一、理解MySQL通信的防火墙需求

MySQL默认使用3306端口进行TCP通信，但实际部署中可能涉及多个场景：

1. 标准应用：客户端通过3306端口连接主库
2. 主从复制：从库通过3306端口连接主库的复制端口
3. 集群环境：Galera集群使用4567（复制）、4568（IST）、4444（SST）等端口
4. 管理工具：如MySQL Shell可能使用其他端口

防火墙规则配置不当会导致：

• 合法连接被拒绝（业务中断）
• 非法访问未被拦截（安全风险）
• 性能问题（连接超时）

二、Linux系统防火墙配置（iptables/nftables）

1. 基础iptables配置

# 允许特定IP访问3306
sudo iptables -A INPUT -p tcp -s 192.168.1.100 --dport 3306 -j ACCEPT
# 允许网段访问（示例：192.168.1.0/24）
sudo iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 3306 -j ACCEPT
# 保存规则（根据系统选择）
sudo service iptables save  # CentOS 6
sudo iptables-save > /etc/iptables/rules.v4  # Debian/Ubuntu

2. 高级场景配置

多端口配置示例：

# 允许3306和4567-4568端口
sudo iptables -A INPUT -p tcp -m multiport --dports 3306,4567:4568 -j ACCEPT

状态跟踪配置（推荐）：

# 允许已建立连接和相关流量
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 允许新连接仅来自可信源
sudo iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 3306 -m state --state NEW -j ACCEPT

3. nftables配置（现代Linux系统）

# 创建基础规则集
sudo nft add table inet mysql_filter
sudo nft add chain inet mysql_filter input { type filter hook input priority 0 \; }
# 添加允许规则
sudo nft add rule inet mysql_filter input ip saddr 192.168.1.100 tcp dport 3306 accept
sudo nft add rule inet mysql_filter input ip saddr 192.168.1.0/24 tcp dport { 3306, 4567-4568 } accept

三、Windows系统防火墙配置

1. 图形界面配置

1. 打开”控制面板” > “系统和安全” > “Windows Defender防火墙”
2. 选择”高级设置” > “入站规则”
3. 新建规则：
   • 规则类型：端口
   • 协议和端口：TCP，特定本地端口（3306）
   • 操作：允许连接
   • 配置文件：勾选域/专用/公共（根据需求）
   • 名称：MySQL_3306_Access

2. PowerShell高级配置

# 允许特定IP访问
New-NetFirewallRule -DisplayName "MySQL_Allow_192.168.1.100" `
-Direction Inbound -Protocol TCP -LocalPort 3306 `
-RemoteAddress 192.168.1.100 -Action Allow
# 允许网段访问
New-NetFirewallRule -DisplayName "MySQL_Allow_Subnet" `
-Direction Inbound -Protocol TCP -LocalPort 3306 `
-RemoteAddress 192.168.1.0/24 -Action Allow

3. 群集环境配置示例

# 允许MySQL集群多端口
$ports = @(3306,4567,4568,4444)
foreach ($port in $ports) {
    New-NetFirewallRule -DisplayName "MySQL_Cluster_$port" `
    -Direction Inbound -Protocol TCP -LocalPort $port `
    -RemoteAddress 192.168.1.0/24 -Action Allow
}

四、云环境特殊配置

1. AWS安全组配置

1. 创建安全组：MySQL-Access
2. 添加入站规则：
   • 类型：MySQL/Aurora（自动填充3306）
   • 源：选择特定IP或另一个安全组
3. 多端口场景：
   • 自定义TCP，端口范围：3306,4567-4568
   • 源：应用服务器安全组

2. Azure网络安全组配置

# 使用Azure CLI配置
az network nsg rule create -g MyResourceGroup `
--nsg-name MySQL-NSG -n Allow-MySQL `
--priority 200 --direction Inbound `
--protocol Tcp --source-address-prefix 192.168.1.0/24 `
--destination-port-range 3306 --access Allow

五、安全加固建议

1. 最小权限原则：

   • 仅开放必要端口
   • 限制访问源IP（建议使用白名单）
   • 定期审查访问控制列表

2. 加密通信：

   # MySQL配置示例（my.cnf）
   [mysqld]
   ssl-ca=/etc/mysql/ssl/ca.pem
   ssl-cert=/etc/mysql/ssl/server-cert.pem
   ssl-key=/etc/mysql/ssl/server-key.pem

3. 监控与审计：

   • 配置防火墙日志记录
   • 设置异常连接警报
   • 定期分析连接日志

4. 动态规则管理：

   # 使用conntrack动态管理（Linux）
   sudo iptables -A INPUT -p tcp -m conntrack --ctstate NEW `
   -m tcp --dport 3306 -s 192.168.1.100 -j ACCEPT

六、故障排查指南

1. 连接失败排查流程：

   • 检查防火墙日志：sudo grep 3306 /var/log/kern.log
   • 测试本地连接：telnet localhost 3306
   • 测试远程连接：nc -zv 192.168.1.100 3306

2. 常见问题解决方案：

   • 问题：配置后仍无法连接

     • 检查规则顺序（确保ACCEPT规则在DROP之前）
     • 验证SELinux状态：getenforce（可能需要调整策略）

   • 问题：云环境配置不生效

     • 确认安全组关联到正确网络接口
     • 检查网络ACL规则是否冲突

3. 性能优化建议：

   • 对高频访问IP使用连接持久化规则
   • 考虑使用硬件防火墙处理高并发场景
   • 定期清理过期连接状态

七、最佳实践总结

1. 分层防御：

   • 网络层：防火墙规则
   • 主机层：iptables/nftables
   • 应用层：MySQL用户权限

2. 自动化管理：

   # 使用Ansible管理防火墙规则示例
   - name: Configure MySQL firewall
     ansible.posix.iptables:
       chain: INPUT
       protocol: tcp
       destination_port: 3306
       source: 192.168.1.0/24
       jump: ACCEPT
       state: present

3. 变更管理：

   • 所有规则修改需通过变更流程
   • 维护规则文档（包含端口、IP、业务说明）
   • 定期进行规则评审

通过系统化的防火墙配置，既能确保MySQL服务的可用性，又能有效防范安全威胁。建议每季度进行一次规则审计，根据业务变化及时调整访问控制策略。对于关键业务系统，可考虑实施零信任架构，结合动态认证机制进一步提升安全性。