公网服务器会收到大量扫描与无关连接。防火墙通过规则决定哪些 IP、端口与协议可以通过, 在云环境里常与安全组(Security Group)等抽象一起出现:本质是策略化的包过滤, 默认拒绝或默认放行取决于设计与合规要求。
入门:防火墙通常在哪个路径生效
- 主机防火墙:iptables/nftables、Windows Defender Firewall、云主机内的 agent rules——靠近进程监听端口前后。
- 网络边界设备:数据中心出口、公司边缘防火墙;对整体流量做策略。
- 云安全组 / 云厂商 ACL:绑定到网卡或子网,声明允许来源与目标端口;典型先于到达虚拟机内核栈。
深入:状态检测(stateful)意味着什么
现代主机防火墙多为有状态:可记住一条 TCP 连接的上下文,从而允许「回程」流量而不必手工双向开孔。 无状态规则写出来往往更长且更容易误放行;具体语法见你所用系统的防火墙文档。
排障:timeout 与 RST 的差异直觉
- 连接 hang / timeout:常见于包被静默丢弃(黑 hole),客户端会一直重试。
- 立即拒绝:可能收到 ICMP 不可达或 TCP RST(取决于中间设备行为),错误更快暴露。
与应用层「防火墙」一词的区别
WAF(Web Application Firewall)工作在更高层,针对 HTTP 语义与常见攻击模式; 与传统三四层防火墙互补而非替代。
厂商实现、默认策略与云控制台术语差异很大;生产变更请以变更窗口、回滚方案与最小权限为准。永远不要假设「关闭防火墙就能证明问题」——那是应急手段而不是结论。