介紹
防火墻是用于監控所有傳入和傳出流量的網絡安全系統。它根據預定義的安全規則允許或阻止數據包。如果您正在運行生產系統,了解如何配置防火墻對您來說至關重要。受防火墻保護的系統不太可能被有害信息感染,因為它們很少暴露在 Internet 上,因為傳入和傳出流量都根據安全規則進行嚴格過濾。
什么是 UFW?
UFW,也稱為 Uncomplicated Firewall,是一個前端框架,它提供了一個簡單的界面,用于使用 iptables 實用程序來管理 netfilter - 默認的 Linux 內核數據包過濾系統。它是 Ubuntu 20.04 內置的防火墻系統,可以簡化復雜的 iptables 命令,讓您更輕松地創建基本的防火墻配置。
UFW 使用帶有少量簡單命令的命令行界面。它支持所有基本的防火墻規則、各種網絡協議、日志記錄和更多功能。您可以查看官方 UFW 文檔中的大量功能列表。
先決條件
要配置 UFW,您需要事先準備好以下內容:
- 具有root權限的Ubuntu 20.04系統
- 命令行界面 (CLI) 的基礎知識
注意:?本教程不僅適用于 Ubuntu 20.04,也適用于其他 LTS 版本。UFW 的早期版本從 Ubuntu 12.04 開始可用。
安裝 UFW 防火墻
UFW 預裝了 Ubuntu 操作系統。但是,您可以通過嘗試使用以下命令安裝它來確保您擁有最新版本的 UFW:
apt install ufw
現在您已經安裝了最新版本的 UFW,讓我們使用以下命令檢查其狀態:
ufw status
如您所見,默認情況下 UFW 處于非活動狀態。我們將在首先進行一些重要更改后啟用它。
UFW 默認防火墻策略
如果您是第一次使用 UFW,最好仔細檢查默認的防火墻策略。為此,請檢查 UFW 的默認配置文件:
nano /etc/default/ufw
默認情況下,UFW 配置為拒絕所有傳入流量并允許所有傳出流量。這意味著沒有人能夠訪問您的系統,而您可以從任何應用程序或服務發出傳出請求。
可以使用以下命令模式更改默認 UFW 策略:
ufw default <policy> <chain>
例如,如果要允許所有傳入流量,請使用以下命令:
ufw default allow incoming
雖然以下命令將拒絕所有傳出流量:
ufw default deny outgoing
每次政策更改后都會顯示一條確認消息,例如:
允許 SSH 連接
默認情況下,UFW 將阻止所有傳入流量,包括 SSH 和 HTTP。如果您在設置例外之前啟用防火墻,您當前的遠程會話將被終止,您將無法再連接到您的服務器。
為避免這種情況,您需要使用以下命令允許傳入的 SSH 連接:
ufw allow ssh
它將打開端口 22,這是默認端口。可以看到,分別為 IPv4 和 IPv6 協議添加了兩條新的防火墻規則:
如果您已將 SSH 配置為使用其他端口,請使用更具體的命令為 SSH 連接創建允許規則。例如,如果您有 ssh 服務偵聽端口 4422,請使用以下命令:
ufw allow 4422/tcp
此防火墻規則允許 TCP 連接到端口 4422。
啟用 UFW 防火墻
現在您的 UFW 已經配置完畢,您需要使用以下命令啟用它:
ufw enable
這將立即啟動 UFW 守護進程并在系統啟動時啟用它。通過鍵入 y 接受給定的提示,然后按 ENTER 繼續。
您可以使用 systemctl 服務管理器仔細檢查它是否正在運行:
systemctl status ufw
添加 UFW 防火墻規則
您可以通過 UFW 將各種防火墻規則應用于您的系統:
- allow– 允許流量
- deny– 靜默丟棄流量
- reject– 拒絕流量并將錯誤數據包發送回發件人
- limit– 限制來自在過去 30 秒內嘗試發起 6 個或更多連接的特定 IP 地址的連接
您可以在通用或更具體的范圍內應用這些防火墻規則。通用范圍將 UFW 規則應用于傳入和傳出流量。您可以將它與以下命令模式一起使用:
ufw [rule] [target]
另一方面,您可能希望將規則專門應用于傳入或傳出流量。在這種情況下,您應該相應地使用以下命令模式:
ufw [rule] in [target]
ufw [rule] out [target]
稍后我們將通過一些實際示例,以便您可以看到一些現實生活中的應用程序。
UFW 防火墻規則可以在許多不同的目標上運行。您可以將服務名稱、IP 地址、端口甚至網絡接口作為目標。現在讓我們逐一了解這些目標模式,看看有什么可能。
目標應用程序配置文件
安裝 ufw 后,大多數依賴網絡進行通信的應用程序都會向 ufw 注冊它們的配置文件,從而允許用戶快速允許或拒絕對該應用程序的外部訪問。
您可以使用以下命令檢查哪些應用程序已在 UFW 注冊:
ufw app list
您的輸出可能如下所示:
要允許對這些應用程序中的任何應用程序進行傳入和傳出訪問,請使用以下命令模式:
ufw allow [App name]
例如,您可以使用以下命令允許 OpenSSH 連接:
ufw allow OpenSSH
此防火墻規則允許 OpenSSH 應用程序的所有傳入和傳出流量。您可以更具體,只允許使用以下命令傳入的 SSH 流量:
ufw allow in OpenSSH
