MySQL防火墙规则配置全攻略：安全放行数据库连接

一、防火墙规则配置基础原理

在配置防火墙允许MySQL访问前，需理解TCP/IP网络通信的基本原理。MySQL默认使用3306端口进行客户端连接，防火墙规则的核心是允许该端口的入站（INBOUND）和出站（OUTBOUND）流量通过。

1.1 防火墙规则类型

• 入站规则（INBOUND）：控制外部设备访问本机MySQL服务
• 出站规则（OUTBOUND）：控制本机访问外部MySQL服务（通常用于主从复制场景）
• 连接状态跟踪：现代防火墙会跟踪TCP连接状态（NEW/ESTABLISHED/RELATED）

1.2 端口与协议

• MySQL默认端口：3306（可修改为其他端口增强安全性）
• 协议类型：TCP（UDP不用于MySQL通信）
• 双向通信：需要同时配置入站和出站规则（部分防火墙自动处理）

二、Linux系统防火墙配置

2.1 iptables配置（CentOS/RHEL 6/7）

# 允许特定IP访问MySQL
iptables -A INPUT -p tcp --dport 3306 -s 192.168.1.100 -j ACCEPT
# 允许网段访问（示例：192.168.1.0/24）
iptables -A INPUT -p tcp --dport 3306 -s 192.168.1.0/24 -j ACCEPT
# 保存规则（CentOS 6）
service iptables save
# CentOS 7使用：
iptables-save > /etc/sysconfig/iptables

关键参数说明：

• -A INPUT：追加到入站规则链
• -p tcp：指定TCP协议
• --dport 3306：目标端口3306
• -s：指定源IP或网段
• -j ACCEPT：允许匹配的流量

2.2 ufw配置（Ubuntu/Debian）

# 允许特定IP
sudo ufw allow from 192.168.1.100 to any port 3306 proto tcp
# 允许网段
sudo ufw allow from 192.168.1.0/24 to any port 3306 proto tcp
# 启用防火墙（如果未启用）
sudo ufw enable

安全建议：

1. 先配置规则再启用防火墙，避免服务中断
2. 使用ufw status numbered查看规则序号，便于管理
3. 定期审查规则：sudo ufw status verbose

2.3 firewalld配置（CentOS/RHEL 8+）

# 添加富规则（推荐方式）
sudo firewall-cmd --permanent --add-rich-rule='
  rule family="ipv4" 
  source address="192.168.1.100" 
  port protocol="tcp" port="3306" accept
'
# 允许网段
sudo firewall-cmd --permanent --add-rich-rule='
  rule family="ipv4" 
  source address="192.168.1.0/24" 
  port protocol="tcp" port="3306" accept
'
# 重新加载配置
sudo firewall-cmd --reload

优势说明：

• 富规则提供更精细的控制
• --permanent参数使规则持久化
• 支持IPv4/IPv6双栈配置

三、云平台安全组配置

3.1 AWS安全组配置

1. 导航到EC2控制台 → 安全组
2. 创建或修改安全组：
   • 类型：自定义TCP
   • 端口范围：3306
   • 源：指定IP（如192.168.1.100/32）或CIDR块
3. 确保出站规则允许返回流量（通常自动处理）

最佳实践：

• 为不同环境创建独立安全组（开发/测试/生产）
• 使用标签管理安全组
• 定期审计未使用的规则

3.2 阿里云安全组配置

1. 进入ECS控制台 → 网络与安全 → 安全组
2. 添加安全组规则：
   • 方向：入方向
   • 协议类型：TCP
   • 端口范围：3306/3306
   • 授权对象：指定IP或IP段
3. 确认规则优先级（数字越小优先级越高）

注意事项：

• 阿里云经典网络与VPC网络配置方式略有不同
• 修改后立即生效，无需重启实例
• 支持安全组模板批量应用

四、Windows防火墙配置

4.1 图形界面配置

1. 控制面板 → 系统和安全 → Windows Defender防火墙
2. 高级设置 → 入站规则 → 新建规则
3. 选择”端口” → 特定本地端口（3306）→ 允许连接
4. 指定应用范围（域/专用/公共网络）
5. 命名规则（如”Allow MySQL 3306”）

4.2 PowerShell命令配置

# 允许特定IP访问
New-NetFirewallRule -DisplayName "Allow MySQL from 192.168.1.100" `
  -Direction Inbound -LocalPort 3306 -Protocol TCP `
  -Action Allow -RemoteAddress 192.168.1.100
# 允许网段访问
New-NetFirewallRule -DisplayName "Allow MySQL from 192.168.1.0/24" `
  -Direction Inbound -LocalPort 3306 -Protocol TCP `
  -Action Allow -RemoteAddress 192.168.1.0/24

