使用网关防火墙保护CentOS服务器的网络安全指南

作为IT工程师，保护CentOS服务器的网络安全至关重要。以下是使用网关防火墙的全面方案：

1. 防火墙选择与部署

主要选项：

• iptables (CentOS默认)
• firewalld (CentOS 7+推荐)
• nftables (新一代替代方案)

推荐方案：

# 对于CentOS 7/8/9，建议使用firewalld
sudo yum install firewalld -y
sudo systemctl enable --now firewalld

2. 基本防火墙配置

使用firewalld：

# 查看状态
sudo firewall-cmd --state

# 查看活动区域和规则
sudo firewall-cmd --list-all

# 添加永久性HTTP服务规则
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --reload

# 允许特定端口(如自定义SSH端口2222)
sudo firewall-cmd --permanent --add-port=2222/tcp
sudo firewall-cmd --reload

使用iptables（传统方法）：

# 允许已建立的连接
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# 允许SSH
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 默认拒绝所有其他入站流量
sudo iptables -P INPUT DROP

# 保存规则(CentOS 6)
sudo service iptables save

3. 高级安全配置

限制SSH访问：

# 仅允许特定IP访问SSH
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100/24" service name="ssh" accept'

# 或使用iptables
sudo iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT

防止DDoS攻击：

# 限制连接速率
sudo iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

启用SYN Cookie防护：

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

4. 网络地址转换(NAT)配置

对于网关服务器：

# 启用IP转发
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p

# 配置NAT (使用eth0作为外网接口)
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

5. 日志与监控

# 记录被拒绝的包
sudo iptables -A INPUT -j LOG --log-prefix "IPTABLES-DROPPED: " --log-level 4

# 查看日志
sudo tail -f /var/log/messages

6. 持久化规则

对于firewalld：

sudo firewall-cmd --runtime-to-permanent

对于iptables：

# CentOS 7+
sudo yum install iptables-services -y
sudo systemctl enable iptables
sudo service iptables save

7. 定期维护

1. 定期审查防火墙规则
2. 监控异常连接尝试
3. 及时更新防火墙规则以应对新威胁
4. 考虑使用fail2ban增强防护

通过以上配置，您的CentOS服务器将具备企业级的网络安全防护能力。根据实际网络环境调整规则，并定期测试防火墙有效性。