防火墙添加白名单ip要开什么端口？

防火墙添加白名单IP时，并非开放所有端口，而是严格依据业务实际需求，仅放行必需的特定端口。例如Web服务通常只需开通80（HTTP）与443（HTTPS）端口，远程管理场景下可按需启用3389（RDP）或修改后的SSH端口，数据库访问则可能涉及3306（MySQL）、5432（PostgreSQL）等；消息中间件如RabbitMQ常用5671（AMQP over TLS）或5672（非加密），MQTT服务则对应1883/8883端口。Windows高级安全防火墙、Linux iptables/nftables及主流云平台安全组均支持在规则中精确绑定IP范围与端口协议，确保最小权限原则落地——既保障服务可达性，又大幅压缩攻击面。

一、明确业务场景与端口映射关系

首先需梳理当前服务所依赖的具体协议与通信方式。Web类应用必须开放80（HTTP）和443（HTTPS），若启用HTTP/2或gRPC over TLS，仍复用443端口，无需额外开放；远程运维管理中，Windows系统默认使用3389端口承载RDP连接，Linux服务器则通常通过SSH提供访问，建议将默认22端口更改为非标端口（如2222或60000–65535区间内任一未被占用端口），并在防火墙规则中严格限定仅对白名单IP开放该自定义端口。数据库服务方面，MySQL标准端口为3306（TCP），PostgreSQL为5432（TCP），Redis为6379（TCP），均须在创建入站规则时精确指定协议类型与端口号，避免泛化为“所有端口”或“任意端口”。

二、分平台配置白名单端口的具体操作路径

在Windows Server环境中，进入“高级安全Windows防火墙”，新建入站规则→选择“端口”类型→设定协议（TCP/UDP）及具体端口号→操作设为“允许连接”→在“作用域”选项卡中点击“远程IP地址”，勾选“下列IP地址”，手动输入单个IP（如192.168.1.100）或CIDR网段（如10.20.30.0/24）。Linux系统下，使用nftables命令可精准控制：执行“nft add rule inet filter input ip saddr { 203.0.113.45, 198.51.100.0/24 } tcp dport 3306 accept”即可实现IP+端口双重放行。主流云平台（如阿里云、腾讯云、华为云）则需在安全组规则中填写“目的端口”字段，并在“源IP地址”栏填入授权IP段，支持IPv4/IPv6双栈配置。

三、验证与持续维护要点

规则生效后，务必通过telnet或nc命令从白名单IP发起端口连通性测试，例如“telnet your-server-ip 443”；同时检查防火墙日志，确认非白名单IP的连接请求已被拒绝而非静默丢弃。建议每季度审计一次端口开放清单，关闭已下线服务对应的端口规则；对临时调试开放的端口（如9089用于电子发票系统联调），须设置到期提醒并自动回收。此外，在多网卡或多VPC环境下，需确保规则绑定正确的网络配置文件（如域、专用、公用），防止因配置错位导致策略失效。

综上，白名单端口配置是动态适配业务演进的安全实践，重在精准、可验、可控。