一、香港及海外服务器防火墙设置(分系统实操)
海外服务器因跨境访问特性,需兼顾 “防护强度” 与 “访问流畅性”,核心目标是拦截恶意流量、放行合法请求,以下分系统详述:
(一)Linux 系统(主流:CentOS/Ubuntu/Debian)
海外 Linux 服务器优先用 iptables(底层规则)+ firewalld/ufw(易用管理工具)组合,关键步骤如下:
- 基础规则配置(通用)
iptables -F && iptables -X(CentOS);ufw reset(Ubuntu)
- SSH(默认 22,建议修改,后文详述):iptables -A INPUT -p tcp --dport 22 -j ACCEPT
- HTTP/HTTPS(网站服务):iptables -A INPUT -p tcp --dport 80 -j ACCEPT;iptables -A INPUT -p tcp --dport 443 -j ACCEPT
- ICMP(ping 检测,可选):iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
- 拒绝所有未授权入站:iptables -A INPUT -j DROP
CentOS:service iptables save;Ubuntu:ufw enable(启用 ufw 并保存)
- 海外特化防护规则
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 20 -j REJECT(单 IP HTTP 并发≤20)
- 允许特定地区 IP 访问(如仅大陆 / 香港 IP 管理服务器):
先下载地区 IP 段(如 APNIC 获取中国 IP),再导入规则:
for ip in $(cat china-ip.txt); do iptables -A INPUT -s $ip -p tcp --dport 22 -j ACCEPT; done
iptables -A INPUT -s 192.168.1.100 -j DROP(替换为实际攻击 IP,可结合日志定期更新)
- firewalld 可视化管理(CentOS 7 + 推荐)
- 启用服务:systemctl start firewalld && systemctl enable firewalld
- 添加服务:firewall-cmd --add-service=ssh --permanent;firewall-cmd --add-service=http --permanent
- 重载生效:firewall-cmd --reload
- 查看状态:firewall-cmd --list-all(清晰展示已放行服务 / 端口)
(二)Windows Server 系统
海外 Windows 服务器依赖 高级防火墙 + RDP 安全加固,步骤如下:
- 基础防火墙配置
- 打开 “控制面板→系统和安全→Windows Defender 防火墙→高级设置”
- 新建规则:允许 “TCP 端口 22(若装 OpenSSH)、3389(RDP,远程管理)、80/443”
- 禁用默认 “远程桌面” 规则,新建自定义规则:仅允许特定 IP(如管理员本地 IP)访问 3389 端口
- 出站规则:默认允许,可限制服务器仅能访问必要地址(如数据库服务器 IP)
- 海外特化设置
组策略(gpedit.msc)→“计算机配置→Windows 设置→安全设置→账户策略→账户锁定策略”,设置 “账户锁定阈值 = 5 次”(防暴力破解 RDP)
高级设置→“属性”→勾选 “记录被丢弃的数据包”,日志路径设为C:\firewall.log(便于追溯海外攻击源)
二、SSH 安全登录配置(海外服务器核心防护)
SSH 是海外 Linux 服务器的主要管理通道,默认配置(22 端口 + 密码登录)易遭暴力破解,需从 “端口、认证、防护” 三方面加固:
1. 修改默认 SSH 端口(第一步必做)
- 编辑配置文件:vim /etc/ssh/sshd_config
- 找到#Port 22,删除 #并改为自定义端口(如 2222,建议 1024-65535 间,避免与其他服务冲突):Port 2222
CentOS:systemctl restart sshd;Ubuntu:systemctl restart ssh
- 注意:修改后需先保持当前 SSH 连接,用新端口测试登录(ssh 用户名@服务器IP -p 2222),确认生效后再关闭旧连接
2. 禁用 root 直接登录 + 密码登录(启用密钥认证)
编辑sshd_config,将PermitRootLogin yes改为PermitRootLogin no
useradd admin && passwd admin(设置密码),并赋予 sudo 权限:usermod -aG sudo admin
- 本地生成密钥对(Windows 用 PuTTYgen,Linux/macOS 终端):
ssh-keygen -t rsa -b 4096(一路回车,生成~/.ssh/id_rsa 私钥、id_rsa.pub 公钥)
ssh-copy-id -p 2222 admin@服务器IP(输入 admin 密码,公钥会自动添加到服务器~/.ssh/authorized_keys)
编辑sshd_config,将PasswordAuthentication yes改为PasswordAuthentication no,重启 SSH 服务
3. 安装 fail2ban(防 SSH 暴力破解)
海外服务器日均面临数千次 SSH 暴力扫描,fail2ban 可自动封禁多次失败登录的 IP:
CentOS:yum install fail2ban -y;Ubuntu:apt install fail2ban -y
编辑/etc/fail2ban/jail.local,添加:
[sshd]
enabled = trueport = 2222(改为你的SSH端口)
filter = sshd
logpath = /var/log/secure(CentOS)或/var/log/auth.log(Ubuntu)
maxretry = 3(3次失败即封禁)
bantime = 86400(封禁24小时,单位秒)
- 启动服务:systemctl start fail2ban && systemctl enable fail2ban
三、香港及海外服务器安全注意事项
- 合规性适配:若服务欧洲用户,需符合 GDPR,防火墙日志需保存≥6 个月,且禁止随意拦截欧盟地区合法 IP;
- 跨境延迟优化:防火墙规则避免 “一刀切”,可通过 “云服务商高防 IP”(如阿里云香港高防)分流攻击,减少正常访问延迟;
- 定期更新:每月更新系统补丁(yum update/apt upgrade)、防火墙规则(结合威胁情报更新恶意 IP 库)。
- 安全配置指南:针对海外服务器整理防火墙 / SSH 优化教程,适配不同系统,新手可按步骤实操;
- 攻击源查询:提供全球 IP 威胁评级,可快速识别海外恶意 IP,辅助防火墙规则配置;
- 跨境网络优化:推荐适配香港 / 海外服务器的 DNS 与 CDN 方案,兼顾安全与访问速度。
建议访问官网 “服务器安全” 板块,获取最新防护工具与配置模板,降低海外服务器运维风险。
