如何在伺服器上輕鬆安裝和設定 UFW 防火牆

在管理伺服器時，必須配置以降低其安全性的第一件事是配置防火牆，辛運的是在Linux中包含一個名為Iptables的默認設置，並且這個防火牆好多人覺得配置和管理有點複雜。有更簡單的替代品可供使用，例如UFW。

UFW實際上是包含Linux的Iptables防火牆的CLI或命令列介面，該介面為我們提供了一種更簡單的方式來管理和設定Iptables。對於UFW，甚至還有一個名為GUFW的GUI或圖形介面，我們可以在桌上型PC或電腦筆記型電腦上使用它來管理和設定防火牆。

在伺服器上安裝UFW

要安裝它linux怎麼查看防火牆，只需將命令寫入終端-

linuxidc@linuxidc:~/$sudoapt-getinstallufw

預設情況下，UFW在安裝後被停用linux怎麼查看防火牆，因而我們可以使用命令查看其狀態-

linuxidc@linuxidc:~/$sudoufwstatusverbose

狀態：不活動

UFW的基本配置

我們可以在UFW中使用的一些基本配置來確保我們的伺服器。

預設規則：

顧名思義查看linux是什麼系統，預設規則是一系列易於配置防火牆的標準規則，這種規則容許我們指定是否要準許或拒絕傳入流量或傳出流量，以及其他一些規則。

事實上使用GUFW的特別好的配置幾乎不安裝在PC上，它是拒絕所有傳入流量並準許傳出流量。

我們可以使用以下指令來調整：

linuxidc@linuxidc:~/$sudoufwdefaultdenyincoming

預設的incoming策略修改為「deny」

（請相應地更新你的防火牆規則）

拒絕所有傳入的流量。

linuxidc@linuxidc:~/$sudoufwdefaultallowoutgoing

預設的outgoing策略修改為「allow」

（請相應地更新你的防火牆規則）

有了這兩種配置，PC就可以得到挺好的保護，而且假如我們想提升安全性linux解壓縮rar，我們也可以拒絕傳出流量以獲得更高的安全性，其實缺點是你必須曉得什麼應用須要一個出站流量規則才能正常運作。

容許聯結：

假定我們在伺服器上配置防火牆並拒絕所有傳入流量。我們怎麼透過SSH遠端聯接到它？我們須要套用容許我們連接到連接埠22的規則。

因此，我們使用選項allow，並指定我們希望容許傳入流量的連接埠及其使用的TCP合約：

linuxidc@linuxidc:~/$sudoufwallow22/tcp

防火牆規則已更新

規則已更新(v6)

UFW附送了一些我們可以按其名稱使用的預設規則，例如，上一個命令嘗試開啟已知用作SSH聯接的連接埠22，也可以使用以下命令啟用此規則：

linuxidc@linuxidc:~/$sudoufwallowssh

跳過加入早已存在的規則

跳過加入早已存在的規則(v6)

以同樣的方法，我們可以使用其他預先建構的規則來處理已知服務，例如使用連接埠80的HTTP，使用連接埠443的HTTPS等。

港口範圍：

您也可能希望除了容許傳入流量到端口，但是容許其中的一系列傳輸流量，例如，Mosh應用程式可能須要從端口60000到合約的61000的端口範圍。開udp。

我們可以輸入以下下這樣的命令來應用它：

linuxidc@linuxidc:~/$sudoufwallow60000:61000/udp

防火牆規則已更新

規則已更新(v6)

拒絕聯結：

與我們容許傳入聯接的方法相同，我們可以拒絕這種聯結。

假定我們有一個容許所有傳入流量的預設規則（不建議），但我們只想拒絕某個連接埠的傳入流量，我們可以套用這樣的設定：

linuxidc@linuxidc:~/$sudoufwdeny22/tcp

防火牆規則已更新

規則已更新(v6)

以同樣的方法，我們可以做到拒絕一個連接埠範圍。

linuxidc@linuxidc:~/$sudoufwdeny60000:61000/udp

防火牆規則已更新

規則已更新(v6)

刪除規則：

假定我們已將SSH伺服器配置為使用端口2222而不是原先打開的22端口，我們應當刪掉容許端口的原本規則22.這可以使用以下命令完成：

sudoufwdeleteallow22/tcp

以類似的形式，假如它是一系列端口，我們可以這樣做：

sudoufwdeleteallow60000:61000/udp

例如，假如我們有一組用UFW完善的規則，我們想要去除它們但不曉得怎樣執行這些去除，由於它是某種複雜的規則，我們可以用命令列舉它們：

linuxidc@linuxidc:~/$sudoufwstatusnumbered

狀態：啟動

至動作來自

-----

[1]22/tcpDENYINAnywhere

[2]60000:61000/udpDENYINAnywhere

[3]22/tcp(v6)DENYINAnywhere(v6)

[4]60000:61000/udp(v6)DENYINAnywhere(v6)

哪些會給我們一組這樣的編號規則：

ufw規則狀態

如上所述，規則已編號，因而我們可以使用該數字來去除特定規則：

linuxidc@linuxidc:~/$sudoufwdelete4

即將刪除：

deny60000:61000/udp

要繼續嗎(y|n)？ y

規則已刪除(v6)

啟用與停用UFW：

一旦配置了所有規則並確保一切正確，我們將使用以下命令繼續啟動防火牆：

linuxidc@linuxidc:~/$sudoufwenable

有了這個，我們將使UFW處於活動狀態，並使用我們指定的規則保護聯結。

假如要停用UFW，請鍵入下列指令：

linuxidc@linuxidc:~/$sudoufwdisable

假若因為某種緣由，您要求取消所有適用的規則-

linuxidc@linuxidc:~/$sudoufwreset

總結

這種只是UFW的一些基本配置，我們可以透過它為我們的PC和伺服器添加一層良好的安全性。還有一些中階配置可用於進一步提升安全性或執行某種特定任務。

Untuk maklumat lanjut tentang arahan Linux, sila lihat halaman khas Perintah Linux

Alamat RSS Komune Linux:

以上是如何在伺服器上輕鬆安裝和設定 UFW 防火牆的詳細內容。更多資訊請關注PHP中文網其他相關文章！