在Ubuntu 14.04上配置简单的防火墙（UFW）

• 安装UFW
• 允许连接
• 拒绝连接
• 允许从受信任的IP地址访问
• 启用UFW
• 检查UFW状态
• 禁用/重新加载/重启UFW
• 删除规则
• 启用IPv6支持
• 返回默认设置
• 结论

当您运行自己的服务器时，安全性至关重要。您要确保只有授权用户才能访问您的服务器，配置和服务。

在Ubuntu中，预装了防火墙。它被称为UFW（非复杂防火墙）。尽管UFW是一个非常基本的防火墙，但是它易于使用，擅长过滤流量并具有良好的文档记录。一些基本的Linux知识应该足以自行配置此防火墙。

安装UFW

请注意，UFW通常默认情况下安装在Ubuntu中。但是，如果有的话，您可以自己安装它。要安装UFW，请运行以下命令。

sudo apt-get install ufw

允许连接

如果您正在运行Web服务器，则显然希望全世界都能够访问您的网站。因此，您需要确保Web的默认TCP端口是打开的。

sudo ufw allow 80/tcp

通常，可以使用以下格式来允许您需要的任何端口：

sudo ufw allow <port>/<optional: protocol>

拒绝连接

如果您需要拒绝访问某个端口，请使用以下命令：

sudo ufw deny <port>/<optional: protocol>

例如，让我们拒绝访问默认的MySQL端口。

sudo ufw deny 3306

UFW还支持最常用服务端口的简化语法。

root@127:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

强烈建议限制从受信任IP地址（例如办公室或家庭）以外的任何地方访问SSH端口（默认为端口22）。

允许从受信任的IP地址访问

通常，您只需要允许访问诸如端口80之类的公共开放端口。需要限制对其他所有端口的访问。您可以将家庭/办公室IP地址（最好是静态IP）列入白名单，以便能够通过SSH或FTP访问服务器。

sudo ufw allow from 192.168.0.1 to any port 22

让我们也允许访问MySQL端口。

sudo ufw allow from 192.168.0.1 to any port 3306

现在看起来更好。让我们继续。

启用UFW

在启用（或恢复）UFW之前，您需要确保允许SSH端口从您的IP地址接收连接。要启动/启用UFW防火墙，请使用以下命令：

sudo ufw enable

您将看到：

root@127:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

键入Y，然后按Enter键启用防火墙。

Firewall is active and enabled on system startup

检查UFW状态

看一看您的所有规则。

sudo ufw status

您将看到类似于以下的输出。

sudo ufw status
Firewall loaded

To                         Action  From
--                         ------  ----
22:tcp                     ALLOW   192.168.0.1
22:tcp                     DENY    ANYWHERE

使用“详细”参数可以查看更详细的状态报告。

sudo ufw status verbose

禁用/重新加载/重启UFW

要禁用（停止）UFW，请运行此命令。

sudo ufw disable

如果需要重新加载UFW（重新加载规则），请运行以下命令。

sudo ufw reload

为了重新启动UFW，您需要先将其禁用，然后再将其启用。

sudo ufw disable
sudo ufw enable

同样，在启用UFW之前，请确保您的IP地址允许使用SSH端口。

删除规则

要管理您的UFW规则，您需要列出它们。您可以通过使用参数“ numbered”检查UFW状态来做到这一点。您将看到类似于以下的输出。

root@127:~$ sudo ufw status numbered
Status: active

To                              Action      From
--                              ------      ----
[ 1] 22                         ALLOW IN    192.168.0.1
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 3306                       ALLOW IN    192.168.0.1
[ 4] 22                         DENY IN     Anywhere

注意到方括号中的数字了吗？现在，要删除任何这些规则，您将需要使用这些数字。

sudo ufw delete [number]

启用IPv6支持

如果在VPS上使用IPv6，则需要确保在UFW中启用了IPv6支持。为此，请在文本编辑器中打开配置文件。

sudo nano /etc/default/ufw

打开后，请确保将IPV6其设置为“是”：

IPV6=yes

进行此更改后，保存文件。然后，通过禁用并重新启用UFW重新启动它。

sudo ufw disable
sudo ufw enable

返回默认设置

如果您需要返回默认设置，只需键入以下命令。这将还原您所做的任何更改。

sudo ufw reset

结论

总体而言，UFW能够保护您的VPS免受最常见的黑客攻击。当然，您的安全措施应该比仅使用UFW更详细。但是，这是一个很好的（也是必要的）开始。

如果您需要更多使用UFW的示例，请参考UFW-社区帮助Wiki。