在CentOS系统中， Nginx是一个常用的Web服务器，而防火墙则是保护服务器平安的重要工具。本文将介绍如何在CentOS上设置Nginx的防火墙规则，以提高服务器的平安性。

1. 安装Nginx和FirewallD

先说说确保你的系统中已经安装了Nginx和FirewallD。你可以使用以下命令安装Nginx和FirewallD：

sudo yum install epel-release
sudo yum install nginx
sudo systemctl start firewalld
sudo systemctl enable firewalld

2. 配置FirewallD

2.1 检查FirewallD状态

使用以下命令检查FirewallD的状态：

sudo firewall-cmd --state

如果FirewallD未运行， 可以使用以下命令启动它：

sudo systemctl start firewalld

2.2 允许HTTP流量

要允许HTTP流量通过防火墙，可以使用以下命令：

sudo firewall-cmd --permanent --add-service=http

sudo firewall-cmd --permanent --add-service=https

2.4 检查端口转发

如果你需要通过防火墙进行端口转发，可以使用以下命令：

sudo firewall-cmd --permanent --add-forward-port=port=8080:proto=tcp:toport=80:toaddr=192.168.1.100
sudo firewall-cmd --reload

3. 保存FirewallD规则

配置完成后需要保存规则以便在系统重启后仍然有效。使用以下命令保存规则：

sudo firewall-cmd --reload

4. 验证防火墙规则

要验证防火墙规则是否已添加，可以使用以下命令：

sudo firewall-cmd --list-all

你应该能看到刚刚添加的HTTP和HTTPS服务规则。

5. 使用Naxsi模块增强平安性

Naxsi是一个Nginx模块，用于提供额外的Web应用程序防火墙功能。

5.1 安装Naxsi

使用以下命令安装Naxsi：

sudo yum install naxsi

5.2 配置Naxsi

配置Naxsi需要编辑Nginx的配置文件。

server {
        listen 80;
        server_name example.com;
        location / {
            naxsi on;
            naxsi_log_file /var/log/nginx/naxsi.log;
            naxsi_country on;
            naxsi_country_log_file /var/log/nginx/naxsi_country.log;
            naxsi_country_block_ip on;
            naxsi_country_block_period 3600;
            naxsi_country_block_threshold 5;
            naxsi_whitelist_log_file /var/log/nginx/naxsi_whitelist.log;
            naxsi_debug_mode off;
            naxsi_ignore_status 500 502 503 504;
        }
    }

5.3 重新加载Nginx

配置完成后 重新加载Nginx以应用更改：

sudo systemctl reload nginx

结论

通过以上步骤，你可以在CentOS上设置Nginx的防火墙规则，以提高服务器的平安性。一边，使用Naxsi模块可以进一步增强Nginx的平安性。请定期检查和更新防火墙规则，以确保服务器始终处于最佳平安状态。

---