ufw firewall
2024/10/8大约 2 分钟约 693 字
1. 安装 UFW
sudo apt update
sudo apt install ufw2. 检查 UFW 状态
在配置之前,查看 UFW 的当前状态:
sudo ufw status verbose3. 设置默认策略
设置默认的入站和出站策略,通常建议拒绝所有入站连接,允许所有出站连接:
sudo ufw default deny incoming
sudo ufw default allow outgoing4. 允许必要的端口和服务
根据你的服务器用途,允许必要的端口。例如:
SSH(默认端口22):
为了安全性,可以限制仅允许特定 IP 连接:
sudo ufw allow from <你的IP地址> to any port 22或者如果你需要允许所有 IP 连接:
sudo ufw allow sshHTTP 和 HTTPS:
sudo ufw allow http sudo ufw allow https其他服务:
根据需要开放相应的端口,例如 MySQL:
sudo ufw allow 3306/tcp
5. 启用 UFW
在完成规则设置后,启用 UFW:
sudo ufw enable启用前,系统会提示确认,输入 y 确认。
6. 检查和管理规则
查看当前的防火墙规则:
sudo ufw status numbered删除规则(例如删除编号为 2 的规则):
sudo ufw delete 2禁用 UFW(如果需要临时关闭防火墙):
sudo ufw disable7. 配置高级规则
限制 SSH 尝试防止暴力攻击:
使用限制(rate limiting)来防止暴力破解:
sudo ufw limit ssh允许特定 IP 或网段:
例如,允许特定 IP 访问某个端口:
sudo ufw allow from 192.168.1.100 to any port 22或允许整个子网:
sudo ufw allow from 192.168.1.0/24 to any port 22
8. 日志记录
启用并配置 UFW 日志记录,以便监控防火墙活动:
sudo ufw logging on日志默认保存在 /var/log/ufw.log。可以调整日志级别:
sudo ufw logging high日志级别选项包括 off, low, medium, high, full。
9. 自动启用 UFW
通常,启用 UFW 后会自动在系统启动时激活。如果没有,可以使用以下命令确保 UFW 服务开启:
sudo systemctl enable ufw10. 备份和恢复 UFW 配置
定期备份 UFW 规则,以便在需要时恢复:
备份:
sudo ufw status numbered > ufw-rules-backup.txt恢复:
手动重新添加备份的规则,或者使用脚本自动化恢复过程。
11. 定期审核和更新规则
随着服务和需求的变化,定期检查和更新 UFW 的规则,确保仅开放必要的端口,减少潜在的安全风险。
12. 结合其他安全措施
UFW 是一个有力的工具,但应结合其他安全措施使用,如:
- 保持系统和软件更新。
- 使用强密码和 SSH 密钥认证。
- 监控系统日志和异常活动。