香港VPS Linux防火墙安全组配置实战指南

对于搭建外贸网站、跨境电商系统的用户而言，香港VPS凭借低延迟、多线网络的优势，成为部署业务的热门选择。但网络安全风险如影随形，恶意扫描、端口攻击等威胁可能影响服务稳定性。掌握通过Linux防火墙规则修改安全组配置的技能，能针对性控制网络流量，为香港VPS构建更精准的安全防护体系。

前置准备：理解基础概念与工具差异

安全组是VPS的“虚拟门卫”，通过预设规则决定哪些网络流量可以进出；而Linux防火墙规则则是具体的“门禁指令”，常见管理工具有iptables（适用于Ubuntu/Debian）和firewalld（适用于CentOS/Fedora）。操作前需明确两点：一是确认当前使用的防火墙工具类型，二是备份现有规则避免误操作导致服务中断。

第一步：检查防火墙运行状态

不同系统默认工具不同，需先确认状态。以Ubuntu 22.04为例，输入命令：

sudo iptables -L

若返回规则列表，说明iptables正常运行；CentOS 8则输入：

sudo systemctl status firewalld

若显示“active (running)”，表示firewalld已启动。

第二步：备份现有规则（关键防错操作）

修改前备份规则是“后悔药”。iptables用户执行：

sudo iptables-save > /etc/iptables/rules.v4

规则会保存到/etc/iptables/rules.v4，系统重启时会自动加载。firewalld用户则用：

sudo firewall-cmd --permanent --list-all > /etc/firewalld/backup.rules

备份文件存储于/etc/firewalld/backup.rules，后续可通过“firewall-cmd --reload”恢复。

核心操作：针对性调整安全组规则

实际业务中，最常见的需求是开放业务端口或限制恶意IP访问，以下分场景说明。

场景一：开放业务所需端口（如网站访问）

假设在香港VPS部署了一个外贸网站，需开放HTTP（80）和HTTPS（443）端口。iptables用户执行：

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

“-A INPUT”表示在输入链添加规则，“-j ACCEPT”为允许通过。firewalld用户则用：

sudo firewall-cmd --permanent --add-port=80/tcp
sudo firewall-cmd --permanent --add-port=443/tcp
sudo firewall-cmd --reload

注意：若仅允许特定地区用户访问（如东南亚），可结合IP段限制，例如“--add-port=80/tcp --source=116.193.0.0/16”，减少暴露风险。

场景二：限制恶意IP访问（如攻击源）

若检测到某IP（如192.168.1.100）频繁尝试连接SSH（22端口），需阻止其访问。iptables用户执行：

sudo iptables -A INPUT -s 192.168.1.100 -p tcp --dport 22 -j DROP

“-s”指定源IP，“-j DROP”为丢弃数据包。firewalld用户则用：

sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" service name="ssh" reject'
sudo firewall-cmd --reload

此规则会直接拒绝该IP对SSH服务的连接请求。

收尾验证：确保规则生效

修改后需验证效果。可通过其他设备尝试访问开放的80端口（如curl http://香港VPS公网IP），若能正常返回网页内容则规则生效；用被限制的IP尝试SSH连接（如ssh user@香港VPS公网IP），若提示“连接超时”则说明阻止成功。

掌握这些操作后，你能根据业务需求灵活调整香港VPS的安全组配置，在保障服务可用性的同时，有效抵御网络攻击。日常维护中建议定期检查防火墙日志（如/var/log/firewalld或iptables日志），及时发现异常流量并更新规则，让香港VPS始终运行在安全区间。