VPS服务器MySQL防火墙配置：限制外部访问策略

在VPS服务器的日常运维中，MySQL数据库的安全往往是核心关注点。近期接触的一位电商客户就遇到过类似问题：因未限制MySQL外部访问，服务器被扫描到3306端口后遭遇暴力破解，所幸及时发现未造成数据泄露。这提醒我们，通过防火墙配置限制外部访问，是VPS服务器MySQL安全的基础防护手段。

业务场景中的安全隐患

某中小型企业曾使用VPS服务器托管会员信息数据库，初期未限制MySQL外部访问。两周后运维日志显示，有IP尝试用“admin”“123456”等弱口令连续登录330次，虽未成功但已构成安全隐患。这正是未配置防火墙的典型风险——开放的3306端口如同暴露的“数据大门”，攻击者通过网络扫描定位到端口后，常尝试暴力破解弱口令或进行SQL注入，数据篡改、泄露甚至删除的风险将直线上升。

技术方案：Linux iptables配置

在VPS服务器（以Linux系统为例）中，可通过iptables（Linux系统的防火墙管理工具）针对性限制MySQL（默认端口3306）的外部访问。具体操作分三步：确认端口状态、配置访问规则、保存规则生效。

第一步：确认MySQL监听端口

配置前需确认MySQL是否正监听3306端口。执行命令：

netstat -tuln | grep 3306

若输出类似“tcp6 0 0 :::3306 :::* LISTEN”，说明MySQL正通过IPv6监听3306端口。若未显示结果，可能是MySQL未启动或端口被修改（需检查/etc/my.cnf中的port配置）。

第二步：配置访问限制规则

iptables规则的顺序至关重要，允许规则（ACCEPT）需放在拒绝规则（DROP）前，否则所有请求会被提前拒绝。以下是两种常见场景的配置方法：

场景1：仅允许特定IP访问

若业务中仅需管理终端（如IP 192.168.1.100）访问MySQL，可执行：

iptables -A INPUT -p tcp --dport 3306 -s 192.168.1.100 -j ACCEPT  # 允许指定IP
iptables -A INPUT -p tcp --dport 3306 -j DROP  # 拒绝其他所有IP

第一行规则允许192.168.1.100访问3306端口，第二行则对其他IP直接拒绝。

场景2：允许特定网段访问

若需开放办公网（如192.168.1.0/24网段）内所有设备访问，规则调整为：

iptables -A INPUT -p tcp --dport 3306 -s 192.168.1.0/24 -j ACCEPT  # 允许网段内所有IP
iptables -A INPUT -p tcp --dport 3306 -j DROP  # 拒绝其他所有IP

192.168.1.0/24表示该网段内（192.168.1.1-192.168.1.254）的所有IP均可访问。

第三步：保存规则并生效

临时配置的iptables规则在服务器重启后会丢失，需手动保存。执行：

iptables-save > /etc/iptables.rules  # 保存当前规则到文件

若使用Debian/Ubuntu系统，需在/etc/network/interfaces文件中添加：

pre-up iptables-restore < /etc/iptables.rules  # 系统启动时自动加载规则

CentOS用户则需通过systemctl enable iptables服务实现开机自启。

延伸建议：多层级安全防护

仅靠防火墙限制访问是基础，实际运维中还需结合其他措施：定期更换数据库密码（建议每月更新）、开启MySQL慢查询日志（监控异常连接）、关闭不必要的远程登录权限（修改/etc/my.cnf中的bind-address=127.0.0.1仅允许本地访问）。若服务器用于电商等对安全性要求高的场景，可进一步升级为高防VPS服务器，通过硬件级防护抵御DDoS攻击。

数据安全不是单一配置的结果，而是持续优化的过程。通过合理配置VPS服务器的MySQL防火墙规则，结合其他安全措施，能有效降低数据泄露风险，为业务稳定运行保驾护航。