如何设置防火墙只开放必要端口?
美国、香港服务器
如何设置防火墙只开放必要端口?
06-02 来源:
一、先明确:哪些端口算 “必要”?
常见业务最小端口清单
Web 服务:TCP 80(HTTP)、443(HTTPS)→ 允许所有 IP
远程管理 Windows:TCP 3389(RDP)→ 仅允许固定公网 IP / 办公网 IP
远程管理 Linux:TCP 22(SSH)→ 仅允许固定 IP
数据库(内网):TCP 3306(MySQL)、1433(MSSQL)、6379(Redis)→ 仅内网 / 127.0.0.1,绝不对外
禁用高危端口:TCP 21(FTP)、23(Telnet)、445/139(SMB)、3389(默认全拒绝)
二、Windows 防火墙(图形 + 命令行)
方法 A:图形界面(wf.msc,最直观)
按 Win+R → 输入 wf.msc → 回车,打开高级安全 Windows Defender 防火墙。
设置默认策略(关键!)
左侧 → 入站规则 → 右侧 → 默认规则
入站:默认拒绝(阻止所有未明确允许的流量)
出站:默认允许(一般不变)
新建 “允许” 规则(只加必要端口)
右键 “入站规则”→“新建规则”
规则类型:端口 → 下一步
协议:TCP(绝大多数服务用 TCP);特定本地端口:填 80,443 → 下一步
操作:允许连接 → 下一步
配置文件:生产环境只勾选公用 / 专用(根据实际)→ 下一步
名称:Allow_TCP_80_443_Web → 完成
管理端口加 IP 白名单(如 RDP 3389)
新建规则 → 端口 → TCP 3389 → 允许 → 作用域 → 远程 IP → 勾选 “下列 IP” → 填写你的固定公网 IP(如 113.XX.XX.XX)→ 完成
禁用无用 / 危险规则
找到 “文件共享 (SMB-In)”“Telnet” 等 → 右键禁用
方法 B:PowerShell 命令行(一键配置,适合批量)
powershell
# 1. 设置入站默认拒绝
Set-NetFirewallProfile -Profile Domain,Private,Public -DefaultInboundAction Block
# 2. 开放 Web 80/443(所有IP)
New-NetFirewallRule -DisplayName "Allow_TCP_80_443_Web" -Direction Inbound -Protocol TCP -LocalPort 80,443 -Action Allow -Profile Private,Public
# 3. 开放 RDP 3389(仅允许你的IP:示例 113.200.100.50)
New-NetFirewallRule -DisplayName "Allow_TCP_3389_RDP_MyIP" -Direction Inbound -Protocol TCP -LocalPort 3389 -RemoteAddress 113.200.100.50 -Action Allow -Profile Private,Public
# 4. 禁用 SMB/445 危险端口(防永恒之蓝)
Disable-NetFirewallRule -DisplayName "File and Printer Sharing (SMB-In)"
# 5. 查看所有规则(核对)
Get-NetFirewallRule | Where-Object {$_.Enabled -eq $true} | Format-Table Name,DisplayName,Enabled,Action
三、Linux 防火墙(firewalld/ufw,二选一)
方案 1:firewalld(CentOS/RHEL/Alibaba Cloud Linux)
bash
运行
# 1. 启动并设置开机自启
sudo systemctl start firewalld
sudo systemctl enable firewalld
# 2. 设置默认拒绝(关键)
sudo firewall-cmd --set-default-zone=drop
# 3. 开放必要端口(永久+立即生效)
# Web 80/443
sudo firewall-cmd --permanent --add-port=80/tcp
sudo firewall-cmd --permanent --add-port=443/tcp
# SSH 22(仅允许你的IP:示例 113.200.100.50)
sudo firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="113.200.100.50" port protocol="tcp" port="22" accept"
# 4. 重载生效
sudo firewall-cmd --reload
# 5. 查看规则(核对)
sudo firewall-cmd --list-all
方案 2:ufw(Ubuntu/Debian,更简单)
bash
运行
# 1. 启用防火墙(先放行SSH!否则会断连)
sudo ufw allow 22/tcp
sudo ufw enable
# 2. 设置默认拒绝
sudo ufw default deny incoming
sudo ufw default allow outgoing
# 3. 开放 Web 80/443
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
# 4. SSH 22 白名单(仅允许 113.200.100.50)
sudo ufw allow from 113.200.100.50 to any port 22 proto tcp
# 5. 查看规则
sudo ufw status verbose
四、云服务器额外必做(阿里云 / 腾讯云 / 华为云)
云服务器有两层防火墙:系统防火墙 + 云平台安全组,必须同步配置!
进入云服务器控制台 → 安全组
入站规则:默认拒绝,只放行:
80/443(所有 IP)
22/3389(仅固定 IP)
出站规则:默认允许即可
五、验证与检查(做完必须核对)
Windows
cmd
# 查看开放端口
netstat -ano | findstr "LISTENING"
# 查看防火墙规则
netsh advfirewall firewall show rule name=all
Linux
bash
运行
# 查看监听端口
ss -tuln
# firewalld 查看规则
sudo firewall-cmd --list-all
# ufw 查看规则
sudo ufw status
三二互联专业提供香港VPS,美国VPS主机,香港云服务器租用等业务香港美国到大陆CN2 GIA速度最快
