服务器安全秘籍：firewalld限制IP并发全攻略(图文)

一、引言：服务器安全的重要防线

在数字化浪潮中，服务器已然成为各类业务运转的核心枢纽。从电商平台的海量交易数据处理，到社交网络的信息实时交互，再到金融机构的资金安全流转，服务器承担着存储、传输和处理关键数据的重任，其安全与否直接关乎业务的成败。
想象一下，一家热门电商平台在促销活动期间，服务器突然遭受恶意攻击，大量非法 IP 并发访问，瞬间耗尽服务器资源，导致页面加载缓慢甚至无法访问，不仅订单处理受阻，还会造成用户流失和巨大的经济损失，同时对品牌声誉产生难以挽回的负面影响。又比如，一家在线教育平台，若服务器安全防护不足，被不法分子突破，学生的个人信息、学习记录等隐私数据可能被泄露，引发信任危机。由此可见，服务器安全是保障业务稳定运行、保护用户数据的关键所在。
而在服务器安全防护体系中，firewalld 限制 IP 并发技术扮演着至关重要的角色。它就像是服务器的智能门卫，能够精准识别并管控每个 IP 的访问行为，有效抵御各类恶意攻击，如常见的 DDoS 攻击（分布式拒绝服务攻击）。当攻击者企图通过大量伪造的 IP 地址同时向服务器发起海量请求，以耗尽服务器资源使其瘫痪时，firewalld 限制 IP 并发可以及时察觉异常，对超出正常并发数的 IP 访问进行限制或阻断，确保服务器资源合理分配给合法用户，保障服务的稳定运行。此外，它还能优化服务器性能，避免因过多无效连接占用资源，让服务器能够更高效地处理真实业务请求，提升用户体验。

二、认识 firewalld

（一）firewalld 是什么

firewalld 是 Linux 系统中一款功能强大的动态防火墙管理工具 ，它为系统的网络安全防护提供了坚实保障。在网络通信中，数据就如同在高速公路上行驶的车辆，而 firewalld 则充当着智能交通管制系统的角色。它基于区域（zone）的概念，将网络流量进行细致分类，然后根据不同区域所设定的规则，对流量进行精确控制。
从工作原理来看，firewalld 通过与内核的 netfilter 紧密协作来实现防火墙功能。netfilter 就像是内核中的交通警察，真正执行着数据包的过滤操作，而 firewalld 则负责制定交通规则，即管理防火墙规则集。当一个数据包进入系统时，firewalld 首先会根据数据包的源 IP 地址、目的 IP 地址、端口号以及传入的网络接口等信息，判断该数据包应该属于哪个区域。例如，来自企业内部网络的数据包可能被归类到 “internal” 区域，而来自外部互联网的数据包则可能被分配到 “public” 区域。然后，它依据该区域预先设定的规则，决定是允许数据包通过、拒绝还是丢弃。比如在 “public” 区域，默认情况下只允许与 ssh 或 dhcpv6-client 预定义服务匹配的传入流量，其余均拒绝，这就有效阻止了外部非法访问，保护了系统安全。

（二）firewalld 的优势

与传统防火墙如 iptables 相比，firewalld 具有诸多显著优势，使其在网络安全领域脱颖而出。

1. 动态更新：传统 iptables 在修改规则时，往往需要重新加载整个规则集，这就如同在交通高峰期全面调整交通规则，可能会导致交通的短暂混乱。而 firewalld 支持动态更新，当需要修改某一条规则时，无需重启整个防火墙服务，就像在不影响整体交通的情况下，灵活调整某一个路口的交通指示，能够实时生效，极大地提高了防火墙管理的效率和灵活性，避免了因规则更新而导致的服务中断风险。

2. 区域管理：iptables 主要基于接口来设置规则，而 firewalld 引入了区域管理的概念，更加直观和灵活。不同区域可以根据网络环境和安全需求，制定不同的访问策略。以企业网络为例，企业内部办公网络可设置为 “internal” 区域，在这个区域内，员工之间的网络访问可以相对宽松，允许互相访问共享资源；而对外提供服务的服务器所在网络则设置为 “public” 区域，此区域对外部访问进行严格限制，只开放必要的服务端口，如 Web 服务器的 80 端口、443 端口等，通过这种区域化管理，能够更精准地控制网络流量，提升网络安全防护能力。

