如何配置CentOS上的WebLogic防火墙

CentOS 上配置 WebLogic 防火墙

一准备与确认

确认系统使用的防火墙为 firewalld（CentOS 7/8 常用）。如使用其他防火墙（如 iptables），需改用对应工具与语法。
确认 WebLogic 实际监听的端口。常见为管理控制台端口 7001（默认），也可能自定义为 9000 等；如使用 SSL/HTTPS，通常为 443。可通过查看域目录下 config/config.xml 的与配置，或执行 ss -lntp | grep java 来核对。

二使用 firewalld 放行 WebLogic 端口

放行管理控制台端口（示例为 7001，如为其他端口请替换）：
```
sudo firewall-cmd --permanent --add-port=7001/tcp
sudo firewall-cmd --reload
```

放行 HTTP/HTTPS 端口（如对外提供 Web 服务）：

sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --reload

如 WebLogic 监听端口为 9000（自定义示例），放行方式相同：

sudo firewall-cmd --permanent --add-port=9000/tcp
sudo firewall-cmd --reload

验证规则是否生效：

sudo firewall-cmd --list-ports
sudo firewall-cmd --list-services
sudo firewall-cmd --query-port=7001/tcp

以上命令为在 firewalld 中开放端口并持久化的标准做法，适用于 WebLogic 控制台与管理流量的放行。

三常见场景与端口对照

场景	端口	命令示例
管理控制台 HTTP	7001（默认）	`firewall-cmd --permanent --add-port=7001/tcp && firewall-cmd --reload`
管理控制台 HTTPS	443	`firewall-cmd --permanent --add-service=https && firewall-cmd --reload`
自定义管理端口	例如 9000	`firewall-cmd --permanent --add-port=9000/tcp && firewall-cmd --reload`
受管服务器或应用端口	例如 8001	`firewall-cmd --permanent --add-port=8001/tcp && firewall-cmd --reload`

说明：端口值请以实际域配置为准；HTTP/HTTPS 也可直接以服务名方式放行。

四安全加固建议

避免使用 root 运行 WebLogic，创建专用系统用户（如 weblogic）并最小权限运行。
仅开放必要端口，避免使用 systemctl stop firewalld 长期关闭防火墙；变更规则后及时 reload 并校验。
为管理控制台启用 SSL/TLS，通过 keytool 生成密钥库并配置 WebLogic 的 SSL 监听，限制仅 HTTPS 访问管理口。
加强系统与安全基线：复杂口令策略、禁用不必要账户、开启审计与日志、定期更新 WebLogic/JDK 并持续监控。

最新问答