防火墙怎么添加白名单IP

防火墙添加白名单IP，本质是通过策略配置明确授权特定IP地址或网段访问网络服务的权限。这一操作在Windows系统防火墙、Linux firewalld、云平台安全组（如腾讯云、阿里云）等不同环境中均有标准化实现路径：本地系统中需进入“高级安全Windows Defender防火墙”，新建入站规则并精准设置远程IP作用域；云环境则需登录控制台，在安全策略模块选择“IP白名单”并填写CIDR格式地址段；所有场景均强调参数准确性、规则启用状态确认及后续连通性验证。依据腾讯云官方文档与IDC《2024企业云安全实践指南》，合理配置白名单可显著降低未授权访问风险，同时保障运维、协作等必要通信链路稳定可靠。

一、Windows系统防火墙白名单配置流程

打开“控制面板”进入“系统和安全”，点击“Windows Defender 防火墙”，再选择左侧“高级设置”进入管理界面。在“入站规则”右键菜单中点击“新建规则”，类型选择“自定义”，程序路径保持默认“所有程序”。协议与端口页中，若需限制特定服务（如远程桌面3389端口或Web服务80端口），则选“TCP”，并指定本地端口；若面向全端口放行，则选“任何”。关键步骤在“作用域”页：勾选“下列IP地址”，点击“添加”后输入单个IP（如192.168.5.100）或CIDR格式网段（如10.20.0.0/16），支持批量添加多个条目。最后选择“允许连接”，网络位置按实际场景勾选域、专用或公用，命名规则为“OA系统运维白名单-2024Q3”便于追溯。完成前务必确认“启用此规则”处于勾选状态。

二、Linux firewalld环境下的白名单实施

以CentOS 8/RHEL 8为例，首先执行“sudo firewall-cmd --state”确认服务运行正常。使用“--permanent”参数持久化添加规则：运行“sudo firewall-cmd --permanent --add-source=203.0.113.20/32 --zone=public”可授权单一IP，“sudo firewall-cmd --permanent --add-source=172.16.100.0/24 --zone=public”则开放整个内网段。若需绑定端口，须配合富规则语法，例如“sudo firewall-cmd --permanent --add-rich-rule='rule source address=\"198.51.100.5\" port port=22 protocol=tcp accept'”。全部配置完毕后，必须执行“sudo firewall-cmd --reload”使策略生效，并用“sudo firewall-cmd --list-all”验证源地址是否已列入白名单列表。

三、云平台安全组白名单操作要点

在腾讯云控制台，进入“云服务器CVM”页面，点击左侧“安全组”，选择目标安全组后点击“配置规则”。添加入站规则时，协议类型选“全部”或按需限定，端口范围填写具体数值（如80,443或-1表示全部），源IP地址栏严格采用CIDR格式——不可输入域名或主机名，例如“203.0.113.0/24”合法，“203.0.113.*”将被拒绝。阿里云操作路径类似，但需注意其白名单规则上限为100条/安全组，建议合并连续IP为更大网段以节省配额。所有云平台均要求规则启用开关明确开启，且修改后无需重启实例即可实时生效。

四、验证与维护关键动作

完成配置后，须从白名单IP发起真实业务请求测试，例如用curl访问API接口或telnet检测端口连通性；非白名单IP应返回连接超时或拒绝响应。每月应导出当前白名单列表，对照资产台账核查IP归属是否仍有效，及时剔除离职人员设备、停用测试服务器等冗余条目。IDC数据显示，坚持季度审计的政企客户白名单误配率低于0.7%，远优于未审计群体的12.3%。

综上，IP白名单不是一次性配置，而是需要精准设定、分层验证、动态维护的安全闭环。