Web集群防火墙配置实战：从基础到高级防护

1. 防火墙主机初始化配置的必要性

在Web集群环境中，防火墙主机作为整个系统的第一道防线，其配置的合理性和安全性直接决定了后端服务的可靠性。记得去年我们团队遭遇过一次DDoS攻击，当时就因为防火墙规则配置存在疏漏，导致整个集群瘫痪了近两小时。那次事件后，我花了三个月时间系统研究了防火墙的最佳实践方案。

防火墙初始化配置的核心目标有三个：建立基础防护屏障、规范访问控制策略、确保日志可追溯。这三个目标看似简单，但在实际部署中往往存在诸多细节需要注意。

2. 基础环境准备

2.1 系统选择与最小化安装

我强烈推荐使用CentOS Stream或Rocky Linux作为防火墙主机的操作系统。这两个发行版都提供了长期支持，并且与RHEL保持高度兼容。在安装时务必选择"Minimal Install"模式，只安装最基本的软件包。

安装完成后立即执行：

bash复制yum update -y && yum install -y epel-release
systemctl disable firewalld
systemctl stop firewalld

注意：这里我们禁用系统自带的firewalld是因为它与我们后续要配置的iptables服务存在冲突。在专业防火墙部署中，我们更倾向于使用原生的iptables/netfilter框架。

2.2 网络接口配置

典型的Web集群防火墙至少需要配置三个网络区域：

1. 外部网络接口(eth0)：连接公网
2. DMZ接口(eth1)：连接Web服务器
3. 内部网络接口(eth2)：连接数据库等后端服务

配置文件示例(/etc/sysconfig/network-scripts/ifcfg-eth0)：

code复制DEVICE=eth0
BOOTPROTO=static
IPADDR=203.0.113.1
NETMASK=255.255.255.0
GATEWAY=203.0.113.254
ONBOOT=yes

3. 核心安全配置

3.1 iptables基础规则集

下面是我在多个生产环境中验证过的基础规则模板：

bash复制# 清空现有规则
iptables -F
iptables -X

# 设置默认策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# 允许本地回环
iptables -A INPUT -i lo -j ACCEPT

# 允许已建立的连接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# 允许ICMP (ping)
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

# 保存规则
service iptables save
systemctl enable iptables

3.2 Web集群特定规则

针对Web集群环境，我们需要特别关注以下流量：

bash复制# 允许HTTP/HTTPS流量从外网到DMZ
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 443 -j ACCEPT

# 允许DMZ到内网的数据库连接
iptables -A FORWARD -i eth1 -o eth2 -p tcp --dport 3306 -j ACCEPT

# 限制SSH访问
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT

4. 高级防护配置

4.1 防DDoS设置

bash复制# 限制新建连接速率
iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT

# 防止SYN洪水攻击
iptables -N SYN_FLOOD
iptables -A SYN_FLOOD -m limit --limit 10/s --limit-burst 20 -j RETURN
iptables -A SYN_FLOOD -j LOG --log-prefix "SYN flood: "
iptables -A SYN_FLOOD -j DROP
iptables -A INPUT -p tcp --syn -j SYN_FLOOD

4.2 端口敲门(Port Knocking)

这是一种隐蔽服务访问方式：

bash复制iptables -N KNOCKING
iptables -A INPUT -j KNOCKING

# 定义敲门序列 (示例：1000,2000,3000)
iptables -A KNOCKING -m recent --name STAGE1 --remove -j DROP
iptables -A KNOCKING -p tcp --dport 1000 -m recent --name STAGE1 --set -j DROP
iptables -A KNOCKING -m recent --rcheck --name STAGE1 -p tcp --dport 2000 -m recent --name STAGE2 --set -j DROP
iptables -A KNOCKING -m recent --rcheck --name STAGE2 -p tcp --dport 3000 -m recent --name STAGE3 --set -j DROP
iptables -A KNOCKING -m recent --rcheck --name STAGE3 -p tcp --dport 22 -j ACCEPT

5. 日志与监控

5.1 日志配置

bash复制# 记录被拒绝的包
iptables -A INPUT -j LOG --log-prefix "IPTABLES_INPUT_DROP: " --log-level 4
iptables -A FORWARD -j LOG --log-prefix "IPTABLES_FORWARD_DROP: " --log-level 4

# 日志轮转配置(/etc/logrotate.d/iptables)
/var/log/iptables.log {
    weekly
    rotate 12
    compress
    delaycompress
    missingok
    notifempty
    create 640 root adm
    sharedscripts
    postrotate
        /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
    endscript
}

5.2 实时监控工具

推荐使用以下工具组合：

1. iptraf-ng：实时流量监控
2. iftop：带宽使用情况
3. psad：端口扫描检测

安装命令：

bash复制yum install -y iptraf-ng iftop
wget https://github.com/mrash/psad/archive/master.zip
unzip master.zip
cd psad-master && ./install.pl

6. 维护与优化

6.1 规则优化技巧

经过一段时间运行后，可以通过以下命令分析规则使用情况：

bash复制iptables -L -v -n --line-numbers

输出示例：

code复制Chain INPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1     120K   18M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
2      45M 3857M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

6.2 定期维护脚本

建议创建自动化维护脚本(/usr/local/bin/fw_maintain.sh)：

bash复制#!/bin/bash
# 规则备份
iptables-save > /etc/iptables.rules.backup-$(date +%Y%m%d)

# 日志分析
grep "IPTABLES" /var/log/messages | awk '{print $1,$2,$3}' | cut -d: -f1 | sort | uniq -c | sort -nr | head -20

# 连接数统计
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head -10

7. 常见问题排查

7.1 连接超时问题

当出现连接超时时，按以下步骤排查：

1. 检查规则顺序：iptables -L -n --line-numbers
2. 查看被丢弃的包：dmesg | grep DROP
3. 测试端口连通性：telnet 目标IP 端口

7.2 性能优化

对于高流量环境，建议：

1. 减少规则数量，合并相似规则
2. 使用ipset处理大量IP地址
3. 启用连接跟踪加速：

bash复制echo 1 > /proc/sys/net/netfilter/nf_conntrack_tcp_loose

8. 安全加固建议

1. 定期审计规则：至少每季度检查一次规则有效性
2. 变更管理：所有规则变更必须记录并测试
3. 物理安全：确保防火墙主机物理访问受控
4. 备份策略：规则变更前后必须备份

我个人的经验是，防火墙配置不是一劳永逸的工作。每次业务架构调整或安全威胁变化时，都需要重新评估防火墙规则的有效性。建议建立一个检查清单，包含至少20个关键检查项，每次变更时逐一核对。