在服務器的安全防護中，防火墻是不可或缺的關鍵組成部分。它能夠有效地防止惡意攻擊、數據泄露和未經授權的訪問。對于Linux系統，iptables和firewalld是最常用的兩種防火墻工具。雖然這兩者有些不同，但它們的功能都是為服務器提供一個可靠的安全屏障。本文將深入探討iptables和firewalld的基礎規則配置，幫助你理解如何通過這兩種防火墻工具來加強服務器的安全性。

1. iptables基礎概述

iptables是Linux系統中的傳統防火墻工具，提供了強大的包過濾功能。它基于規則集進行數據包的檢查和轉發。iptables通過三個鏈(INPUT、OUTPUT、FORWARD)和表(filter、nat、mangle等)來控制數據包的流動。通過配置不同的規則，用戶可以控制哪些網絡流量被允許進入或離開系統。

常見iptables鏈

INPUT鏈：負責控制進入本地系統的數據包。

OUTPUT鏈：負責控制從本地系統發出的數據包。

FORWARD鏈：負責控制經過本地系統的數據包(通常用于路由功能)。

常見iptables操作

ACCEPT：接受數據包。

DROP：丟棄數據包。

REJECT：拒絕數據包，但返回信息給發送者。

2. firewalld基礎概述

firewalld是Red Hat系列Linux操作系統中使用的防火墻管理工具，相比iptables，firewalld更側重于簡化防火墻的管理和配置。它采用了動態管理的方式，可以通過命令行或圖形界面進行實時配置，支持區域化管理，使得不同的網絡環境可以有不同的防火墻規則。

firewalld使用了“區域”概念，并且每個區域代表著不同的信任級別。例如，public、home、dmz等。用戶可以根據網絡環境將系統接口分配到不同的區域，并設置相應的防火墻規則。

3. 如何配置iptables防火墻規則

iptables的配置非常靈活，適用于對網絡安全有較高要求的用戶。以下是一些常見的iptables規則配置。

基本規則配置

允許來自特定IP地址的流量：

iptables -A INPUT -s 192.168.1.100 -j ACCEPT

該規則允許IP地址為192.168.1.100的主機訪問本地服務器。

拒絕某個IP地址的訪問：

iptables -A INPUT -s 192.168.1.100 -j DROP

該規則拒絕來自192.168.1.100的流量。

允許SSH(22端口)訪問：

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

限制訪問特定端口：

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 443 -j ACCEPT

iptables -A INPUT -j DROP

這段規則允許HTTP(80端口)和HTTPS(443端口)流量，并丟棄其他不必要的流量。

保存iptables規則

配置完iptables規則后，可以使用以下命令保存規則，防止重啟后丟失：

service iptables save

4. 如何配置firewalld防火墻規則

firewalld通過命令行工具firewall-cmd來進行配置，以下是一些常見的規則配置方法。

查看當前防火墻狀態

firewall-cmd --state

該命令可以查看防火墻當前的狀態，返回running表示防火墻正在運行。

添加允許的服務

firewall-cmd --zone=public --add-service=http --permanent

firewall-cmd --zone=public --add-service=https --permanent

這兩條命令將允許HTTP和HTTPS流量，并將規則永久保存。

開放特定端口

firewall-cmd --zone=public --add-port=8080/tcp --permanent

該命令允許TCP協議的8080端口訪問。

重新加載防火墻配置

firewall-cmd --reload

修改完firewalld配置后，需要使用該命令重新加載配置，使更改生效。

5. iptables與firewalld的比較

特性 iptables firewalld

配置方式 命令行手動設置規則 動態管理，支持命令行和GUI

使用的鏈和表 基于鏈和表的復雜配置 基于區域的簡化管理

適用場景 高度自定義配置需求，復雜的防火墻規則管理 簡化管理，適合快速部署和日常維護

支持的功能 高度靈活，支持復雜的防火墻策略 支持動態配置，易于與其他服務集成

6. 案例：配置防火墻防止DDoS攻擊

在一次企業網站遇到DDoS攻擊時，管理員使用iptables和firewalld進行了緊急配置，迅速緩解了流量沖擊。

使用iptables設置限流規則：

iptables -A INPUT -p tcp --dport 80 -m limit --limit 50/s -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j DROP

這條規則限制了每秒50個請求，超過的請求會被丟棄。

使用firewalld配置限制：

firewall-cmd --zone=public --add-port=80/tcp --permanent

firewall-cmd --reload

通過這些措施，管理員有效地限制了非法流量的訪問，確保了正常用戶能夠順利訪問網站。

結語：加強服務器安全，從防火墻配置開始

無論是使用iptables還是firewalld，防火墻的配置都在服務器安全管理中占據著核心地位。通過合適的規則配置，用戶能夠有效地控制進出服務器的流量，減少惡意攻擊的風險。隨著互聯網安全形勢日益嚴峻，掌握防火墻的基本配置技巧，是每個系統管理員和開發人員必須具備的基本能力。