Debian防火墙在云环境应用

Debian防火墙在云环境的应用

一 架构与原则

• 云上访问通常经过多层控制：云平台的安全组/VPC网络ACL是第一道关卡，随后才到达实例内的操作系统防火墙（如 UFW）。两者是“与”关系，必须同时放行，流量才能到达应用。变更前遵循“先放行，后启用”，并准备备用通道（如已建立的 SSH 会话或控制台）以避免失联。Debian 上常用 UFW 管理防火墙，亦可选用 nftables/iptables 直接配置。

二 快速上手 UFW 在 Debian

• 安装与启用
  • 安装：sudo apt update && sudo apt install ufw -y
  • 放行管理通道：sudo ufw allow ssh（或明确指定端口：sudo ufw allow 22/tcp）
  • 启用：sudo ufw enable（启用前务必已放行 SSH，避免远程断开）
• 常用规则
  • 按服务：sudo ufw allow http、sudo ufw allow https
  • 按端口：sudo ufw allow 3306/tcp
  • 按来源/IP：sudo ufw allow from 203.0.113.10 to any port 22 proto tcp
  • 按子网：sudo ufw allow from 192.168.1.0/24 to any port 80 proto tcp
  • 限速防暴破：sudo ufw limit ssh（默认每分钟 6 次，可自定义：sudo ufw limit 22/tcp rate 10/minute）
• 运维与审计
  • 查看状态：sudo ufw status 或 sudo ufw status numbered
  • 删除规则：sudo ufw delete <rule_number> 或 sudo ufw delete allow 22/tcp
  • 日志：sudo ufw logging on，日志路径 /var/log/ufw.log，可用 grep "UFW BLOCK" /var/log/ufw.log 过滤阻断事件。

三 云上最小权限配置示例

• 场景：Nginx 对外提供 Web，仅开放 HTTP/HTTPS；SSH 仅允许运维网段；数据库 3306 仅内网访问。
• 安全组（云侧，示例）
  • 入方向：放行 TCP 22（运维网段 CIDR）、TCP 80/443（0.0.0.0/0 或业务需要）
  • 入方向：按需放行 TCP 3306（仅内网 CIDR）
• 操作系统防火墙（Debian/UFW）
  • 基础：sudo ufw default deny incoming、sudo ufw default allow outgoing
  • 放行：sudo ufw allow http、sudo ufw allow https
  • 运维 SSH：sudo ufw allow from 198.51.100.0/24 to any port 22 proto tcp
  • 数据库：sudo ufw allow from 10.0.1.0/24 to any port 3306 proto tcp
  • 启用：sudo ufw enable
• 验证
  • 云侧：安全组规则已生效
  • 实例内：sudo ufw status、ss -tunlp | grep -E '(:80|:443|:22|:3306)'
  • 外部：curl -I https://<公网IP> 或 nc -vz <公网IP> 80/443。

四 故障排查与加固要点

• 排障顺序
  • 先查安全组是否放行对应端口与来源；再查实例内防火墙（UFW）规则；必要时检查网络 ACL与应用监听地址/端口（ss -tunlp）。
• 加固建议
  • 坚持最小权限原则：仅开放必需端口；数据库等核心服务仅对授信内网开放。
  • SSH 安全：可更改默认端口、禁用 root 远程登录、仅密钥登录，并配合 UFW 的 limit 限速规则缓解暴力破解。
• 日志与监控
  • UFW 日志：/var/log/ufw.log；定期审计阻断与异常访问。
• 变更风险控制
  • 重大变更前保留已建立的 SSH 会话，在控制台可回滚；测试完成及时重新启用防火墙。