如何建立一个防火墙UFW在Ubuntu 14.04

UFW,或不复杂的防火墙,是iptables的一个接口,朝向简化配置防火墙的方法为目标。虽然iptables的是一个坚实的,灵活的工具,它可以是困难的初学者学习如何使用它来正确配置防火墙。如果你正在寻找上手保护您的网络,而你不知道使用哪种工具,UFW可能是您正确的选择。本教程将告诉你如何建立与UFW防火墙在Ubuntu 14.04。

介绍

UFW,或不复杂的防火墙,是一个接口iptables即朝向简化配置防火墙的方法为目标。 虽然iptables是一个坚实的,灵活的工具,它可以是困难的初学者学习如何使用它来正确配置防火墙。 如果您希望开始保护网络安全,并且不确定使用哪种工具,UFW可能是您的最佳选择。

本教程将介绍如何在Ubuntu 14.04上使用UFW设置防火墙。

先决条件

在开始使用本教程之前,您应该有一个单独的非root超级用户帐户 - 一个在Ubuntu服务器上设置了sudo权限的用户。 你可以学习如何填写做到这一点,至少第1步-3在与Ubuntu 14.04初始服务器设置教程。

UFW默认安装在Ubuntu上。 如果已被卸载出于某种原因,你可以用它安装apt-get

sudo apt-get install ufw

使用IPv6与UFW

如果您的Ubuntu服务器启用了IPv6,请确保UFW配置为支持IPv6,以便它将管理除IPv4之外的IPv6的防火墙规则。 为此,请使用您喜欢的编辑器打开UFW配置。 我们将使用nano:

sudo nano /etc/default/ufw

然后确保“IPV6”的值等于“yes”。 它应该看起来像这样:

/ etc / default / ufw摘要
...
IPV6=yes
...

保存并退出。 击中Ctrl-X退出该文件,然后Y以保存您所做的更改,然后ENTER确认文件名。

当启用UFW时,将配置为写入IPv4和IPv6防火墙规则。

本教程是考虑到IPv4编写的,但只要您启用它就可以正常工作。

检查UFW状态和规则

在任何时候,您可以使用此命令检查UFW的状态:

sudo ufw status verbose

默认情况下,UFW被禁用,所以你应该看到这样:

Status: inactive

如果UFW处于活动状态,则输出将说明其处于活动状态,并且将列出设置的所有规则。 例如,如果防火墙设置为允许从任何地方连接SSH(端口22),输出可能如下所示:

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW IN    Anywhere

因此,如果您需要检查UFW如何配置防火墙,请使用status命令。

在启用UFW之前,我们将确保您的防火墙配置为允许您通过SSH连接。 让我们开始设置默认策略。

设置默认策略

如果您刚刚开始使用防火墙,则首先要定义的规则是您的默认策略。 这些规则控制如何处理未明确匹配任何其他规则的流量。 默认情况下,UFW设置为拒绝所有传入连接,并允许所有传出连接。 这意味着任何人尝试到达您的云服务器将无法连接,而服务器内的任何应用程序将能够到达外部世界。

让我们将您的UFW规则设置为默认值,这样我们可以确保您能够遵循本教程。 要设置UFW使用的默认值,请使用以下命令:

sudo ufw default deny incoming
sudo ufw default allow outgoing

正如您可能已经猜到的,这些命令将默认值设置为拒绝传入并允许传出连接。 这些防火墙默认值本身可能足以满足个人计算机的需要,但服务器通常需要响应来自外部用户的传入请求。 我们将研究下一个。

允许SSH连接

如果我们现在启用了UFW防火墙,它将拒绝所有传入的连接。 这意味着,如果我们希望服务器响应这些类型的请求,我们需要创建明确允许合法传入连接(例如SSH或HTTP连接)的规则。 如果您使用的是云服务器,则可能需要允许传入的SSH连接,以便连接和管理服务器。

要将服务器配置为允许传入SSH连接,可以使用此UFW命令:

sudo ufw allow ssh

这将创建防火墙规则,允许端口22上的所有连接,这是SSH守护程序侦听的端口。 UFW知道什么“SSH”,以及很多其他的服务名称,是指因为它列为使用端口22的服务/etc/services的文件。

实际上,我们可以通过指定的端口,而不是服务名称书写相当于规则。 例如,此命令的工作原理与上述相同:

sudo ufw allow 22

如果您将SSH守护程序配置为使用其他端口,则必须指定适当的端口。 例如,如果您的SSH服务器正在侦听端口2222,则可以使用此命令允许该端口上的连接:

sudo ufw allow 2222

现在您的防火墙已配置为允许传入SSH连接,我们可以启用它。

启用UFW

要启用UFW,请使用以下命令:

sudo ufw enable

您将收到一条警告,说“该命令可能会中断现有的ssh连接。 我们已经设置了一个允许SSH连接的防火墙规则,所以应该可以继续。 响应与提示y

防火墙现在处于活动状态。 随意运行sudo ufw status verbose命令来查看所设置的规则。

允许其他连接

现在,您应该允许服务器需要响应的所有其他连接。 应该允许的连接取决于您的特定需求。 幸运的是,你已经知道如何编写允许基于服务名称或端口的连接的规则 - 我们已经在端口22上使用SSH。

