如何安全配置防火墙以保护MySQL实例？

如何正确配置防火墙规则以保障MySQL数据库的安全性？

在部署MySQL数据库服务器时，合理配置防火墙是保障数据库安全的重要措施之一。常见的安全风险包括未经授权的访问、端口扫描和中间人攻击等。为此，应如何设置防火墙规则，仅允许特定IP访问MySQL端口（如3306），禁用不必要的网络连接，并防止潜在的攻击行为？同时，如何结合操作系统的iptables或firewalld，以及云平台的安全组功能，实现多层防护？本文将围绕上述问题，探讨如何通过防火墙配置提升MySQL实例的安全性。

1. 理解MySQL的默认网络行为

MySQL默认监听在0.0.0.0:3306，这意味着任何能够访问该服务器网络接口的客户端都可以尝试连接。为了安全起见，应修改MySQL的配置文件（通常是/etc/my.cnf或/etc/mysql/my.cnf），将监听地址绑定为内网IP或127.0.0.1（仅限本地访问）：

[mysqld]
bind-address = 192.168.1.100

该配置限制了MySQL对外暴露的网络接口，是防火墙配置的第一步。

2. 使用操作系统级防火墙：iptables

iptables 是 Linux 系统中最常用的防火墙工具之一。以下是一组典型的规则，用于仅允许特定IP访问MySQL端口：

# 清除原有规则
iptables -F

# 默认拒绝所有输入
iptables -P INPUT DROP

# 允许本地回环访问
iptables -A INPUT -i lo -j ACCEPT

# 允许已建立的连接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 允许特定IP访问MySQL端口
iptables -A INPUT -s 192.168.1.5 -p tcp --dport 3306 -j ACCEPT

# 其他端口保持拒绝
iptables -A INPUT -p tcp --dport 3306 -j DROP

3. 使用firewalld进行更高级的配置

对于使用firewalld的系统（如CentOS 7+），可以通过rich rules实现更灵活的控制：

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.5" port protocol="tcp" port="3306" accept'
firewall-cmd --reload

该命令允许来自192.168.1.5的主机访问MySQL端口，并拒绝其他所有来源。

4. 利用云平台安全组实现网络层防护

在云环境中（如AWS、阿里云、腾讯云），安全组是实现网络隔离的重要手段。建议在安全组中设置如下规则：

安全组与操作系统级防火墙共同构成了多层防御体系，显著提升MySQL的安全性。

5. 防止端口扫描与中间人攻击

为防止端口扫描和中间人攻击，可采取以下措施：

• 将MySQL服务绑定到非标准端口（如3307）并隐藏真实服务端口；
• 启用SSL连接，强制使用加密通信；
• 使用fail2ban等工具对异常连接行为进行自动封禁。

例如，使用fail2ban监控MySQL登录失败：

[mysqld-4505]
enabled  = true
filter   = mysqld-auth
logpath  = /var/log/mysqld.log
maxretry = 5
bantime  = 86400

6. 多层防护体系结构图

以下是一个典型的多层防护结构示意图：