ubuntu防火墙安全级别如何选

Ubuntu 防火墙安全级别选择指南

一、核心原则与默认策略

• Ubuntu 桌面/服务器通常用 **UFW（Uncomplicated Firewall）**做策略管理，底层是 iptables。UFW没有“图形化几档”的概念，安全强度取决于你的“默认策略 + 显式放行规则”。
• 通用且安全的默认基线：
  • 入站：deny（拒绝）
  • 出站：allow（允许）
  • 启用前务必先放行管理通道（如 SSH 22/TCP），避免被锁在外面。
• 快速设置示例：
  • 设置默认策略：sudo ufw default deny incoming；sudo ufw default allow outgoing
  • 放行 SSH：sudo ufw allow ssh 或 sudo ufw allow 22/tcp
  • 启用：sudo ufw enable
  • 查看状态：sudo ufw status verbose；带编号查看：sudo ufw status numbered
    上述做法能在“不影响服务器主动对外”的前提下，最小化暴露面，是官方与社区广泛采用的最佳实践。

二、按场景选择安全级别

说明：UFW 支持按端口、服务名、IP/子网、协议精细化放行；必要时用 sudo ufw status numbered 管理规则，用 sudo ufw delete <编号> 删除；对 SSH 建议启用速率限制：sudo ufw limit ssh（默认 30 秒内超过 6 次触发临时阻断），缓解暴力破解。

三、关键配置要点

• 启用前先放行管理通道（如 SSH），再执行 sudo ufw enable，避免失联。
• 规则顺序与显式优先：UFW 按顺序匹配，命中即止；不确定时用 status numbered 检查并按编号调整。
• 日志与告警：开启日志便于排障与取证，sudo ufw logging on，日志级别可选 low/medium/high/full，日志通常写入 /var/log/ufw.log。
• 双栈支持：编辑 /etc/default/ufw，确保 IPV6=yes，为 IPv6 也生成规则。
• 冲突检查：若系统同时运行其他防火墙（如 firewalld、iptables-persistent），启用 UFW 前先停用或统一规则，避免互相覆盖。
  以上要点能显著提升可维护性与安全性，并减少误配导致的可用性风险。

四、常用命令速查

• 基础：sudo ufw status / sudo ufw status verbose / sudo ufw status numbered
• 启停：sudo ufw enable / sudo ufw disable
• 默认策略：sudo ufw default deny incoming；sudo ufw default allow outgoing
• 放行与拒绝：
  • 端口/协议：sudo ufw allow 80/tcp、sudo ufw deny 21/tcp
  • 服务名：sudo ufw allow http、sudo ufw allow https
  • 应用配置：sudo ufw allow "Apache Full"（查看可用：sudo ufw show apps）
  • 源地址/子网：sudo ufw allow from 203.0.113.10、sudo ufw allow from 192.168.1.0/24 to any port 22 proto tcp
• 删除规则：sudo ufw delete allow 80/tcp 或 sudo ufw delete <编号>
• 速率限制：sudo ufw limit ssh（或 sudo ufw limit 22/tcp）
• 日志：sudo ufw logging medium；查看：sudo less /var/log/ufw.log 或 sudo journalctl -t ufw
• 重置：sudo ufw reset（谨慎：会清空规则并禁用）
  以上命令覆盖日常所需，从启用、放行、限流到日志与回滚，足以完成大多数运维与安全配置。