防火墙设置变更

防火墙设置变更

防火墙操作指南

防火墙设置步骤 #

本步骤书用于从客户端门户添加、编辑、删除 VPS/服务器的
防火墙(Firewall)
规则,并根据需要配置默认策略(Input/Output Policy)和
日志获取设置的操作步骤。

注意:
出站流量在某些情况下需要申请许可。特别是需要外部 SMTP 或 SSH 等情况,请从此处提交许可申请工单。

概览 #

Rules(规则) #

添加、编辑、删除允许/拒绝规则

Options(选项) #

配置默认策略(Input/Output Policy)和日志级别等设置

Logs(日志) #

查看/下载防火墙日志

准备工作 #

  • 已登录客户端门户
  • 能够选择目标服务(VPS/服务器)
  • 了解需要许可的通信要求(例:HTTPS 443、SSH 22 等),并根据需要掌握许可源 IP(固定公网 IP 等)

打开防火墙页面 #

  1. 从左菜单的服务中打开目标 VPS/服务器。
  2. 在服务器详细信息页面的菜单中展开网络,点击防火墙
打开网络下的”防火墙”。

Rules 规则列表的查看方式 #

在 Rules 标签中,按接口(例:net0)显示 IN/OUT 规则列表。

类型 #

IN(接收)/ OUT(发送)

Action(操作) #

ACCEPT(允许)/ DROP(拒绝)

Source / Port(源地址/端口) #

源 IP / 源端口(根据需要指定)

Destination / Port(目标地址/端口) #

目标 IP / 目标端口(通常主要指定端口)

Protocol / Macro(协议/宏) #

TCP / UDP / ICMP 等,或 Macro(预定义集合)

Log level(日志级别) #

规则级别的日志级别

Rules 标签显示规则列表的画面

从”添加新规则”进行添加,从各行的”编辑””删除”进行修改。

删除规则 #

  1. 在 Rules 标签中点击要删除的规则行的删除
  2. 显示确认对话框,如无问题请点击确定
注意:
删除后不会立即消失,可能在右上角显示”待删除”等通知。请等待反映后再刷新页面。
防火墙规则删除确认对话框

在确认对话框中点击确定后,即执行(或预定)删除。

添加规则 #

  1. 在 Rules 标签中点击添加新规则
  2. 在”添加新规则”页面(模态框)中输入必要项目。
  3. 输入完成后,点击提交
新防火墙规则添加页面

设置类型(IN/OUT)、协议、目标端口等后提交。

添加页面的输入项目 #

接口 #

通常为 net0(如环境中有多个,请选择目标接口)

类型 #

IN(接收)/ OUT(发送)

Macro(宏) #

使用预定义模板时选择(不需要则选”—”)

Action(操作) #

ACCEPT(允许)/ DROP(拒绝)

Protocol(协议) #

TCP / UDP / ICMP 等(使用 Macro 时请注意)

Source / Port(源地址/端口) #

源 IP / 源端口(仅在必要时指定)

Destination / Port(目标地址/端口) #

目标 IP / 目标端口(通常指定目标端口)

Log level(日志级别) #

nolog / info / notice 等

添加示例:允许 SSH(TCP 22)并限制许可源 IP #

完全开放 SSH 容易成为攻击目标,如有固定 IP 建议
指定 Source / Port(源 IP)
的运维方式。

  1. 编辑 Rules 中的 SSH 规则(或新建)。
  2. Source / Port 中输入许可源 IP(例:1.1.1.1/32)。
  3. 点击提交
SSH 规则源 IP 限制设置页面

指定源 IP(例:/32),缩小 SSH 的许可范围。

IP 地址的输入格式 #

Source / Port(源 IP)或 Destination / Port(目标 IP)可根据运维需要输入以下格式。

单个 IP
203.0.113.10 / 203.0.113.10/32
CIDR
192.168.1.0/24
IP 范围
192.168.30.10-192.168.30.20
多个指定(逗号分隔)
192.168.1.0/24,192.168.2.0/24
源 IP 可用逗号分隔指定多个(例:192.168.1.0/24,192.168.2.0/24)。

编辑规则 #

  1. 在 Rules 标签中点击目标规则的编辑
  2. 修改必要项目,点击提交
提示:
如有多条规则,为避免意外阻断通信,建议在修改前用截图等方式记录当前设置。

Options 配置默认策略 #

在 Options 标签中可配置与规则不匹配的通信处理(Input/Output Policy)等设置。

Input Policy(入站策略) #

接收的默认值(例:DROP)

Output Policy(出站策略) #

发送的默认值(例:ACCEPT)

Log Level (IN/OUT)(日志级别) #

方向别日志级别(环境不同行为可能有差异)

  1. 打开Options 标签。
  2. 根据需要修改Input Policy / Output Policy
  3. 点击保存更改
Options 标签配置 Input Policy 和 Output Policy 的页面

配置 Input/Output Policy,点击”保存更改”使其生效。
注意:
将 Input Policy 设置为 DROP 时,必须先准备必要接收流量的 ACCEPT 规则
(例:SSH / HTTPS 等)再进行设置。

Logs 查看・下载日志 #

  1. 打开Logs 标签。
  2. 如日志未显示,请检查规则的Log level 或 Options 的日志设置。
  3. 根据需要从Download Logs 下载日志。
Logs 标签查看防火墙日志的页面

从 Logs 标签查看日志,需要时可从 Download Logs 获取。

常见错误和解决方法 #

选择 Macro 状态下指定 protocol 导致错误 #

某些 Macro 内部协议固定,如另外指定协议会导致错误
(例:protocol already define in macro)。

  • 解决方法:使用 Macro 时将协议改为”—”,或将 Macro 改为”—”后再指定协议
Macro 与协议指定冲突时可能导致错误。

更改未生效时的确认要点 #

  • 右上通知中是否显示”待创建””待删除”等(反映等待中的可能性)
  • Rules 添加/编辑后,通过页面刷新是否更新显示
  • 如 Input Policy 设置为 DROP,是否存在必要通信的 ACCEPT 规则
  • 日志未显示时:检查规则的 Log level / Options 的 Log Level 设置是否生效
  • 是否有未许可的协议/端口号

补充:安全运维建议 #

  • 管理类端口(例:SSH 22)应尽可能限制许可源 IP
  • 不公开的端口不要许可(最小权限原则)
  • 修改前后进行连通性确认(必要端口已开放)
What are your feelings
Updated on 2026年6月6日
Table of contents

您愿意成为我们的推广合作伙伴吗?

我司的联盟计划可以轻松开始

GET STARTED
1_Primary_logo_on_transparent_327x63

BESTNET LLC 是一家提供 IT 基础设施建设服务和托管服务的公司

Linkedin
Navigation
How to Links
Contact us