家里刚装了新路由器,连上Wi-Fi却发现手机没法远程访问家里的监控?或者公司服务器突然被外部频繁扫描,担心数据泄露?这些情况,很可能是因为防火墙策略没配好。其实,添加防火墙策略并不复杂,搞清楚逻辑后,几分钟就能搞定。
什么是防火墙策略
简单说,防火墙策略就是一条“放行或拦截”的规则。比如允许某台电脑访问外网,或者阻止某个IP连接你的服务器。没有合适的策略,该通的不通,不该通的又敞开了门。
常见的添加场景
小李在公司做IT,最近新上了个内部测试系统,端口是8080。但他发现外面的客户根本打不开。查了一圈才发现,防火墙默认禁止了这个端口。这时候就需要手动加一条策略,允许外部访问8080端口。
以华为USG防火墙为例
登录Web管理界面,进入“安全策略”页面。点击“新建”,填写以下信息:
- 源区域:通常是untrust(表示外部)
- 目标区域:trust(内网服务器所在)
- 源地址:可以填any或指定IP段
- 目标地址:填服务器内网IP,比如192.168.1.100
- 服务:选择HTTP-8080或自定义端口
- 动作:放行(permit)
保存后记得应用配置,否则不会生效。
Linux系统用iptables添加规则
如果你用的是CentOS或Ubuntu这类系统,可以直接敲命令。比如要开放8080端口:
iptables -I INPUT -p tcp --dport 8080 -j ACCEPT这条命令的意思是:在输入链中插入一条规则,针对TCP协议的8080端口,动作为接受。
如果想限制只让某个IP访问,可以加上来源:
iptables -I INPUT -p tcp -s 192.168.1.50 --dport 8080 -j ACCEPT这样就只有192.168.1.50这台机器能连进来。
Windows防火墙操作更直观
打开“控制面板”→“系统和安全”→“Windows Defender 防火墙”→“高级设置”。右侧面板选择“入站规则”,然后“新建规则”。
跟着向导走,选“端口”→“TCP”→“特定本地端口”填8080→“允许连接”→选择域、专用、公用网络→起个名字比如‘Test Server’,完成。
别忘了测试和日志
规则加完别急着走人。拿手机换个网络试试能不能访问,或者用telnet命令测端口通不通。同时去防火墙日志里看看有没有被拦截的记录,确认策略真的起了作用。
有时候规则顺序也很关键。防火墙是按从上到下的顺序匹配的,前面一条“全部拒绝”可能就把后面的放行给盖住了。调整顺序或删除冗余规则,能避免这类坑。
实际使用中,建议遵循最小权限原则。不要轻易写any到any的规则,能限定IP就限定,能指定端口就不开整个协议。安全防护,细节决定成败。