云主机怎么添加白名单？

“白名单”的操作通常涉及两个层面，你需要根据你的需求来决定配置哪一个或两者都配置：

1、云平台的安全组（防火墙）：这是第一道也是最外层的防线，在网络层面进行过滤。

2、操作系统自带的防火墙：如 Linux 的iptables/firewalld 或 Windows 的Windows Defender 防火墙，这是第二道防线。

强烈建议优先在云平台的安全组中设置，因为它效率更高，且不消耗服务器本身资源。

层面一：通过云服务商的安全组（推荐首选）

安全组是一种虚拟防火墙，所有主流云厂商（阿里云、腾讯云、华为云、AWS、Azure等）都有类似功能，以下以腾讯云和阿里云为例，流程大同小异。

通用步骤：

1、登录云平台控制台。

2、找到云服务器产品页面。

3、找到安全组管理入口。

**腾讯云操作示例

1、 进入云服务器控制台，在左侧菜单找到【[安全组](https://console.cloud.tencent.com/cvm/securitygroup)】。

2、 选择需要配置的安全组（通常你的云主机会绑定一个默认安全组），点击其ID/名称进入配置页。

3、 点击【入站规则】->【添加规则】。

4、 按照规则填写：

类型选择你需要的协议，例如SSH (22)、HTTP (80)、HTTPS (443)、MySQL (3306) 或“自定义”。

来源这是白名单的关键。

允许单个IP填写192.168.1.100/32

允许一个IP段填写192.168.1.0/24（允许192.168.1.1到192.168.1.254）

* 多个IP或IP段用英文逗号, 隔开。

如果只想让自己访问，可以百度搜索“我的IP”获取自己当前的公网IP，然后填写你的IP/32。

策略选择“允许”。

备注写上备注，如“办公室IP”或“自家网络”，方便日后管理。

5、 点击【完成】。规则立即生效，无需重启服务器。

重要： 安全组默认是“白名单”模式，即默认拒绝所有入站流量，你添加的允许规则就是“白名单”，添加后，不在白名单中的IP尝试访问这些端口将会被云平台直接丢弃数据包，无法到达你的服务器。

**阿里云操作示例

1、 进入ECS控制台，在左侧菜单找到【网络与安全】->【[安全组](https://ecs.console.aliyun.com/securityGroup)】。

2、 选择目标安全组，点击【操作】列下的【配置规则】。

3、 在入方向页签，点击【手动添加】。

4、 填写规则：

授权策略允许

协议类型选择所需协议（如SSH， HTTP等）。

端口范围协议选择自定义时，需手动填写端口号，如22/22、80/80。

授权对象填写白名单IP，格式同上（如192.168.1.100/32）。

优先级1（数字越小，优先级越高）。

描述填写备注。

5、 点击【保存】，规则同样立即生效。

层面二：通过操作系统内部的防火墙

如果云平台没有安全组功能，或者你想做更精细的、与应用层相关的控制，可以配置系统防火墙。

Linux系统（以 CentOS 7/8 的 firewalld 为例）

1、连接到你的云主机（通过SSH）。

2、检查防火墙状态：

    systemctl status firewalld

如果未启动，需先启动：systemctl start firewalld 并设置开机自启：systemctl enable firewalld。

3、添加白名单规则（以开放SSH端口22为例，只允许特定IP）：

    # 先移除默认的允许所有SSH连接的规则（如果存在）
    firewall-cmd --remove-service=ssh --permanent
    # 添加只允许特定IP（123.123.123.123）访问SSH端口的规则
    firewall-cmd --add-rich-rule='rule family="ipv4" source address="123.123.123.123/32" port protocol="tcp" port="22" accept' --permanent
    # 重载防火墙使配置生效
    firewall-cmd --reload

4、查看生效的规则：

    firewall-cmd --list-all

**Windows系统

1、 远程连接到你的Windows云主机。

2、 打开【控制面板】->【Windows Defender 防火墙】->【高级设置】。

3、 在左侧点击【入站规则】。

4、 在右侧找到你想要设置白名单的规则（如“Windows 远程桌面”），或者新建一个规则。

5、 右键点击规则，选择【属性】。

6、 切换到【作用域】选项卡。

7、 在“远程IP地址”部分，选择“下列IP地址”，然后点击【添加】按钮，输入允许访问的IP地址或范围。

8、 点击【确定】保存。

1、分清层次：优先使用云平台的安全组，它配置简单，生效快，且不消耗主机资源，即使系统崩溃了防护依然有效。

2、最小权限原则：只开放必要的端口（如网站通常只开80/443，管理只开22或3389），并只授权给最少必要的IP地址。千万不要将来源设置为0.0.0.0/0（允许所有IP），除非你非常清楚这样做的风险（如对公网提供服务的Web端口）。

3、先加后减：在修改远程管理端口（如SSH的22、RDP的3389）的白名单时，务必先添加好你的当前公网IP到白名单，再移除旧的宽松规则，防止把自己锁在服务器外面。

4、组合使用：可以同时使用安全组和系统防火墙，实现双层防护，安全性更高。

按照上述步骤，你就可以成功为你的云主机添加IP白名单了。

文章摘自：https://idc.huochengrm.cn/zj/14336.html