KingBaseES 防火墙配置

防火墙配置概述

防火墙是KingBaseES数据库系统安全的重要防线，它通过限制网络流量，防止未授权访问和恶意攻击。合理配置防火墙可以有效保护数据库服务器，减少安全风险。防火墙配置主要包括端口开放、IP访问控制和规则管理等方面。

Linux防火墙配置

1. iptables防火墙配置

bash

# 查看当前iptables规则
iptables -L -n

# 查看nat表规则
iptables -t nat -L -n

# 开放KingBaseES默认端口
iptables -A INPUT -p tcp --dport 54321 -j ACCEPT

# 只允许特定IP访问
iptables -A INPUT -p tcp --dport 54321 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 54321 -j DROP

# 开放回环地址
iptables -A INPUT -i lo -j ACCEPT

# 允许已建立的连接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 保存iptables规则
# CentOS 6
service iptables save
# CentOS 7+
iptables-save > /etc/sysconfig/iptables

2. firewalld防火墙配置

bash

# 查看firewalld状态
systemctl status firewalld

# 启动firewalld
systemctl start firewalld

# 设置firewalld开机自启
systemctl enable firewalld

# 查看当前区域
firewall-cmd --get-active-zones

# 查看当前区域的规则
firewall-cmd --list-all

# 开放KingBaseES端口
firewall-cmd --add-port=54321/tcp --permanent

# 只允许特定IP访问
firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="54321" accept' --permanent

# 重新加载防火墙规则
firewall-cmd --reload

# 查看已开放的端口
firewall-cmd --list-ports

Windows防火墙配置

1. 图形界面配置

打开"控制面板" -> "系统和安全" -> "Windows Defender 防火墙"
点击"高级设置"
在"入站规则"中点击"新建规则"
选择"端口"，点击"下一步"
选择"TCP"，输入KingBaseES端口号（如54321），点击"下一步"
选择"允许连接"，点击"下一步"
选择应用场景（域、专用、公用），点击"下一步"
输入规则名称（如"KingBaseES Port"），点击"完成"

2. 命令行配置

powershell

# 查看防火墙状态
Get-NetFirewallProfile

# 开放KingBaseES端口
New-NetFirewallRule -DisplayName "KingBaseES Port" -Direction Inbound -Protocol TCP -LocalPort 54321 -Action Allow

# 只允许特定IP访问
New-NetFirewallRule -DisplayName "KingBaseES Restricted" -Direction Inbound -Protocol TCP -LocalPort 54321 -RemoteAddress 192.168.1.0/24 -Action Allow

# 删除防火墙规则
Remove-NetFirewallRule -DisplayName "KingBaseES Port"

# 查看已配置的防火墙规则
Get-NetFirewallRule | Where-Object { $_.DisplayName -like "*KingBaseES*" }

端口管理最佳实践

1. 最小化开放端口

bash

# 只开放必要的端口
# KingBaseES主端口
54321/tcp
# KingBaseES复制端口（如果使用流复制）
54322/tcp
# 管理工具端口（如需要）
8080/tcp

2. 端口映射与转发

bash

# iptables端口映射（将外部端口15432映射到内部端口54321）
iptables -t nat -A PREROUTING -p tcp --dport 15432 -j DNAT --to-destination 192.168.1.100:54321
iptables -t nat -A POSTROUTING -d 192.168.1.100 -p tcp --dport 54321 -j SNAT --to-source 10.0.0.1

# firewalld端口转发
firewall-cmd --add-forward-port=port=15432:proto=tcp:toaddr=192.168.1.100:toport=54321 --permanent
firewall-cmd --reload

3. 端口扫描防护

bash

# 配置iptables防止端口扫描
iptables -N PORT_SCAN
iptables -A PORT_SCAN -m limit --limit 1/s --limit-burst 3 -j RETURN
iptables -A PORT_SCAN -j DROP
iptables -A INPUT -p tcp -m state --state NEW -j PORT_SCAN

# 配置firewalld防止端口扫描
firewall-cmd --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0" port protocol="tcp" port="1-65535" limit value="1/s" accept' --permanent
firewall-cmd --reload

