一、Docker网络环境与防火墙基础

Docker容器运行在独立的网络命名空间中，默认通过桥接网络（bridge）或自定义网络与宿主机及其他容器通信。防火墙作为网络安全的核心组件，需精确控制容器进出流量，防止非法访问。

1.1 Docker网络模式解析

• Bridge模式：默认网络模式，容器通过虚拟网桥（docker0）通信，需配置NAT规则访问外部网络。
• Host模式：容器直接使用宿主机网络栈，无独立网络命名空间，防火墙规则直接作用于宿主机。
• Overlay模式：用于Swarm集群，跨主机通信需配置VXLAN隧道及安全策略。

1.2 防火墙类型与作用

• 宿主机防火墙（如iptables/nftables）：控制容器与外部网络的通信。
• 容器内防火墙：部分容器可能内置防火墙工具（如ufw），但通常依赖宿主机防火墙。
• 云服务商安全组：在云环境中，安全组规则需与宿主机防火墙协同工作。

二、Docker应用防火墙放行策略

2.1 允许特定端口流量

场景：容器内Web服务需对外提供80/443端口访问。

步骤：

1. 暴露容器端口：

   docker run -d -p 80:80 --name web nginx

   -p 80:80将宿主机的80端口映射到容器的80端口。

2. 配置宿主机防火墙（以iptables为例）：

   # 允许入站80端口流量
   sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
   # 保存规则（根据系统不同）
   sudo iptables-save | sudo tee /etc/iptables/rules.v4

关键点：

• 规则顺序：iptables按顺序匹配规则，需将允许规则放在拒绝规则之前。
• 持久化：重启后规则丢失，需通过iptables-save或系统工具（如ufw）保存。

2.2 允许容器间通信

场景：Web容器需访问数据库容器的3306端口。

步骤：

1. 将容器加入同一自定义网络：

   docker network create mynet
   docker run -d --name db --network mynet -e MYSQL_ROOT_PASSWORD=123456 mysql
   docker run -d --name web --network mynet -p 80:80 nginx

2. 配置防火墙规则（若需额外限制）：

   # 允许mynet网络内3306端口通信
   sudo iptables -A INPUT -s <mynet_subnet> -p tcp --dport 3306 -j ACCEPT

优势：自定义网络自动提供DNS解析，容器间可通过服务名通信，减少IP硬编码。

2.3 放行出站流量

场景：容器需访问外部API（如443端口）。

步骤：

# 允许所有出站流量（宽松策略，生产环境需细化）
sudo iptables -A OUTPUT -j ACCEPT
# 或仅允许特定目标
sudo iptables -A OUTPUT -p tcp --dport 443 -d api.example.com -j ACCEPT

建议：生产环境应限制出站流量至必要服务，降低数据泄露风险。

三、防火墙Console管理

3.1 命令行工具（iptables/nftables）

优势：灵活、支持复杂规则，适合自动化脚本。

示例：

# 查看当前规则
sudo iptables -L -n -v
# 删除规则（按行号）
sudo iptables -D INPUT 3

注意事项：

• 修改前备份规则：sudo iptables-save > backup.rules。
• 测试环境验证规则，避免误封关键流量。

3.2 图形化工具（UFW/Gufw）

适用场景：管理员偏好可视化操作，或需简化配置。

步骤（以UFW为例）：

1. 安装并启用UFW：

   sudo apt install ufw
   sudo ufw enable

2. 允许端口：

   sudo ufw allow 80/tcp

3. 查看状态：

   sudo ufw status numbered

限制：UFW基于iptables，复杂规则仍需通过命令行实现。

3.3 云服务商Console

场景：在AWS/Azure/GCP等云平台部署Docker容器。

操作：

1. 安全组规则：
   • 入站规则：允许来源IP/安全组对特定端口的访问。
   • 出站规则：限制容器可访问的外部服务。
2. 网络ACL（可选）：在子网级别提供额外防护层。

示例（AWS EC2安全组）：

• 类型：HTTP，协议：TCP，端口范围：80，来源：0.0.0.0/0。

优势：与云平台集成，支持按标签、服务名等高级匹配条件。

四、安全最佳实践

1. 最小权限原则：仅放行必要端口，默认拒绝所有流量。
2. 规则审计：定期审查防火墙日志（如/var/log/kern.log），删除无用规则。
3. 容器隔离：敏感服务使用独立网络或主机模式，减少攻击面。
4. 自动化管理：通过Ansible/Terraform等工具统一管理多环境防火墙规则。

五、常见问题与排查

1. 端口映射无效：

   • 检查容器是否监听正确端口：docker exec web netstat -tuln。
   • 确认防火墙未丢弃SYN包（sudo tcpdump -i any port 80）。

2. 容器间无法通信：

   • 验证是否在同一网络：docker inspect web | grep NetworkMode。
   • 检查自定义网络子网是否冲突。

3. 云环境规则不生效：

   • 确认安全组优先级高于网络ACL。
   • 检查实例是否关联正确安全组。

六、总结

Docker应用的防火墙配置需兼顾灵活性与安全性，通过合理规划网络模式、精确配置放行规则，并结合Console工具实现高效管理。生产环境中，建议采用自动化工具维护规则，定期审计日志，确保容器通信既高效又安全。