防火墙是保护服务器和网络安全的第一道防线，通过配置规则，可以有效过滤恶意流量、减轻 DDoS 攻击的影响，并防止未经授权的访问。本文将详细介绍如何配置防火墙规则以阻止恶意流量和应对 DDoS 攻击。

1. 防火墙的作用与基本概念

1.1 防火墙的作用

阻止恶意流量：根据 IP 地址、端口号和协议过滤可疑流量。
限制访问范围：只允许可信任的 IP、端口和服务访问服务器。
减轻 DDoS 攻击：通过速率限制、黑名单等机制控制异常流量。
保护敏感服务：隐藏或限制对服务器敏感端口的访问。

1.2 防火墙的常用工具

UFW（Uncomplicated Firewall）：适用于 Ubuntu 和 Debian，简单易用。
iptables：功能强大的 Linux 防火墙工具，支持自定义规则。
firewalld：默认用于 CentOS/RHEL，支持动态规则管理。
云防火墙：如 AWS Security Groups、阿里云安全组，适合云环境。

2. 配置防火墙规则以阻止恶意流量

2.1 基本规则：只允许必要的访问

默认策略：阻止所有流量，只允许特定的端口和服务。
示例：允许 SSH、HTTP 和 HTTPS 访问，禁止其他流量。

UFW 配置

bash

复制

sudo ufw default deny incoming  # 默认拒绝所有入站流量
sudo ufw default allow outgoing  # 默认允许所有出站流量

sudo ufw allow ssh  # 允许 SSH (默认端口 22)
sudo ufw allow http  # 允许 HTTP (默认端口 80)
sudo ufw allow https  # 允许 HTTPS (默认端口 443)

sudo ufw enable  # 启用防火墙

iptables 配置

bash

复制

# 默认策略
sudo iptables -P INPUT DROP  # 默认拒绝所有入站流量
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT  # 默认允许所有出站流量

# 允许 SSH、HTTP、HTTPS
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 允许本地回环（必要）
sudo iptables -A INPUT -i lo -j ACCEPT

2.2 阻止恶意 IP 地址

使用黑名单机制阻止特定的恶意 IP 或 IP 段。
示例：阻止 IP 192.168.1.100 和 IP 段 192.168.2.0/24。

UFW 配置

bash

复制

sudo ufw deny from 192.168.1.100  # 阻止单个 IP
sudo ufw deny from 192.168.2.0/24  # 阻止 IP 段

iptables 配置

bash

复制

sudo iptables -A INPUT -s 192.168.1.100 -j DROP  # 阻止单个 IP
sudo iptables -A INPUT -s 192.168.2.0/24 -j DROP  # 阻止 IP 段

2.3 限制访问速率

防止暴力破解或频繁访问导致资源耗尽。
示例：限制同一 IP 每秒只能发起 5 个连接。

iptables 配置

bash

复制

sudo iptables -A INPUT -p tcp --dport 22 -m limit --limit 5/sec --limit-burst 10 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j DROP

2.4 阻止 Ping 洪水攻击

Ping 洪水攻击通过大量 ICMP Echo 请求耗尽带宽资源。
示例：限制 Ping 请求的频率。

iptables 配置

bash

复制

sudo iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/sec -j ACCEPT
sudo iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

3. 配置防火墙规则以减轻 DDoS 攻击

3.1 使用连接跟踪限制连接数

限制单个 IP 的并发连接数，防止单个攻击源占用所有资源。
示例：限制每个 IP 最大并发连接数为 10。

iptables 配置

bash

复制

sudo iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP

3.2 阻止空连接

空连接是没有任何标志位的 TCP 数据包，常用于探测服务器端口。
示例：直接丢弃空连接。

iptables 配置

bash

复制

sudo iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

3.3 阻止 SYN Flood 攻击

SYN Flood 利用半开连接耗尽服务器资源。
示例：限制每秒允许的 SYN 包数量。

iptables 配置

bash

复制

sudo iptables -A INPUT -p tcp --syn -m limit --limit 10/sec --limit-burst 20 -j ACCEPT
sudo iptables -A INPUT -p tcp --syn -j DROP

3.4 使用 IP 黑洞路由

对于大规模 DDoS 攻击，可以将恶意流量直接丢弃。
示例：将目标 IP 地址的流量路由到黑洞。

Linux 配置

bash

复制

sudo ip route add blackhole 192.168.1.100

4. 使用高级工具和外部服务

4.1 Fail2Ban

用途：自动检测并阻止暴力破解攻击。
安装：
bash
复制
sudo apt install fail2ban
配置：编辑 /etc/fail2ban/jail.local，添加规则：
ini
复制
[sshd] enabled = true port = 22 filter = sshd logpath = /var/log/auth.log maxretry = 5 bantime = 3600

4.2 Cloudflare DDoS 防护

用途：通过 CDN 和 Web 应用防火墙（WAF）过滤恶意流量。
设置步骤：注册 Cloudflare 并添加域名。启用 DDoS 防护和 WAF。配置防护规则（如限制访问频率）。

4.3 使用硬件防火墙或高防服务器

硬件防火墙：如 Cisco ASA、Palo Alto 等。
高防服务器：提供 DDoS 清洗服务，适合应对大规模攻击。

5. 验证和优化防火墙配置

5.1 验证防火墙规则

检查规则是否生效： UFW：
bash
复制
sudo ufw status
iptables：
bash
复制
sudo iptables -L -n -v

5.2 定期优化规则

检查是否有冗余或无效规则。
根据业务需求调整速率限制和黑名单。

6. 总结

通过合理配置防火墙规则，可以显著提升服务器的安全性，防止恶意流量和 DDoS 攻击的侵害。以下是关键措施：

默认拒绝所有流量，只允许必要的端口和服务。
阻止恶意 IP 和 IP 段，减少攻击来源。
设置速率限制，防止暴力破解和频繁访问。
使用 Fail2Ban 和 Cloudflare 等工具，进一步增强防护能力。

花灰资源网

如何配置防火墙规则以阻止恶意流量和DDoS攻击

1. 防火墙的作用与基本概念

1.1 防火墙的作用

1.2 防火墙的常用工具

2. 配置防火墙规则以阻止恶意流量

2.1 基本规则：只允许必要的访问

UFW 配置

iptables 配置

2.2 阻止恶意 IP 地址

UFW 配置

iptables 配置

2.3 限制访问速率

iptables 配置

2.4 阻止 Ping 洪水攻击

iptables 配置

3. 配置防火墙规则以减轻 DDoS 攻击

3.1 使用连接跟踪限制连接数

iptables 配置

3.2 阻止空连接

iptables 配置

3.3 阻止 SYN Flood 攻击

iptables 配置

3.4 使用 IP 黑洞路由

Linux 配置

4. 使用高级工具和外部服务

4.1 Fail2Ban

4.2 Cloudflare DDoS 防护

4.3 使用硬件防火墙或高防服务器

5. 验证和优化防火墙配置

5.1 验证防火墙规则

5.2 定期优化规则

6. 总结