-rule='rule source address="惡意IP地址" drop'。
  • 拒絕端口訪問：sudo firewall-cmd --permanent --remove-port=端口號/tcp。
  • 重新加載規則：sudo firewall-cmd --reload。

• 高級防護

  • 限制訪問頻率（防暴力破解）：sudo iptables -A INPUT -p tcp --dport 22 -m limit --limit 5/min -j ACCEPT。
  • 使用IP集批量屏蔽IP：先通過ipset create banlist hash:ip創建IP集，再添加IP并應用規則iptables -I INPUT -m set --match-set banlist src -j DROP。

注意：配置前需確保工具已安裝，規則生效前建議先測試，避免誤攔截正常流量。定期更新系統和防火墻規則，結合入侵檢測系統（如fail2ban）提升安全性。