一、引言：防火墙与MySQL安全的重要性

防火墙是网络安全的基础组件，通过控制网络流量进出，保护内部系统免受未经授权的访问。对于MySQL数据库服务而言，正确配置防火墙规则至关重要：既要允许合法客户端连接，又要防止恶意攻击。本文将系统讲解如何在不同操作系统中设置防火墙规则，确保MySQL应用安全运行。

1.1 防火墙基础概念

防火墙分为软件防火墙（如iptables、ufw、Windows防火墙）和硬件防火墙，其核心功能是基于预设规则过滤流量。规则通常包含：协议类型（TCP/UDP）、端口号、源IP、目标IP和动作（允许/拒绝）。

1.2 MySQL默认端口与协议

MySQL默认使用TCP协议，端口号为3306。配置防火墙时需明确这些参数，避免因端口错误导致连接失败。

二、Linux系统防火墙配置

2.1 使用iptables配置规则

iptables是Linux经典的防火墙工具，适用于CentOS、RHEL等系统。

2.1.1 允许特定IP访问MySQL

# 允许来自192.168.1.100的3306端口连接
sudo iptables -A INPUT -p tcp -s 192.168.1.100 --dport 3306 -j ACCEPT
# 保存规则（根据系统选择方法）
sudo service iptables save  # CentOS 6
sudo iptables-save > /etc/sysconfig/iptables  # CentOS 7+

2.1.2 允许网段访问MySQL

# 允许192.168.1.0/24网段访问
sudo iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 3306 -j ACCEPT

2.1.3 拒绝所有其他连接

# 在允许规则后添加拒绝规则
sudo iptables -A INPUT -p tcp --dport 3306 -j DROP

2.2 使用ufw简化配置（Ubuntu/Debian）

ufw是Ubuntu的友好防火墙工具，适合新手。

2.2.1 允许特定IP

sudo ufw allow from 192.168.1.100 to any port 3306 proto tcp

2.2.2 允许网段访问

sudo ufw allow from 192.168.1.0/24 to any port 3306 proto tcp

2.2.3 启用并验证规则

sudo ufw enable
sudo ufw status  # 查看规则

2.3 使用firewalld（CentOS 7+/RHEL 7+）

firewalld是动态防火墙管理器，支持区域概念。

2.3.1 添加富规则

# 允许特定IP
sudo firewall-cmd --permanent --add-rich-rule='
  rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="3306" accept
'
# 允许网段
sudo firewall-cmd --permanent --add-rich-rule='
  rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="3306" accept
'
# 重新加载规则
sudo firewall-cmd --reload

2.3.2 查看规则

sudo firewall-cmd --list-all

三、Windows系统防火墙配置

3.1 通过图形界面配置

1. 打开“控制面板” > “系统和安全” > “Windows Defender防火墙”。
2. 点击“高级设置” > “入站规则” > “新建规则”。
3. 选择“端口”，指定“TCP”和“特定本地端口3306”。
4. 选择“允许连接”，勾选域/专用/公共网络。
5. 输入名称（如“MySQL_3306”），完成创建。

3.2 使用PowerShell命令

# 允许特定IP
New-NetFirewallRule -DisplayName "MySQL_3306_192.168.1.100" `
  -Direction Inbound -Protocol TCP -LocalPort 3306 `
  -RemoteAddress 192.168.1.100 -Action Allow
# 允许网段
New-NetFirewallRule -DisplayName "MySQL_3306_192.168.1.0_24" `
  -Direction Inbound -Protocol TCP -LocalPort 3306 `
  -RemoteAddress 192.168.1.0/24 -Action Allow

四、高级配置与安全建议

4.1 限制MySQL监听地址

在MySQL配置文件（my.cnf或my.ini）中设置：

[mysqld]
bind-address = 192.168.1.200  # 仅监听指定IP

4.2 使用SSH隧道加密连接

对于远程访问，建议通过SSH隧道：

ssh -L 3307:localhost:3306 user@mysql_server
# 客户端连接本地3307端口，流量通过SSH加密

4.3 定期审计防火墙规则

使用以下命令检查规则：

# Linux (iptables)
sudo iptables -L -n --line-numbers
# Windows (PowerShell)
Get-NetFirewallRule | Where-Object {$_.DisplayName -like "*MySQL*"} | Format-Table

五、常见问题解决

5.1 连接被拒绝

• 检查MySQL是否运行：systemctl status mysql
• 验证防火墙规则是否生效
• 确认MySQL绑定地址配置正确

5.2 规则不持久化

• Linux系统需保存规则（如iptables-save或firewall-cmd —runtime-to-permanent）
• Windows规则默认持久化，但需检查是否被其他策略覆盖

5.3 性能影响

• 避免添加过多规则，优先使用网段而非单个IP
• 考虑使用硬件防火墙处理高流量场景

六、总结与最佳实践

1. 最小权限原则：仅允许必要的IP/网段访问MySQL。
2. 多层次防御：结合防火墙、MySQL权限系统和加密传输。
3. 定期更新：随着网络环境变化，及时调整规则。
4. 备份规则：修改前备份现有配置，防止误操作导致服务中断。

通过系统配置防火墙规则，既能保障MySQL数据库的安全性，又能确保合法用户的顺畅访问。根据实际环境选择合适的工具（iptables/ufw/firewalld/Windows防火墙），并遵循上述最佳实践，可有效降低安全风险。