云服务器Linux系统防火墙配置策略详解

在云服务器的日常运维中，网络安全是绕不开的核心课题。面对端口扫描、恶意入侵等潜在威胁，合理配置Linux系统的防火墙工具，能精准筛选进出流量，只放行授权连接，大幅降低安全风险。目前Linux系统中最常用的防火墙工具有经典的iptables（Linux内核级防火墙工具）和CentOS 7及以上版本默认的firewalld（动态防火墙管理工具），本文将分别详解二者的配置策略。

iptables配置策略

iptables作为Linux系统中经典的防火墙工具，通过规则链管理网络流量。以下是其核心配置步骤：

1. 初始化规则

首次配置前需清空现有规则，避免冲突：

iptables -F  # 清空所有默认链规则
iptables -X  # 删除自定义链
iptables -Z  # 重置所有计数器

2. 设置默认策略

为增强安全性，建议将输入和转发流量的默认策略设为拒绝，仅允许必要输出：

iptables -P INPUT DROP    # 输入流量默认拒绝
iptables -P OUTPUT ACCEPT  # 输出流量默认允许
iptables -P FORWARD DROP   # 转发流量默认拒绝

3. 放行本地与已建立连接

本地回环接口（lo）是服务器内部通信的关键，需单独放行：

iptables -A INPUT -i lo -j ACCEPT

同时允许已建立或关联的连接，保障正常通信：

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

4. 开放业务所需端口

若需开放SSH（默认22端口）、HTTP（80端口）或HTTPS（443端口）服务，可执行：

iptables -A INPUT -p tcp --dport 22 -j ACCEPT  # 开放SSH
iptables -A INPUT -p tcp --dport 80 -j ACCEPT  # 开放HTTP
iptables -A INPUT -p tcp --dport 443 -j ACCEPT # 开放HTTPS

firewalld配置策略

firewalld通过区域（zone）管理流量，配置更灵活，适合CentOS 7及以上系统：

1. 服务管理基础

启动并查看服务状态：

systemctl start firewalld   # 启动服务
systemctl status firewalld  # 查看运行状态

2. 永久开放端口

开放SSH、HTTP、HTTPS端口时需添加永久规则（--permanent），避免重启失效：

firewall-cmd --zone=public --add-port=22/tcp --permanent  # 开放SSH
firewall-cmd --zone=public --add-port=80/tcp --permanent  # 开放HTTP
firewall-cmd --zone=public --add-port=443/tcp --permanent # 开放HTTPS

修改后需重新加载配置：

firewall-cmd --reload

3. 查看配置结果

可通过以下命令验证开放端口：

firewall-cmd --zone=public --list-ports

通过针对性配置iptables或firewalld，能为云服务器构建起有效的网络防护层，抵御常见攻击。实际操作中可根据系统版本和业务需求，选择更适合的防火墙工具实施配置。