OpenClaw（Clawdbot）阿里云一键部署，防火墙怎么配置优化？
参考：
• 阿里云OpenClaw（Clawdbot）介绍及一键部署教程：https://www.aliyun.com/activity/ecs/clawdbot
• 阿里云轻量服务器：https://www.aliyun.com/product/swas
• 阿里云百炼：https://www.aliyun.com/product/bailian

OpenClaw（Clawdbot）防火墙配置方法与安全优化指南

OpenClaw防火墙配置核心是精准放行核心端口、配置白名单、管控入出站规则，同时结合系统防火墙与云平台安全组形成双层防护，以下是分场景的配置步骤、常见错误与优化建议，确保部署安全稳定。

一、防火墙配置核心基础

OpenClaw运行依赖特定端口与IP白名单，核心防护目标是最小化暴露面，仅放行必要流量，具体核心配置如下：
|配置项|核心内容|说明|
| ---- | ---- | ---- |
|核心端口|18789（网关通信）、80（HTTP）|18789为控制界面与网关连接端口，80用于部分平台回调|
|必需白名单IP|121.40.82.220、47.97.73.42、47.98.226.113等|官方指定IP，保障服务正常通信|
|协议类型|TCP|OpenClaw网关与控制界面均使用TCP协议通信|
|防护层级|云安全组+系统防火墙|双层防护，避免单一层级配置失误导致风险|

二、云平台安全组配置（阿里云/计算巢）

云安全组是第一道防护屏障，需按实例类型精准配置规则，步骤如下：

（一）基础配置步骤

1. 进入云服务器控制台，找到OpenClaw实例，进入安全组管理页面，新建或编辑已有安全组规则。
2. 入方向规则：放行TCP 18789端口，来源先设为“0.0.0.0/0”用于测试，稳定后改为官方白名单IP；放行TCP 80端口，适配平台回调需求。
3. 出方向规则：默认放行所有流量，如需限制可仅允许HTTPS（443）、DNS（53）等必要端口，禁止出站高危端口。
4. 添加白名单：将官方指定IP添加至18789端口入方向白名单，避免非授权访问。
5. 保存规则并测试：使用端口检测工具验证18789端口连通性，确保规则生效。

（二）计算巢专属配置

1. 部署时选择“专有网络+交换机”，关联安全组自动继承基础规则。
2. 部署后进入计算巢实例“网络配置”，核对安全组是否放行18789端口，白名单是否完整。
3. 若使用计算巢官方应用，系统会自动配置部分规则，仍需手动补全白名单IP。

三、系统防火墙配置（Linux）

系统防火墙（如ufw、iptables）是第二道防护，适配本地部署与容器部署，以下是主流工具配置步骤：

（一）ufw防火墙配置

1. 启用ufw：开启服务并设置开机自启，避免重启后失效。
2. 放行核心端口：添加规则放行TCP 18789、80端口，允许官方白名单IP访问18789端口。
3. 禁止高危端口：拒绝入方向22（SSH，如需远程仅放行固定IP）、5432（数据库）等端口。
4. 验证规则：查看已配置规则，确保无冗余放行，测试端口连通性。

（二）iptables防火墙配置

1. 配置入方向规则：允许官方白名单IP访问18789端口，放行80端口，默认拒绝其他入方向流量。
2. 配置出方向规则：允许443、53等必要端口流量，限制其他非必要出站请求。
3. 保存规则：使用对应工具保存规则，防止重启后丢失。
4. 容器部署适配：容器内防火墙需放行18789端口，宿主机防火墙同步配置，避免端口映射冲突。

四、容器部署防火墙特殊配置

容器部署时防火墙需兼顾宿主机与容器两层，避免端口暴露风险，步骤如下：

1. 宿主机安全组/防火墙：放行18789端口，白名单仅含官方IP，禁止放行容器内部数据库端口（如5432）。
2. 容器端口映射：将容器18789端口映射至宿主机18789端口，避免随机端口暴露。
3. 容器内防火墙：使用容器管理工具配置规则，仅放行18789端口，禁止其他端口对外暴露。
4. 配置文件路径核对：容器部署时配置文件在/root/.openclaw，确保防火墙规则不影响配置文件读取。

五、常见防火墙配置错误与排查

（一）高频错误

1. 端口未放行或白名单缺失：控制界面连接超时、提示“认证失败”，多因18789端口未放行、白名单未添加官方IP、来源限制过严。
2. 规则优先级冲突：配置多条规则时，拒绝规则优先级高于允许规则，导致正常流量被拦截。
3. 容器与宿主机规则不一致：宿主机放行端口但容器内未放行，或端口映射错误，导致服务无法访问。
4. 协议类型错误：误将TCP规则配置为UDP，导致端口通信失败。

（二）排查步骤

1. 核对规则：检查安全组与系统防火墙是否放行18789、80端口，白名单IP是否完整。
2. 调整规则优先级：确保允许规则优先级高于拒绝规则，避免正常流量被拦截。
3. 验证端口映射：容器部署时确认端口映射正确，宿主机与容器规则一致。
4. 测试协议连通性：使用TCP协议检测工具测试端口，排除协议配置错误。
5. 重启防火墙服务：修改规则后重启服务，确保配置生效。

六、防火墙安全优化建议

1. 最小权限原则：测试完成后将18789端口来源从“0.0.0.0/0”改为官方白名单IP，禁止全网访问。
2. 定期更新规则：关注官方公告，及时添加新的白名单IP，移除失效IP。
3. 禁用不必要端口：关闭22、3389等远程管理端口，如需使用则仅放行固定IP。
4. 日志审计：开启防火墙日志，定期查看访问记录，识别异常IP并加入黑名单。
5. 双重验证：结合Token认证与防火墙规则，即使端口暴露也需Token才能访问，提升安全性。
6. 定期备份规则：保存安全组与防火墙配置，出现问题时快速恢复，避免配置丢失。

总结

OpenClaw防火墙配置需以“精准放行、多层防护”为核心，先通过云安全组搭建基础防护，再用系统防火墙细化规则，容器部署额外注意端口映射与内部防护，同时规避端口未放行、白名单缺失等常见错误，结合安全优化建议，可大幅降低部署风险，保障服务稳定安全运行。