防火墙怎么添加白名单ip

防火墙添加白名单IP，本质是通过“默认拒绝、显式放行”的安全策略，精准授权特定可信地址访问系统资源。无论是Windows高级防火墙中通过wf.msc图形界面新建入站自定义规则并指定远程IP地址范围，还是Linux环境下借助firewalld的`--add-source`指令或iptables的`-s`参数配置源地址匹配，亦或是腾讯云等主流云平台在安全组中设置授权对象为指定公网IP段，其底层逻辑均一致：将合法运维终端、合作方网络或内部办公网段纳入受信列表，同时阻断其余所有未声明流量。这一操作不仅契合最小权限原则，更依托官方工具链实现可审计、可回溯、可批量管理的精细化访问控制。

一、Windows系统防火墙白名单配置实操步骤

打开“运行”窗口，输入wf.msc回车进入高级安全Windows Defender防火墙管理界面；点击左侧“入站规则”，右键选择“新建规则”，在向导中选择“自定义”类型；在“规则类型”页保持默认，进入“程序”页选“所有程序”；在“协议和端口”页按需指定TCP/UDP及具体端口号（如数据库服务常用3306或5432）；关键一步是在“作用域”页的“哪些远程IP地址”栏勾选“下列IP地址”，点击“添加”后精确填写单个IP（如192.168.10.5）或CIDR格式网段（如203.120.45.0/24）；最后在“操作”页选“允许连接”，“配置文件”页按实际启用域、专用或公用网络策略，命名规则并完成创建。务必右键该规则选择“启用规则”，并通过另一台设备发起连接测试验证生效。

二、Linux firewalld环境下的IP白名单部署流程

首先执行systemctl status firewalld确认服务已运行，若未启动则使用systemctl start firewalld激活；接着创建专用区域以隔离白名单策略，运行firewall-cmd --permanent --new-zone=trusted-admin并重载配置；然后将目标IP加入该区域，例如执行firewall-cmd --permanent --zone=trusted-admin --add-source=112.89.32.100/32；若需放行特定端口，追加命令firewall-cmd --permanent --zone=trusted-admin --add-port=22/tcp；全部规则添加完毕后，必须执行firewall-cmd --reload使配置即时生效；可通过firewall-cmd --zone=trusted-admin --list-all命令核查源地址与端口是否准确加载，确保SSH、Web管理等关键服务仅对授权IP响应。

三、主流云平台安全组白名单设置要点

以腾讯云为例，登录控制台后进入“云服务器CVM”页面，点击左侧“安全组”，选择对应实例绑定的安全组；点击“配置规则”，在“入站规则”页点击“添加规则”；协议类型选择TCP/UDP或ALL，端口范围填入业务所需值（如80,443或0-65535）；授权对象栏直接输入IP地址（121.43.128.77）或标准CIDR（10.100.0.0/16），不可留空或填写0.0.0.0/0；描述栏建议注明用途，如“财务系统API调用白名单”；保存后规则立即生效，配合云监控中的“访问日志分析”功能可定期复核命中记录，及时剔除失效IP。

白名单配置不是一次性的技术动作，而是持续优化的安全实践，需结合业务演进动态更新、定期审计并保留完整操作日志。