Ubuntu 服务器防火墙配置实战 – wiki词典

作者: /

Ubuntu 服务器防火墙配置实战

在当今网络环境中,服务器安全至关重要。防火墙是保护服务器免受恶意攻击和未经授权访问的第一道防线。对于 Ubuntu 服务器而言,UFW (Uncomplicated Firewall) 是一个强大且易于使用的防火墙管理工具,它极大简化了 iptables 规则的配置。本篇文章将详细介绍如何在 Ubuntu 服务器上使用 UFW 进行防火墙配置。

1. 什么是 UFW?

UFW (Uncomplicated Firewall) 旨在使 Linux 上的防火墙配置变得简单。它提供了一个友好的命令行界面,用于管理复杂的 iptables 规则,即使是不具备深厚网络知识的用户也能轻松上手。UFW 默认在 Ubuntu 上是未激活状态。

2. 安装与状态检查

大多数 Ubuntu 发行版都预装了 UFW。你可以通过以下命令检查其状态:

bash
sudo ufw status

如果 UFW 尚未激活,你将看到 “Status: inactive” 的输出。如果 UFW 未安装,可以通过以下命令进行安装:

bash
sudo apt update
sudo sudo apt install ufw -y

3. 默认策略配置

UFW 的默认策略设计以安全为核心:默认拒绝所有传入连接,并允许所有传出连接。这意味着你的服务器可以主动向外部发起连接,但除非明确允许,否则外部设备无法主动连接到你的服务器。

  • 设置默认入站策略为拒绝 (deny)
    bash
    sudo ufw default deny incoming
    这通常是默认设置,但显式设置是一种良好的实践。

  • 设置默认出站策略为允许 (allow)
    bash
    sudo ufw default allow outgoing
    这也是通常的默认设置。

  • 验证默认策略和详细状态
    bash
    sudo ufw status verbose
    此命令会显示 UFW 的当前状态、日志级别以及默认策略。

4. 允许 SSH 连接 (关键步骤)

在启用 UFW 之前,至关重要的是允许 SSH 连接,以防止你在远程连接时将自己锁在服务器之外。

  • 允许默认 SSH 端口 (22)
    bash
    sudo ufw allow OpenSSH
    这个命令使用 OpenSSH 的应用程序配置文件,它会自动处理 IPv4 和 IPv6 上端口 22 的规则。

  • 允许自定义 SSH 端口 (例如,端口 2222):
    bash
    sudo ufw allow 2222/tcp

5. 启用和禁用 UFW

在你配置了 SSH 等基本规则后,就可以启用 UFW 了。

  • 启用 UFW
    bash
    sudo ufw enable
    系统会提示你,启用 UFW 可能会中断现有的 SSH 连接。确认后输入 y。UFW 激活后,它将会在系统启动时自动启用。

  • 禁用 UFW
    bash
    sudo ufw disable
    这会暂时关闭防火墙。

6. 配置其他连接规则

你可以基于端口号、服务名称或 IP 地址来允许或拒绝流量。

  • 允许特定端口或服务

    • HTTP (端口 80)
      bash
      sudo ufw allow http
      # 或者
      sudo ufw allow 80/tcp
    • HTTPS (端口 443)
      bash
      sudo ufw allow https
      # 或者
      sudo ufw allow 443/tcp
    • DNS (端口 53)
      bash
      sudo ufw allow 53

  • 允许端口范围
    bash
    sudo ufw allow 6000:6007/tcp
    sudo ufw allow 6000:6007/udp
    这对于使用多个端口的应用程序非常有用。

  • 允许来自特定 IP 地址的连接
    bash
    sudo ufw allow from 203.0.113.101
    这允许来自该 IP 地址的所有连接。

  • 允许来自特定 IP 地址到特定端口的连接
    bash
    sudo ufw allow from 203.0.113.101 to any port 22 proto tcp
    这允许特定 IP 地址的 SSH 访问。

  • 允许来自特定子网的连接
    bash
    sudo ufw allow from 192.168.1.0/24

7. 拒绝连接

你可以拒绝来自特定 IP 地址或到特定端口的流量。

  • 拒绝来自特定 IP 地址的所有入站流量
    bash
    sudo ufw deny from 203.0.113.100

  • 拒绝来自特定 IP 地址到特定端口的入站流量
    bash
    sudo ufw deny from 203.0.113.100 to any port 22

  • 拒绝来自特定子网的连接
    bash
    sudo ufw deny from 203.0.113.0/24

8. 检查和管理规则

定期检查 UFW 状态以确保规则按预期应用。

  • 查看详细状态
    bash
    sudo ufw status verbose
    这将显示 UFW 是否激活、其默认策略以及已配置的规则列表。

  • 查看带编号的规则
    bash
    sudo ufw status numbered
    这会显示带编号的规则,这在删除特定规则时非常有用。

9. 删除规则

你可以通过规则编号或其精确定义来删除规则。

  • 通过编号删除规则
    首先,使用 sudo ufw status numbered 列出规则。然后,通过编号删除:
    bash
    sudo ufw delete 1
    (将 1 替换为实际的规则编号)。

  • 通过规则定义删除规则
    bash
    sudo ufw delete allow 80/tcp

10. 重置 UFW

如果你需要重新开始配置,可以将 UFW 重置为其默认配置。这将删除所有现有规则。

  • 重置 UFW
    bash
    sudo ufw reset
    系统会提示你进行确认,因为这可能会中断现有的 SSH 连接。重置后,你需要重新配置 SSH 等基本规则并重新启用 UFW。

11. 最佳实践

  • 及时更新系统:在进行任何配置更改之前,请务必确保你的 Ubuntu 服务器是最新的 (sudo apt update && sudo apt upgrade -y)。
  • 精确开放端口:只开放应用程序所需的精确端口。
  • 限制源 IP:如果某个服务只应从特定位置访问,请将规则限制到该源 IP 地址。
  • 备份规则:如果你的设置很复杂,请考虑备份 UFW 规则。
  • 日志记录:UFW 支持不同的日志级别,用于监控网络活动。

遵循这些指南,你可以有效地配置和管理 Ubuntu 服务器的防火墙,从而显著提升其安全性。

滚动至顶部