CentOS7系统安全加固：通过iptables实现网络访问控制策略

CentOS7系统安全加固：通过iptables实现网络访问控制策略

在Linux系统安全防护中，网络访问控制是基础且关键的一环。本文将结合实际应用场景，详细介绍如何通过iptables配置实现有效的网络访问控制策略。

策略目标

本方案旨在限制外部对内网服务器的非必要访问，同时保留必要的服务端口开放，具体包括：

• 限制SSH访问（22端口）仅允许特定IP段
• 开放HTTP/HTTPS服务（80/443端口）供所有用户访问
• 禁止外部ping探测

具体配置步骤

1. 基础链规则清理

# 清除现有规则
iptables -F
iptables -X

2. 设置默认策略

# 设置默认拒绝策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

3. 配置特定规则

# 允许loopback接口通信
iptables -A INPUT -i lo -j ACCEPT

# 允许已建立连接的流量
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 允许SSH访问（仅限192.168.1.0/24网段）
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT

# 开放HTTP/HTTPS服务
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 禁止ping探测
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

4. 保存配置

# CentOS7使用iptables-services
service iptables save
systemctl enable iptables

验证方法

通过以下命令验证规则是否生效：

# 查看当前规则
iptables -L -n -v

# 测试SSH连接（应从192.168.1.0/24网段测试）
ssh user@server_ip

通过以上配置，系统实现了精细化的网络访问控制，既保障了服务可用性，又有效降低了安全风险。