通过系统防火墙、MySQL配置和账户权限实现多层防护,限制特定IP访问3306端口。1. 使用firewalld或iptables限制IP访问;2. 修改bind-address限制监听地址;3. 配置MySQL用户权限控制来源IP;4. 云服务器使用安全组策略。综合措施可有效降低被攻击风险。
MySQL 本身不提供防火墙功能,访问控制需要依赖操作系统层面的防火墙或网络层安全策略来实现。要配置 MySQL 的防火墙访问控制,核心是限制哪些 IP 可以连接到 MySQL 服务端口(默认为 3306)。以下是具体操作方法。
1. 使用系统防火墙限制访问
大多数 Linux 系统使用 iptables 或 firewalld 管理防火墙规则。可以通过这些工具只允许特定 IP 访问 MySQL 端口。
● 使用 firewalld(CentOS/RHEL 7+):确保 firewalld 正在运行,并添加允许规则:
- 开放 3306 端口给特定 IP:
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="3306" accept' - 重新加载配置:
firewall-cmd --reload - 禁止所有其他 IP 访问 3306,只需不放行即可,默认拒绝更安全。
直接添加规则限制访问:
- 允许某个 IP 连接:
iptables -A INPUT -p tcp -s 192.168.1.100 --dport 3306 -j ACCEPT - 拒绝其他所有 IP 访问 MySQL:
iptables -A INPUT -p tcp --dport 3306 -j DROP - 保存规则(CentOS):
service iptables save
2. 绑定 MySQL 监听地址
修改 MySQL 配置文件,限制其只监听内网或特定接口,减少暴露风险。
- 编辑 MySQL 配置文件(通常为 /etc/my.cnf 或 /etc/mysql/mysql.conf.d/mysqld.cnf)
- 设置 bind-address:
bind-address = 192.168.1.10(改为本机内网 IP) - 若只想本地访问,可设为:
bind-address = 127.0.0.1 - 重启 MySQL 生效:
systemctl restart mysql
3. 配合 MySQL 用户权限做双重控制
即使防火墙放行,也应通过 MySQL 账户权限进一步限制。
- 创建用户时指定来源 IP:
CREATE USER 'admin'@'192.168.1.100' IDENTIFIED BY 'password'; - 禁止远程登录的用户使用 % 或任意主机:
避免使用 'user'@'%',除非必要 - 删除匿名用户、限制 root 远程登录
4. 使用云服务器安全组(如阿里云、AWS)
如果 MySQL 部署在云服务器上,推荐使用安全组策略代替或补充本地防火墙。
- 进入云平台控制台,找到对应实例的安全组
- 添加入站规则:仅允许指定 IP 段访问 3306 端口
- 优先级高于本地防火墙,建议与本地策略保持一致
基本上就这些。关键是结合系统防火墙、MySQL 配置和账户权限,形成多层防护。只要不让 3306 端口对公网开放,就能大幅降低被攻击风险。
