configuring-firewalls

此技能为各类基础设施环境提供全面的网络安全加固框架。专为 DevOps 工程师、系统管理员与架构师设计，旨在管理流量、保护服务器访问及实施网络分段。通过应用基于主机防火墙（如 UFW、nftables 与 iptables）的标准化模式，以及云端原生控制（如 AWS 安全组、GCP VPC 防火墙规则与 Azure 网络安全组），确保一致的安全状态。本技能有助于防止常见配置错误（如意外锁定 SSH），强调安全检查清单、有状态与无状态数据包过滤及纵深防御策略。用户可获得关于设置堡垒机、配置 Web 服务器与数据库的进出规则以及防火墙技术转换的指南。无论是执行服务器加固、通过 Kubernetes NetworkPolicies 保护容器化工作负载，还是排查连线故障，本技能均提供可操作的指令片段与决策逻辑。它连接了底层内核数据包过滤与高级云网络策略之间的缺口。

• 支持基于主机的防火墙，包括 Ubuntu/Debian 的 UFW、RHEL/CentOS 的 firewalld 以及用于高性能过滤的现代 nftables。

• 云集成涵盖 AWS 安全组、NACL、GCP VPC 规则及 Azure NSG，并提供 Terraform 与 CLI 示例。

• Kubernetes 安全涵盖，包括使用 Calico 或 Cilium 等 CNI 插件管理 Pod 通信。

• 为 Web 服务器、API 网关、数据库集群与堡垒机提供标准化安全模式。

• 安全优先工作流程：包含防止锁定的关键检查与使用 nmap 等工具的验证方法。

• 提供从传统 iptables 到现代 nftables 的迁移路径及性能优化建议。

• 在应用“默认拒绝”策略前，请务必确认已允许 SSH 或管理端口的访问，以避免系统锁定。

• 区分有状态防火墙（安全组）与无状态控制（NACL）以避免流量丢失。

• 使用提供的安全检查清单在更改配置后进行外部连线验证。

• 将规则整合至 Terraform 等基础设施即代码 (IaC) 管线中，实现可审计与版本控制。

• 输入包括服务器操作系统、云提供商、服务端口与源 IP 范围；输出包括精确的 CLI 指令、配置文件或 Terraform 资源区块。