3. 支持 NAT：网络地址转换（NAT）在网络通信中起着重要作用，它允许内部网络使用私有 IP 地址与外部网络进行通信。firewalld 对 NAT 的良好支持，使得它在企业网络、家庭网络等多种场景中都能发挥出色。例如，在企业网络中，通过 firewalld 配置 NAT，内部大量员工设备可以借助少量的公网 IP 地址访问互联网，既节省了公网 IP 资源，又保障了网络通信的正常进行，同时还能隐藏内部网络结构，增强网络安全性。

4. 集中管理：对于拥有多个服务器或复杂网络架构的企业来说，firewalld 的集中管理功能极具价值。管理员可以通过统一的配置界面或命令行工具，对分布在不同位置的防火墙进行集中管理和配置，就像在一个指挥中心统一调度多个交通枢纽的交通规则。这大大简化了管理流程，提高了管理效率，降低了管理成本，确保了整个网络安全策略的一致性和有效性。

5. 灵活过滤：firewalld 支持丰富的过滤条件，除了基于 IP 地址、端口号进行过滤外，还可以根据协议类型、服务类型等进行过滤。比如，企业可以根据业务需求，允许特定的应用程序（如企业内部的 OA 系统）通过防火墙，而阻止其他不必要的网络流量。这种灵活的过滤方式，能够满足不同用户和场景的多样化安全需求，为网络安全提供了更全面、细致的防护。

三、为什么要限制 IP 并发

（一）保障服务器性能

在服务器的运行过程中，其资源就像一个有限容量的容器，而 IP 并发连接则如同不断涌入容器的水流。当并发连接数过多时，就会超出服务器资源的承载能力，导致服务器性能急剧下降。以一个简单的 Web 服务器为例，假设服务器的内存资源有限，每一个并发连接都需要占用一定的内存空间来存储连接信息、请求数据等。如果同时有大量 IP 发起并发连接，内存很快就会被耗尽，服务器就不得不频繁地进行内存交换操作，这会极大地增加 CPU 的负担，使得服务器响应速度变慢，页面加载时间变长，用户在访问网站时可能会遇到长时间的等待甚至超时错误。
再比如，服务器的网络带宽也是有限的资源。当过多 IP 并发访问时，网络带宽会被大量占用，导致数据传输拥堵，正常的业务请求无法及时得到响应。在电商大促期间，大量用户同时访问电商平台，如果不对 IP 并发进行限制，少数恶意或异常的大量并发连接就可能抢占大部分带宽资源，使得其他用户的购物请求无法顺利传输，影响整个平台的购物体验，甚至导致订单处理出现错误，给商家和用户带来损失。因此，限制 IP 并发能够合理分配服务器资源，确保每个连接都能获得足够的资源支持，从而保障服务器的稳定高效运行，提升用户体验。

（二）防范恶意攻击

在网络安全领域，DDoS（分布式拒绝服务）攻击是一种极具破坏力的恶意攻击方式，而限制 IP 并发在防范此类攻击中起着关键作用。DDoS 攻击的原理就像是一场有组织的 “网络围攻”，攻击者通过控制大量的傀儡机（僵尸网络），向目标服务器发起海量的并发连接请求。这些请求就像潮水一般涌来，迅速耗尽服务器的资源，如 CPU、内存、网络带宽等，使服务器无法正常处理合法用户的请求，最终导致服务瘫痪。
例如，在常见的 SYN Flood 攻击中，攻击者利用 TCP 协议的三次握手过程漏洞，向服务器发送大量伪造源 IP 的 SYN 请求，却不完成后续的握手步骤。服务器在接收到这些 SYN 请求后，会为每个请求分配资源并等待客户端的确认，但由于源 IP 是伪造的，服务器永远无法收到确认信息，这些未完成的连接就会一直占用服务器资源。随着这种恶意并发连接的不断增加，服务器资源很快就会被耗尽，无法再为合法用户提供服务。而通过限制 IP 并发，服务器可以对每个 IP 的连接数进行限制，当某个 IP 的并发连接数超过设定的阈值时，服务器可以采取限制或阻断措施，有效地抵御 DDoS 攻击。这就如同在城堡的入口设置了严格的门禁，限制每个 “访客”（IP）的进入数量，防止恶意攻击者通过大量涌入来破坏城堡的正常秩序，保障了服务器的安全和稳定运行 。

