技术支持

服务器评测服务器问题 AI大模型系统安全相关网络安全相关

常用自助服务

找回密码

账户充值

实名认证

账号申诉

系统安全相关

您当前位置：首页 > 技术支持 > 系统安全相关

Debian 11系统防火墙配置与安全策略指南

→

➔

➔	防火墙是操作系统安全的第一道防线。正确配置防火墙规则，可以有效阻止未授权访问和网络攻击。本文以Debian 11系统为例，详细介绍防火墙的配置方法。

▶▶▶一、防火墙基础概念

防火墙通过规则控制进出网络流量。合理的防火墙策略应遵循"默认拒绝，按需放行"原则，即先拒绝所有流量，再逐一开放必要的端口和服务。

▶▶▶二、启用防火墙

Debian 11使用ufw作为默认防火墙管理工具：

code

# 启用防火墙
ufw enable

# 查看当前状态和规则
ufw status verbose

▶▶▶三、常用端口放行规则

code

# HTTP/HTTPS Web服务
ufw allow 80/tcp

# SSH管理端口（如果已修改）
firewall-cmd --add-port=2222/tcp --permanent

# MySQL/MariaDB数据库（仅限内网）
firewall-cmd --add-source=192.168.1.0/24 --add-port=3306/tcp --permanent

# 重载使规则生效
firewall-cmd --reload

▶▶▶四、配置IP白名单

对于管理端口（如SSH、面板），建议设置IP白名单：

code

# CentOS/RHEL firewalld - 只允许特定IP访问SSH
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="你的IP/32" port protocol="tcp" port="2222" accept'
firewall-cmd --permanent --remove-service=ssh
firewall-cmd --reload

▶▶▶五、防御常见攻击

1. 限制连接频率 — 使用recent模块限制同一IP的连接速率：

code

# iptables直接配置
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 -j DROP

2. 防端口扫描 — 使用psd模块检测端口扫描：

code

iptables -A INPUT -m psd --psd-weight-threshold 20 -j LOG --log-prefix "PORTSCAN: "

▶▶▶六、日志与监控

code

# 开启防火墙日志
ufw logging on

# 查看被拒绝的连接
journalctl -u firewalld | grep DROP
tail -f /var/log/messages | grep DROP

▶▶▶七、配置检查清单

●●●确认默认策略为DROP（拒绝所有入站）
●●●仅开放业务必需的端口（Web 80/443、邮件25/587等）
●●●数据库端口（3306、5432等）仅限内网或白名单访问
●●●SSH端口建议修改并使用密钥登录+白名单
●●●定期审计防火墙规则，移除不必要的放行规则
●●●配置日志告警，及时发现异常访问

这条帮助是否解决了您的问题？已解决未解决

云计算

云服务器

轻量级应用服务器

网站服务

云虚拟主机

云数据库

域名注册

IDC服务

服务器租用

服务器托管

安全管理

SSL证书

行业解决方案

技术支持

技术支持

常用自助服务

安全合格的云服务，让您的业务轻松上云！