为保障数据库安全并满足业务需求,需配置安全策略,添加公司固定 IP 对 3306 端口的访问权限,此举旨在实现精准的端口白名单管理,仅允许指定内部网络连接数据库,从而有效提升系统的安全防护能力,防止未授权访问。
CentOS 7 防火墙白名单配置详解:保障服务器安全的第一道防线 **
在服务器管理中,安全永远是重中之重,CentOS 7 默认使用 firewalld 作为防火墙管理工具,相比于旧版的 iptables,它更加灵活且易于管理,为了保障服务器的安全,防止未授权访问,合理配置防火墙白名单是必不可少的操作。
本文将详细介绍如何在 CentOS 7 系统中通过 firewalld 添加和管理防火墙白名单,确保只有指定的 IP 地址或服务可以访问您的服务器。
前置准备
在开始操作之前,请确保您的系统已安装并启动了 firewalld 服务。
- 检查服务状态:
systemctl status firewalld
如果服务未运行,请启动它:
systemctl start firewalld systemctl enable firewalld
添加 IP 白名单(源地址)
白名单通常指的是允许特定 IP 地址访问服务器,在 firewalld 中,这被称为“添加源地址”。
假设您想要允许 IP 地址 168.1.100 访问服务器,请执行以下步骤:
-
添加源地址(永久生效): 使用
--permanent参数可以将规则永久保存,重启后依然有效。firewall-cmd --permanent --add-source=192.168.1.100
-
重载防火墙配置: 添加规则后,必须执行重载命令才能立即生效。
firewall-cmd --reload
-
查看规则(验证): 执行以下命令查看当前的防火墙状态和规则列表。
firewall-cmd --list-all
在输出结果中,找到
sources一栏,您应该能看到168.1.100。
添加端口或服务白名单
除了允许特定 IP 访问,您可能还需要允许特定 IP 访问服务器的特定端口(SSH 的 22 端口或 Web 服务的 80 端口)。
场景: 允许 IP 168.1.100 访问服务器的 SSH 端口(22端口)。
-
添加端口: 语法为
--add-port=端口/协议。firewall-cmd --permanent --add-port=22/tcp
-
重载配置:
firewall-cmd --reload
删除白名单规则
如果需要移除某个 IP 或端口,可以使用 remove 参数。
-
移除 IP 白名单:
firewall-cmd --permanent --remove-source=192.168.1.100
-
移除端口白名单:
firewall-cmd --permanent --remove-port=22/tcp
-
再次重载:
firewall-cmd --reload
常用场景示例
场景 1:仅允许特定公司 IP 访问数据库端口(3306)
firewall-cmd --reload场景 2:拒绝所有 IP 访问,仅允许本地回环
# 删除默认的 public 区域设置(如果需要完全开放) firewall-cmd --zone=public --remove-service=http --permanent firewall-cmd --remove-service=https --permanent # 重新添加允许的源 firewall-cmd
