如何在服务器上轻松安装和配置 UFW 防火墙

在管理服务器时，必须配置以降低其安全性的第一件事是配置防火墙，辛运的是在Linux中包含一个名为Iptables的默认设置，并且这个防火墙好多人觉得配置和管理有点复杂。有更简单的代替品可供使用，比如UFW。

UFW实际上是包含Linux的Iptables防火墙的CLI或命令行界面，该界面为我们提供了一种更简单的方式来管理和配置Iptables。对于UFW，甚至还有一个名为GUFW的GUI或图形界面，我们可以在桌面PC或电脑笔记本上使用它来管理和配置防火墙。

在服务器上安装UFW

要安装它linux怎么查看防火墙，只需将命令写入终端-

linuxidc@linuxidc:~/$sudoapt-getinstallufw

默认情况下，UFW在安装后被禁用linux怎么查看防火墙，因而我们可以使用命令查看其状态-

linuxidc@linuxidc:~/$sudoufwstatusverbose

状态：不活动

UFW的基本配置

我们可以在UFW中使用的一些基本配置来确保我们的服务器。

默认规则：

顾名思义查看linux是什么系统，默认规则是一系列易于配置防火墙的标准规则，这种规则容许我们指定是否要准许或拒绝传入流量或传出流量，以及其他一些规则。

事实上使用GUFW的特别好的配置几乎不安装在PC上，它是拒绝所有传入流量并准许传出流量。

我们可以使用以下命令进行调整：

linuxidc@linuxidc:~/$sudoufwdefaultdenyincoming

默认的incoming策略修改为“deny”

（请相应地更新你的防火墙规则）

拒绝所有传入的流量。

linuxidc@linuxidc:~/$sudoufwdefaultallowoutgoing

默认的outgoing策略修改为“allow”

（请相应地更新你的防火墙规则）

有了这两种配置，PC就可以得到挺好的保护，而且假如我们想提升安全性linux解压rar，我们也可以拒绝传出流量以获得更高的安全性，其实缺点是你必须晓得什么应用须要一个出站流量规则才能正常运行。

容许联接：

假定我们在服务器上配置防火墙并拒绝所有传入流量。我们怎样通过SSH远程联接到它？我们须要应用容许我们联接到端口22的规则。

因此，我们使用选项allow，并指定我们希望容许传入流量的端口及其使用的TCP合同：

linuxidc@linuxidc:~/$sudoufwallow22/tcp

防火墙规则已更新

规则已更新(v6)

UFW附送了一些我们可以按其名称使用的预设规则，比如，上一个命令尝试打开已知用作SSH联接的端口的端口22，也可以使用以下命令启用此规则：

linuxidc@linuxidc:~/$sudoufwallowssh

跳过添加早已存在的规则

跳过添加早已存在的规则(v6)

以同样的方法，我们可以使用其他预先构建的规则来处理已知服务，比如使用端口80的HTTP，使用端口443的HTTPS等。

港口范围：

您也可能希望除了容许传入流量到端口，但是容许其中的一系列传输流量，比如，Mosh应用程序可能须要从端口60000到合同的61000的端口范围。开udp。

我们可以通过输入以下下这样的命令来应用它：

linuxidc@linuxidc:~/$sudoufwallow60000:61000/udp

防火墙规则已更新

规则已更新(v6)

拒绝联接：

与我们容许传入联接的方法相同，我们可以拒绝这种联接。

假定我们有一个容许所有传入流量的默认规则（不推荐），但我们只想拒绝某个端口的传入流量，我们可以应用这样的配置：

linuxidc@linuxidc:~/$sudoufwdeny22/tcp

防火墙规则已更新

规则已更新(v6)

以同样的方法，我们可以做到拒绝一个端口范围。

linuxidc@linuxidc:~/$sudoufwdeny60000:61000/udp

防火墙规则已更新

规则已更新(v6)

删掉规则：

假定我们已将SSH服务器配置为使用端口2222而不是原先打开的22端口，我们应当删掉容许端口的原本规则22.这可以使用以下命令完成：

sudoufwdeleteallow22/tcp

以类似的形式，假如它是一系列端口，我们可以这样做：

sudoufwdeleteallow60000:61000/udp

比如，假如我们有一组用UFW完善的规则，我们想要去除它们但不晓得怎样执行这些去除，由于它是某种复杂的规则，我们可以用命令列举它们：

linuxidc@linuxidc:~/$sudoufwstatusnumbered

状态：激活

至动作来自

-----

[1]22/tcpDENYINAnywhere

[2]60000:61000/udpDENYINAnywhere

[3]22/tcp(v6)DENYINAnywhere(v6)

[4]60000:61000/udp(v6)DENYINAnywhere(v6)

哪些会给我们一组这样的编号规则：

ufw规则状态

如上所述，规则已编号，因而我们可以使用该数字来去除特定规则：

linuxidc@linuxidc:~/$sudoufwdelete4

即将删掉：

deny60000:61000/udp

要继续吗(y|n)？y

规则已删掉(v6)

激活和停用UFW：

一旦配置了所有规则并确保一切正确，我们将使用以下命令继续激活防火墙：

linuxidc@linuxidc:~/$sudoufwenable

有了这个，我们将使UFW处于活动状态，并使用我们指定的规则保护联接。

假如要禁用UFW，请键入以下命令：

linuxidc@linuxidc:~/$sudoufwdisable

假若因为某种缘由，您要求取消所有适用的规则-

linuxidc@linuxidc:~/$sudoufwreset

总结

这种只是UFW的一些基本配置，我们可以通过它为我们的PC和服务器添加一层良好的安全性。还有一些中级配置可用于进一步提升安全性或执行某种特定任务。

更多Linux命令相关信息见Linux命令大全专题页面

Linux公社的RSS地址：