防火墙对加强系统的网络安全非常重要,建议在服务器上安装使用。 ## 禁止访问未开放的端口 默认系统安装后是没有任何防火墙规则的,也就是允许所有网络请求进出系统,此时我们进入【防火墙】,会看到两行提示: ![](https://box.kancloud.cn/723deb4320032aa6695e902ddd370876_1206x586.png) > 您当前数据包流入规则默认为接受,将默认规则更改为“拒绝”可以加固系统网络安全。 一键设置 > 您当前转发链规则默认为接受,将默认规则更改为“拒绝”可以加固系统网络安全。 一键设置 现在我们要将系统的 TCP 端口全部关闭,仅开放几个端口供外部网络访问。 根据上述提示,点击两个“一键设置”,这样从外网发送到服务器的数据包就会全部被拦截,并且禁止别人通过你的服务器转发数据。 ## 开放正在运行的进程使用的端口 在“服务开放设置”中,我们可以看到目前所有进程的端口监控状态,下图中 SSH 服务器和 Nginx 的状态均变成了“拒绝”,说明外部网络无法再访问这两项服务。下面我们要开启外部网络对这两项的网络访问。 分别点击 SSH 服务器和 Nginx 后面的“规则配置”,添加一条规则,使用默认配置,确定保存: ![](https://box.kancloud.cn/f822d2fb00d97667bc05a3259f2950fc_1116x489.png) ![](https://box.kancloud.cn/8ad8f44432be14ea4091c20a20f2d675_895x306.png) 添加完成后,状态变成了“接受”: ![](https://box.kancloud.cn/dcbaaac27d63d2305c48b6c2b28abccc_1117x489.png) ## 手动添加开放端口 下面,我们要手工开放一些服务端口,常见服务对应的端口如下: | 服务名称 | 默认端口 | | --------- | --------- | | AppNode | 8888 | | HTTP | 80 | | HTTPS | 443 | | SSH | 22 | | FTP | 21 | 进入“常用安全设置”-“开关网络端口”,将需要开放的端口在此添加即可: ![](https://box.kancloud.cn/e313dc8aaee6ed24dd7996ba911278b1_1117x495.png)