通过系统防火墙、MySQL权限控制和专业工具多层防护,可有效限制访问来源并防止恶意操作。1. 使用iptables或安全组限制3306端口的IP访问;2. 配置bind-address限制网络接口,禁止root远程登录;3. 基于主机创建用户并撤销不安全权限;4. 高安全场景启用MySQL Enterprise Firewall或ProxySQL实现SQL过滤与审计。遵循最小权限原则,定期审查账户与日志,构建纵深防御体系。
MySQL 本身没有内置的“数据库防火墙”功能,但可以通过多种方式实现类似防火墙的安全控制,限制访问来源、防止恶意操作。要配置 MySQL 的访问控制和安全防护,可以从网络层、用户权限、SQL 过滤等多个层面入手。
1. 使用操作系统防火墙限制访问
最基础也是最关键的一步是使用系统级防火墙(如 iptables、firewalld 或云服务商的安全组)来控制哪些 IP 可以连接 MySQL 服务。
- 默认情况下,MySQL 监听 3306 端口,确保只有可信的客户端 IP 能访问该端口。
- 例如,在 Linux 上使用 firewalld 允许特定 IP:
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="3306" accept'
- 然后重新加载规则:firewall-cmd --reload
- 云服务器上(如阿里云、AWS),配置安全组策略,只放行必要的 IP 段。
2. 配置 MySQL 绑定地址与远程访问控制
修改 MySQL 配置文件,限制其监听的网络接口,避免暴露在公网。
- 编辑 my.cnf 或 my.ini 文件(通常位于 /etc/my.cnf 或 /etc/mysql/mysql.conf.d/mysqld.cnf)
- 设置 bind-address 只监听内网或本地:
bind-address = 192.168.1.10 或 bind-address = 127.0.0.1(仅本地)
- 禁止 root 远程登录,只允许特定用户从指定主机连接。
3. 利用 MySQL 用户权限做访问控制
MySQL 的用户体系支持基于主机的访问控制,相当于应用层防火墙。
- 创建用户时指定允许的主机:
CREATE USER 'appuser'@'192.168.1.100' IDENTIFIED BY 'password';
- 拒绝来自任意主机的用户(避免 '%'):
- 撤销不安全的权限:REVOKE ALL PRIVILEGES ON *.* FROM 'root'@'%';
- 定期审查用户列表:SELECT user, host FROM mysql.user;
4. 启用企业级防火墙或代理中间件
对于高安全需求场景,可部署专门的数据库防火墙产品或代理工具。
- MySQL Enterprise Firewall:Oracle 提供的功能,可白名单化 SQL 语句,阻止异常查询(如 SQL 注入)。
- 启用方式:安装插件并配置模式为 PROTECTING 或 RECORDING。
- 示例开启插件:
INSTALL PLUGIN mysql_firewall SONAME 'mysql_firewall.so';
- 使用 ProxySQL 或 MariaDB MaxScale 作为中间件,实现 SQL 过滤、访问控制和审计。
基本上就这些。通过系统防火墙 + MySQL 权限控制 + 必要时引入专业工具,可以构建有效的数据库防护体系。关键是遵循最小权限原则,关闭不必要的远程访问,定期审计账户和日志。安全不是单一配置,而是多层叠加的结果。
