如何开启Ubuntu防火墙保护系统

一、前置准备：安装UFW防火墙
Ubuntu系统通常默认安装UFW（Uncomplicated Firewall，简化版防火墙），但部分精简版系统可能需要手动安装。通过以下命令安装：

sudo apt update && sudo apt install ufw

安装完成后，UFW会处于未激活状态（默认不拦截流量）。

二、开启Ubuntu防火墙核心步骤

1. 启用防火墙

使用以下命令激活UFW，启用后防火墙会在系统启动时自动运行：

sudo ufw enable

执行后会提示“Command may disrupt existing ssh connections. Proceed with operation? (y/n)”，输入y并回车确认。

2. 设置严格默认策略（关键安全措施）

默认策略决定了“未被明确允许的流量”的处理方式。为最大化安全性，建议设置为：

• 拒绝所有外部入站流量（防止未授权访问）；
• 允许所有本地出站流量（不影响本机访问互联网）。
  命令如下：

sudo ufw default deny incoming  # 拒绝所有入站流量
sudo ufw default allow outgoing # 允许所有出站流量

此设置是“最小权限原则”的体现，仅放行必要的流量。

三、验证防火墙状态
开启后，通过以下命令查看防火墙状态及规则（需用sudo提升权限）：

sudo ufw status

若显示“Status: active”且“Default: deny (incoming), allow (outgoing)”，则表示防火墙已成功开启并应用默认策略。

四、可选：开放常用服务端口
若需允许特定服务（如SSH、Web、DNS），可通过以下命令开放对应端口（示例）：

• 允许SSH（22端口，用于远程管理）：

  sudo ufw allow ssh    # 或 sudo ufw allow 22/tcp
  

• 允许HTTP（80端口，网页服务）：

  sudo ufw allow 80/tcp
  

• 允许HTTPS（443端口，加密网页服务）：

  sudo ufw allow 443/tcp
  

• 允许DNS（53端口，域名解析）：

  sudo ufw allow 53
  

开放端口后，需通过sudo ufw reload重新加载规则使更改生效。

注意事项

• 若误操作导致无法远程访问（如SSH端口被误封），可通过物理控制台或VNC登录服务器，用sudo ufw delete allow ssh删除对应规则。
• 建议定期通过sudo ufw status verbose查看详细规则，避免遗留不必要的开放端口。