一、防火墙基础安全策略
服务器防火墙配置应遵循最小权限原则,仅允许必要流量通过。建议禁用默认管理员账户并创建新账户,同时关闭非必要系统服务如Print Spooler打印服务。通过设置白名单机制限制访问源IP,可有效降低暴力破解风险。
- 修改远程桌面默认端口3389
- 重命名或禁用Guest账户
- 默认拒绝所有入站流量
- 启用日志记录功能
二、端口管理规范与操作
端口开放需遵循业务需求导向原则,Web服务器应开放80/443端口,数据库服务器需限制特定IP访问3306端口。建议采用端口隐藏技术,关闭ICMP协议响应防止网络扫描。
- 使用nmap扫描当前开放端口
- 备份现有防火墙规则
- 按协议类型(TCP/UDP)配置规则
- 设置临时规则测试连通性
- 固化有效配置规则
三、多平台防火墙配置步骤
Windows Server配置:通过高级安全防火墙设置入站规则,需同时配置Web服务(HTTP.sys)和远程桌面例外规则。建议禁用文件和打印机共享服务。
Linux系统配置:
sudo ufw allow 22/tcp # 开放SSH端口
sudo ufw allow 80,443/tcp
sudo ufw default deny incoming
sudo ufw enablesudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-port=3306/tcp
sudo firewall-cmd --reload云服务器配置:需同时配置安全组规则和主机防火墙,阿里云ECS建议设置安全组白名单,并启用Web应用防火墙(WAF)防御SQL注入攻击。
合理的防火墙配置应包含分层防御体系,结合系统防火墙与网络防火墙形成纵深防护。建议每季度进行规则审计,并使用telnet/nmap工具验证端口状态。对于关键业务系统,可部署IPS/IDS实现动态防御。