进阶配置：

• 使用-EdgeTraversalPolicy Allow允许穿越NAT设备
• 结合-Profile Domain,Private限制网络位置
• 通过-Enabled True确保规则激活

五、配置验证与故障排除

5.1 验证方法

# Linux系统测试
telnet <服务器IP> 3306
# 或使用nc工具
nc -zv <服务器IP> 3306
# MySQL客户端测试
mysql -h <服务器IP> -u username -p

预期结果：

• 成功连接时显示MySQL欢迎信息
• 防火墙阻止时显示”Connection refused”或超时

5.2 常见问题解决

1. 连接超时：

   • 检查防火墙是否放行3306端口
   • 验证MySQL是否监听正确IP（netstat -tulnp | grep 3306）
   • 检查中间网络设备（路由器、交换机）ACL

2. 权限拒绝：

   • 确认MySQL用户有远程访问权限

     GRANT ALL PRIVILEGES ON *.* TO 'username'@'%' IDENTIFIED BY 'password';
     FLUSH PRIVILEGES;

   • 检查bind-address配置（/etc/my.cnf或/etc/mysql/my.cnf）

3. 规则不生效：

   • 确认规则顺序（iptables中规则按顺序匹配）
   • 检查是否有其他防火墙（如云平台安全组）
   • 验证规则是否持久化（重启后是否保留）

六、安全增强建议

1. 最小权限原则：

   • 仅允许必要的IP访问
   • 使用%通配符时需谨慎
   • 考虑使用VPN或跳板机访问生产数据库

2. 端口变更：

   • 修改MySQL默认端口（在my.cnf中设置port=3307）
   • 更新防火墙规则对应新端口

3. IP白名单管理：

   • 定期审查白名单IP
   • 使用配置管理工具（Ansible/Puppet）自动化规则更新
   • 考虑动态白名单（基于SSH密钥或证书）

4. 日志监控：

   # iptables日志配置
   iptables -A INPUT -p tcp --dport 3306 -j LOG --log-prefix "MYSQL_ACCESS: "
   # 查看日志
   tail -f /var/log/kern.log | grep MYSQL_ACCESS

七、自动化配置示例

7.1 Ansible剧本示例

- name: Configure MySQL firewall rules
  hosts: db_servers
  become: yes
  tasks:
    - name: Allow MySQL from specific IP (iptables)
      iptables:
        chain: INPUT
        protocol: tcp
        destination_port: 3306
        source: 192.168.1.100
        jump: ACCEPT
        action: insert
        rule_num: 1
      when: ansible_os_family == "RedHat" and ansible_distribution_major_version == "7"
    - name: Allow MySQL from subnet (ufw)
      ufw:
        rule: allow
        port: "3306"
        proto: tcp
        src: 192.168.1.0/24
      when: ansible_os_family == "Debian"

7.2 Bash脚本自动化

#!/bin/bash
# MySQL防火墙配置脚本
MYSQL_PORT=3306
ALLOWED_IPS=("192.168.1.100" "192.168.1.101")
# 检测防火墙类型
if command -v ufw &> /dev/null; then
    echo "检测到UFW防火墙"
    for ip in "${ALLOWED_IPS[@]}"; do
        sudo ufw allow from "$ip" to any port "$MYSQL_PORT" proto tcp
    done
elif command -v firewall-cmd &> /dev/null; then
    echo "检测到firewalld"
    for ip in "${ALLOWED_IPS[@]}"; do
        sudo firewall-cmd --permanent --add-rich-rule="
            rule family='ipv4'
            source address='$ip'
            port protocol='tcp' port='$MYSQL_PORT' accept
        "
    done
    sudo firewall-cmd --reload
else
    echo "未检测到支持的防火墙，尝试iptables"
    for ip in "${ALLOWED_IPS[@]}"; do
        sudo iptables -A INPUT -p tcp --dport "$MYSQL_PORT" -s "$ip" -j ACCEPT
    done
    # 提示用户保存规则
    echo "请手动保存iptables规则（如：service iptables save）"
fi

八、总结与最佳实践

1. 分层防御：结合网络层防火墙（云安全组）和主机层防火墙（iptables/ufw）
2. 规则精简：定期清理未使用的规则，减少攻击面
3. 变更管理：所有防火墙修改应通过变更流程审批
4. 备份恢复：定期备份防火墙配置，便于灾难恢复
5. 监控告警：设置异常连接告警（如频繁的失败连接尝试）

配置检查清单：

• 确认MySQL服务正在运行并监听正确端口
• 验证防火墙规则语法正确性
• 测试从允许的IP访问MySQL
• 确认拒绝未授权IP的访问
• 记录配置变更并通知相关团队

通过系统化的防火墙配置，既能确保MySQL服务的可用性，又能有效抵御未经授权的访问尝试，构建安全可靠的数据库环境。