新闻动态

很多运维人员在配置防火墙时，常陷入两个极端：要么盲目开启“最高防护等级”，导致正常用户访问被误拦、业务中断；要么为了保障业务通畅，关闭核心防护规则，让服务器沦为黑客攻击的目标。本文将从防火墙核心原理出发，结合Windows Defender防火墙、Linux iptables/ufw两大主流防火墙，详解“防攻击+保业务”的配置逻辑、实操步骤、攻击防护策略及避坑指南，帮助运维人员快速配置出兼顾安全与业务的防火墙规则，实现“安全不缺位，业务不中断”。

一、核心认知

服务器防火墙的本质是“流量过滤工具”，通过预设规则，对进出服务器的网络流量进行允许或拒绝，核心逻辑是“默认拒绝，按需放行”——这也是实现“防攻击+保业务”平衡的基础。要做好防火墙设置，首先要明确两个核心前提：

1. 防火墙的核心防护维度

防火墙的攻击防护，主要针对最常见的网络攻击类型，配置时需重点覆盖以下4个维度，避免遗漏核心风险：

端口防护：拦截未使用的端口，避免黑客通过端口扫描、端口渗透（如3389远程桌面暴力破解、22 SSH爆破）入侵服务器；

流量防护：限制异常流量（如高频请求、超大流量），抵御CC攻击、DDoS攻击，避免服务器资源被耗尽；

IP防护：拦截恶意IP（如已知攻击IP、陌生高危IP），放行合法IP（如办公IP、业务合作IP）；

协议防护：过滤异常协议、恶意数据包，避免基于协议漏洞的攻击（如TCP SYN洪水攻击、UDP放大攻击）。

2. 业务适配的核心原则

防火墙配置不能“一刀切”，需结合服务器业务场景，遵循“最小权限”原则——只放行业务必需的端口、IP和协议，拒绝一切非必要流量，既保障安全，又不影响业务访问。核心原则包括：

按需放行：仅开放业务必需的端口（如Web服务器开放80、443端口，数据库服务器开放3306、1433端口），未使用的端口全部关闭；

精准授权：对敏感业务（如数据库、后台管理），仅允许指定IP（如办公内网IP）访问，不对外开放；

动态适配：根据业务流量变化、攻击趋势，动态调整防护规则，避免规则僵化导致误拦或防护失效；

日志监控：开启防火墙日志，实时跟踪流量情况，及时发现误拦和攻击行为，快速优化规则。

防火墙与业务的核心矛盾，在于“防护严格性”与“访问灵活性”的冲突：防护越严，误拦概率越高；访问越灵活，安全风险越高。解决这一矛盾的核心，是“精准识别流量”——通过规则配置，让防火墙能区分“恶意流量”和“合法业务流量”，做到“该拦则拦，该放则放”，而非单纯提升防护等级或放宽防护规则。

二、主流服务器防火墙实操配置

Windows服务器为例

Windows服务器默认启用Windows Defender防火墙，无需额外安装，配置重点是“关闭无用端口、放行业务端口、拦截恶意IP、限制异常流量”，具体步骤如下：

步骤1：打开高级防火墙

快捷键Win+R，输入“wf.msc”，进入“高级安全Windows Defender防火墙”，重点关注“入站规则”（控制外部访问服务器，核心防护对象）和“出站规则”（控制服务器访问外部，默认全允许，无需额外配置）。

步骤2：关闭无用端口

遵循“按需放行”原则，先关闭所有未使用的端口，再逐一放行业务必需端口，避免端口暴露：

关闭无用端口：删除防火墙中所有默认的“允许”规则（如远程桌面3389端口，若无需远程访问，直接删除规则）；对未使用的端口（如21 FTP、135 RPC），新建入站规则，选择“拒绝连接”，覆盖所有配置文件（域、专用、公用）。

放行业务端口：新建入站规则，选择“端口”，按业务需求配置协议（TCP/UDP）和端口，例如：

Web服务器：放行TCP 80（HTTP）、443（HTTPS）端口；

MySQL数据库：放行TCP 3306端口，建议仅允许内网IP访问；

远程管理：若需远程桌面，放行TCP 3389端口，限制仅办公IP访问。

规则命名规范：格式为“允许-协议-端口-用途”（如“允许-TCP-80-Web服务”），便于后续管理和审计。

步骤3：配置IP防护，拦截恶意IP，放行合法IP

针对敏感业务（如数据库、后台管理），需通过IP限制提升安全性，避免恶意IP访问：

放行合法IP：在对应业务端口的入站规则中，添加“远程IP”限制，仅输入合法IP（如办公内网IP 192.168.1.0/24），拒绝其他所有IP访问；

拦截恶意IP：新建入站规则，选择“自定义”，在“远程IP地址”中输入已知的恶意IP（可从防火墙日志、安全工具中获取），选择“拒绝连接”，阻断其访问；

批量管理：若恶意IP较多，可通过“IP安全策略”批量添加拦截规则，提升配置效率。

步骤4：配置流量限制，抵御CC/DDoS攻击

Windows Defender防火墙支持基础的流量限制，可通过“高级设置”配置，抵御高频请求攻击：

打开入站规则，选择需要限制流量的业务端口规则（如80、443端口），右键“属性”，切换到“高级”选项卡；

勾选“限制连接数”，设置合理的连接阈值（如每秒100个连接），超过阈值的请求将被拦截，避免服务器资源被耗尽；

补充：若需更精准的流量防护（如抵御大规模DDoS攻击），可搭配第三方防护工具（如阿里云安全中心、腾讯云防火墙），与Windows防火墙协同工作。

步骤5：开启日志监控，便于优化规则

在“高级安全Windows Defender防火墙”左侧，点击“属性”，在“域配置文件、专用配置文件、公用配置文件”中，分别开启“入站连接日志”和“出站连接日志”，设置日志保存路径，便于后续跟踪误拦和攻击行为，及时优化规则。

防火墙只是服务器安全防护的第一道防线，要实现真正的安全，还需结合系统更新、密码安全、恶意软件防护、数据备份等全方位防护措施。只有构建“防火墙+多维度安全防护”的体系，才能在抵御攻击的同时，最大限度保障业务稳定运行，实现“安全与业务”的双赢。