防火墙(Firewall),也称防护墙。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。UFW或简单防火墙是iptables
的一个接口,旨在简化配置防火墙的过程。虽然iptables
是一个可靠而灵活的工具,但初学者很难学会如何使用它来正确配置防火墙。如果您希望开始保护网络,并且您不确定使用哪种工具,UFW可能是您的正确选择。
本教程将向您展示如何在Ubuntu 14.04上使用UFW设置防火墙。
准备
在开始使用本教程之前,您应该有一个单独的非root超级用户帐户 – 在Ubuntu服务器上设置了sudo权限的用户。您可以通过在Linux系统下给非root用户添加sudo权限了解如何执行此操作。
UFW默认安装在Ubuntu上。如果由于某种原因已卸载它,您可以使用apt-get
命令安装它:
sudo apt-get install ufw
将IPv6与UFW配合使用
如果您的Ubuntu服务器已启用IPv6,请确保将UFW配置为支持IPv6,以便除IPv4之外还管理IPv6的防火墙规则。要执行此操作,请使用您喜欢的编辑器打开UFW配置。我们将使用nano:
sudo nano /etc/default/ufw
然后确保“IPV6”的值为“yes”。它应该如下所示:
... IPV6=yes ...
保存并退出。点击Ctrl-X
退出文件,然后Y
保存您所做的更改,然后ENTER
确认文件名。
启用UFW后,它将配置为同时写入IPv4和IPv6防火墙规则。
本教程是以IPv4编写的,但只要启用它就可以正常使用IPv6。
检查UFW状态和规则
您可以随时使用以下命令检查UFW的状态:
sudo ufw status verbose
默认情况下,UFW已禁用,因此您应该看到如下内容:
Status: inactive
如果UFW处于活动状态,则输出将表明它处于活动状态,并且它将列出所有已设置的规则。例如,如果防火墙设置为允许来自任何地方的SSH(端口22)连接,则输出可能如下所示:
Status: active Logging: on (low) Default: deny (incoming), allow (outgoing), disabled (routed) New profiles: skip To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere
因此,如果您需要检查UFW如何配置防火墙,请使用status命令。
在启用UFW之前,我们需要确保将防火墙配置为允许您通过SSH进行连接。让我们从设置默认策略开始。
设置默认策略
如果您刚刚开始使用防火墙,则要定义的第一个规则是您的默认策略。这些规则控制如何处理未明确匹配任何其他规则的流量。默认情况下,UFW设置为拒绝所有传入连接并允许所有传出连接。这意味着任何试图访问您的云服务器的人都无法连接,而服务器中的任何应用程序都可以访问外部世界。
让我们将您的UFW规则设置回默认值,以便我们确保您能够按照本教程进行操作。要设置UFW使用的默认值,请使用以下命令:
sudo ufw default deny incoming sudo ufw default allow outgoing
您可能已经猜到,这些命令将默认值设置为拒绝传入并允许传出连接。这些防火墙默认值本身可能足以满足个人计算机的要求,但服务器通常需要响应来自外部用户的传入请求。我们接下来会调查一下。
允许SSH连接
如果我们现在启用了我们的UFW防火墙,它将拒绝所有传入的连接。这意味着我们需要创建明确允许合法传入连接的规则 – 例如SSH或HTTP连接 – 如果我们希望服务器响应这些类型的请求。如果您使用的是云服务器,则可能需要允许传入的SSH连接,以便连接和管理服务器。
要将服务器配置为允许传入SSH连接,可以使用此UFW命令:
sudo ufw allow ssh
这将创建防火墙规则,允许端口22上的所有连接,这是SSH守护程序侦听的端口。UFW知道什么是“ssh”,以及一堆其他服务名称,意味着因为它被列为在/etc/services
文件中使用端口22的服务。
我们实际上可以通过指定端口而不是服务名来编写等效规则。例如,此命令与上面的命令相同:
sudo ufw allow 22
如果将SSH守护程序配置为使用其他端口,则必须指定相应的端口。例如,如果SSH服务器正在侦听端口2222,则可以使用此命令允许该端口上的连接:
sudo ufw allow 2222
现在您的防火墙已配置为允许传入SSH连接,我们可以启用它。
启用UFW
要启用UFW,请使用以下命令:
sudo ufw enable
您将收到一条警告,指出“命令可能会破坏现有的ssh连接”。我们已经设置了允许SSH连接的防火墙规则,因此可以继续使用。回复提示y
。
防火墙现在处于活动状态。随意运行sudo ufw status verbose
命令以查看已设置的规则。
允许其他连接
现在,您应该允许服务器需要响应的所有其他连接。您应该允许的连接取决于您的特定需求。幸运的是,您已经知道如何编写允许基于服务名称或端口的连接的规则 – 我们已经在端口22上为SSH做了这个。
我们将展示您可能需要允许的一些非常常见的服务示例。如果您有其他任何要允许所有传入连接的服务,请遵循以下格式。
HTTP端口80
使用此命令可以允许HTTP连接,即未加密的Web服务器使用的连接:
sudo ufw allow http
如果您更愿意使用端口号80,请使用以下命令:
sudo ufw allow 80
HTTPS端口443
可以使用以下命令允许HTTPS连接(加密Web服务器使用的连接):
sudo ufw allow https
如果您更愿意使用端口号443,请使用以下命令:
sudo ufw allow 443
FTP端口21
FTP连接,用于未加密的文件传输(您可能不应该使用它),可以使用此命令:
sudo ufw allow ftp
如果您更愿意使用端口号21,请使用以下命令:
