如何在 Ubuntu 上使用 UFW 配置防火墙

在 Ubuntu 服务器上配置防火墙是确保系统安全的重要步骤。UFW（Uncomplicated Firewall）是 Ubuntu 提供的一个用户友好的防火墙管理工具，能够简化规则配置，同时提供强大的网络保护功能。本文将指导您使用 UFW 在 Ubuntu 系统上配置防火墙，保护服务器免受未经授权的访问，适合初学者和专业用户。

前置条件

在开始配置之前，请确保满足以下条件：

• 运行 Ubuntu 的服务器（推荐 Ubuntu 18.04 或更高版本）。
• 具备 root 或 sudo 权限以执行命令。
• 基本的终端操作知识。
• 服务器已连接互联网以安装软件包。

步骤 1：安装 UFW

Ubuntu 默认包含 UFW，但可能未安装。运行以下命令检查并安装 UFW：

sudo apt update

sudo apt install ufw -y

安装完成后，确认 UFW 是否可用：

sudo ufw --version

输出将显示 UFW 的版本号，例如 ufw 0.36。

步骤 2：检查 UFW 状态

在配置之前，检查 UFW 当前状态以了解是否启用：

sudo ufw status

如果输出显示 Status: inactive，则防火墙尚未启用。默认情况下，UFW 是禁用的，以避免意外锁定用户。

步骤 3：设置默认策略

为确保安全性，配置默认策略以拒绝所有传入连接，并允许所有传出连接。这是一个安全的起点，之后可以根据需要添加特定规则。

设置默认策略：

sudo ufw default deny incoming

sudo ufw default allow outgoing

这些命令确保除非明确允许，否则所有外部连接请求都会被拒绝，而服务器可以自由向外发起连接。

步骤 4：允许常用服务

根据服务器用途，启用必要的服务端口。例如，以下是常见服务的配置命令：

• SSH（端口 22）： 确保远程访问可用，运行： sudo ufw allow ssh 或者指定端口：sudo ufw allow 22
• HTTP（端口 80）： 用于 Web 服务器： sudo ufw allow http
• HTTPS（端口 443）： 用于安全 Web 访问： sudo ufw allow https

如果使用非标准端口（例如，SSH 使用 2222 端口），可以指定端口号： sudo ufw allow 2222

为防止锁定，始终确保 SSH 端口在启用防火墙前已允许。

步骤 5：启用 UFW

配置好规则后，启用 UFW 以激活防火墙：

sudo ufw enable

系统会提示警告，说明启用防火墙可能中断现有连接。确认已允许 SSH 端口后继续。再次检查状态以验证规则： sudo ufw status

输出将显示启用的规则，例如： Status: active To Action From -- ------ ---- 22 ALLOW Anywhere 80 ALLOW Anywhere 443 ALLOW Anywhere

步骤 6：管理高级规则（可选）

UFW 支持更精细的规则配置，以满足特定需求。以下是一些高级示例：

• 限制特定 IP 访问： 仅允许特定 IP 访问 SSH： sudo ufw allow from 192.168.1.100 to any port 22
• 允许特定端口范围： 例如，允许 3000-4000 端口： sudo ufw allow 3000:4000/tcp
• 拒绝特定连接： 拒绝某个 IP 的访问： sudo ufw deny from 192.168.1.200

步骤 7：删除或重置规则

如果需要修改规则，可以删除或重置 UFW 配置：

• 删除规则： 列出带编号的规则： sudo ufw status numbered 删除特定规则（例如，第 2 条规则）： sudo ufw delete 2
• 重置 UFW： 删除所有规则并禁用防火墙： sudo ufw reset

故障排除建议

配置 UFW 时可能遇到问题，以下是一些常见问题及解决方法：

安全最佳实践

为确保防火墙有效保护服务器，建议以下措施：

• 定期检查规则：sudo ufw status。
• 仅开放必要的端口，避免不必要的暴露。
• 结合其他安全措施，如 SSH 密钥认证和两因素认证（2FA）。
• 监控日志以检测异常活动：sudo tail -f /var/log/ufw.log。

总结

通过以上步骤，您已成功在 Ubuntu 服务器上使用 UFW 配置防火墙，建立了安全的网络环境。UFW 的简单性和灵活性使其成为管理 Linux 防火墙的理想工具。定期维护和更新防火墙规则，将确保您的服务器免受潜在威胁，为 Web 应用程序或其他服务提供可靠保护。