四、firewalld 限制 IP 并发的操作步骤

（一）确认 firewalld 状态

在进行 IP 并发限制之前，首先需要确认 firewalld 服务是否已经启动并正常运行。这就好比在对一座城堡加强门禁管理前，要确保城堡的大门守卫系统（firewalld）已经正常运作。在 Linux 系统中，可以使用以下命令来查看 firewalld 的状态：

sudo systemctl status firewalld
执行该命令后，如果看到输出结果中包含 “active (running)” 字样，并且状态信息显示为绿色（在支持颜色显示的终端中），则表明 firewalld 服务已经成功启动并正在运行，就像城堡的大门守卫已经到岗，随时可以执行任务。若状态显示为 “inactive (dead)”，则表示 firewalld 服务未启动，需要进行下一步操作来启动它。

（二）启动 firewalld

如果通过上述命令检查发现 firewalld 服务未启动，那么可以使用以下命令来启动它：

sudo systemctl start firewalld
这一命令就像是给城堡大门守卫下达上岗指令，让 firewalld 服务开始运行，为后续的 IP 并发限制规则设置做好准备。启动完成后，还可以再次使用 “sudo systemctl status firewalld” 命令来确认服务是否已经成功启动。此外，为了确保系统重启后 firewalld 服务能够自动启动，还可以使用以下命令将其设置为开机自启：

sudo systemctl enable firewalld
这样，无论系统何时重启，firewalld 都会自动运行，持续为服务器的网络安全保驾护航。

（三）添加限制 IP 并发规则

1. 语法解析：添加限制 IP 并发规则需要使用 firewall - cmd 命令的 “–add - rich - rule” 选项，该选项用于添加富规则，以实现更复杂的防火墙配置。其基本语法如下：

sudo firewall - cmd --permanent --add - rich - rule='rule family="ipv4" source address="目标IP" port protocol="tcp" port="目标端口" limit value="并发连接数/时间单位" accept'
在这个语法中：

• “rule family = "ipv4"”：指定规则应用于 IPv4 协议，目前大多数网络通信仍基于 IPv4，这就像是为 IPv4 网络交通制定规则。

• “source address = "目标 IP"”：明确要限制的目标 IP 地址，比如要限制某个恶意 IP 的访问，就将其填入此处，如同在城堡门禁系统中指定特定的访客。

• “port protocol = "tcp"”：表示规则针对 TCP 协议，TCP 是一种常用的可靠传输协议，许多应用层协议如 HTTP、HTTPS、SSH 等都基于 TCP，指定协议就像是为特定类型的网络交通制定规则。

• “port = "目标端口"”：设置要限制并发连接的目标端口，例如 Web 服务器常用的 80 端口（HTTP）、443 端口（HTTPS）等，这就好比在城堡大门设置特定的通道，只对通过该通道的访客进行限制。

• “limit value = "并发连接数 / 时间单位"”：定义了每个 IP 在指定时间单位内允许的最大并发连接数。例如 “limit value = "100/minute"” 表示每分钟内每个 IP 最多允许 100 个并发连接，通过这种方式来控制网络流量，防止某个 IP 占用过多资源，如同限制每个访客在一定时间内最多可携带的随从数量。

• “accept”：表示符合上述条件的连接将被接受，即允许在限制范围内的 IP 连接通过防火墙。

2. 示例操作：假设我们要限制 IP 地址为 192.168.1.100 的设备对服务器 80 端口的并发连接数为每分钟 50 个，那么可以使用以下命令：

sudo firewall - cmd --permanent --add - rich - rule='rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="80" limit value="50/minute" accept'
执行此命令后，firewalld 就会按照设定的规则，对 192.168.1.100 这个 IP 地址访问 80 端口的并发连接数进行限制，确保服务器资源不会被该 IP 过度占用。

（四）重新加载配置

在添加了限制 IP 并发的规则后，需要重新加载 firewalld 的配置，使新添加的规则生效。这就好比在修改了城堡的门禁规则后，需要重新告知守卫新规则，以便他们能够正确执行。可以使用以下命令来重新加载配置：

sudo firewall - cmd --reload
执行该命令时，firewalld 会读取新的配置文件，并应用其中的规则。需要注意的是，在重新加载配置的过程中，可能会短暂影响网络连接，因此建议在业务低峰期进行操作，或者提前做好相关业务的通知和备份工作，以确保业务的连续性。重新加载完成后，新的限制 IP 并发规则就会开始发挥作用，守护服务器的网络安全。