防火墙规则管理

1. 规则优先级

bash

# iptables规则优先级（从上到下依次匹配）
# 先配置更具体的规则，再配置更通用的规则

# 允许特定IP访问特定端口
iptables -A INPUT -s 192.168.1.100 -p tcp --dport 54321 -j ACCEPT

# 拒绝所有其他IP访问该端口
iptables -A INPUT -p tcp --dport 54321 -j DROP

2. 规则备份与恢复

bash

# iptables规则备份
iptables-save > /etc/iptables/rules.v4

# iptables规则恢复
iptables-restore < /etc/iptables/rules.v4

# firewalld规则备份
cp -r /etc/firewalld /etc/firewalld.bak

# firewalld规则恢复
cp -r /etc/firewalld.bak/* /etc/firewalld/
systemctl restart firewalld

3. 定期审查防火墙规则

bash

# 审计iptables规则
iptables -L -n -v

# 审计firewalld规则
firewall-cmd --list-all-zones

# 清理无效规则
iptables -S | grep -v "ESTABLISHED,RELATED"

防火墙监控与日志

1. Linux防火墙日志

bash

# 配置iptables日志
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "[iptables] " --log-level 7

# 查看iptables日志
tail -f /var/log/syslog | grep iptables

# 配置firewalld日志
firewall-cmd --set-log-denied=all --permanent
firewall-cmd --reload

# 查看firewalld日志
tail -f /var/log/firewalld

2. Windows防火墙日志

打开"Windows Defender 防火墙" -> "高级设置"
右键点击"Windows Defender 防火墙属性"
在"域配置"、"专用配置"、"公用配置"中，将"日志记录"的"自定义"打开
设置日志文件路径和大小限制
查看日志文件：默认路径为%systemroot%\system32\LogFiles\Firewall\pfirewall.log

版本差异

KingBaseES V8 R6

主要使用默认端口54321
复制功能使用相同端口或单独配置
管理工具端口需要额外配置

KingBaseES V8 R7

支持动态端口配置
增强了端口安全管理
支持端口组配置
提供了更丰富的防火墙集成选项

sql

-- V8 R7新增：查看端口配置
SELECT * FROM sys_listener_config;

-- V8 R7新增：配置端口组
ALTER SYSTEM SET port_group = 'primary:54321,replication:54322,admin:8080';

常见问题（FAQ）

1. 如何测试防火墙端口是否开放？

bash

# 使用telnet测试
 telnet 192.168.1.100 54321

# 使用nc测试
nc -zv 192.168.1.100 54321

# 使用nmap测试
nmap -p 54321 192.168.1.100

2. 防火墙配置后无法连接数据库怎么办？

bash

# 检查防火墙状态
# Linux
systemctl status firewalld
# Windows
Get-NetFirewallProfile

# 检查防火墙规则
# Linux
firewall-cmd --list-ports
# Windows
Get-NetFirewallRule | Where-Object { $_.DisplayName -like "*KingBaseES*" }

# 临时关闭防火墙测试
# Linux
systemctl stop firewalld
# Windows
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False

3. 如何配置双向防火墙规则？

bash

# 配置入站规则
firewall-cmd --add-port=54321/tcp --permanent

# 配置出站规则
firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" destination port="54321" protocol="tcp" accept' --permanent

4. 如何处理防火墙性能问题？

bash

# 优化iptables规则，减少规则数量
# 使用ipset管理大量IP地址
ipset create allowed_ips hash:net
ipset add allowed_ips 192.168.1.0/24
ipset add allowed_ips 10.0.0.0/16
iptables -A INPUT -m set --match-set allowed_ips src -p tcp --dport 54321 -j ACCEPT

# 优化firewalld配置
firewall-cmd --set-default-zone=drop
firewall-cmd --reload

5. 如何配置云平台防火墙？

bash

# AWS安全组配置（示例）
# 入站规则：允许特定IP访问54321端口
# 出站规则：允许所有流量

# 阿里云安全组配置（示例）
# 入方向：允许192.168.1.0/24访问54321/tcp
# 出方向：允许所有流量

# 腾讯云安全组配置（示例）
# 入站规则：协议TCP，端口54321，源IP 192.168.1.0/24
# 出站规则：协议ALL，端口ALL，目标IP 0.0.0.0/0

6. 如何实现防火墙规则的自动化管理？

bash

# 使用Ansible管理防火墙规则
- name: Configure firewalld for KingBaseES
  hosts: kingbase_servers
  tasks:
    - name: Open KingBaseES port
      firewalld:
        port: 54321/tcp
        permanent: yes
        state: enabled
    - name: Reload firewalld
      service:
        name: firewalld
        state: reloaded

# 使用Puppet管理防火墙规则
firewall {
  '100 allow KingBaseES access':
    dport  => 54321,
    proto  => tcp,
    source => '192.168.1.0/24',
    action => accept,
}

防火墙安全审计脚本

1. Linux防火墙审计

bash

#!/bin/bash
# KingBaseES防火墙审计脚本

echo "=== KingBaseES Firewall Audit Report ==="
echo "Audit Time: $(date)"
echo "Hostname: $(hostname)"
echo "IP Address: $(hostname -I)"
echo ""

# 检查防火墙状态
echo "1. Firewall Status:"
if command -v firewall-cmd &> /dev/null; then
    firewall-cmd --state
elif command -v iptables &> /dev/null; then
    iptables -L -n | head -10
else
    echo "No firewall found"
fi
echo ""

# 检查KingBaseES端口
echo "2. KingBaseES Port Configuration:"
if command -v firewall-cmd &> /dev/null; then
    firewall-cmd --list-ports | grep 54321 || echo "Port 54321 not found in firewalld"
elif command -v iptables &> /dev/null; then
    iptables -L -n | grep 54321 || echo "Port 54321 not found in iptables"
fi
echo ""

# 检查IP访问控制
echo "3. IP Access Control:"
if command -v firewall-cmd &> /dev/null; then
    firewall-cmd --list-rich-rules | grep 54321
elif command -v iptables &> /dev/null; then
    iptables -L -n | grep -E "(54321|DROP)"
fi
echo ""

