介紹

保護(hù)系統(tǒng)的第一步是配置防火墻。為了設(shè)置和管理防火墻，Linux設(shè)計(jì)了各種實(shí)用程序靈活的實(shí)用程序，例如iptables。

但是，不熟悉網(wǎng)絡(luò)安全的用戶可能會(huì)發(fā)現(xiàn)iptables有點(diǎn)嚇人。這就是為什么我們建議從UFW開始。

UFW（簡單防火墻）是一個(gè)在iptables之上實(shí)現(xiàn)的用戶友好界面。它提供了一種配置防火墻的簡單方法。

在本教程中，您將學(xué)習(xí)如何使用 UFW 在 Ubuntu 系統(tǒng)上設(shè)置防火墻保護(hù)。

先決條件

• 運(yùn)行 Ubuntu 18.04、20.04 或 22.04 的系統(tǒng)。
• 具有 sudo 權(quán)限的用戶帳戶。
• 訪問命令行/終端窗口（Ctrl+Alt+T）。

設(shè)置 UFW

UFW 防火墻設(shè)置包括有關(guān)如何安裝和配置默認(rèn)防火墻設(shè)置的說明。請(qǐng)按照以下步驟查看如何安裝和使用該工具。

在 Ubuntu 上安裝 UFW

UFW預(yù)裝在Ubuntu 20.04和Ubuntu 22.04上。如果您沒有 UFW，請(qǐng)運(yùn)行以下命令進(jìn)行安裝：

sudo apt install ufw

等待安裝完成。

配置 UFW 以支持 IPv6

如果系統(tǒng)同時(shí)使用 IPv4 和 IPv6，請(qǐng)修改 UFW 配置文件以支持這兩種協(xié)議。

1. 使用 nano 或任何其他文本編輯器打開默認(rèn)設(shè)置文件：

sudo nano /etc/default/ufw

2. 如果 IPv6 值設(shè)置為否，請(qǐng)將該值更改為是以啟用?IPv6?使用。

3.?保存并關(guān)閉文件。

設(shè)置默認(rèn) UFW 策略

默認(rèn) UFW 配置設(shè)置為允許所有傳出連接并拒絕所有傳入連接。這兩個(gè)規(guī)則對(duì)于不需要響應(yīng)傳入請(qǐng)求的個(gè)人計(jì)算機(jī)是典型的。

如果更改了默認(rèn)設(shè)置并希望返回到默認(rèn)行為，請(qǐng)運(yùn)行以下命令以拒絕傳入連接：

sudo ufw default deny incoming

通過運(yùn)行以下命令允許傳出連接：

sudo ufw default allow outgoing

這兩個(gè)命令將 UFW 的狀態(tài)返回到默認(rèn)設(shè)置。

允許 SSH 連接

如果計(jì)劃從遠(yuǎn)程位置連接到服務(wù)器，則需要設(shè)置 UFW 以允許傳入的 SSH 連接。

使用 以下命令配置 UFW 以允許 SSH 連接：

sudo ufw allow ssh

該命令為 IPv4（如果啟用，則為 IPv6）添加規(guī)則，以允許來自 SSH 連接的傳入和傳出流量。

啟用 UFW

配置設(shè)置后，禁用并啟用 UFW 防火墻以使更改生效。通過輸入以下內(nèi)容禁用 UFW：

sudo ufw disable

使用以下命令再次啟用防火墻：

sudo ufw enable

這些命令在每個(gè)操作后輸出防火墻狀態(tài)。防火墻現(xiàn)在處于活動(dòng)狀態(tài)，并在啟動(dòng)時(shí)啟用。

檢查 UFW 狀態(tài)

若要檢查 UFW 狀態(tài)并顯示詳細(xì)信息，請(qǐng)運(yùn)行以下命令：

sudo ufw status verbose

輸出顯示狀態(tài)、默認(rèn)設(shè)置和打開的端口。

使用 UFW 規(guī)則

UFW 是基于規(guī)則的防火墻。規(guī)則定義服務(wù)器與其他計(jì)算機(jī)的通信范圍。

指定允許和拒絕哪些連接以進(jìn)一步控制防火墻設(shè)置。

允許其他端口上的傳入連接

根據(jù)服務(wù)器的用途，允許特定的傳入連接以進(jìn)行額外的防火墻控制。創(chuàng)建 UWF 規(guī)則以將連接添加到防火墻配置。

下面是常見設(shè)置的命令列表。

1. 通過運(yùn)行以下命令將服務(wù)器設(shè)置為偵聽 HTTP：

sudo ufw allow http

或者，將端口號(hào) 80 用于 HTTP 連接：

sudo ufw allow 80

該規(guī)則在 UFW 狀態(tài)下可見：

sudo ufw status verbose

該命令允許 HTTP 端口 80 上的流量，并添加 IPv4 和 IPv6 的規(guī)則。

2.?要啟用 HTTPS 連接，請(qǐng)使用以下命令：

sudo ufw allow https

或者，將端口號(hào) 443 用于 HTTPS 連接：

sudo ufw allow 443

檢查 UFW 狀態(tài)以確認(rèn)新規(guī)則可見：

sudo ufw status verbose

端口 443 上啟用的 HTTPS 連接對(duì) IPv4 和 IPv6 可見。

3. 要設(shè)置允許從特定 IP 地址訪問所有端口的規(guī)則，請(qǐng)運(yùn)行：

sudo ufw allow from <IP address>

使用此方法可以設(shè)置規(guī)則，以允許從遠(yuǎn)程服務(wù)器到本地計(jì)算機(jī)或從遠(yuǎn)程計(jì)算機(jī)到本地服務(wù)器的所有流量。

