VPS购买后必做：防火墙与访问控制安全配置清单

刚完成VPS购买的用户常问：如何快速提升服务器安全性？答案就藏在防火墙与访问控制的配置细节里。这两项操作能直接拦截恶意访问，保护数据资产，是新手必学的安全第一课。

防火墙规则设置：从工具到策略的全流程

选对工具，安全配置事半功倍

VPS购买后，防火墙工具的选择是第一步。常见的有iptables和ufw两种：iptables是Linux内核级防火墙工具，支持复杂规则自定义，但命令繁琐（如需要手动编写链、规则顺序）；ufw（Uncomplicated Firewall，即简单防火墙）则基于iptables开发，用“允许/拒绝”等直观指令简化操作，更适合新手。去年一位刚购买VPS搭建个人博客的用户，最初尝试用iptables配置规则，却因命令复杂误封了SSH端口，导致无法远程登录。后来改用ufw，通过几条可视化命令就完成了基础防护，顺利解决了问题。

默认策略：先锁门再开窗

默认策略设置是防火墙配置的首要环节。安全的做法是“入站拒绝、出站允许”——即关闭所有外部主动连接的入口，仅放行服务器主动发起的请求。以ufw为例，执行以下命令：

sudo ufw default deny incoming
sudo ufw default allow outgoing

这相当于给服务器“锁好前门”，后续再根据需求“打开特定窗户”。

开放端口：只放必要服务通行

根据业务需求开放端口是关键。如果你用VPS搭建个人网站，通常需要开放80（HTTP）和443（HTTPS）端口；若需远程管理，还需开放22（SSH）端口。操作命令如下：

sudo ufw allow 22/tcp   # 允许SSH远程连接
sudo ufw allow 80/tcp   # 允许HTTP访问
sudo ufw allow 443/tcp  # 允许HTTPS访问

注意：若部署数据库（如MySQL的3306端口）或其他服务，需额外开放对应端口，但尽量避免开放不必要的高危端口（如21端口FTP）。

启用与检查：确认防护生效

完成规则设置后，执行`sudo ufw enable`启用防火墙。可通过`sudo ufw status`查看当前规则，确保没有遗漏或误配置。例如，输出结果应显示已允许的22、80、443端口，且入站默认策略为deny。

访问控制：多维度缩小攻击面

IP限制：只放“自己人”进来

除端口限制外，IP地址白名单能进一步提升安全。例如，企业用户购买VPS部署内部系统后，可限制仅公司办公网（如10.0.0.0/24网段）访问：

sudo ufw allow from 10.0.0.0/24 to any port 80

某企业用户通过此操作，上线半年未发生外部越权访问事件，有效防止了恶意扫描。

用户/组控制：系统层面的权限隔离

在VPS系统内部，可通过`chmod`和`chown`命令限制用户或组的操作权限。例如，将网站目录的读写权限仅分配给www用户：

chown -R www:www /var/www/html  # 修改目录所属用户和组
chmod 755 /var/www/html         # 设置目录权限（用户读写执行，组和其他只读执行）

这样即使其他用户登录服务器，也无法随意修改网站文件。

服务级控制：精准防护关键路径

针对特定服务（如Nginx），可在配置文件中细化访问规则。例如，限制官网后台管理路径仅允许运维IP访问：

location /admin {
    allow 192.168.1.100;  # 允许运维IP访问
    deny all;             # 拒绝其他所有IP
}

此设置能大幅降低后台被暴力破解的风险。

完成VPS购买后，防火墙与访问控制的配置就像给服务器穿上“防护甲”。从选择工具到细化规则，每一步都在缩小攻击面。按清单操作后，多数常见的端口扫描、暴力破解等攻击将被有效拦截，为后续业务运行筑牢安全基石。