新加坡云服务器防火墙配置指南:立体防护与避坑策略
一、防火墙体系:两大层级构建立体防护网
1. 第一层:云服务商安全组 / 网络 ACL
核心作用:作为网络入口的 “第一道关卡”,控制公网与云服务器、云服务器间的流量访问(基于 IP、端口、协议);
典型示例:AWS Security Group、阿里云安全组、腾讯云网络 ACL,支持可视化配置,无需登录服务器即可生效;
关键特性:默认拒绝所有入站流量,需手动添加 “允许规则”(如放行 80/443 端口供 Web 服务使用),规则变更实时生效,无重启风险。
2. 第二层:操作系统自带防火墙
核心作用:作为 “第二道防线”,精细化控制服务器内部流量(如进程间通信、容器与宿主机交互),弥补安全组的粒度不足;
主流工具:Linux 系统的iptables/firewalld、Windows 系统的 “高级安全 Windows 防火墙”;
关键特性:支持更复杂的规则逻辑(如基于流量状态、用户组、时间戳匹配),需登录服务器配置,规则变更可能影响现有连接。
3. 协同原则
避免 “重复配置”:安全组已放行的端口,操作系统防火墙无需重复设置,但需确保二者规则无冲突(如安全组放行 22 端口,iptables却拒绝 22 端口,会导致 SSH 连接失败);
构建 “纵深防御”:安全组控制公网层面的粗粒度访问,操作系统防火墙控制服务器内部的细粒度流量,例如:安全组放行 80/443 端口,iptables进一步限制仅允许特定 IP 段的 Web 请求。
二、协议与端口管理:基础配置中的隐藏风险
1. 常见风险点
ICMP 协议滥用:直接允许所有 ICMP 协议(用于 ping 测试),会为攻击者提供 “探测服务器存活状态” 的通道,增加被扫描攻击的风险;
管理端口暴露:默认开放 MySQL 3306、Redis 6379、SSH 22 等端口给 0.0.0.0/0(所有 IP),易被暴力破解或勒索攻击(如 Redis 未授权访问导致数据被删);
冗余端口未关闭:服务器未使用的端口(如 FTP 21、Telnet 23)未禁用,成为攻击突破口。
2. 正确配置策略
ICMP 协议精细化控制:仅允许特定 IP 段(如运维团队办公网 IP 192.168.1.0/24)的 ICMP 请求,拒绝 0.0.0.0/0 的 ping 探测;
管理端口限制访问:SSH 22、MySQL 3306 等端口仅开放给信任 IP(如企业 VPN IP、运维终端 IP),不对外网暴露;
最小权限原则:仅开放业务必需端口(如 Web 服务开放 80/443,API 服务开放 8080),禁用所有未使用端口,减少攻击面。
三、规则优先级:避免冲突的核心设计
1. 优先级核心逻辑
iptables 规则:按 “从上到下” 顺序匹配,一旦某条规则命中,后续规则不再执行;
安全组规则:多数云服务商按 “优先级数值” 排序(数值越小优先级越高),高优先级规则优先匹配。
2. 常见误区与案例
误区:在iptables顶端设置 “允许所有来自 192.168.1.0/24 的流量”,下方又设置 “拒绝所有 TCP 流量”—— 前者会覆盖后者,导致拒绝策略失效;
风险场景:同时运行 Web 服务(80/443 端口)与内部 API(8080 端口)的服务器,若低优先级规则 “拒绝所有 8080 端口访问” 排在高优先级规则 “允许办公网 IP 访问 8080 端口” 之前,会导致内部 API 无法使用。
3. 推荐设计:白名单分层法
基础层:默认拒绝所有入站 / 出站流量(iptables -P INPUT DROP; iptables -P OUTPUT DROP);
业务层 1:放行负载均衡器的健康检查 IP(如阿里云 SLB IP 100.XX.XX.XX),确保服务能被正常探测;
业务层 2:开放 Web 服务端口(80/443)给所有用户(需配合 WAF 防护),或仅开放给 CDN 节点 IP;
管理层:允许特定 IP(如运维办公网、企业 VPN)访问 SSH 22、数据库 3306 等管理端口;
必要服务层:放行 DNS(53 端口)、NTP(123 端口)等必需服务的流量,确保服务器正常联网与时间同步。
四、容器化环境:防火墙配置的新挑战
1. 核心挑战
Docker 网络冲突:Docker 默认创建虚拟网桥docker0,并在iptables中插入规则管理容器流量,盲目修改宿主机iptables规则会破坏 Docker 网络(如导致容器无法访问外网);
Kubernetes 端口暴露:Kubernetes 需开放 API Server 6443、NodePort 30000-32767 等端口,若宿主机防火墙未放行,会导致集群通信失败或服务无法访问;
容器间隔离不足:未配置容器间访问规则,恶意容器可能攻击同一宿主机的其他容器(如窃取数据库容器的数据)。
2. 正确配置策略
容器网络规则独立管理:通过容器编排工具定义规则,而非直接修改宿主机防火墙:
Docker:使用docker network create --internal创建内部网络,限制容器对外通信;
Kubernetes:通过NetworkPolicy定义容器组(Pod)的访问规则(如仅允许 Web Pod 访问数据库 Pod 的 3306 端口),或使用 CNI 插件(如 Calico)实现细粒度流量控制;
宿主机端口精准放行:仅开放容器集群必需的端口(如 Kubernetes API Server 6443、NodePort 范围 30000-32767),拒绝其他非必需端口的容器流量;
避免容器端口映射风险:不将容器内的数据库 3306、Redis 6379 等端口直接映射到宿主机公网端口(-p 3306:3306),如需访问,通过内部网络或 VPN 实现。
五、关键保障:备份与回滚机制
1. 备份策略
操作系统防火墙:iptables规则备份(iptables-save > /etc/iptables.rules)、firewalld配置备份(cp -r /etc/firewalld /etc/firewalld.bak);
云安全组:通过云服务商 API(如阿里云 ECS API)导出安全组规则,或在控制台手动下载配置文件;
备份频率:每次修改规则前备份,每周执行一次全量备份,存储至独立服务器或云对象存储(如 AWS S3、阿里云 OSS)。
2. 回滚机制
配置错误时,快速恢复备份(如iptables-restore < /etc/iptables.rules);
复杂业务场景下,使用版本控制工具(如 Git)管理防火墙规则文件,记录每次变更,便于追溯与回滚。
六、总结:防火墙配置的核心原则
立体防护:协同 “云安全组 + 操作系统防火墙”,构建从公网到服务器内部的纵深防御;
最小权限:精细化控制协议、端口、IP,拒绝所有冗余流量,避免暴露攻击面;
适配场景:针对容器化环境,通过 NetworkPolicy、CNI 插件实现流量隔离,不盲目修改宿主机规则;
风险可控:建立备份与回滚机制,记录规则变更,确保配置错误时能快速恢复业务。
