防火牆與安全設定
本頁描述的防火牆管理功能可能尚在開發中或僅限部分伺服器使用。實際可用的設定項目以 Dashboard 介面為準。
Zeabur 提供伺服器層級的防火牆管理功能,讓你直接在 Dashboard 設定入站規則,無需 SSH 進伺服器手動操作 iptables。
防火牆概述
每台專用伺服器都有獨立的防火牆設定。預設情況下,Zeabur 會開放服務運作所需的必要連接埠(如 80、443),並封鎖其餘未授權的入站連線。
防火牆規則僅控制入站流量。服務的出站連線不受防火牆限制。
設定防火牆規則
- 前往 Zeabur 伺服器頁面,選擇你的專用伺服器。
- 點選左側導航欄的「防火牆」分頁。
- 點選「新增規則」按鈕來建立入站規則。
每條規則需指定以下欄位:
| 欄位 | 說明 |
|---|---|
| 協定 | TCP 或 UDP |
| 連接埠範圍 | 單一連接埠(如 8080)或範圍(如 3000-3100) |
| 來源 IP | 允許的來源 IP 位址或 CIDR 區段(如 203.0.113.0/24),留空表示允許所有來源 |
設定完成後點選「儲存」,規則會在數秒內生效。
IP 白名單與黑名單
- 白名單模式:只開放特定 IP 存取指定連接埠——建立規則時填入來源 IP 即可。
- 黑名單模式:Zeabur 防火牆採用白名單策略(預設封鎖),未在規則中明確開放的連接埠與來源均不可存取,因此不需額外設定黑名單。
常見情境
只允許辦公室 IP 存取管理後台
| 協定 | 連接埠 | 來源 IP |
|---|---|---|
| TCP | 8443 | 203.0.113.10 |
開放資料庫連接埠給特定子網
| 協定 | 連接埠 | 來源 IP |
|---|---|---|
| TCP | 5432 | 10.0.0.0/16 |
必要連接埠
以下連接埠為 Zeabur 系統正常運作所需,請勿封鎖:
| 連接埠 | 用途 |
|---|---|
| 22 | SSH 管理連線 |
| 80 | HTTP 流量 |
| 443 | HTTPS 流量 |
| 4222 | NATS 內部通訊 |
| 6443 | K3s API Server |
| 30000–32767 | Kubernetes NodePort 範圍 |
⚠️
封鎖以上連接埠可能導致伺服器無法被 Zeabur 管理,或服務無法正常對外提供服務。
安全最佳實踐
- 最小權限原則 — 只開放實際需要的連接埠和來源 IP,避免使用
0.0.0.0/0(允許所有來源)存取敏感服務。 - 定期審核規則 — 定期檢查防火牆規則,移除不再需要的開放連接埠。
- 使用私有網路 — 服務間的內部通訊建議使用 私有網路,避免透過公網傳輸敏感資料。
- 保持 SSH 安全 — 建議使用 SSH 金鑰認證而非密碼登入,並考慮將 SSH 連接埠限制為特定 IP。