（五）查看规则列表

为了确认限制 IP 并发规则是否已经成功添加并生效，可以使用以下命令查看当前 firewalld 的活动规则列表：

sudo firewall - cmd --list - all
执行该命令后，会显示当前 firewalld 的详细配置信息，包括所有区域（zone）的设置、开放的端口、允许的服务以及添加的富规则等。在输出结果中，找到与我们添加的限制 IP 并发规则相关的部分，检查是否与我们设置的规则一致。例如，对于前面限制 192.168.1.100 访问 80 端口并发连接数的例子，在输出结果中应该能看到类似以下的内容：

public (active)
target: default
icmp - block - inversion: no
interfaces:
sources:
services: cockpit dhcpv6 - client ssh
ports:
protocols:
masquerade: no
forward - ports:
source - ports:
icmp - blocks:
rich rules:
rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="80" limit value="50/minute" accept
如果能看到上述内容，就说明限制 IP 并发规则已经成功添加到 firewalld 的配置中，并且正在生效。如果未找到相关规则，或者规则与预期不符，需要检查添加规则的命令是否正确，以及是否正确执行了重新加载配置的步骤，确保服务器的网络安全防护措施准确无误。

五、常见问题与解决方法

（一）配置不生效

在使用 firewalld 限制 IP 并发时，可能会遇到配置不生效的情况，这往往让人感到困惑和头疼。以下是一些常见的原因及解决方法：

1. 参数使用错误：在添加限制 IP 并发规则时，参数的正确使用至关重要。例如，规则语法中的 “family” 参数指定协议族，若错误地写成 “familly”，就会导致规则无法被正确识别和应用。又比如 “source address” 指定目标 IP 地址，若地址格式错误，如写成 “192.168.1”（缺少子网掩码或完整的 IP 段），也会使规则失效。在设置 “limit value” 参数时，时间单位的书写错误同样会影响规则生效，如将 “100/minute” 写成 “100/min”，系统无法识别该时间单位，规则也就无法正常工作。因此，在配置规则时，务必仔细检查每个参数的拼写和格式，确保与官方文档的要求一致。

2. 未重新加载配置：添加或修改限制 IP 并发规则后，必须重新加载 firewalld 的配置，新规则才能生效。这是一个容易被忽视的步骤。有些用户在修改规则后，直接进行测试，发现配置未生效，却没有意识到是因为没有重新加载配置。重新加载配置的命令是 “sudo firewall - cmd --reload”，执行该命令后，firewalld 会读取新的配置文件，并应用其中的规则。如果在重新加载配置过程中出现错误，如提示权限不足等，需要检查用户权限是否足够，或者查看系统日志，以确定具体的错误原因。

3. 服务未启动或异常：firewalld 服务本身未启动或处于异常状态，也会导致配置不生效。可以使用 “sudo systemctl status firewalld” 命令来检查服务状态。如果服务未启动，使用 “sudo systemctl start firewalld” 命令启动服务；若服务处于异常状态，如提示某些依赖项未满足或配置文件错误等，需要根据具体的错误提示进行排查和修复。例如，若配置文件中存在语法错误，可能会导致服务无法正常启动，此时需要使用文本编辑器打开配置文件，仔细检查语法错误并进行修正。

4. 规则冲突：已有的防火墙规则可能与新添加的限制 IP 并发规则发生冲突，从而导致新规则无法生效。例如，之前设置了一条允许所有 IP 访问某个端口的规则，而新添加的规则是限制特定 IP 对该端口的并发连接数，这两条规则就会产生冲突。在这种情况下，需要检查已有的规则列表，使用 “sudo firewall - cmd --list - all” 命令查看所有规则，找出冲突的规则并进行调整。可以根据业务需求，删除或修改冲突的规则，确保新的限制 IP 并发规则能够正常发挥作用。

