防火墻白名單 IP 設(shè)置是保障服務(wù)器安全的重要手段,通過允許指定 IP 訪問服務(wù)器����,既能阻擋惡意攻擊���,又能確保合法用戶正常連接����。但實(shí)際操作中,常出現(xiàn)設(shè)置白名單后無法訪問服務(wù)器的問題�����,需結(jié)合設(shè)置流程排查原因。下面詳細(xì)介紹不同場景下防火墻白名單 IP 的設(shè)置方法�,及設(shè)置后無法訪問的解決方
防火墻白名單 IP 的設(shè)置方法
防火墻白名單 IP 設(shè)置需根據(jù)服務(wù)器操作系統(tǒng)(Windows�、Linux)及部署環(huán)境(本地服務(wù)器���、云服務(wù)器)選擇對應(yīng)方式���,核心邏輯是 “添加允許訪問的 IP 及端口規(guī)則”�。
1. Windows 系統(tǒng)防火墻設(shè)置白名單 IP
Windows 自帶防火墻可通過圖形化界面快速配置白名單�����,適合非技術(shù)用戶:
按下 Win+R�,輸入 “control” 打開控制面板����,依次進(jìn)入 “系統(tǒng)和安全 - Windows Defender 防火墻 - 高級(jí)設(shè)置”;
在左側(cè)欄選擇 “入站規(guī)則”,點(diǎn)擊右側(cè) “新建規(guī)則”���,規(guī)則類型選擇 “自定義”���,點(diǎn)擊 “下一步”;
程序選擇 “所有程序”���,協(xié)議類型默認(rèn) “所有”����,點(diǎn)擊 “下一步”;
在 “遠(yuǎn)程 IP 地址” 欄選擇 “這些 IP 地址”,點(diǎn)擊 “添加”�,輸入需加入白名單的 IP(單個(gè) IP 直接輸入,IP 段格式為 “192.168.1.1 - 192.168.1.100”)���,點(diǎn)擊 “下一步”;
操作選擇 “允許連接”�����,點(diǎn)擊 “下一步”;
勾選適用的網(wǎng)絡(luò)類型(通常全選)����,點(diǎn)擊 “下一步”,輸入規(guī)則名稱(如 “允許辦公 IP 訪問”)���,完成設(shè)置�。
若需針對特定端口(如遠(yuǎn)程桌面 3389 端口、Web 服務(wù) 80 端口)設(shè)置白名單��,可在 “協(xié)議和端口” 步驟中����,選擇特定協(xié)議(TCP/UDP),并填寫 “本地端口”(如 “3389”)�,其余步驟同上。
2. Linux 系統(tǒng)防火墻設(shè)置白名單 IP
Linux 常用防火墻為 firewalld(CentOS 7 及以上)或 iptables(CentOS 6 及以下),需通過命令行配置:
(1)firewalld 防火墻(主流)
查看防火墻狀態(tài):執(zhí)行systemctl status firewalld����,確保狀態(tài)為 “active(running)”;
永久添加單個(gè) IP 白名單(允許所有端口訪問):firewall-cmd --permanent --add-source=192.168.1.100;
永久添加 IP 段白名單(僅允許 8080 端口訪問):firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="8080" accept";
重新加載規(guī)則使配置生效:firewall-cmd --reload;
查看已配置的白名單規(guī)則:firewall-cmd --permanent --list-all。
(2)iptables 防火墻(老舊系統(tǒng))
臨時(shí)添加 IP 白名單(允許所有端口):iptables -A INPUT -s 192.168.1.100 -j ACCEPT;
臨時(shí)添加 IP 段白名單(僅允許 22 端口 SSH 訪問):iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT;
保存配置(CentOS 6):service iptables save;
重啟防火墻:service iptables restart����。
3. 云服務(wù)器防火墻(安全組)設(shè)置白名單 IP
阿里云、騰訊云等云服務(wù)器的防火墻通過 “安全組” 實(shí)現(xiàn)白名單配置��,操作更便捷:
登錄云服務(wù)商控制臺(tái)�����,進(jìn)入云服務(wù)器實(shí)例管理頁面,找到 “安全組” 配置入口;
選擇需配置的安全組�,點(diǎn)擊 “添加規(guī)則”��,規(guī)則方向選擇 “入站”;
協(xié)議類型根據(jù)需求選擇(如 “TCP”“UDP” 或 “全部”),端口范圍填寫需開放的端口(如 “80/80”“3389/3389”���,全端口填 “0/65535”);
授權(quán)對象填寫白名單 IP(單個(gè) IP 填 “192.168.1.100/32”,IP 段填 “192.168.1.0/24”����,允許所有 IP 填 “0.0.0.0/0”);
規(guī)則描述填寫備注(如 “允許辦公網(wǎng) IP 訪問 Web 服務(wù)”)��,點(diǎn)擊 “確定” 完成添加����。
云服務(wù)器需注意:安全組規(guī)則需區(qū)分 “入站”(外部訪問服務(wù)器)和 “出站”(服務(wù)器訪問外部)�����,白名單 IP 通常配置在 “入站規(guī)則” 中;部分云服務(wù)商默認(rèn)拒絕所有入站請求,需手動(dòng)添加白名單規(guī)則才能訪問�����。
