企业级Linux防火墙需以网络分区和精准访问控制协同设计,按业务角色划分DMZ、应用、数据、管理四区,用nftables实现分区间策略,结合服务身份识别与策略全生命周期管理。
企业级Linux防火墙的核心不是堆砌规则,而是通过网络分区明确边界,再在边界上实施精准访问控制。分区隔离决定“谁和谁不能直接说话”,访问控制决定“能说话时说什么、怎么说”。两者必须协同设计,否则规则再多也形同虚设。
按业务角色划分安全分区
不要按物理位置或IP段粗暴划分,而应依据系统承担的职责定义逻辑分区。典型企业常见四类:
- DMZ区:仅部署面向公网的服务(如Web前端、API网关),禁止反向连接内网,不存敏感数据
- 应用区:运行业务后端服务(Java/Python微服务、数据库中间件),允许DMZ单向调用,禁止直连公网
- 数据区:存放核心数据库、缓存、对象存储,只接受应用区白名单IP+指定端口的连接,禁ping、禁SSH
- 管理区:运维跳板机、监控平台、配置中心所在网络,仅允许特定管理员IP通过SSH/VNC接入,与其他分区严格单向审计通道
用iptables/nftables实现分区间策略
分区隔离靠路由前的链(FORWARD)控制,关键不是“放什么”,而是“堵什么”。以nftables为例:
- 默认策略设为drop:避免遗漏规则导致隐式放行
- 每对分区间单独建链(如chain dmz_to_app),显式声明允许的协议、端口、源/目的子网
- 禁止跨区绕行:例如DMZ服务器不得通过SNAT伪装成应用区IP访问数据区
- 记录越权尝试:对匹配drop规则的包启用log prefix "BLOCKED_CROSS_ZONE"
示例:只允许DMZ的80/443端口访问应用区的8080端口
nft add rule inet filter dmz_to_app ip saddr 192.168.10.0/24 ip daddr 192.168.20.0/24 tcp dport {8080} accept
基于服务身份的细粒度访问控制
IP+端口控制已不够用。现代架构中同一子网可能混跑多个服务,需结合进程/用户/标签识别真实身份:
- 用cgroup+veth配合nftables meta cgroup匹配容器归属(如标记订单服务容器为cgroup /order)
- 对关键数据库连接启用TLS双向认证,防火墙层可配合conntrack识别已验证会话
- 利用SELinux或AppArmor标签限制进程网络能力(如httpd_t只能bind 80/443,不能connect到数据库端口)
- API网关后端服务用mTLS证书DN字段标识租户,防火墙可提取并关联策略
策略生命周期与审计闭环
防火墙规则不是写完就扔进生产。必须建立可追踪、可回滚、可验证的机制:
- 所有规则变更走Git版本库,提交信息含变更原因、影响范围、回滚步骤
- 每日自动比对线上规则哈希与Git最新版,异常立即告警
- 每季度执行策略压缩:合并重复规则、删除超90天未命中规则、归档历史策略快照
- 用tcpdump+nft trace抽样验证关键路径(如DMZ→应用区→数据区)是否符合预期路径,而非被iptables重定向或跳过
