网络防火墙的作用你真的了解吗?
很多人觉得防火墙是电脑自带的,开了就完事了。可实际上,不管是家用路由器、企业服务器,还是个人电脑,防火墙默认状态未必是最优配置。尤其是在公司搭建内部网络时,一个没开好的防火墙,可能让整个系统暴露在风险中。
比如小李他们公司最近就被攻击过一次,起因就是测试服务器的防火墙根本没开,外部扫描直接连上了数据库端口。后来查日志才发现,系统装好了,但防火墙服务压根没启动。
Windows 系统怎么开启防火墙
如果你用的是 Windows 10 或 Windows Server,防火墙其实在后台默认运行,但有时候被第三方软件关掉了。可以这样检查:
打开“控制面板” → “系统和安全” → “Windows Defender 防火墙”。如果看到提示“防火墙已关闭”,那就手动点“启用防火墙”。
也可以用命令快速操作。以管理员身份运行命令提示符,输入:
netsh advfirewall set allprofiles state on这条命令会同时开启域、专用和公用网络三种配置文件下的防火墙。
Linux 服务器开启防火墙实操
大多数 Linux 发行版现在用的是 firewalld 或 ufw。以 CentOS 为例,先确认服务有没有运行:
systemctl status firewalld如果显示 inactive,那就启动并设置开机自启:
systemctl start firewalld
systemctl enable firewalld如果是 Ubuntu 系统,常用 ufw,操作更简单:
sudo ufw enable执行后会提示防火墙已激活,之后可以用 sudo ufw status 查看当前规则。
路由器或防火墙设备上的配置要点
家用路由器一般在管理页面的“安全设置”里有防火墙选项,比如 TP-Link 或华硕路由器,找到“启用防火墙”或“SPI 防火墙”开关,勾上保存就行。
企业级设备像华为 USG、FortiGate 这类,通常默认开启基础防护,但需要手动配置访问控制策略(ACL)。比如放行 HTTP 和 HTTPS 流量,但拒绝外部访问内网数据库端口(如 3306)。
举个实际例子:你在公司部署了一台 Web 服务器,只希望公网能访问 80 和 443 端口,其他一律禁止。可以在防火墙上写一条规则:
源地址:any
目标地址:Web服务器IP
目标端口:80, 443
动作:允许
策略位置:放在拒绝所有规则之前规则顺序很重要,别写到最后一条,否则前面的“拒绝所有”早就拦住了。
别忘了检查和测试
开了防火墙不代表万事大吉。建议用外部工具测一下端口开放情况。比如用手机连4G网络,然后用 nmap 扫描你家公网 IP 的某些端口,看看是不是只有该开的开着。
或者用在线端口检测工具,输入IP和端口号,确认是否被正确屏蔽。有时候你以为关了,其实是运营商光猫还开着DMZ,把流量全转进来了。
网络防火墙不是设一次就一劳永逸的东西。系统更新、新服务上线、网络结构调整,都得回头看看防火墙配得对不对。安全这事儿,细节决定成败。