4. 要允許從特定計(jì)算機(jī)訪問特定端口，請(qǐng)運(yùn)行以下命令：

sudo ufw allow from <IP address> to any port <port number>

該規(guī)則僅限制對(duì)指定端口的訪問。

5. 要允許訪問一系列端口，請(qǐng)指定范圍值和協(xié)議類型（TCP 或 UDP）。例如，以下命令允許從端口 2000 到 2004 進(jìn)行 TCP 連接：

sudo ufw allow 2000:2004/tcp

更改協(xié)議以允許從端口 2000 到 2004 的 UDP 連接，如下所示：

sudo ufw allow 2000:2004/udp

注意：TCP（傳輸控制協(xié)議）是一種面向連接的協(xié)議，可確保傳輸?shù)乃袛?shù)據(jù)都井井有條。UDP（用戶數(shù)據(jù)報(bào)協(xié)議）是一種無連接導(dǎo)向的協(xié)議，可以更快地傳輸數(shù)據(jù)，但不太可靠。

拒絕其他端口上的傳入連接

要?jiǎng)?chuàng)建拒絕規(guī)則以禁止來自特定 IP 地址的連接，請(qǐng)運(yùn)行以下命令：

sudo ufw deny from <IP address>

或者，通過鍵入以下內(nèi)容拒絕對(duì)特定端口的訪問：

sudo ufw deny from <IP address> to any port <number>

使用這兩個(gè)命令阻止來自可疑 IP 地址的流量或保護(hù)特定端口。

刪除 UFW 規(guī)則

UFW 防火墻非常靈活，允許刪除規(guī)則。有兩種方法可以刪除規(guī)則。

1. 顯示所有規(guī)則的列表并找到規(guī)則的分配編號(hào)。首先，將規(guī)則顯示為編號(hào)列表：

sudo ufw status numbered

輸出列出了到目前為止添加的規(guī)則。每個(gè)規(guī)則根據(jù)其設(shè)置順序都有一個(gè)數(shù)字。

使用以下語法和適當(dāng)?shù)囊?guī)則編號(hào)刪除規(guī)則：

sudo ufw delete <rule number>

該命令從列表中刪除規(guī)則，數(shù)字也會(huì)相應(yīng)更改。

2. 刪除規(guī)則的另一種方法是逐字指定：

sudo ufw delete <rule>

例如，若要?jiǎng)h除允許連接到端口 2000 的規(guī)則，請(qǐng)使用以下命令：

sudo ufw delete allow 2000

該命令將從列表中刪除規(guī)則。

應(yīng)用配置文件

使用?apt?命令安裝的每個(gè)軟件包在 /etc/ufw/applications.d?目錄中都有一個(gè)應(yīng)用程序配置文件。該配置文件提供有關(guān)軟件及其 UFW 設(shè)置的信息。

要查看所有應(yīng)用程序配置文件的列表，請(qǐng)使用以下命令：

sudo ufw app list

通過運(yùn)行以下命令查看有關(guān)特定包（以及開放端口）的詳細(xì)信息：

sudo ufw app info '<package name>'

例如，要顯示 Apache 的應(yīng)用程序配置文件，請(qǐng)運(yùn)行：

sudo ufw app info 'Apache Full'

輸出顯示配置文件信息、簡短的應(yīng)用程序說明以及應(yīng)用使用的端口。

注意：了解如何使用 GUFW（UFW 的圖形用戶界面）來配置防火墻。

結(jié)論

按照我們指南中的說明進(jìn)行操作，您應(yīng)該知道如何使用 UFW 設(shè)置防火墻。確保穩(wěn)定的防火墻保護(hù)是保護(hù)服務(wù)器的第一步。

提示：

云服務(wù)器的安全組與linux系統(tǒng)防火墻區(qū)別

云服務(wù)器安全組是一種針對(duì)云服務(wù)器的全面安全防護(hù)方案，具有更廣泛的保護(hù)范圍和更靈活的安全性，而Linux系統(tǒng)的防火墻則主要針對(duì)Linux系統(tǒng)本身及網(wǎng)絡(luò)資源進(jìn)行保護(hù)。

當(dāng)然如果您不會(huì)使用，完全可以聯(lián)系尊云技術(shù)幫您處理的。