sudo ufw allow 21/tcp
允许特定端口范围
您可以使用UFW指定端口范围。某些应用程序使用多个端口,而不是单个端口。
例如,要允许使用端口6000-6007的X11连接,请使用以下命令:
sudo ufw allow 6000:6007/tcp sudo ufw allow 6000:6007/udp
使用UFW指定端口范围时,必须指定规则应适用的协议(tcp
或udp
)。我们之前没有提到这一点,因为没有指定协议只允许两种协议,这在大多数情况下都可以。
允许特定IP地址
使用UFW时,您还可以指定IP地址。例如,如果要允许来自特定IP地址的连接,例如工作或家庭IP地址15.15.15.51
,则需要指定“from”,然后指定IP地址:
sudo ufw allow from 15.15.15.51
您还可以通过添加“到任意端口”后跟端口号来指定允许IP地址连接的特定端口。例如,如果要允许15.15.15.51
连接到端口22(SSH),请使用以下命令:
sudo ufw allow from 15.15.15.51 to any port 22
允许子网
如果要允许IP地址子网,可以使用CIDR表示法指定网络掩码。例如,如果你想允许从15.15.15.1
到15.15.15.254
的所有IP地址范围,你可以使用这个命令:
sudo ufw allow from 15.15.15.0/24
同样,您也可以指定15.15.15.0/24
允许子网连接的目标端口。同样,我们将使用端口22(SSH)作为示例:
sudo ufw allow from 15.15.15.0/24 to any port 22
允许连接到特定网络接口
如果要创建仅适用于特定网络接口的防火墙规则,可以通过指定“允许接通”,然后指定网络接口的名称来执行此操作。
您可能希望在继续之前查找网络接口。为此,请使用以下命令:
ip addr
输出如下:
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state ... 3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default ...
网络接口名称通常被命名为“eth0”或“eth1”。
因此,如果您的服务器调用了公共网络接口eth0
,则可以使用以下命令允许HTTP流量(端口80):
sudo ufw allow in on eth0 to any port 80
这样做将允许您的服务器从公共Internet接收HTTP请求。
或者,如果您希望MySQL数据库服务器(端口3306)侦听专用网络接口上的连接eth1
,例如,您可以使用此命令:
sudo ufw allow in on eth1 to any port 3306
这将允许专用网络上的其他服务器连接到MySQL数据库。
否认连接
如果尚未更改传入连接的默认策略,则UFW配置为拒绝所有传入连接。通常,这会通过要求您创建明确允许特定端口和IP地址的规则来简化创建安全防火墙策略的过程。但是,有时您会希望根据源IP地址或子网拒绝特定连接,可能是因为您知道您的服务器正在受到攻击。此外,如果要将默认传入策略更改为允许(出于安全考虑而不建议这样做),则需要为不希望允许连接的任何服务或IP地址创建拒绝规则。
要编写拒绝规则,您可以使用我们上面描述的命令,除非您需要将“allow”替换为“deny”。
例如,要拒绝HTTP连接,您可以使用以下命令:
sudo ufw deny http
或者,如果要拒绝来自15.15.15.51
您的所有连接,可以使用以下命令:
sudo ufw deny from 15.15.15.51
如果您在编写任何其他拒绝规则时需要帮助,请查看先前的允许规则并相应地更新它们。
现在让我们来看看如何删除规则。
删除规则
了解如何删除防火墙规则与了解如何创建防火墙规则同样重要。有两种不同的方式可以指定要删除的规则:按规则编号或实际规则(类似于创建规则时指定的规则)。我们将从规则编号方法删除开始,因为与写入要删除的实际规则相比,如果您是UFW新手,则更容易。
按规则编号
如果您使用规则编号删除防火墙规则,那么您要做的第一件事就是获取防火墙规则列表。UFW status命令可以选择显示每个规则旁边的数字,如下所示:
sudo ufw status numbered Numbered Output:Status: active To Action From -- ------ ---- [ 1] 22 ALLOW IN 15.15.15.0/24 [ 2] 80 ALLOW IN Anywhere
如果我们决定要删除允许端口80(HTTP)连接的规则2,我们可以在UFW删除命令中指定它,如下所示:
sudo ufw delete 2
这将显示确认提示,然后删除规则2,允许HTTP连接。请注意,如果启用了IPv6,则还需要删除相应的IPv6规则。
按实际规则
规则编号的替代方法是指定要删除的实际规则。例如,如果要删除“allow http”规则,可以这样写:
sudo ufw delete allow http
您还可以通过“允许80”而不是服务名称来指定规则:
sudo ufw delete allow 80
此方法将删除IPv4和IPv6规则(如果存在)。
如何禁用UFW(可选)
如果您因任何原因决定不想使用UFW,可以使用以下命令禁用它:
sudo ufw disable
您使用UFW创建的任何规则将不再处于活动状态。如果以后需要激活,可以随时运行sudo ufw enable
。
重置UFW规则(可选)
如果您已经配置了UFW规则但是您决定要重新开始,则可以使用reset命令:
sudo ufw reset
这将禁用UFW并删除先前定义的任何规则。请注意,如果您在任何时候修改了默认策略,默认策略都不会更改为原始设置。这应该会让你重新开始使用UFW。
结论
您的防火墙现在应配置为允许(至少)SSH连接。确保允许服务器的任何其他传入连接,同时限制任何不必要的连接,以使您的服务器功能安全。