MySQL 本身没有内置的“数据库防火墙”功能,但可以通过多种方式实现类似防火墙的安全控制,限制访问来源、防止恶意操作。要配置 MySQL 的访问控制和安全防护,可以从网络层、用户权限、SQL 过滤等多个层面入手。
1. 使用操作系统防火墙限制访问
最基础也是最关键的一步是使用系统级防火墙(如 iptables、firewalld 或云服务商的安全组)来控制哪些 IP 可以连接 MySQL 服务。
默认情况下,MySQL 监听 3306 端口,确保只有可信的客户端 IP 能访问该端口。 例如,在 Linux 上使用 firewalld 允许特定 IP:firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="3306" accept'
然后重新加载规则:firewall-cmd --reload 云服务器上(如阿里云、AWS),配置安全组策略,只放行必要的 IP 段。2. 配置 MySQL 绑定地址与远程访问控制
修改 MySQL 配置文件,限制其监听的网络接口,避免暴露在公网。
编辑 my.cnf 或 my.ini 文件(通常位于 /etc/my.cnf 或 /etc/mysql/mysql.conf.d/mysqld.cnf) 设置 bind-address 只监听内网或本地:bind-address = 192.168.1.10 或 bind-address = 127.0.0.1(仅本地)
禁止 root 远程登录,只允许特定用户从指定主机连接。3. 利用 MySQL 用户权限做访问控制
MySQL 的用户体系支持基于主机的访问控制,相当于应用层防火墙。
创建用户时指定允许的主机:CREATE USER 'appuser'@'192.168.1.100' IDENTIFIED BY 'password';
拒绝来自任意主机的用户(避免 '%'): 撤销不安全的权限:REVOKE ALL PRIVILEGES ON *.* FROM 'root'@'%'; 定期审查用户列表:SELECT user, host FROM mysql.user;4. 启用企业级防火墙或代理中间件
对于高安全需求场景,可部署专门的数据库防火墙产品或代理工具。
MySQL Enterprise Firewall:Oracle 提供的功能,可白名单化 SQL 语句,阻止异常查询(如 SQL 注入)。 启用方式:安装插件并配置模式为 PROTECTING 或 RECORDING。 示例开启插件:INSTALL PLUGIN mysql_firewall SONAME 'mysql_firewall.so';
使用 ProxySQL 或 MariaDB MaxScale 作为中间件,实现 SQL 过滤、访问控制和审计。基本上就这些。通过系统防火墙 + MySQL 权限控制 + 必要时引入专业工具,可以构建有效的数据库防护体系。关键是遵循最小权限原则,关闭不必要的远程访问,定期审计账户和日志。安全不是单一配置,而是多层叠加的结果。
