Debian Stream 8如何設置防火墻

Debian Stream 8防火墻配置指南（基于UFW與Firewalld）
Debian Stream 8作為Debian的滾動更新分支，默認未安裝防火墻工具，需根據需求選擇合適的工具（UFW更適合簡單配置，Firewalld支持動態區域與服務管理）。以下是詳細配置步驟及注意事項：

一、UFW（Uncomplicated Firewall）配置

UFW是Debian生態中最常用的用戶友好防火墻工具，適合新手快速設置。

1. 安裝UFW

sudo apt update && sudo apt install ufw -y

2. 啟用UFW

sudo ufw enable

系統會提示“Command may disrupt existing ssh connections”，輸入y確認（需確保SSH端口已開放，避免被鎖）。

3. 設置默認策略

默認拒絕所有傳入連接，允許所有傳出連接（符合最小權限原則）：

sudo ufw default deny incoming
sudo ufw default allow outgoing

4. 允許常用服務端口

• SSH（遠程管理，默認22端口）：

  sudo ufw allow ssh  # 或 sudo ufw allow 22/tcp
  

• HTTP（網頁服務，80端口）：

  sudo ufw allow 80/tcp
  

• HTTPS（加密網頁服務，443端口）：

  sudo ufw allow 443/tcp
  

5. 允許特定IP訪問

• 允許某IP（如192.168.1.100）訪問所有端口：

  sudo ufw allow from 192.168.1.100
  

• 允許某IP訪問特定端口（如22端口）：

  sudo ufw allow from 192.168.1.100 to any port 22
  

6. 查看與管理規則

• 查看UFW狀態（簡潔模式）：

  sudo ufw status
  

• 查看詳細規則（包括端口與服務映射）：

  sudo ufw status verbose
  

• 刪除某條規則（如刪除允許80端口的規則）：

  sudo ufw delete allow 80/tcp
  

7. 保存與重載

UFW規則默認持久化（重啟后仍有效），無需手動保存。重載規則以應用變更：

sudo ufw reload

二、Firewalld配置

Firewalld是動態防火墻管理工具，支持“區域（Zone）”與“服務（Service）”概念，適合復雜網絡環境。

1. 安裝Firewalld

sudo apt update && sudo apt install firewalld -y

2. 啟動與啟用Firewalld

sudo systemctl start firewalld
sudo systemctl enable firewalld

3. 查看當前狀態

sudo systemctl status firewalld  # 查看服務狀態
sudo firewall-cmd --state        # 查看防火墻運行狀態（running為運行中）

4. 設置默認區域

默認區域為public（適用于公共網絡），可根據需求修改（如home、work）：

sudo firewall-cmd --set-default-zone=public

5. 允許服務或端口

• 允許服務（如SSH、HTTP）：

  sudo firewall-cmd --zone=public --add-service=ssh --permanent
  sudo firewall-cmd --zone=public --add-service=http --permanent
  sudo firewall-cmd --zone=public --add-service=https --permanent
  

• 允許端口（如8080/tcp）：

  sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent
  

  注：--permanent表示永久生效，需配合reload使用；若省略則僅臨時生效（重啟后失效）。

6. 重載配置

修改規則后需重載以應用變更：

sudo firewall-cmd --reload

7. 查看當前規則

• 查看默認區域的規則：

  sudo firewall-cmd --zone=public --list-all
  

• 查看所有開放端口：

  sudo firewall-cmd --zone=public --list-ports
  

• 查看所有可用服務：

  sudo firewall-cmd --get-services
  

三、安全注意事項

1. 優先開放必要端口：僅允許業務所需的端口（如Web服務的80/443、SSH的22），關閉其他無關端口。
2. 保護SSH連接：
   • 修改SSH默認端口（如2222），減少暴力破解風險；
   • 禁用root遠程登錄（編輯/etc/ssh/sshd_config，設置PermitRootLogin no）；
   • 使用密鑰對認證替代密碼認證。
3. 定期更新規則：根據業務變化及時調整防火墻策略，避免過期規則留下安全隱患。
4. 備份規則：定期備份UFW（/etc/ufw/ufw.conf）或Firewalld（/etc/firewalld/）配置文件，便于故障恢復。
5. 測試規則：在生產環境應用前，通過測試環境驗證規則是否影響正常業務訪問。

通過以上步驟，可快速為Debian Stream 8配置基礎防火墻，提升系統安全性。根據實際需求選擇UFW或Firewalld，復雜場景建議使用Firewalld的區域與服務管理功能。