1. 为什么需要BMC防火墙白名单服务器运维中最危险的攻击面往往来自管理接口。去年某大型企业就曾因BMC默认密码暴露导致内网沦陷。中兴R5300 G4的BMC防火墙功能就像给服务器管理端口装上智能门禁而白名单机制则是只给授权人员发放门禁卡。我管理过上百台R5300 G4服务器发现很多管理员存在两个极端要么完全不开防火墙要么配置过于宽松。正确的做法应该是基于业务需求构建最小化访问策略。比如我们的生产环境就只允许跳板机IP10.10.1.100运维终端网段192.168.5.0/24监控系统IP10.20.30.40这种策略下即使攻击者拿到密码也无法连接BMC。实测拦截过多次针对管理端口的SSH爆破尝试效果非常显著。2. 前期准备工作2.1 环境确认清单在开始配置前建议准备好以下信息当前登录终端IP通过ipconfig(Windows)或ifconfig(Linux)查看需要放行的IP段清单包括监控系统、运维终端、自动化工具等备用连接方式比如KVM over IP或现场console线防止配置失误导致锁定密码信息默认账号zteroot/Superuser9!如果修改过请准备最新凭证2.2 关键安全提醒有次凌晨三点我配置防火墙时犯了个低级错误——没把当前SSH会话的IP加入白名单。结果规则生效瞬间连接中断不得不驱车赶往机房。给大家三个血泪教训永远先加当前IP再切白名单模式本地网段建议放行/24整个段重大变更必须在工作时间操作3. 分步配置指南3.1 登录BMC管理界面使用Chrome/Firefox访问https://192.168.5.7 # 默认管理地址首次登录会提示证书风险这是正常现象。建议先导出证书并导入到受信任机构后续访问更安全。登录后依次点击设置 → 系统防火墙 → IP地址防火墙规则这里能看到当前所有防火墙规则初始应为空。3.2 添加第一条白名单规则点击添加IP规则按以下格式填写IP开始你当前的外网IP如203.179.25.33IP结束留空表示单IP协议选择TCP端口范围443BMC默认HTTPS端口动作允许特别注意如果通过NAT访问需要填写公网IP而非内网IP。有次我误填了内网地址导致全员被锁这个坑希望大家避开。3.3 批量添加网段规则对于需要放行的整个网段如192.168.5.0/24配置示例IP开始192.168.5.1 IP结束192.168.5.254 协议TCPUDP # 兼顾ICMP等协议 端口范围1-65535 # 全端口放行企业级环境中建议使用CIDR格式精确控制10.10.1.0/24 # 运维部专用网段 172.16.30.64/28 # 监控系统专用3.4 规则优化技巧通过现有IP规则页面可以测试性禁用临时关闭某条规则而不删除备注标注给每条规则添加用途说明导出备份定期保存规则配置文件我习惯用这样的命名规范[团队]_[用途]_[有效期] 示例 OPS_JumpServer_Permanent MONITOR_Zabbix_202412314. 策略生效与验证4.1 切换白名单模式在系统防火墙主页面将IPv4默认策略改为白名单勾选立即生效点击保存关键检查点确保当前会话IP已在规则中确认至少有一个本地网段被放行检查时间设置是否正确避免规则过期4.2 多维度验证方法基础验证ping 192.168.5.7 # 非白名单IP应无法ping通 telnet 192.168.5.7 443 # 端口访问测试高级验证 使用nmap扫描工具从非白名单主机nmap -Pn -p 443,623 192.168.5.7正常应显示所有端口filtered被过滤终极测试清除浏览器缓存用未授权设备尝试登录BMC确认返回连接拒绝提示5. 日常维护建议建立防火墙规则只是第一步我推荐这些管理实践变更管理任何规则变更必须走工单审批临时规则设置自动过期时间每月进行规则审计监控报警记录所有被拦截的连接尝试对频繁触发告警的IP进行溯源设置规则修改短信通知备份策略# 导出当前配置 curl -k -u zteroot:Superuser9! https://192.168.5.7/api/firewall/export bmc_fw_backup_$(date %Y%m%d).json遇到配置故障时可以通过iKVM控制台重置防火墙规则。具体操作是长按前面板NMI按钮6秒这个操作会保留其他设置仅重置网络策略。