Debian防火墙更新维护

Debian 防火墙更新与维护手册

一 维护总览与准备

• 明确管理工具：Debian 常见为 ufw（易用）与 iptables/nftables（灵活）；若使用 firewalld，其命令与 ufw/iptables 不同，切勿混用。
• 变更前先备份：导出当前规则，便于快速回滚。
• 变更窗口与回滚预案：选择低峰时段，准备临时放宽策略或带外访问通道，确保 SSH 不因规则变更中断。
• 基线检查：记录当前状态（规则、服务、端口），变更后逐项核对。

二 规则更新与持久化

• 使用 ufw（推荐）
  • 安装与启用：sudo apt install ufw；sudo ufw enable。
  • 常用操作：
    • 放行端口：sudo ufw allow **22/tcp**（SSH）、sudo ufw allow **80/tcp**、sudo ufw allow **443/tcp**；范围端口 sudo ufw allow **10000:20000/tcp**。
    • 删除规则：sudo ufw delete allow **22/tcp** 或按编号删除。
    • 重新加载：sudo ufw reload；查看状态：sudo ufw status verbose。
• 使用 iptables（传统方式）
  • 安装与规则示例：
    • 放行端口：sudo iptables -I INPUT -p tcp --dport **8080** -j ACCEPT；端口段 sudo iptables -A INPUT -p tcp --dport **51000:60000** -j ACCEPT。
  • 持久化与自动加载：
    • 保存：sudo iptables-save > **/etc/iptables/rules.v4**。
    • 开机加载：
      • 方案 A（推荐）：安装 netfilter-persistent，sudo netfilter-persistent save && sudo netfilter-persistent start，规则自动在启动时恢复。
      • 方案 B：在 /etc/network/if-pre-up.d/iptables 写入 #!/bin/bash /sbin/iptables-restore < /etc/iptables/rules.v4 并 chmod +x。
• 使用 firewalld（如已部署）
  • 启动与开机自启：sudo systemctl start firewalld && sudo systemctl enable firewalld。
  • 规则示例：sudo firewall-cmd --permanent --add-port=**8080/tcp**；sudo firewall-cmd --reload。
• 重要提示：若系统已使用 nftables 作为后端，请优先使用 nft 语法或相应持久化机制，避免与 iptables 规则冲突。

三 软件包更新与升级

• 常规更新：sudo apt update && sudo apt upgrade，确保防火墙相关组件（如 ufw、iptables、nftables、firewalld）处于最新安全版本。
• 仅升级防火墙组件：
  • iptables：sudo apt install --only-upgrade iptables。
  • ufw：sudo apt install --only-upgrade ufw。
  • firewalld：sudo apt install --only-upgrade firewalld。
• 升级后验证：
  • 查看状态：sudo ufw status verbose 或 sudo iptables -L -n -v。
  • 确认规则已恢复：sudo iptables-restore -c < /etc/iptables/rules.v4（对比计数器/规则是否一致）。
• 内核/系统更新后：建议重启以加载可能更新的 netfilter 内核模块，并再次校验规则生效。

四 日常维护与加固

• 安全基线：保持系统与安全补丁更新；为 SSH 启用密钥登录、禁用 root 远程登录 与空密码；强化密码策略。
• 变更审计与回滚：每次规则变更前导出规则快照；变更后在日志中核查是否出现异常拒绝或连接中断。
• 日志与监控：启用并集中分析系统日志（如 Syslog/rsyslog），对端口扫描、暴力登录等进行告警。
• 自动化与安全运维：
  • 配置 unattended-upgrades 自动安装安全更新：sudo apt-get install unattended-upgrades && sudo dpkg-reconfigure unattended-upgrades。
  • 结合 fail2ban 等工具自动封禁恶意来源 IP，降低暴力破解风险。

五 快速排错清单

• 无法 SSH 连接：
  • 临时放行：sudo ufw allow **22/tcp** 或 sudo iptables -I INPUT -p tcp --dport **22** -j ACCEPT；必要时在控制台放行并验证。
  • 变更后执行 sudo ufw reload 或 sudo iptables-restore < /etc/iptables/rules.v4。
• 规则未持久化：
  • 确认已执行 iptables-save；如使用 netfilter-persistent，执行 sudo netfilter-persistent save 并检查服务是否启用。
• 服务未运行：
  • ufw：sudo systemctl status ufw；firewalld：sudo systemctl status firewalld；netfilter-persistent：sudo systemctl status netfilter-persistent。
• 端口仍不通：
  • 核对监听地址与端口：ss -tulpen | grep <端口>；云服务器需同时检查安全组/云防火墙策略。
• 工具混用导致冲突：
  • 避免同时启用 ufw 与 firewalld；若切换后端，先清理旧规则再启用新工具。