防火墙是保护服务器和网络安全的第一道防线，通过配置规则，可以有效过滤恶意流量、减轻 DDoS 攻击的影响，并防止未经授权的访问。本文将详细介绍如何配置防火墙规则以阻止恶意流量和应对 DDoS 攻击。

1. 防火墙的作用与基本概念

1.1 防火墙的作用

• 阻止恶意流量：根据 IP 地址、端口号和协议过滤可疑流量。
• 限制访问范围：只允许可信任的 IP、端口和服务访问服务器。
• 减轻 DDoS 攻击：通过速率限制、黑名单等机制控制异常流量。
• 保护敏感服务：隐藏或限制对服务器敏感端口的访问。

1.2 防火墙的常用工具

• UFW（Uncomplicated Firewall）：适用于 Ubuntu 和 Debian，简单易用。
• iptables：功能强大的 Linux 防火墙工具，支持自定义规则。
• firewalld：默认用于 CentOS/RHEL，支持动态规则管理。
• 云防火墙：如 AWS Security Groups、阿里云安全组，适合云环境。

2. 配置防火墙规则以阻止恶意流量

2.1 基本规则：只允许必要的访问

• 默认策略：阻止所有流量，只允许特定的端口和服务。
• 示例：允许 SSH、HTTP 和 HTTPS 访问，禁止其他流量。

UFW 配置

bash

复制

sudo ufw default deny incoming  # 默认拒绝所有入站流量
sudo ufw default allow outgoing  # 默认允许所有出站流量

sudo ufw allow ssh  # 允许 SSH (默认端口 22)
sudo ufw allow http  # 允许 HTTP (默认端口 80)
sudo ufw allow https  # 允许 HTTPS (默认端口 443)

sudo ufw enable  # 启用防火墙

iptables 配置

bash

复制

# 默认策略
sudo iptables -P INPUT DROP  # 默认拒绝所有入站流量
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT  # 默认允许所有出站流量

# 允许 SSH、HTTP、HTTPS
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 允许本地回环（必要）
sudo iptables -A INPUT -i lo -j ACCEPT

2.2 阻止恶意 IP 地址

• 使用黑名单机制阻止特定的恶意 IP 或 IP 段。
• 示例：阻止 IP 192.168.1.100 和 IP 段 192.168.2.0/24。

UFW 配置

bash

复制

sudo ufw deny from 192.168.1.100  # 阻止单个 IP
sudo ufw deny from 192.168.2.0/24  # 阻止 IP 段

iptables 配置

bash

复制

sudo iptables -A INPUT -s 192.168.1.100 -j DROP  # 阻止单个 IP
sudo iptables -A INPUT -s 192.168.2.0/24 -j DROP  # 阻止 IP 段

2.3 限制访问速率

• 防止暴力破解或频繁访问导致资源耗尽。
• 示例：限制同一 IP 每秒只能发起 5 个连接。

iptables 配置

bash

复制

sudo iptables -A INPUT -p tcp --dport 22 -m limit --limit 5/sec --limit-burst 10 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j DROP

2.4 阻止 Ping 洪水攻击

• Ping 洪水攻击通过大量 ICMP Echo 请求耗尽带宽资源。
• 示例：限制 Ping 请求的频率。

iptables 配置

bash

复制

sudo iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/sec -j ACCEPT
sudo iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

3. 配置防火墙规则以减轻 DDoS 攻击

3.1 使用连接跟踪限制连接数

• 限制单个 IP 的并发连接数，防止单个攻击源占用所有资源。
• 示例：限制每个 IP 最大并发连接数为 10。

iptables 配置

bash

复制

sudo iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP

3.2 阻止空连接

• 空连接是没有任何标志位的 TCP 数据包，常用于探测服务器端口。
• 示例：直接丢弃空连接。

iptables 配置

bash

复制

sudo iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

3.3 阻止 SYN Flood 攻击

• SYN Flood 利用半开连接耗尽服务器资源。
• 示例：限制每秒允许的 SYN 包数量。

iptables 配置

bash

复制

sudo iptables -A INPUT -p tcp --syn -m limit --limit 10/sec --limit-burst 20 -j ACCEPT
sudo iptables -A INPUT -p tcp --syn -j DROP

3.4 使用 IP 黑洞路由

• 对于大规模 DDoS 攻击，可以将恶意流量直接丢弃。
• 示例：将目标 IP 地址的流量路由到黑洞。

Linux 配置

bash

复制

sudo ip route add blackhole 192.168.1.100

4. 使用高级工具和外部服务

4.1 Fail2Ban

• 用途：自动检测并阻止暴力破解攻击。
• 安装：
• bash
• 复制
• sudo apt install fail2ban
• 配置： 编辑 /etc/fail2ban/jail.local，添加规则：
• ini
• 复制
• [sshd] enabled = true port = 22 filter = sshd logpath = /var/log/auth.log maxretry = 5 bantime = 3600

4.2 Cloudflare DDoS 防护

• 用途：通过 CDN 和 Web 应用防火墙（WAF）过滤恶意流量。
• 设置步骤： 注册 Cloudflare 并添加域名。 启用 DDoS 防护和 WAF。 配置防护规则（如限制访问频率）。

4.3 使用硬件防火墙或高防服务器

• 硬件防火墙：如 Cisco ASA、Palo Alto 等。
• 高防服务器：提供 DDoS 清洗服务，适合应对大规模攻击。

5. 验证和优化防火墙配置

5.1 验证防火墙规则

• 检查规则是否生效： UFW：
• bash
• 复制
• sudo ufw status
• iptables：
• bash
• 复制
• sudo iptables -L -n -v

5.2 定期优化规则

• 检查是否有冗余或无效规则。
• 根据业务需求调整速率限制和黑名单。

6. 总结

通过合理配置防火墙规则，可以显著提升服务器的安全性，防止恶意流量和 DDoS 攻击的侵害。以下是关键措施：

1. 默认拒绝所有流量，只允许必要的端口和服务。
2. 阻止恶意 IP 和 IP 段，减少攻击来源。
3. 设置速率限制，防止暴力破解和频繁访问。
4. 使用 Fail2Ban 和 Cloudflare 等工具，进一步增强防护能力。

定期监控和更新防火墙规则，结合其他安全措施（如 WAF、防护设备），可以为服务器构建更坚固的安全屏障。