我们将展示一些您可能需要允许的非常常见的服务的示例。 如果您有任何其他服务要允许所有传入连接,请按照此格式。

HTTP端口80

HTTP连接,这是未加密的Web服务器使用的,可以使用此命令:

sudo ufw allow http

如果您希望使用端口号80,请使用以下命令:

sudo ufw allow 80

HTTPS端口443

HTTPS连接,这是加密的Web服务器使用的,可以使用此命令:

sudo ufw allow https

如果您希望使用端口号443,请使用以下命令:

sudo ufw allow 443

FTP端口21

FTP连接,用于未加密的文件传输(您可能不应该使用),可以使用此命令:

sudo ufw allow ftp

如果您希望使用端口号21,请使用此命令:

sudo ufw allow 21/tcp

允许特定端口范围

您可以使用UFW指定端口范围。 一些应用程序使用多个端口,而不是单个端口。

例如,要允许使用端口6000-6007的X11连接,请使用以下命令:

sudo ufw allow 6000:6007/tcp
sudo ufw allow 6000:6007/udp

当UFW指定端口范围,您必须指定协议( tcpudp ),该规则应适用于。 我们以前没有提到过,因为没有指定协议只允许两个协议,这在大多数情况下是OK的。

允许特定IP地址

使用UFW时,还可以指定IP地址。 例如,如果你想允许来自特定IP地址的连接,如工作或家庭的IP地址15.15.15.51 ,你需要“从”,那么IP地址指定:

sudo ufw allow from 15.15.15.51

您还可以通过添加“到任何端口”和端口号来指定允许IP地址连接的特定端口。 例如,如果你想允许15.15.15.51连接到端口22(SSH),使用这个命令:

sudo ufw allow from 15.15.15.51 to any port 22

允许子网

如果要允许IP地址的子网,您可以使用CIDR表示法来指定网络掩码。 例如,如果你想允许所有的IP地址范围从15.15.15.115.15.15.254 ,你可以使用这个命令:

sudo ufw allow from 15.15.15.0/24

同样的,你也可以指定子网目标端口15.15.15.0/24允许连接到。 再次,我们将使用端口22(SSH)作为示例:

sudo ufw allow from 15.15.15.0/24 to any port 22

允许连接到特定的网络接口

如果要创建仅适用于特定网络接口的防火墙规则,可以通过指定“allow in on”,然后指定网络接口的名称来实现。

在继续之前,您可能需要查找网络接口。 为此,请使用以下命令:

ip addr
...
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state
...
3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default 
...

突出显示的输出指示网络接口名称。 它们通常命名为“eth0”或“eth1”。

所以,如果你的服务器有一个名为公共网络接口eth0 ,你可能会允许HTTP通信(端口80)将其与下面的命令:

sudo ufw allow in on eth0 to any port 80

这样做将允许您的服务器从公共Internet接收HTTP请求。

或者,如果你希望你的MySQL数据库服务器(3306端口)监听专用网络接口的连接eth1 ,例如,你可以使用这个命令:

sudo ufw allow in on eth1 to any port 3306

这将允许您的专用网络上的其他服务器连接到您的MySQL数据库。

拒绝连接

如果您尚未更改传入连接的默认策略,则UFW将配置为拒绝所有传入连接。 通常,通过要求创建明确允许特定端口和IP地址通过的规则,这简化了创建安全防火墙策略的过程。 但是,有时您会希望根据源IP地址或子网拒绝特定连接,也许是因为您知道您的服务器正在从那里受到攻击。 另外,如果你想改变你的默认进入的政策, 允许 (这是不是安全的利益推荐),您将需要创建拒绝对你不想允许连接的任何服务或IP地址的规则。

拒绝规则,您可以使用我们上面除了需要更换“允许”和“拒绝”描述的命令。

例如,要拒绝HTTP连接,可以使用以下命令:

sudo ufw deny http

或者,如果你想阻止所有连接15.15.15.51 ,你可以使用这个命令:

sudo ufw deny from 15.15.15.51

如果您需要帮助编写任何其他拒绝规则,只是看在以前的允许规则,并相应地更新它们。

现在让我们来看看如何删除规则。

删除规则

了解如何删除防火墙规则与知道如何创建它们同样重要。 有两种不同的方法指定要删除的规则:按规则编号或实际规则(类似于创建规则时指定的规则)。 我们将与删除受规则编号的方法启动,因为它更容易,相比编写实际的规则进行删除,如果你是新来UFW。

按规则编号

如果您使用规则编号删除防火墙规则,您首先要做的是获取一个防火墙规则列表。 UFW状态命令有一个选项,可以显示每个规则旁边的数字,如下所示:

sudo ufw status numbered
Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    15.15.15.0/24
[ 2] 80                         ALLOW IN    Anywhere

如果我们决定删除规则2,允许端口80(HTTP)连接,我们可以在UFW删除命令中指定它,如下所示:

sudo ufw delete 2

这将显示确认提示,然后删除规则2,它允许HTTP连接。 请注意,如果启用了IPv6,则也要删除相应的IPv6规则。

按实际规则

规则编号的替代方法是指定要删除的实际规则。 例如,如果要删除“allow http”规则,您可以这样写:

sudo ufw delete allow http

您还可以通过“allow 80”指定规则,而不是按服务名称指定规则:

sudo ufw delete allow 80

此方法将删除IPv4和IPv6规则(如果存在)。

如何禁用UFW(可选)

如果您决定不想因任何原因使用UFW,可以使用此命令禁用它:

sudo ufw disable

使用UFW创建的任何规则将不再处于活动状态。 你总是可以运行sudo ufw enable ,如果以后需要激活。

重置UFW规则(可选)

如果已配置UFW规则,但您决定要重新开始,可以使用reset命令:

sudo ufw reset

这将禁用UFW并删除以前定义的任何规则。 请注意,如果您在任何时间修改默认策略,默认策略将不会更改为原始设置。 这应该给你一个新的开始与UFW。

结论

您的防火墙现在应该配置为允许(至少)SSH连接。 请确保允许您的服务器的任何其他传入连接,同时限制任何不必要的连接,以便您的服务器可以正常工作和安全。

要了解更多常用UFW的配置,看看这个教程: UFW要领:通用防火墙规则和命令

祝你好运!