如何通过Firewalld Remove接口快速动态下线存在安全风险的服务？

本文共计620个文字，预计阅读时间需要3分钟。

Firewalld 本身没有名为 Remove 的接口，也不支持动态秒级以下线下高危公共服务这种即时原子化操作。Firewalld 是策略驱动型防火墙管理器，所有变更（包括移除服务或端口）都需要明确的命令触发，配置持久化，规则生效，整个过程相对较慢（通常需要通过常见命令）。

真正可行的是：通过预设策略 + 快速执行命令，实现对已知高危服务（如 SSH、RDP、MongoDB 等）的端口/服务条目进行秒级移除并立即生效。关键在于“手动触发、命令精准、reload 快速”。

以下是实际可落地的操作路径：

✅ 明确目标：快速关停指定高危服务的对外访问

常见高危服务包括：

• SSH（22/tcp）
• RDP（3389/tcp）
• MySQL（3306/tcp）
• MongoDB（27017/tcp）
• FTP（21/tcp）
• Telnet（23/tcp）

这些服务一旦暴露在 public 区域且无强认证，极易被爆破或利用。

✅ 步骤一：确认当前开放情况

# 查看 public 区域已开放的端口和服务 sudo firewall-cmd --zone=public --list-ports sudo firewall-cmd --zone=public --list-services # 检查某端口是否已启用（返回 yes/no） sudo firewall-cmd --zone=public --query-port=22/tcp

✅ 步骤二：秒级移除（永久+立即生效）

以关闭 SSH（22/tcp）为例：

# 1. 从 public 区域永久移除 22/tcp 端口 sudo firewall-cmd --zone=public --remove-port=22/tcp --permanent # 2. 立即重载规则（这才是“秒级生效”的核心动作） sudo firewall-cmd --reload

同样适用于服务名（如 ssh、rdp）：

sudo firewall-cmd --zone=public --remove-service=ssh --permanent sudo firewall-cmd --reload

✅ 步骤三：增强可靠性（防误操作/快速回滚）

• 加白内网管理 IP（避免自己被锁）：

  sudo firewall-cmd --zone=trusted --add-source=192.168.1.100/32 --permanent sudo firewall-cmd --reload

• 一键封禁全量高危端口（脚本化）：

  for port in 22 23 21 3389 3306 27017; do sudo firewall-cmd --zone=public --remove-port=${port}/tcp --permanent 2>/dev/null done sudo firewall-cmd --reload

不复杂但容易忽略