概述
Firewall 技能是一份面向 Linux/云服务器运维人员的防火墙配置实践指南,核心目标是帮助用户在避免"锁死自己"的前提下,建立最小权限的网络访问控制。
核心用法
该技能采用"默认拒绝"(Default Deny)的安全模型:
- 入站流量:默认全部拒绝,仅显式开放必要端口
- 出站流量:默认允许,满足大多数应用需求
- 双重防护:云服务商防火墙(网络层)+ 操作系统防火墙(主机层)构建纵深防御
关键操作流程强调先保通路、再设规则:配置 SSH 白名单前必须保持现有会话,新开窗口验证规则生效后再关闭旧会话。
显著优点
1. 场景覆盖全面:涵盖裸机服务器(ufw/iptables)、主流云厂商(Hetzner、DigitalOcean、AWS)及容器环境(Docker)
2. 防御纵深明确:区分 provider-level 与 OS-level 防火墙的协同策略
3. IPv6 意识到位:明确指出 IPv6 常被忽视导致的绕过风险
4. Docker 陷阱警示:揭露容器默认绕过系统防火墙的机制,提供 localhost 绑定+反向代理的解决方案
潜在缺点与局限
- 非自动化工具:纯文档型技能,无配置生成或验证脚本
- 厂商差异简化:AWS Security Groups 与 NACL 的细微差别未展开
- 无动态响应机制:IP 变更时需手动更新规则,未涉及自动化方案(如 fail2ban、动态 DNS API)
- 审计追踪缺失:未提及防火墙日志集中采集与告警
适合人群
- 独立开发者/小团队负责服务器运维的技术人员
- 从本地开发转向云服务器部署的后端工程师
- 需要通过安全认证(如 SOC 2、ISO 27001)的初创公司运维
常规风险
| 风险等级 | 场景 |
|---------|------|
| 🔴 高 | 未开放 SSH 即启用防火墙 → 完全失联 |
| 🟡 中 | Docker 端口暴露绕过 UFW → 预期外公网暴露 |
| 🟡 中 | 家庭宽带 IP 变动后 SSH 白名单失效 |
| 🟢 低 | 临时开放端口后遗忘关闭 |
最佳实践摘要
> "先通路、再设防、双验证、留后路"——保持 Provider Console 访问能力作为最后逃生通道。