Debian/Ubuntu防火墙UFW配置终极指南：安全又省资源

还在为复杂的iptables语法头疼？这条防火墙规则就能守护你的服务器安全！

本文详细介绍如何在Debian 10+和Ubuntu 20.04+系统上使用UFW（Uncomplicated Firewall）配置防火墙。UFW是这些系统推荐的防火墙管理工具，它提供了简单易用的接口来管理iptables规则。

本文将带你从安装到高级配置，一步步搭建一个既安全又省资源的防火墙系统，特别针对需要开放SSH、HTTP、HTTPS及自定义端口的用户。

1. UFW防火墙：为什么它是你的服务器安全首选

UFW（Uncomplicated Firewall）是Ubuntu和Debian系统上的一款防火墙配置工具，旨在简化iptables的管理工作。它通过用户友好的命令行为系统管理员提供了足够的网络安全控制能力，而无需记忆复杂的iptables语法。

UFW的主要优势包括：

• 简单易用：使用allow、deny这样的简单命令管理规则。
• 轻量省资源：作为iptables的前端，本身资源消耗极低，规则效率与直接使用iptables无异。
• 灵活强大：支持端口、协议、IP地址、速率限制等精细控制。

对于绝大多数Debian/Ubuntu服务器用户来说，UFW在易用性、功能和资源消耗之间取得了最佳平衡。除非你有非常特殊的网络规则需求，否则UFW应该是你的首选。

2. 准备工作与安装UFW

在开始配置之前，请确保你已通过SSH连接到你的服务器，并具有sudo权限。

安装UFW（通常系统已预装，但确保最新）：

sudo apt update
sudo apt install ufw -y

重要警告：在启用UFW之前，务必先放行你当前的SSH连接端口（通常是22端口或你自定义的SSH端口）。否则，启用防火墙后可能会被锁在服务器外面！

3. 初始配置与默认策略设置

合理的默认策略是防火墙安全的基石。

# 设置默认策略：拒绝所有传入连接，允许所有传出连接
sudo ufw default deny incoming
sudo ufw default allow outgoing

这条命令确保了：任何未被明确允许的入站连接都会被拒绝，而服务器发起的出站连接则不受限制。这遵循了”最小权限原则“，大大增强了服务器的安全性。

4. 开放常用端口：SSH, HTTP, HTTPS及自定义端口

现在，根据你的需求开放必要的端口。务必首先放行你的SSH端口！

4.1 放行标准服务端口

# 放行SSH端口（22端口）- 如果你使用默认SSH端口
sudo ufw allow 22/tcp

# 放行HTTP（80端口）和HTTPS（443端口）用于Web服务
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

4.2 放行自定义端口（如12345和54321）

# 放行你指定的自定义端口
sudo ufw allow 12345/tcp
sudo ufw allow 54321/tcp

说明：

• allow：表示允许连接。
• 12345/tcp：表示TCP协议的12345端口。如果你需要UDP协议，请替换为udp。
• 如果需要同时允许TCP和UDP，可以省略协议说明，直接使用sudo ufw allow 12345。

4.3 （推荐）增强SSH安全：限制IP访问或更改端口

向全世界完全开放SSH端口（22）会面临大量的暴力破解尝试。有两种增强安全性的方法：

方法A：限制特定IP访问SSH（更安全）
如果你有固定的公网IP（例如办公室或家的IP），可以只允许该IP连接SSH：

# 将192.168.1.100替换为你实际的固定IP地址
sudo ufw allow from 192.168.1.100 to any port 22 proto tcp

方法B：使用非标准SSH端口（次之）
如果你没有固定IP，使用非标准端口（如你提到的12345或54321）可以减少自动化脚本的扫描攻击。在放行自定义端口后，你还需要修改SSH服务的配置文件（/etc/ssh/sshd_config）中的Port指令，并重启SSH服务。

5. 启用UFW并验证规则

在配置完所有规则后，就可以启用UFW了。

# 启用UFW
sudo ufw enable

系统可能会提示操作”可能会中断现有的SSH连接”，因为你已经配置了SSH规则，所以输入y确认即可。

验证防火墙状态和规则：
启用后，检查状态以确保所有配置正确生效。

# 查看状态
sudo ufw status verbose

输出应该显示为”Status: active”，并列出所有你允许的端口规则。

6. UFW常用管理命令

• 禁用UFW：sudo ufw disable
• 重置UFW（恢复初始状态）：sudo ufw reset
• 删除某条规则：
  1. 首先查看带编号的规则：sudo ufw status numbered
  2. 根据编号删除规则：sudo ufw delete [编号]
• 允许特定范围的端口：sudo ufw allow 51000:60000/tcp
• 拒绝某个端口的访问：sudo ufw deny 80/tcp

7. 高级技巧与最佳实践

1. 速率限制：对SSH等服务的连接请求进行速率限制，有助于防止暴力破解。

   sudo ufw limit ssh/tcp comment 'Limit SSH Bruteforce'
   

2. 记录日志：可以开启UFW的日志记录功能以便监控和调试。

   sudo ufw logging on
   

   日志通常位于/var/log/ufw.log。

3. 结合Fail2ban：对于生产服务器，强烈建议安装fail2ban。它能够监控系统日志，当发现恶意登录尝试时，自动调用UFW封禁攻击者的IP地址。
4. 定期审查规则：每隔一段时间，使用sudo ufw status检查一下已开放的规则，关闭不再需要的服务端口。

8. 可能遇到的问题及排查方法

• 启用UFW后无法连接SSH：很可能是因为没有正确放行SSH端口。你需要通过服务商的VNC控制台等方式登录服务器，禁用UFW（sudo ufw disable），然后重新检查并添加正确的SSH规则。
• 服务无法访问：检查规则是否添加正确（协议TCP/UDP、端口号），以及是否已经ufw enable。
• 规则不生效：确认修改后是否需要重新加载某个服务，或者尝试重启UFW（通常不需要）。

遵循本教程，你就能在Debian或Ubuntu服务器上快速搭建一个安全、高效且资源占用极低的防火墙系统。UFW的简单性使其成为大多数应用场景的理想选择。

版权信息：本文由万事屋原创发布，转载请保留出处。