服务器网络安全防护方案：零基础服务器网络安全防护实施方案

服务器网络安全从哪里入手

服务器一旦上线，就暴露在公网之中。
零基础用户常犯的错误是只装好业务就以为完事了，结果几天后就被植入挖矿程序。服务器网络安全防护方案的第一步，不是装一堆杀毒软件，而是先收紧入口。
本文会带你在十分钟内完成基础加固，后续只需定期维护。

第一步：启用并配置系统防火墙

Linux 服务器最常见的防火墙是 UFW（Uncomplicated Firewall），CentOS 用户可以用 firewalld。
以 Ubuntu 为例，SSH 登录后依次执行：

sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 22/tcp   # 一定要先放行 SSH 端口，否则自己会被锁在外面
sudo ufw allow 80/tcp   # 如果跑 Web 服务
sudo ufw allow 443/tcp  # HTTPS
sudo ufw enable
sudo ufw status verbose

踩坑提醒：千万不要刚装完就 ufw enable 并且忘记放行 SSH 端口。
如果已经被锁，可以通过 VNC 或云服务商后台的救援模式进入系统，执行 sudo ufw delete deny 22 恢复。
对于宝塔面板用户，可以在“安全” -> “系统防火墙”里按同样规则添加端口。

第二步：加固 SSH 服务，禁用密码登录

默认 SSH 使用密码登录，容易被暴力破解。推荐方案是使用密钥对+禁用密码登录。
在本地电脑生成密钥（已有密钥可跳过）：

ssh-keygen -t ed25519 -C "your-email@example.com"

然后上传公钥到服务器：

ssh-copy-id -i ~/.ssh/id_ed25519.pub user@服务器IP

确认密钥可以登录后，编辑 /etc/ssh/sshd_config，修改或添加以下项：

PasswordAuthentication no
PubkeyAuthentication yes
ChallengeResponseAuthentication no

重启服务生效：

sudo systemctl restart sshd

避坑：操作前务必保持当前 SSH 会话不要断开，另开一个终端测试密钥登录是否正常，确认无误再关闭旧会话。
如果使用宝塔面板，可以在“SSH管理”中上传密钥并一键设置禁用密码。

第三步：部署 fail2ban 与自动更新

即使禁用了密码登录，仍有大量扫描 IP 不断尝试 SSH 端口。
fail2ban 可以自动封禁连续失败的 IP：

sudo apt update && sudo apt install fail2ban -y
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

编辑 /etc/fail2ban/jail.local 找到 [sshd] 部分，确保如下配置：

[sshd]
enabled = true
bantime = 3600
findtime = 600
maxretry = 5

重启 fail2ban：

sudo systemctl restart fail2ban
sudo fail2ban-client status sshd

如果看到 Total banned: 数字，说明已经生效。
另外建议开启系统安全更新（Ubuntu）：

sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure --priority=low unattended-upgrades

选择“是”即可自动安装安全补丁。这一步能防止很多已知漏洞被利用。

第四步：常见问题与效果验证

问题1：配置防火墙后网站访问不了？
检查是否放行了 80/443 端口，以及业务程序是否监听在 0.0.0.0 而不是 127.0.0.1。用 ss -tlnp 查看监听地址。

问题2：SSH密钥登录失败怎么办？
检查家目录和 .ssh 权限：chmod 700 ~/.ssh && chmod 600 ~/.ssh/authorized_keys。再确认 /etc/ssh/sshd_config 中 AuthorizedKeysFile 路径正确。

验证整体安全效果：

• 使用 sudo ufw status 确认规则；
• 使用 sudo fail2ban-client status sshd 查看封禁记录；
• 尝试用错误密码 SSH 登录，看是否被拦截；
• 扫描一下开放端口：sudo nmap -sS localhost（如果没装 nmap 先安装）。

如果你正在处理服务器网络安全防护方案，建议先按本文步骤完整执行，再根据自己的环境微调（比如开放其他端口、安装 ClamAV 做文件扫描等）。
遇到异常时优先回看避坑和高频问题部分，关掉不用的服务、定期检查日志，才是长期安全的关键。