在当今数字化时代，网站的安全性变得越来越重要。为了防止黑客攻击和恶意软件入侵，我们需要采取一系列措施来保障网站的安全。本文将介绍如何在CentOS系统下设置防火墙规则以确保网站的安全。

一、安装并启动firewalld服务

1. 安装firewalld

确保您的系统已安装了FirewallD。您可以使用以下命令进行检查：

yum install firewalld

如果尚未安装，请执行上述命令进行安装。

2. 启动并启用firewalld

接下来，需要启动并启用firewalld服务：

systemctl start firewalld.service

systemctl enable firewalld.service

二、查看当前的防火墙状态

要了解目前的防火墙配置情况，可以运行如下命令：

firewall-cmd –state

这将显示防火墙是否处于活动状态。您还可以通过以下命令查看当前有效的区域和规则：

firewall-cmd –get-active-zones

firewall-cmd –list-all

三、添加允许的端口和服务

根据业务需求，通常需要开放某些特定端口或服务（例如HTTP、HTTPS）。可以通过以下命令实现：

firewall-cmd –add-service=http –permanent

firewall-cmd –add-service=https –permanent

以上命令将永久性地为httpd服务添加80端口与443端口到公共区域中。

如果您想要添加其他自定义端口，则可以使用–add-port参数，如：

firewall-cmd –add-port=22/tcp –permanent 允许SSH连接

请注意，在生产环境中，应尽量减少暴露的端口数量，并仅开放必要的服务。

四、限制IP访问

有时我们可能希望限制来自特定IP地址或网段的访问。例如，如果您知道只有某些特定的IP地址会访问您的服务器，那么可以设置只允许这些地址访问：

firewall-cmd –add-rich-rule=’rule family=”ipv4″ source address=”192.168.1.100″ port port=”80″ protocol=”tcp” accept’ –permanent

此命令表示只允许来自192.168.1.100的设备访问80端口。

您也可以禁止某个IP地址的访问：

firewall-cmd –add-rich-rule=’rule family=”ipv4″ source address=”192.168.1.101″ reject’ –permanent

请根据实际情况调整具体的IP地址。

五、重启并验证配置

完成所有更改后，记得重启firewalld服务使新规则生效：

systemctl restart firewalld.service

然后再次检查防火墙的状态以确保一切正常：

firewall-cmd –list-all

这样就完成了基本的防火墙配置。实际应用中还需要结合日志分析等手段进一步优化安全策略。