介绍
保护系统的第一步是配置防火墙。为了设置和管理防火墙,Linux设计了各种实用程序灵活的实用程序,例如iptables。
但是,不熟悉网络安全的用户可能会发现iptables有点吓人。这就是为什么我们建议从UFW开始。
UFW(简单防火墙)是一个在iptables之上实现的用户友好界面。它提供了一种配置防火墙的简单方法。
在本教程中,您将学习如何使用 UFW 在 Ubuntu 系统上设置防火墙保护。
先决条件
- 运行 Ubuntu 18.04、20.04 或 22.04 的系统。
- 具有 sudo 权限的用户帐户。
- 访问命令行/终端窗口(Ctrl+Alt+T)。
设置 UFW
UFW 防火墙设置包括有关如何安装和配置默认防火墙设置的说明。请按照以下步骤查看如何安装和使用该工具。
在 Ubuntu 上安装 UFW
UFW预装在Ubuntu 20.04和Ubuntu 22.04上。如果您没有 UFW,请运行以下命令进行安装:
sudo apt install ufw
等待安装完成。
配置 UFW 以支持 IPv6
如果系统同时使用 IPv4 和 IPv6,请修改 UFW 配置文件以支持这两种协议。
1. 使用 nano 或任何其他文本编辑器打开默认设置文件:
sudo nano /etc/default/ufw
2. 如果 IPv6 值设置为否,请将该值更改为是以启用 IPv6 使用。
3. 保存并关闭文件。
设置默认 UFW 策略
默认 UFW 配置设置为允许所有传出连接并拒绝所有传入连接。这两个规则对于不需要响应传入请求的个人计算机是典型的。
如果更改了默认设置并希望返回到默认行为,请运行以下命令以拒绝传入连接:
sudo ufw default deny incoming
通过运行以下命令允许传出连接:
sudo ufw default allow outgoing
这两个命令将 UFW 的状态返回到默认设置。
允许 SSH 连接
如果计划从远程位置连接到服务器,则需要设置 UFW 以允许传入的 SSH 连接。
使用 以下命令配置 UFW 以允许 SSH 连接:
sudo ufw allow ssh
该命令为 IPv4(如果启用,则为 IPv6)添加规则,以允许来自 SSH 连接的传入和传出流量。
启用 UFW
配置设置后,禁用并启用 UFW 防火墙以使更改生效。通过输入以下内容禁用 UFW:
sudo ufw disable
使用以下命令再次启用防火墙:
sudo ufw enable
这些命令在每个操作后输出防火墙状态。防火墙现在处于活动状态,并在启动时启用。
检查 UFW 状态
若要检查 UFW 状态并显示详细信息,请运行以下命令:
sudo ufw status verbose
输出显示状态、默认设置和打开的端口。
使用 UFW 规则
UFW 是基于规则的防火墙。规则定义服务器与其他计算机的通信范围。
指定允许和拒绝哪些连接以进一步控制防火墙设置。
允许其他端口上的传入连接
根据服务器的用途,允许特定的传入连接以进行额外的防火墙控制。创建 UWF 规则以将连接添加到防火墙配置。
下面是常见设置的命令列表。
1. 通过运行以下命令将服务器设置为侦听 HTTP:
sudo ufw allow http
或者,将端口号 80 用于 HTTP 连接:
sudo ufw allow 80
该规则在 UFW 状态下可见:
sudo ufw status verbose
该命令允许 HTTP 端口 80 上的流量,并添加 IPv4 和 IPv6 的规则。
2. 要启用 HTTPS 连接,请使用以下命令:
sudo ufw allow https
或者,将端口号 443 用于 HTTPS 连接:
sudo ufw allow 443
检查 UFW 状态以确认新规则可见:
sudo ufw status verbose
端口 443 上启用的 HTTPS 连接对 IPv4 和 IPv6 可见。
3. 要设置允许从特定 IP 地址访问所有端口的规则,请运行:
sudo ufw allow from <IP address>
使用此方法可以设置规则,以允许从远程服务器到本地计算机或从远程计算机到本地服务器的所有流量。
4. 要允许从特定计算机访问特定端口,请运行以下命令:
sudo ufw allow from <IP address> to any port <port number>
该规则仅限制对指定端口的访问。
5. 要允许访问一系列端口,请指定范围值和协议类型(TCP 或 UDP)。例如,以下命令允许从端口 2000 到 2004 进行 TCP 连接:
sudo ufw allow 2000:2004/tcp
更改协议以允许从端口 2000 到 2004 的 UDP 连接,如下所示:
sudo ufw allow 2000:2004/udp
注意:TCP(传输控制协议)是一种面向连接的协议,可确保传输的所有数据都井井有条。UDP(用户数据报协议)是一种无连接导向的协议,可以更快地传输数据,但不太可靠。
拒绝其他端口上的传入连接
要创建拒绝规则以禁止来自特定 IP 地址的连接,请运行以下命令:
sudo ufw deny from <IP address>
或者,通过键入以下内容拒绝对特定端口的访问:
sudo ufw deny from <IP address> to any port <number>
使用这两个命令阻止来自可疑 IP 地址的流量或保护特定端口。
删除 UFW 规则
UFW 防火墙非常灵活,允许删除规则。有两种方法可以删除规则。
1. 显示所有规则的列表并找到规则的分配编号。首先,将规则显示为编号列表:
sudo ufw status numbered
输出列出了到目前为止添加的规则。每个规则根据其设置顺序都有一个数字。
使用以下语法和适当的规则编号删除规则:
sudo ufw delete <rule number>
该命令从列表中删除规则,数字也会相应更改。
2. 删除规则的另一种方法是逐字指定:
sudo ufw delete <rule>
例如,若要删除允许连接到端口 2000 的规则,请使用以下命令:
sudo ufw delete allow 2000
该命令将从列表中删除规则。
应用配置文件
使用 apt 命令安装的每个软件包在 /etc/ufw/applications.d 目录中都有一个应用程序配置文件。该配置文件提供有关软件及其 UFW 设置的信息。
要查看所有应用程序配置文件的列表,请使用以下命令:
sudo ufw app list
通过运行以下命令查看有关特定包(以及开放端口)的详细信息:
sudo ufw app info '<package name>'
例如,要显示 Apache 的应用程序配置文件,请运行:
sudo ufw app info 'Apache Full'
输出显示配置文件信息、简短的应用程序说明以及应用使用的端口。
注意:了解如何使用 GUFW(UFW 的图形用户界面)来配置防火墙。
结论
按照我们指南中的说明进行操作,您应该知道如何使用 UFW 设置防火墙。确保稳定的防火墙保护是保护服务器的第一步。
提示:
云服务器的安全组与linux系统防火墙区别
云服务器安全组是一种针对云服务器的全面安全防护方案,具有更广泛的保护范围和更灵活的安全性,而Linux系统的防火墙则主要针对Linux系统本身及网络资源进行保护。
当然如果您不会使用,完全可以联系尊云技术帮您处理的。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至2705686032@qq.com 举报,一经查实,本站将立刻删除。文章链接:https://www.zun.com/zx/yunwei/4200.html