CentOS防火墙配置：VPS服务器安全防护指南

数字时代，VPS服务器作为数据与服务的核心载体，其安全性直接关系业务稳定。CentOS系统自带的Firewalld（动态防火墙管理器）工具，通过灵活的规则配置为服务器构建起第一道防护屏障。下面将从基础操作到进阶配置，详细讲解如何用Firewalld为VPS服务器筑牢安全防线。

认识Firewalld：CentOS的动态防护管家

CentOS 7及以上版本默认采用Firewalld替代传统的iptables。相比后者，Firewalld支持动态调整规则而无需重启服务，还能通过"服务""端口""区域"等维度精细化管理流量。使用前需确认工具状态：输入命令`systemctl status firewalld`检查运行情况，若显示"inactive"则用`systemctl start firewalld`启动；想让防火墙随系统启动，执行`systemctl enable firewalld`设置开机自启。

基础配置：开放必要服务与端口

VPS服务器通常只需开放特定服务端口（如SSH远程管理22端口、Web服务80/443端口）。操作时遵循"最小权限"原则——仅开放必需端口，降低被攻击风险。

开放端口可直接指定协议和端口号，例如开放SSH的22号TCP端口：

firewall-cmd --permanent --add-port=22/tcp

若要开放预定义服务（如HTTP），可直接引用服务名简化操作：

firewall-cmd --permanent --add-service=http

所有修改需执行`firewall-cmd --reload`重新加载规则才会生效。完成后建议用`firewall-cmd --list-all`检查配置是否成功。

区域管理：按信任等级划分防护区

Firewalld的"区域"功能将网络环境按信任度分级，常见有public（公网，默认区域）、trusted（完全信任）等。通过区域管理能更精准控制流量——比如公网连接应限制高风险服务，内部信任网络可开放更多权限。

查看当前默认区域用`firewall-cmd --get-default-zone`，若需调整（如设为更安全的public）：

firewall-cmd --set-default-zone=public

在public区域开放HTTPS服务的命令是：

firewall-cmd --zone=public --permanent --add-service=https

进阶操作：限制特定IP访问

若需仅允许固定IP访问某个端口（如内部测试用的8080端口），可通过"富规则"实现精准控制：

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port port="8080" protocol="tcp" accept'

这条规则表示仅允许IP为192.168.1.100的设备通过TCP协议访问8080端口。配置时注意IP地址的准确性，避免误封合法访问。

规则维护：定期检查与清理

随着业务变化，防火墙规则可能积累冗余项，需定期维护。查看所有规则用`firewall-cmd --list-all`，删除不再需要的端口（如测试用的8080端口）：

firewall-cmd --permanent --remove-port=8080/tcp

删除后同样需要`firewall-cmd --reload`生效。建议每月检查一次规则列表，确保策略简洁有效。

通过合理配置Firewalld，能显著提升VPS服务器的抗攻击能力。实际操作中可根据业务需求（如电商网站需强化443端口防护、API服务器需限制特定IP调用）灵活调整规则，为数据与服务构筑动态安全屏障。