结论与原理
可以阻断一部分,但无法单独依靠防火墙彻底阻止。防火墙(如 firewalld/iptables)通过限制入站/出站流量、仅开放必要端口(如 22/80/443)、对管理口实施 IP 白名单等手段,能有效减少可被利用的暴露面并阻断常见扫描与爆破;然而,很多漏洞利用发生在已开放服务内部(例如 Web 应用逻辑漏洞、提权漏洞),这类攻击往往使用合法端口和协议,防火墙难以仅凭规则识别并拦截。因此,防火墙是必要的基础防线,但应与补丁、最小权限、强制访问控制等纵深防御一起使用。
如何用防火墙降低被利用风险
- 只开放必需端口与服务:例如仅放行 SSH(22)/HTTP(80)/HTTPS(443);使用
firewall-cmd --permanent --add-service=ssh|http|https && firewall-cmd --reload 精确放行,其余默认拒绝。
- 管理口来源限制:对 SSH 等敏感管理通道,仅允许受控 IP 访问,例如
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="1.2.3.4" accept' && firewall-cmd --reload。
- 默认拒绝与状态放行:在 iptables 中设置默认策略为 INPUT/FORWARD DROP,仅对 ESTABLISHED,RELATED 状态放行,再显式允许必要端口,降低被滥用的风险。
- 禁用不必要服务与端口:关闭不需要的守护进程与端口,减少攻击面。
以上做法能显著降低被扫描、暴力尝试与部分远程利用的成功率。
仅靠防火墙无法覆盖的风险
- 已开放服务内的漏洞:如 Web 应用 SQL 注入、文件上传、反序列化 等,通常走 80/443,防火墙难以区分恶意与正常请求。
- 本地/提权与横向移动:一旦攻击者通过其他途径进入(如弱口令、被盗密钥、供应链组件漏洞),防火墙对内部进程间滥用或提权帮助有限。
- 加密与隧道流量:如 SSH 隧道、TLS 封装的恶意流量,端口与协议合法,防火墙难以深度解析内容。
因此,需配合应用层防护、最小权限与强制访问控制等机制共同防御。
更稳妥的纵深防御组合
- 及时修补与最小化安装:定期执行
yum update -y,遵循最小安装与关闭不必要服务,降低可被利用的组件数量。
- 强化身份与访问控制:禁用 root 远程登录,使用 SSH 密钥 替代密码,按“最小权限”配置 sudoers。
- 启用强制访问控制:保持 SELinux 为 enforcing,限制进程越权行为。
- 入侵防护与账号风控:部署 Fail2Ban 自动封禁暴力来源;结合 auditd 审计关键系统调用与登录行为。
- 持续监测与响应:集中分析 /var/log/secure、journalctl 等日志;发现异常及时隔离、取证与恢复。
这些措施与防火墙配合,能显著提升对 Exploit 的整体抵抗力。
