Debian Stream 8如何设置防火墙

Debian Stream 8防火墙配置指南（基于UFW与Firewalld）
Debian Stream 8作为Debian的滚动更新分支，默认未安装防火墙工具，需根据需求选择合适的工具（UFW更适合简单配置，Firewalld支持动态区域与服务管理）。以下是详细配置步骤及注意事项：

一、UFW（Uncomplicated Firewall）配置

UFW是Debian生态中最常用的用户友好防火墙工具，适合新手快速设置。

1. 安装UFW

sudo apt update && sudo apt install ufw -y

2. 启用UFW

sudo ufw enable

系统会提示“Command may disrupt existing ssh connections”，输入y确认（需确保SSH端口已开放，避免被锁）。

3. 设置默认策略

默认拒绝所有传入连接，允许所有传出连接（符合最小权限原则）：

sudo ufw default deny incoming
sudo ufw default allow outgoing

4. 允许常用服务端口

• SSH（远程管理，默认22端口）：

  sudo ufw allow ssh  # 或 sudo ufw allow 22/tcp
  

• HTTP（网页服务，80端口）：

  sudo ufw allow 80/tcp
  

• HTTPS（加密网页服务，443端口）：

  sudo ufw allow 443/tcp
  

5. 允许特定IP访问

• 允许某IP（如192.168.1.100）访问所有端口：

  sudo ufw allow from 192.168.1.100
  

• 允许某IP访问特定端口（如22端口）：

  sudo ufw allow from 192.168.1.100 to any port 22
  

6. 查看与管理规则

• 查看UFW状态（简洁模式）：

  sudo ufw status
  

• 查看详细规则（包括端口与服务映射）：

  sudo ufw status verbose
  

• 删除某条规则（如删除允许80端口的规则）：

  sudo ufw delete allow 80/tcp
  

7. 保存与重载

UFW规则默认持久化（重启后仍有效），无需手动保存。重载规则以应用变更：

sudo ufw reload

二、Firewalld配置

Firewalld是动态防火墙管理工具，支持“区域（Zone）”与“服务（Service）”概念，适合复杂网络环境。

1. 安装Firewalld

sudo apt update && sudo apt install firewalld -y

2. 启动与启用Firewalld

sudo systemctl start firewalld
sudo systemctl enable firewalld

3. 查看当前状态

sudo systemctl status firewalld  # 查看服务状态
sudo firewall-cmd --state        # 查看防火墙运行状态（running为运行中）

4. 设置默认区域

默认区域为public（适用于公共网络），可根据需求修改（如home、work）：

sudo firewall-cmd --set-default-zone=public

5. 允许服务或端口

• 允许服务（如SSH、HTTP）：

  sudo firewall-cmd --zone=public --add-service=ssh --permanent
  sudo firewall-cmd --zone=public --add-service=http --permanent
  sudo firewall-cmd --zone=public --add-service=https --permanent
  

• 允许端口（如8080/tcp）：

  sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent
  

  注：--permanent表示永久生效，需配合reload使用；若省略则仅临时生效（重启后失效）。

6. 重载配置

修改规则后需重载以应用变更：

sudo firewall-cmd --reload

7. 查看当前规则

• 查看默认区域的规则：

  sudo firewall-cmd --zone=public --list-all
  

• 查看所有开放端口：

  sudo firewall-cmd --zone=public --list-ports
  

• 查看所有可用服务：

  sudo firewall-cmd --get-services
  

三、安全注意事项

1. 优先开放必要端口：仅允许业务所需的端口（如Web服务的80/443、SSH的22），关闭其他无关端口。
2. 保护SSH连接：
   • 修改SSH默认端口（如2222），减少暴力破解风险；
   • 禁用root远程登录（编辑/etc/ssh/sshd_config，设置PermitRootLogin no）；
   • 使用密钥对认证替代密码认证。
3. 定期更新规则：根据业务变化及时调整防火墙策略，避免过期规则留下安全隐患。
4. 备份规则：定期备份UFW（/etc/ufw/ufw.conf）或Firewalld（/etc/firewalld/）配置文件，便于故障恢复。
5. 测试规则：在生产环境应用前，通过测试环境验证规则是否影响正常业务访问。

通过以上步骤，可快速为Debian Stream 8配置基础防火墙，提升系统安全性。根据实际需求选择UFW或Firewalld，复杂场景建议使用Firewalld的区域与服务管理功能。