海外VPS CentOS 7防火墙规则配置指南

你的海外VPS就像数字世界里的独立城堡，防火墙则是城堡的智能守卫——它能识别合法访客，拦截可疑流量，是保障数据和服务安全的核心工具。在CentOS 7系统中，通过合理配置防火墙规则，能精准控制网络连接，让这座“城堡”既开放又安全。

默认状态：初次接触的防火墙规则

首次登录海外VPS的CentOS 7系统时，防火墙（firewalld服务）默认处于运行状态。但它的初始规则比较保守，仅开放了部分基础服务。这意味着如果直接部署网站、数据库等应用，可能会遇到外部无法访问的问题。比如搭建的WordPress站点显示“无法连接”，或远程MySQL客户端提示“连接被拒绝”，这些都可能是防火墙规则未调整导致的。

基础检查：了解当前防火墙状态

要掌握防火墙的运行情况，首先需要查看状态和现有规则。输入命令 `systemctl status firewalld` ，若输出中包含“active (running)”，说明防火墙正常工作；若显示“inactive”，则需用 `systemctl start firewalld` 启动服务。

确认运行状态后，使用 `firewall-cmd --list-all` 查看详细规则。这个命令会列出当前开放的端口（如22端口用于SSH）、预定义服务（如HTTP）以及区域配置（默认使用public区域）。通过输出信息，能清晰看到哪些流量被允许、哪些被拦截，为后续调整提供依据。

实战配置：按需调整防火墙规则

- **开放特定端口**
若需让外部访问网站，需开放80（HTTP）和443（HTTPS）端口。执行命令 `firewall-cmd --permanent --add-port=80/tcp` 开放80端口（TCP协议），`--permanent` 表示规则永久生效。同理，用 `firewall-cmd --permanent --add-port=443/tcp` 开放443端口。完成后必须执行 `firewall-cmd --reload` 重新加载规则，否则修改不会生效。
若部署MySQL数据库，需开放3306端口，命令为 `firewall-cmd --permanent --add-port=3306/tcp` ，同样需要重新加载规则。

- **管理预定义服务**
CentOS 7防火墙内置了多种常见服务模板，如SSH、HTTP、FTP等。开放SSH服务（默认22端口）可直接使用 `firewall-cmd --permanent --add-service=ssh` ；若后续不再需要SSH远程管理，用 `firewall-cmd --permanent --remove-service=ssh` 删除规则。这种方式比直接开放端口更便捷，且符合最佳实践。

- **区域与源地址控制**
防火墙支持通过“区域”划分信任等级，常用区域有public（公共网络，默认）、trusted（可信网络）等。若需允许特定IP不受限制访问，可将其加入trusted区域，命令为 `firewall-cmd --zone=trusted --add-source=192.168.1.100 --permanent` （示例IP为192.168.1.100）。调整后同样需要 `--reload` 生效。

通过以上操作，可根据海外VPS的实际用途（如网站托管、数据存储、应用测试等）灵活调整防火墙规则。既要避免过度开放端口带来安全风险，也要确保必要服务能被外部访问，真正让防火墙成为VPS的“智能守卫”。