Linux防火墙可通过以下方式保护Web服务器：

1. 基础端口管控

   • 仅开放Web必需端口（HTTP 80、HTTPS 443），关闭其他非必要端口。
   • 示例（以firewalld为例）：

     sudo firewall-cmd --permanent --add-service=http --add-service=https  # 开放HTTP/HTTPS  
     sudo firewall-cmd --reload  # 重载规则  
     

2. 访问源控制

   • 限制特定IP或网段访问Web服务，禁止非法IP。
   • 示例（iptables）：

     sudo iptables -A INPUT -p tcp --dport 80 -s 192.168.1.0/24 -j ACCEPT  # 允许指定网段  
     sudo iptables -A INPUT -p tcp --dport 80 -j DROP  # 拒绝其他IP  
     

3. 防暴力攻击

   • 限制端口连接频率，防止DDoS或暴力破解。
   • 示例（ufw）：

     sudo ufw limit 80/tcp  # 限制HTTP端口连接频率（默认每分钟60次，突发10次）  
     

4. 隐藏服务信息

   • 禁止服务器响应非必要协议（如ICMP ping），降低被扫描风险。
   • 示例：

     sudo iptables -A INPUT -p icmp --icmp-type echo-request -j DROP  # 禁止ping  
     

5. 结合其他安全工具

   • 与入侵检测系统（如Fail2Ban）联动，自动封禁异常IP。
   • 配合Web服务器配置（如Nginx/Apache）隐藏版本号、限制HTTP方法。

工具选择建议：

• 新手/Ubuntu系统：优先使用ufw（简单易用）。
• 企业级/CentOS系统：使用firewalld（支持动态区域和高级规则）。
• 需精细控制：使用iptables（灵活性高，但配置复杂）。

配置后需定期审计规则有效性，确保无冗余或错误规则。