Ubuntu防火墙最佳实践指南

Ubuntu 防火墙最佳实践指南

一基础安全策略与启用步骤

二常见场景规则模板

Web 服务器（HTTP/HTTPS）：
- sudo ufw allow http 或 sudo ufw allow 80/tcp
- sudo ufw allow https 或 sudo ufw allow 443/tcp
- 或使用应用配置：sudo ufw allow 'Nginx Full' / sudo ufw allow 'Apache Full'
数据库（仅内网或跳板机访问）：
- MySQL：sudo ufw allow from 192.168.1.100 to any port 3306
- PostgreSQL：sudo ufw allow from 192.168.1.100 to any port 5432
自定义应用端口与端口范围：
- 单端口：sudo ufw allow 3000/tcp
- 范围：sudo ufw allow 8000:8010/tcp
按来源 IP/网段与协议精确放行：
- 子网：sudo ufw allow from 192.168.1.0/24 to any port 80 proto tcp
按网络接口限制：
- sudo ufw allow in on eth0 to any port 80
按需拒绝（不建议作为常态策略）：
- sudo ufw deny 23/tcp（示例：关闭 Telnet）
  以上模板覆盖大多数服务器角色，遵循“最小暴露面”的原则。

三加固与运维要点

防暴力破解：对 SSH 启用速率限制，sudo ufw limit ssh（或 sudo ufw limit 22/tcp），在 30 秒内超过 6 次连接尝试将临时拒绝该来源，有效减缓自动化攻击。
日志与审计：开启日志 sudo ufw logging on，推荐级别 sudo ufw logging medium；日志位于 /var/log/ufw.log，可用 grep "DPT" /var/log/ufw.log | grep "DROP" 查看被拒连接，结合 Fail2Ban 做自动封禁与告警。
规则管理：
- 查看带编号规则：sudo ufw status numbered（便于精准删除）
- 删除规则：sudo ufw delete <编号> 或 sudo ufw delete allow 80/tcp
- 重置配置：sudo ufw reset（会禁用并清空规则，操作前确保有控制台/带外访问）
变更流程：先 sudo ufw show added 预览，低峰期变更，保留回滚方案，变更后再次 status verbose 核对。
这些做法提升可运维性与可观测性，降低误配置风险。

四进阶场景与注意事项

严格模式（可选）：在受控环境下可将默认出站设为拒绝 sudo ufw default deny outgoing，再按需放行（如 DNS/HTTPS/软件源），务必先在测试环境验证，避免业务中断。
禁用 ICMP（Ping）：sudo ufw deny proto icmp 可降低探测可见性，但可能影响网络诊断与健康检查，生产环境需评估后再用。
冲突与持久化：启用前确认未与 iptables-persistent 或 firewalld 并存；UFW 规则默认随系统启动，无需额外持久化步骤。
双栈一致性：保持 IPV6=yes，一条规则同时生成 IPv4/IPv6 版本，避免遗漏。
云环境与控制台：部分云平台提供安全组/网络 ACL，需与 UFW 策略协同，始终保留控制台/带外访问通道以便紧急恢复。
以上进阶项用于特定安全与合规需求，实施前应充分测试与评审。

最新问答