在互聯網世界里，Linux服務器就像一座城池，而防火墻便是城池的守衛者。沒有防火墻，外部的任何流量都能毫無阻攔地進入服務器;而有了防火墻，就可以像設關卡一樣，對進出城門的人進行盤查和控制。對企業運維人員來說，訪問控制正是防火墻的核心使命。那么，在Linux服務器中，防火墻究竟是如何實現訪問控制的?又該如何設計與更新規則，才能既保證業務的順暢，又最大程度地降低風險?

一、訪問控制的意義

訪問控制，說白了就是“誰能進，誰不能進”。在Linux服務器環境中，訪問控制主要體現在：

1.基于IP的控制

允許或拒絕某個IP或IP段訪問服務器。

常見于只允許內網IP訪問數據庫。

2.基于端口的控制

不同服務運行在不同端口，如Web服務(80/443)、SSH(22)、MySQL(3306)。

防火墻通過端口限制，確保只有必要的服務能被外部訪問。

3.基于協議的控制

TCP、UDP、ICMP等協議，不同業務依賴的協議不同。

防火墻可根據協議決定是否放行。

通過組合以上維度，管理員就能在Linux服務器上搭建起一套靈活的訪問控制體系。

二、Linux防火墻的三大主流工具

不同版本的Linux發行版，默認的防火墻工具有所不同。

iptables：基于規則鏈機制，流量逐條匹配。功能強大但語法復雜。

firewalld：CentOS 7及以后默認使用，支持動態更新規則。通過區域和服務概念，簡化配置。

nftables：新一代框架，整合了iptables、ip6tables等功能。簡潔高效，未來趨勢。

不同工具的實現方式略有差異，但訪問控制的邏輯是一致的：對進入、流出服務器的數據包進行逐步篩選。

三、iptables實現訪問控制

iptables作為經典的防火墻工具，規則靈活且細致。

1. 基于IP的訪問控制

只允許特定IP訪問SSH：

iptables -A INPUT -p tcp -s 192.168.1.10 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP

這樣，只有來自 192.168.1.10 的IP可以登錄服務器。

2. 基于端口的訪問控制

關閉對外的3306端口：

iptables -A INPUT -p tcp --dport 3306 -j DROP

如果數據庫只給內網用，這是必不可少的操作。

3. 基于協議的訪問控制

屏蔽Ping請求：

iptables -A INPUT -p icmp -j DROP

可以防止被惡意掃描，但也會影響排錯，所以需要謹慎。

4. 保存規則

不同系統保存方式不同，例如：

service iptables save

或

iptables-save > /etc/iptables/rules.v4

四、firewalld實現訪問控制

相比iptables，firewalld的規則更直觀，也支持動態調整。

1. 開放端口

firewall-cmd --zone=public --add-port=8080/tcp --permanent
firewall-cmd --reload

2. 限制IP訪問

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='203.0.113.5' port port=22 protocol=tcp accept"

這樣只允許某個IP訪問SSH端口。

3. 拒絕策略

如果要屏蔽某段IP：

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='203.0.113.0/24' drop"

4. 查看規則

firewall-cmd --list-all

方便核查現有策略。

Linux服務器要安全穩定運行，離不開防火墻的訪問控制。無論是iptables的靈活精細，還是firewalld的高效易用，其核心目的都是相同的：只放行必要的訪問，阻擋一切無關甚至惡意的流量。合理的訪問控制，能大幅降低被入侵的概率，保障業務連續性。對于運維人員來說，掌握防火墻訪問控制的原理與實踐，不僅是技能，更是守護整個系統安全的責任。