一、基礎防火墻配置（firewalld）

1. 啟動與狀態檢查

systemctl start firewalld  # 啟動防火墻systemctl enable firewalld # 設置開機自啟firewall-cmd --state       # 查看狀態（running為正常）

2. 端口管理

• 開(kai)放端(duan)口（以 80/443 為例）：

  bash

  firewall-cmd --zone=public --add-port=80/tcp --permanentfirewall-cmd --zone=public --add-port=443/tcp --permanentfirewall-cmd --reload    # 生效配置

  
  

• 查看開放端口：

  bash

  firewall-cmd --zone=public --list-ports

  
  

• 關閉(bi)端口：

  bash

  firewall-cmd --zone=public --remove-port=80/tcp --permanent

  
  

3. 服務管理

• 允(yun)許特定服務(wu)（如(ru) SSH）：

  bash

  firewall-cmd --zone=public --add-service=ssh --permanent

  
  

• 查看服務規則(ze)：

  bash

  firewall-cmd --zone=public --list-services

  
  

4. 區域配置

• 查看(kan)活動區域(yu)：

  bash

  firewall-cmd --get-active-zones

  
  

• 設(she)置默認區域：

  bash

  firewall-cmd --set-default-zone=public

  
  

二、高防御場景的強化配置

1. 與硬件防護聯動

• 流(liu)量清(qing)洗規則：
  高防御服務器通常已部署硬件級(ji)流量清洗(xi)（如 BGP Anycast），需..防火墻(qiang)規(gui)則(ze)與清洗(xi)策略一致：

  bash

  # 允許清洗設備回源IP段firewall-cmd --zone=public --add-source=清洗設備IP/24 --permanent

  
  

• 阻(zu)斷攻擊特征流量：

  bash

  # 禁止SYN Flood攻擊（防護Layer4）firewall-cmd --zone=public --add-rich-rule='rule protocol value="tcp" drop' --permanent

  
  

2. 精細化流量控制

• 限制并(bing)發連(lian)接數：

  bash

  firewall-cmd --zone=public --add-rich-rule='rule service name="http" limit value="1000/sec" accept' --permanent

  
  

• 禁止特定 IP 段訪問：

  bash

  firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" reject' --permanent

  
  

3. 協議與端口優化

• 關閉不必要的端口：

  bash

  firewall-cmd --zone=public --remove-service=dhcpv6-client --permanent

  
  

• 允許(xu) UDP 協議(yi)（游戲 / 視頻業務）：

  bash

  firewall-cmd --zone=public --add-port=10000-20000/udp --permanent

  
  

三、日志監控與攻擊溯源

1. 開啟防火墻日志

# 修改配置文件vi /etc/firewalld/firewalld.confLogDenied=all  # 將此項設置為allsystemctl restart firewalld

2. 分析攻擊流量

• 實時(shi)查(cha)看拒(ju)絕(jue)日志(zhi)：

  bash

  tail -f /var/log/firewalld

  
  

• 過濾特定攻擊類型：

  bash

  grep "DROP" /var/log/firewalld | awk '{print $7}' | sort | uniq -c | sort -nr

  
  

3. 結合 fail2ban 動態封禁

• 安裝與配(pei)置：

  bash

  yum install fail2ban -yvi /etc/fail2ban/jail.local

  
  添加以下規則：

  ini

  [ssh-iptables]enabled = trueport = sshfilter = sshdlogpath = /var/log/securemaxretry = 3bantime = 3600findtime = 600

  
  

• 啟動(dong)服務：

  bash

  systemctl start fail2ban
  systemctl enable fail2ban

  
  

四、常見問題與解決方案

1. 端口無法訪問

• 檢查 SELinux：

  bash

  getenforce  # 若為Enforcing狀態，臨時關閉：setenforce 0

  
  

• 驗證(zheng)云服務商安全組：
  阿里云 / 騰訊(xun)云等(deng)需同時配置控制(zhi)臺安全組(zu)規則(ze)。

2. 防火墻規則沖突

• 排查 firewalld 與 iptables 沖突：

  bash

  systemctl stop firewalld
  iptables -L -n  # 查看殘留規則iptables -F     # 清空規則

  
  

3. 高并發場景性能優化

• 啟(qi)用 SYN Cookies：

  bash

  echo "1" > /proc/sys/net/ipv4/tcp_syncookiesvi /etc/sysctl.conf
  net.ipv4.tcp_syncookies = 1sysctl -p

  
  

五、安全增強..實踐

1. 禁止 root 直接 SSH 登(deng)錄：

   bash

   vi /etc/ssh/sshd_config
   PermitRootLogin no
   systemctl restart sshd

   
   

2. 限制 SSH 登錄頻率：

   bash

   vi /etc/hosts.deny
   sshd: ALL: denyvi /etc/hosts.allow
   sshd: 192.168.1.0/24: allow

   
   

3. 啟用 BGP 多線防護：
   聯系(xi) IDC 服務商配置 BGP 多線接入，提升防御帶寬和(he)路由冗(rong)余。

六、驗證與維護

1. 端(duan)口連通性測試(shi)：

   bash

   telnet your_ip 80  # 檢查HTTP端口nmap -p 80 your_ip # 詳細端口狀態

   
   

2. 定期審計規則：

   bash

   firewall-cmd --list-all  # 檢查開放端口與服務

   
   

3. 系統更新：

   bash

   yum update -y  # 保持系統補丁..

   
   

（聲明：本文來源(yuan)于網絡，僅供參考閱讀，涉(she)及侵權請聯系我們(men)刪(shan)除、不代表任何立場以(yi)及觀點。）