Linode Cloud Firewall 使用指南:无需命令行的云端防火墙

· Linode安全

Linode Cloud Firewall 管理界面

Linode Cloud Firewall 是 Akamai 提供的免费云端防火墙服务。与传统的 iptables 或 UFW 不同,它在网络层面过滤流量,无需登录服务器即可管理规则。本文将详细介绍如何配置 Cloud Firewall 来保护你的 Linode 实例。

提示: Cloud Firewall 完全免费,强烈建议所有 Linode 用户启用。通过 iVPSer 开通的服务器,默认已配置好防火墙基础规则,无需手动操作即可获得安全保护。

Cloud Firewall vs 系统防火墙

对比项Cloud FirewallUFW/iptables
运行位置网络层(流量到达服务器前)服务器内部
管理方式Web 界面 / API命令行
资源消耗极低
服务器宕机时仍然生效失效
费用免费免费

最佳实践:建议同时使用两者,实现「纵深防御」。

第一步:创建 Cloud Firewall

  1. 登录 Linode Cloud Manager
  2. 左侧导航栏点击 Firewalls
  3. 点击 Create Firewall

填写信息:

第二步:配置入站规则(Inbound Rules)

点击防火墙进入 Rules 标签页,点击 Add an Inbound Rule

SSH 规则

安全提示:如果有固定 IP,建议将 SSH 来源限制为你的 IP 地址。

HTTP / HTTPS 规则

Accept TCP 80  from 0.0.0.0/0, ::/0
Accept TCP 443 from 0.0.0.0/0, ::/0

常见服务端口参考

服务协议端口是否对外
SSHTCP22限制来源
HTTPTCP80开放
HTTPSTCP443开放
MySQLTCP3306仅内网
PostgreSQLTCP5432仅内网
RedisTCP6379仅内网

注意:数据库端口不应对外开放,建议通过 SSH 隧道或 VPC 内网连接。

第三步:设置默认入站策略

Inbound Policy 下拉菜单中选择:Drop

这意味着只有明确放行的端口才能被访问,其他流量被静默丢弃。

第四步:配置出站规则

大多数场景保持默认 Accept 出站策略即可。如需严格限制:

Accept UDP 53  (DNS)
Accept TCP 80  (HTTP)
Accept TCP 443 (HTTPS)
Accept UDP 123 (NTP)
默认出站: Drop

警告:限制出站时如阻断 DNS(端口 53),会导致服务器无法解析域名。

第五步:保存并附加到 Linode

点击 Save Changes,规则立即生效。如需附加到更多实例:

  1. 进入 Linodes 标签页
  2. 点击 Add Linodes to Firewall

一个防火墙可以附加到多台 Linode,方便统一管理。

规则顺序的重要性

Cloud Firewall 按从上到下顺序匹配:匹配到第一条就执行,不再往下。可以通过拖拽调整优先级:

1. Drop TCP 22 from 恶意IP       <- 先封禁
2. Accept TCP 22 from All        <- 再放行其他
3. Accept TCP 80 from All
4. Accept TCP 443 from All
默认策略: Drop

实用配置模板

Web 服务器

入站: Accept TCP 22, 80, 443 | 默认 Drop
出站: 默认 Accept

数据库服务器

入站: Accept TCP 22 (管理IP), Accept TCP 3306 (应用服务器IP) | 默认 Drop
出站: 默认 Accept

故障排查

如果配置后连接异常:

  1. 确认 SSH 规则存在 — 否则无法远程登录
  2. 使用 Lish 控制台 — Cloud Manager 提供浏览器控制台,不受防火墙影响
  3. 检查规则顺序 — Drop 不要放在 Accept 前面
  4. 确认端口号 — 非标准 SSH 端口需对应修改

防火墙规则列表

开通 Linode 的最简单方式

对于国内用户,直接在 Linode 官网操作可能会遇到以下问题:

iVPSer 自助开通平台 完美解决了这些痛点:

👉 立即前往开通

参考链接