您以前可能聽說過防火墻。它們是您可以實施的最有效但最不為人知的安全措施類型之一。雖然它們是相當復雜的軟件，但了解它們的工作原理以及如何設置它們仍然很有用。

簡而言之，如果您知道如何發現它們，防火墻可以阻止與您的站點的不需要的連接。在當今世界，站點不斷受到攻擊，防火墻可能是您抵御入侵的最佳防御之一。

在本文中，我們將解釋什么是防火墻以及您可能需要防火墻的原因。然后，我們將教您如何為您的站點實施兩種類型的防火墻。讓我們把艙口蓋上！

防火墻簡介（以及您可能需要防火墻的原因）

盡管名稱很花哨，但防火墻基本上是一種軟件，可以阻止對您的服務器的不必要訪問，同時仍使其能夠像往常一樣工作。幾乎每個運營網站的人都需要它，并且有很多好處：

• 您可以有選擇地阻止訪問。阻止您的服務器并不意味著沒有人可以訪問它。事實上，您可以將防火墻配置為僅授予少數特定用戶（由他們的IP 地址標識）訪問權限。
• 它們最大限度地減少了對您的網站進行攻擊的機會。大多數服務器存儲某種敏感信息，包括文檔、電子郵件地址和密碼。當然，很多數據都是加密的——但您仍然不希望手表上有任何泄漏。
• 它們相對容易設置。許多托管服務提供商和內容管理系統 (CMS) 都包含設置特定類型防火墻的選項。

考慮到這一點，讓我們談談如何實現兩種最常見的防火墻類型，以及它們是如何工作的。

2種實現服務器防火墻的方法

防火墻有很多可用的選項，但今天我們將重點介紹最容易實現的兩個：高級策略防火墻和基于 IP 表的防火墻。請記住，雖然支持這兩種類型的防火墻，但您需要root訪問權限才能實施它們。這意味著它們僅適用于虛擬專用服務器?(?VPS?) 和專用服務器。

1. 使用 IP 表配置防火墻

IP 表使您能夠授予或拒絕對特定服務和 IP 地址的訪問。這使您可以完全控制進出服務器的所有內容，包括傳輸控制協議 (TCP)和安全外殼 (SSH)連接。簡而言之，它將適合那些喜歡使用命令行的人。

如果您在 VPS 或專用服務器上，您應該可以訪問iptables程序，這是大多數 Linux 發行版默認提供的。您需要做的第一件事是通過在控制臺上鍵入以下命令來檢查默認情況下它沒有設置任何規則：

iptables -L

這將返回三組規則或鏈——每個用于傳入、傳出和轉發數據包，并且所有這些都應包含讀取policy ACCEPT的行。要將新規則添加到特定鏈，您需要使用以下命令：

iptables -A INPUT -p tcp -m tcp --dport 7822 -j ACCEPT

這可以通過 SSH 常用的端口 7822 啟用傳入 TCP 連接。不用擔心，我們會在一分鐘內將您鏈接到包含有關您需要了解的所有命令的信息的資源。現在，讓我們添加另一個規則，該規則將啟用通過端口 80 (HTTP)的傳入 TCP 連接：

iptables -I INPUT -p tcp -m tcp --dport 80 -j ACCEPT

請記住，端口 80 最常用于服務器傳輸信息，因為 HTTP 協議仍然很流行。但是，如果您為您的站點設置了安全套接字層證書 (SSL)，您還需要啟用通過端口 443（這是 HTTPS 的默認設置）進行訪問。這是如何做到的：

iptables -I INPUT -p tcp -m tcp --dport 443 -j ACCEPT

很簡單，對吧？現在，如果您想阻止特定 IP 地址訪問您的服務器，只需要另一個iptables命令。例如：

iptables -I INPUT rulenum -s 'IP address goes here' -j DROP

DROP規則將指示您的服務器阻止來自特定 IP 地址的所有類型的連接。

現在您已經掌握了iptables的基礎知識，我們建議您查看我們的知識庫，了解更多可以與程序一起使用的命令（以及如何保存和刪除規則）。

2. 安裝高級策略防火墻

如果您不是命令行的忠實擁護者，高級策略防火墻 (APF)?是一種替代方案，可讓您使用簡單的文本編輯器配置防火墻。但是，您還需要使用一個特定的程序，并且大多數 Linux 發行版默認不包含這個程序（與iptables不同）。

正如您可能想象的那樣，您需要使用命令行來設置它，但過程相當簡單。只需按照這些說明進行操作，完成后，您就可以通過訪問以下文件來配置防火墻：

/etc/apf/conf.apf

使用哪個文本編輯器的選擇權在您手中，但過程保持不變。只需選擇您最喜歡的一個并用它打開該文件。例如，如果您是Vim 用戶，您將使用以下命令：

vi ?/etc/apf/conf.apf

進入后，您會想要找到以下幾行：

SET_MONOKERN="0"

HELPER_SSH_PORT="22"

IG_TCP_CPORTS="22"

這些只是默認值，但您需要替換它們以使防火墻有效。例如，將SET_MONOKERN的值更改為1將使程序能夠安裝到內核中，而不是作為包安裝，這是它工作所必需的。

繼續前進，您還需要將HELPER_SSH_PORT的值更改為 7822，這是 SSH 連接的默認值，您可能還記得上一節。

最后，將要啟用的 TCP 端口添加到最后一行的值中。例如：

IG_TCP_CPORTS="80, 7822, 443"

這將分別啟用通過 HTTP、SSH 和 HTTPS 的連接。最后，將更改保存到conf.apf文件并使用以下命令啟動 APF 程序：

apf --start

現在你都準備好了。有關如何配置高級策略防火墻的更多信息，請查看我們的知識庫，其中包括更多示例和指南。

服務器防火墻結論

實施防火墻是阻止對您的站點和本地計算機的攻擊的最有效方法之一。就網站而言，即使您不知道，您的網站也有可能受到攻擊。這就是為什么您需要學習如何以各種可能的方式保護您的安全。