（二）影响正常业务

限制 IP 并发规则虽然能够有效保障服务器安全，但在某些情况下，可能会对正常业务产生影响，需要我们及时采取措施进行解决。

1. 误限制合法高并发业务：在设置限制 IP 并发规则时，可能由于对业务流量预估不足或规则设置过于严格，导致一些合法的高并发业务受到限制。例如，一家在线游戏公司，在游戏更新后的首个周末，大量玩家同时登录游戏，服务器瞬间迎来高并发访问。但由于之前设置的 IP 并发限制规则较为保守，将这些正常的玩家登录请求误判为恶意攻击，导致部分玩家无法正常登录游戏，严重影响了玩家体验和游戏业务的正常开展。为了解决这个问题，首先需要对业务流量进行深入分析，了解业务的正常并发峰值情况。可以通过服务器日志分析工具，查看历史业务流量数据，找出业务的高并发时段和峰值数据。根据分析结果，合理调整限制 IP 并发的规则，适当提高合法业务的并发连接数限制。例如，将原本每分钟 50 个并发连接的限制提高到每分钟 100 个或更高，以满足业务的实际需求。同时，还可以结合业务的特点，设置动态的并发限制策略，根据服务器的负载情况自动调整并发限制阈值，确保在保障服务器安全的前提下，不影响正常业务的运行。

2. 设置白名单：对于一些特定的 IP 或 IP 段，如企业内部的业务服务器、合作伙伴的 IP 等，它们的访问通常是合法且需要保证高并发的。为了避免这些 IP 受到限制 IP 并发规则的影响，可以设置白名单。例如，企业内部有多个业务系统相互调用，这些系统之间的通信需要保持高并发和低延迟。通过将这些系统的 IP 地址添加到白名单中，firewalld 会允许它们不受并发限制规则的约束，自由访问服务器资源。设置白名单的方法是使用 “sudo firewall - cmd --permanent --add - source = 白名单 IP 或 IP 段” 命令，将需要豁免的 IP 或 IP 段添加到 firewalld 的信任源列表中。添加完成后，记得使用 “sudo firewall - cmd --reload” 命令重新加载配置，使白名单设置生效。这样，位于白名单中的 IP 在访问服务器时，就可以正常进行高并发的业务操作，而不会被误限制。

六、总结与展望

（一）总结操作要点

在服务器安全防护的征程中，利用 firewalld 限制 IP 并发是一项关键且有效的策略。回顾整个操作过程，确认 firewalld 状态是基础的第一步，只有确保其正常运行，后续的安全配置才能得以实施。若未启动，需及时启动并设置为开机自启，让它持续为服务器保驾护航。
添加限制 IP 并发规则是核心步骤，需精准掌握其语法。其中，“rule family = "ipv4"” 明确协议族，“source address = "目标 IP"” 锁定限制对象，“port protocol = "tcp"” 和 “port = "目标端口"” 确定协议和端口，“limit value = "并发连接数 / 时间单位"” 设定关键的并发限制，而 “accept” 则决定符合条件的连接处理方式。在实际操作中，要根据服务器的业务需求和安全状况，合理设置这些参数，确保规则既能有效防范恶意攻击，又不会对正常业务造成阻碍。
重新加载配置是让新规则生效的必要操作，务必牢记，否则之前的努力都将白费。查看规则列表则能帮助我们确认规则是否正确添加并生效，通过仔细核对，及时发现并解决可能存在的问题。
同时，在操作过程中，要时刻警惕可能出现的问题。比如配置不生效时，需全面排查参数使用是否正确、是否重新加载配置、服务状态是否正常以及是否存在规则冲突等。对于影响正常业务的情况，要深入分析业务流量，合理调整并发限制，或者设置白名单，保障合法业务的顺畅运行。

（二）展望服务器安全未来

随着数字化进程的加速，服务器安全面临着前所未有的挑战与机遇。从技术发展趋势来看，未来服务器安全将朝着智能化、自动化方向大步迈进。人工智能和机器学习技术将深度融入服务器安全防护体系，能够实时分析海量的网络流量数据，自动识别潜在的安全威胁，并迅速做出智能响应，实现更精准、高效的防护。
云计算与服务器安全的融合也将更加紧密。云环境下的服务器安全将借助云平台的强大计算和存储能力，实现更灵活的安全配置、更快速的安全响应以及更便捷的安全管理。容器化技术的广泛应用，也对服务器安全提出了新的要求，未来的安全防护将更加注重容器层面的隔离与防护，确保容器内应用的安全运行。
此外，随着网络攻击手段的不断演变，服务器安全技术也将持续创新，不断提升防护能力。作为服务器的守护者，我们需要紧跟技术发展的步伐，持续学习和掌握新的安全知识与技能，不断优化服务器安全防护策略。通过合理运用 firewalld 等安全工具，结合先进的安全理念和技术，为服务器筑牢安全防线，让服务器在复杂多变的网络环境中稳定、可靠地运行，为数字化业务的蓬勃发展提供坚实的支撑。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御。