Ubuntu虛擬機防火墻配置教程

Ubuntu虛擬機防火墻（UFW）配置教程

UFW（Uncomplicated Firewall）是Ubuntu系統默認的防火墻管理工具，基于iptables/nftables實現，提供了簡單易用的命令行接口，適合新手快速配置防火墻規則。以下是詳細配置步驟：

1. 安裝UFW

多數Ubuntu系統（如22.04及以上版本）已預裝UFW，若未安裝，可通過以下命令安裝：

sudo apt update  # 更新軟件包索引
sudo apt install ufw  # 安裝UFW

2. 啟用UFW

安裝完成后，使用以下命令啟用UFW：

sudo ufw enable

系統會提示“Command may disrupt existing ssh connections. Proceed with operation? (y/n)”，輸入y并回車確認。啟用后，UFW會隨系統啟動自動加載。

3. 配置默認策略

默認策略決定了未明確允許的流量如何處理，建議設置為拒絕所有入站、允許所有出站（平衡安全性與便利性）：

sudo ufw default deny incoming  # 拒絕所有傳入連接
sudo ufw default allow outgoing  # 允許所有傳出連接

4. 添加防火墻規則

允許特定端口

• 允許TCP協議的80端口（HTTP）：

  sudo ufw allow 80/tcp
  

• 允許UDP協議的53端口（DNS）：

  sudo ufw allow 53/udp
  

允許特定服務

UFW內置了常見服務的規則（如SSH、HTTP、HTTPS），可直接通過服務名添加：

sudo ufw allow ssh  # 允許SSH服務（默認端口22）
sudo ufw allow http  # 允許HTTP服務（端口80）
sudo ufw allow https  # 允許HTTPS服務（端口443）

允許特定IP地址

• 允許單個IP（如192.168.1.100）訪問所有端口：

  sudo ufw allow from 192.168.1.100
  

• 允許單個IP訪問特定端口（如22端口）：

  sudo ufw allow from 192.168.1.100 to any port 22
  

允許特定子網

• 允許192.168.0.0/24子網訪問所有端口：

  sudo ufw allow from 192.168.0.0/24
  

5. 刪除防火墻規則

根據規則內容刪除

• 刪除允許80/tcp端口的規則：

  sudo ufw delete allow 80/tcp
  

根據規則編號刪除

• 先查看規則編號：

  sudo ufw status numbered
  

• 刪除編號為3的規則（假設編號3是允許SSH的規則）：

  sudo ufw delete 3
  

6. 查看防火墻狀態

• 查看簡要狀態（僅顯示規則概要）：

  sudo ufw status
  

• 查看詳細狀態（包含規則編號、端口/服務等詳細信息）：

  sudo ufw status verbose
  

• 查看帶編號的詳細規則（便于刪除操作）：

  sudo ufw status numbered
  

7. 禁用UFW

若需臨時關閉防火墻（如排查網絡問題），可使用以下命令：

sudo ufw disable

8. 重置UFW配置

若配置錯誤或需要重新開始，可重置UFW（清除所有規則并恢復默認狀態）：

sudo ufw reset

9. 可選：啟用日志記錄

啟用日志記錄可跟蹤防火墻攔截的流量（日志文件路徑：/var/log/ufw.log）：

sudo ufw logging on  # 開啟日志
sudo ufw logging off  # 關閉日志

注意事項：

• 配置規則前，確保已允許SSH連接（sudo ufw allow ssh），否則可能導致無法遠程登錄。
• 修改規則后，無需重啟UFW，規則會立即生效。
• 生產環境中，建議根據實際需求細化規則（如僅允許必要端口、限制IP范圍），避免過度開放權限。