针对攻击者和未经授权访问您的服务器的第一层防御之一是防火墙。防火墙会分析服务器上的网络流量，并决定应该允许哪些流量通过或停止哪些流量。

防火墙如何工作？

防火墙的决定通常由有关网络连接本身的信息驱动，而不是由正在发送的数据的内容驱动。因素可能包括流量通过哪个网络设备（如果您的计算机/服务器中有多个）、发送或接收数据的计算机的 IP 地址以及发送或接收数据的计算机的传输协议和端口数据。
虽然其中大部分都是不言自明的，但协议和端口往往会让人们感到困惑。协议是定义的标准，两台计算机将通过这些标准将要传输的数据安排成数据包，并将它们相互发送，以便双方都能理解并能够读取发送的数据。最常用的协议是传输控制协议 (TCP) 和用户数据报协议 (UDP)。端口只是操作系统的网络软件使用的数字，用于识别应该向哪个软件提供通过网络接收的任何数据。当一个想要通过网络通信的软件运行时，它会请求使用网络软件的端口号，然后任何接收到的数据都会被提供给该软件。

标准端口和协议

一些软件使用预定义的标准端口和协议。这使通信变得更加容易，因为用户无需担心这些细节。例如，Web 服务器通常会在 TCP 端口 80 上侦听传入的 HTTP 流量。他们还将使用 TCP 端口 443 进行 HTTPS 流量。此行为通常由持续运行的服务器软件使用。客户端软件（例如您计算机上的 Web 浏览器）将为其建立的每个连接使用一个随机端口。
防火墙通常可以配置许多规则，其中流量与上面给出的选项匹配，然后被告知如何处理该匹配项，即是允许流量通过还是阻止流量。使用这些规则，我们可以限制谁能够与我们服务器上的各种启用网络的软件进行通信。

一般配置指南

对于服务器防火墙配置，我们通常建议使用以下准则：

• 为入站流量设置默认规则或策略以阻止所有传入流量。
• 为您希望允许从 Internet 访问的服务设置单独的防火墙规则，以及为已建立的出站连接返回流量。

例如，对于 Web 服务器，您将允许访问 TCP 端口 80 和 443。您应该避免在绝对需要的情况下进一步开放访问，因为这会减少某人可以对您的服务器进行的不同攻击的数量。我们特别建议，在可能的情况下，Linux 的 SSH 和 Windows 服务器的 RDP 等管理软件只允许从特定 IP 访问，而不是从世界访问，因为这些是受攻击最多的软件。如果您确实必须打开这些服务，那么我们建议您使用 Linux 上的 Denyhosts 或 Windows 上的类似工具来防止成功的暴力攻击尝试。

额外的防御

除了需要在设置新服务器时执行的手动防火墙配置之外，还有诸如 Fail2Ban 之类的工具能够自动添加防火墙规则，以便对似乎是对您的服务器进行攻击。这些工具可以帮助确保您确实需要向 Internet 开放的服务是安全的。
在保护服务器方面，确保攻击者无法与服务器通信是保持安全的最佳方法。 除了断开服务器与 Internet 的连接外，彻底的防火墙策略是实现安全性的最佳方式。