CentOS搭建Web服务器时的防火墙设置详解

在CentOS上搭建Web服务器时，正确配置防火墙是确保服务安全可用的关键步骤。以下是详细的防火墙设置指南：

1. 确认防火墙状态

首先检查系统防火墙是否运行：

sudo systemctl status firewalld

如果未运行，启动并设置开机自启：

sudo systemctl start firewalld
sudo systemctl enable firewalld

2. 基本Web服务端口开放

根据你的Web服务器类型开放相应端口：

对于HTTP服务(端口80)

sudo firewall-cmd --permanent --add-service=http

对于HTTPS服务(端口443)

sudo firewall-cmd --permanent --add-service=https

对于自定义端口(如8080)

sudo firewall-cmd --permanent --add-port=8080/tcp

3. 数据库服务端口(如需要)

如果Web服务器需要连接数据库：

MySQL/MariaDB(端口3306)

sudo firewall-cmd --permanent --add-service=mysql

PostgreSQL(端口5432)

sudo firewall-cmd --permanent --add-service=postgresql

4. 其他可能需要的服务

SSH访问(端口22，建议限制来源IP)

sudo firewall-cmd --permanent --add-service=ssh

FTP服务(端口21)

sudo firewall-cmd --permanent --add-service=ftp

5. 高级配置选项

限制特定IP访问

sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" service name="http" accept'

端口转发(如将80转发到8080)

sudo firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toport=8080

设置默认区域(public是推荐用于服务器的区域)

sudo firewall-cmd --set-default-zone=public

6. 应用更改并验证

所有更改后，必须重新加载防火墙使设置生效：

sudo firewall-cmd --reload

验证当前规则：

sudo firewall-cmd --list-all

7. 重要安全建议

1. 最小化开放端口：只开放必要的端口和服务
2. 使用HTTPS：优先配置SSL/TLS，禁用HTTP
3. 定期审查规则：使用firewall-cmd --list-all检查当前规则
4. 考虑使用fail2ban：防止暴力破解攻击
5. 生产环境建议：结合网络ACL和安全组进行多层防护

8. 故障排查

如果服务无法访问： - 确认服务本身正常运行：systemctl status nginx/apache - 检查端口监听状态：ss -tulnp | grep 80 - 临时关闭防火墙测试：sudo systemctl stop firewalld(测试后记得重新开启)

通过以上设置，你可以确保Web服务器在CentOS系统上既安全又可访问。根据实际需求调整这些规则，并始终遵循最小权限原则。