服务器Linux防火墙怎样实现访问控制

在互联网世界里，Linux服务器就像一座城池，而防火墙便是城池的守卫者。没有防火墙，外部的任何流量都能毫无阻拦地进入服务器;而有了防火墙，就可以像设关卡一样，对进出城门的人进行盘查和控制。对企业运维人员来说，访问控制正是防火墙的核心使命。那么，在Linux服务器中，防火墙究竟是如何实现访问控制的?又该如何设计与更新规则，才能既保证业务的顺畅，又最大程度地降低风险?

一、访问控制的意义

访问控制，说白了就是“谁能进，谁不能进”。在Linux服务器环境中，访问控制主要体现在：

1.基于IP的控制

允许或拒绝某个IP或IP段访问服务器。

常见于只允许内网IP访问数据库。

2.基于端口的控制

不同服务运行在不同端口，如Web服务(80/443)、SSH(22)、MySQL(3306)。

防火墙通过端口限制，确保只有必要的服务能被外部访问。

3.基于协议的控制

TCP、UDP、ICMP等协议，不同业务依赖的协议不同。

防火墙可根据协议决定是否放行。

通过组合以上维度，管理员就能在Linux服务器上搭建起一套灵活的访问控制体系。

二、Linux防火墙的三大主流工具

不同版本的Linux发行版，默认的防火墙工具有所不同。

iptables：基于规则链机制，流量逐条匹配。功能强大但语法复杂。

firewalld：CentOS 7及以后默认使用，支持动态更新规则。通过区域和服务概念，简化配置。

nftables：新一代框架，整合了iptables、ip6tables等功能。简洁高效，未来趋势。

不同工具的实现方式略有差异，但访问控制的逻辑是一致的：对进入、流出服务器的数据包进行逐步筛选。

三、iptables实现访问控制

iptables作为经典的防火墙工具，规则灵活且细致。

1. 基于IP的访问控制

只允许特定IP访问SSH：

iptables -A INPUT -p tcp -s 192.168.1.10 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP

这样，只有来自 192.168.1.10 的IP可以登录服务器。

2. 基于端口的访问控制

关闭对外的3306端口：

iptables -A INPUT -p tcp --dport 3306 -j DROP

如果数据库只给内网用，这是必不可少的操作。

3. 基于协议的访问控制

屏蔽Ping请求：

iptables -A INPUT -p icmp -j DROP

可以防止被恶意扫描，但也会影响排错，所以需要谨慎。

4. 保存规则

不同系统保存方式不同，例如：

service iptables save

或

iptables-save > /etc/iptables/rules.v4

四、firewalld实现访问控制

相比iptables，firewalld的规则更直观，也支持动态调整。

1. 开放端口

firewall-cmd --zone=public --add-port=8080/tcp --permanent
firewall-cmd --reload

2. 限制IP访问

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='203.0.113.5' port port=22 protocol=tcp accept"

这样只允许某个IP访问SSH端口。

3. 拒绝策略

如果要屏蔽某段IP：

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='203.0.113.0/24' drop"

4. 查看规则

firewall-cmd --list-all

方便核查现有策略。

Linux服务器要安全稳定运行，离不开防火墙的访问控制。无论是iptables的灵活精细，还是firewalld的高效易用，其核心目的都是相同的：只放行必要的访问，阻挡一切无关甚至恶意的流量。合理的访问控制，能大幅降低被入侵的概率，保障业务连续性。对于运维人员来说，掌握防火墙访问控制的原理与实践，不仅是技能，更是守护整个系统安全的责任。