# 检查防火墙日志
echo "4. Firewall Log Configuration:"
if command -v firewall-cmd &> /dev/null; then
    firewall-cmd --get-log-denied
elif command -v iptables &> /dev/null; then
    grep -i log /etc/sysconfig/iptables 2>/dev/null || echo "No iptables log configuration found"
fi
echo ""

echo "=== Audit Complete ==="

2. Windows防火墙审计

powershell

# KingBaseES Windows防火墙审计脚本
Write-Host "=== KingBaseES Firewall Audit Report ===" -ForegroundColor Cyan
Write-Host "Audit Time: $(Get-Date)" -ForegroundColor Cyan
Write-Host "Hostname: $env:COMPUTERNAME" -ForegroundColor Cyan
Write-Host "IP Address: $(Get-NetIPAddress -AddressFamily IPv4 | Where-Object { $_.InterfaceAlias -ne 'Loopback Pseudo-Interface 1' } | Select-Object -ExpandProperty IPAddress)" -ForegroundColor Cyan
Write-Host ""

# 检查防火墙状态
Write-Host "1. Firewall Status:" -ForegroundColor Yellow
Get-NetFirewallProfile | Select-Object Name, Enabled
Write-Host ""

# 检查KingBaseES端口规则
Write-Host "2. KingBaseES Port Rules:" -ForegroundColor Yellow
$rules = Get-NetFirewallRule | Where-Object { $_.DisplayName -like "*KingBaseES*" -or $_.LocalPort -eq 54321 }
if ($rules.Count -eq 0) {
    Write-Host "No KingBaseES related rules found"
} else {
    $rules | Select-Object DisplayName, Direction, LocalPort, Action, Enabled
}
Write-Host ""

# 检查入站规则
Write-Host "3. Inbound Rules Summary:" -ForegroundColor Yellow
Get-NetFirewallRule -Direction Inbound | Group-Object Action | Select-Object Name, Count
Write-Host ""

# 检查防火墙日志配置
Write-Host "4. Firewall Log Configuration:" -ForegroundColor Yellow
Get-NetFirewallProfile | Select-Object Name, LogFileName, LogMaxSizeKilobytes, LogAllowed, LogBlocked
Write-Host ""

Write-Host "=== Audit Complete ===" -ForegroundColor Cyan

总结

防火墙配置是KingBaseES数据库安全的重要组成部分，通过合理配置Linux或Windows防火墙，限制端口访问范围，配置IP白名单，启用防火墙日志和监控，可以有效提高数据库系统的安全性。在实际生产环境中，DBA应根据业务需求和安全策略，制定适合的防火墙配置方案，并定期审查和优化，确保防火墙规则的有效性和安全性。同时，结合云平台防火墙和自动化工具，可以实现更高效的防火墙管理。

KingBaseES 防火墙配置 ​

防火墙配置概述 ​

Linux防火墙配置 ​

1. iptables防火墙配置 ​

2. firewalld防火墙配置 ​

Windows防火墙配置 ​

1. 图形界面配置 ​

2. 命令行配置 ​

端口管理最佳实践 ​

1. 最小化开放端口 ​

2. 端口映射与转发 ​

3. 端口扫描防护 ​

防火墙规则管理 ​

1. 规则优先级 ​

2. 规则备份与恢复 ​

3. 定期审查防火墙规则 ​

防火墙监控与日志 ​

1. Linux防火墙日志 ​

2. Windows防火墙日志 ​

版本差异 ​

KingBaseES V8 R6 ​

KingBaseES V8 R7 ​

常见问题（FAQ） ​

1. 如何测试防火墙端口是否开放？ ​

2. 防火墙配置后无法连接数据库怎么办？ ​

3. 如何配置双向防火墙规则？ ​

4. 如何处理防火墙性能问题？ ​

5. 如何配置云平台防火墙？ ​

6. 如何实现防火墙规则的自动化管理？ ​

防火墙安全审计脚本 ​

1. Linux防火墙审计 ​

2. Windows防火墙审计 ​

总结 ​

KingBaseES 防火墙配置

防火墙配置概述

Linux防火墙配置

1. iptables防火墙配置

2. firewalld防火墙配置

Windows防火墙配置

1. 图形界面配置

2. 命令行配置

端口管理最佳实践

1. 最小化开放端口

2. 端口映射与转发

3. 端口扫描防护

防火墙规则管理

1. 规则优先级

2. 规则备份与恢复

3. 定期审查防火墙规则

防火墙监控与日志

1. Linux防火墙日志

2. Windows防火墙日志

版本差异

KingBaseES V8 R6

KingBaseES V8 R7

常见问题（FAQ）

1. 如何测试防火墙端口是否开放？

2. 防火墙配置后无法连接数据库怎么办？

3. 如何配置双向防火墙规则？

4. 如何处理防火墙性能问题？

5. 如何配置云平台防火墙？

6. 如何实现防火墙规则的自动化管理？

防火墙安全审计脚本

1. Linux防火墙审计

2. Windows防火墙审计

总结