公网服务器会收到大量扫描与无关连接。防火墙通过规则决定哪些 IP、端口与协议可以通过, 是纵深防御中的基础一层。
1. 主机防火墙与云安全组
- 主机防火墙(如
iptables、nftables、ufw):运行在本机内核网络栈,过滤进出该机的流量。 - 安全组 / 网络 ACL:云厂商在虚拟网络边界实施的策略,往往在流量到达虚拟机网卡之前就生效。
二者可能同时存在:需放行时要在每一层检查,避免出现「云上已开、主机仍拒」的情况。
2. 默认拒绝与最小暴露
常见实践是:默认拒绝入站,仅开放业务需要的端口(如 22/80/443),并限制管理端来源 IP。 出站是否限制取决于合规与数据外带风险控制。
3. 与应用的边界
防火墙不能替代应用层认证与补丁更新;开放 80 端口并不等于网站安全。 日志与告警(异常连接、爆破行为)需与主机监控、WAF 等协同。
不同发行版默认策略与工具链不同;修改规则前建议备份当前规则集并在维护窗口操作。