盡管如此,在遠程服務器中啟用 SSH 訪問的最佳實踐是使用限制規則集。它只允許在 30 秒窗口內來自同一 IP 地址的 6 個連接,使您免受潛在的暴力攻擊。在生產環境中對 OpenSSH 應用程序使用限制而不是允許規則集:
ufw limit OpenSSH
目標 IP 地址
在 UFW 中,您可以使用以下命令模式允許或拒絕特定 IP 地址:
ufw [rule] from [ip_address]
例如,如果您看到來自 IP 地址 192.168.100.20 的一些惡意活動,您可以使用以下命令阻止來自它的所有流量:
ufw deny from 192.168.100.20
盡管您已阻止來自此惡意 IP 地址的所有傳入流量,但在某些情況下它仍可能到達您的服務器。這可能是因為 UFW 從上到下應用其規則。例如,您的第一個規則可能allow是所有傳入流量到端口 22,您的deny from 192.168.100.20規則可能是一步失敗。
為了避免這種情況,請使用該prepend選項將最具體的防火墻規則添加到規則列表的最頂部。最終命令如下所示:
ufw prepend deny from 192.168.100.20
目標端口
您還可以使用 UFW 定位特定端口或端口范圍。例如,您可以允許使用任何協議連接到端口 8080:
ufw allow 8080
通常,您可能想要更具體,并且只允許使用特定網絡協議連接到特定端口。例如,您可以僅使用以下命令允許 TCP 連接到端口 8080:
ufw allow 8080/tcp
但是,有時您的應用程序可能會針對不同的活動使用一系列端口。在這種情況下,您可以使用以下命令將端口范圍列入白名單:
ufw allow 8080:9090/tcp
還記得定位 IP 地址的可能性嗎?如果您不想阻止來自某個 IP 地址的所有流量,您可能會更具體一些,只阻止到特定端口的流量:
ufw deny from 192.168.100.20 to any port 53 proto udp
這樣,您將使用 UDP 協議阻止從 192.168.100.20 到端口 53 的所有流量,該協議通常為 DNS 服務保留。
您的輸出如下所示:
目標網絡接口
一些系統配置了多個網絡接口,可能需要不同的防火墻規則。幸運的是,UFW 允許您針對特定的網絡接口并僅對其應用防火墻規則。讓我們試試看。
首先,使用以下命令列出系統的網絡接口:
ip addr
如您所見,目前在 Ubuntu 20.04 系統上配置了三個網絡接口。讓我們瞄準第二個名為eth0.?為此,您應該on eth0在 UFW 命令中使用該選項:
ufw allow in on eth0 from 192.168.100.255
現在所有來自 192.168.100.255 的流量只允許流向 eth0 網絡接口:
檢查 UFW 防火墻規則
現在您已經完成添加防火墻規則,最好仔細檢查規則表以查看結果。您可以使用以下命令檢查您的活動 UFW 規則:
ufw status
要查看 UFW 防火墻規則的更詳細版本,請使用以下verbose選項:
ufw status verbose
如果您只想以您第一次鍵入規則的方式查看規則列表,請使用以下命令:
ufw show added
與 相比ufw status,ufw show命令即使在禁用 UFW 時也會顯示防火墻規則。
刪除 UFW 防火墻規則
現在您已經完成添加防火墻規則,如果您想刪除其中的一些怎么辦?為此,我們有兩種方法可用:您可以通過規則編號刪除規則,或通過名稱刪除規則。讓我們逐一分析。
按編號刪除
您可以通過對規則表進行編號來刪除 UFW 規則,然后使用其關聯編號刪除特定規則。
首先,使用以下命令檢查 UFW 規則的編號列表:
ufw status numbered
如您所見,您的防火墻規則現在有一個與之關聯的編號,您可以使用這些編號來定位它們。例如,現在讓我們使用以下命令刪除第 6 條規則:
ufw delete 6
只需按 y 接受確認提示,規則 3 將被刪除。
按規則名稱刪除
刪除 UFW 規則的第二種方法是通過名稱指定它。首先以您第一次輸入規則的方式列出規則:
ufw show added
假設您要刪除拒絕來自 192.168.100.20 IP 地址的所有流量的規則。為此,您必須使用delete帶有規則名稱的命令deny from 192.168.100.20。最終命令如下所示:
ufw delete deny from 192.168.100.20
管理 UFW 日志
UFW 支持多個日志記錄級別,因此您可以仔細查看您的網絡活動。默認情況下,UFW 會記錄所有不符合定義策略的被阻止的數據包,以及符合您定義的規則的數據包。這是low您可以根據需要修改的日志記錄級別。
您可以使用以下命令仔細檢查您的日志記錄活動:
ufw status verbose
輸出的第二行顯示日志記錄已打開,日志記錄級別設置為低。
設置 UFW 日志級別
有五個 UFW 日志記錄級別。他們每個人都有不同的日志記錄策略,并收集越來越多的數據。請注意,中等以上的日志級別可能會生成大量日志輸出,并且可能會在繁忙的系統上快速填滿磁盤,因此請謹慎使用。
- off- 禁用 UFW 管理的日志記錄。
- low- 記錄所有不匹配默認策略的被阻止的數據包,以及匹配預設規則的數據包。
- medium- 同上,加上所有不符合定義策略的允許數據包、所有無效數據包和所有新連接。
- high- 與上面相同,只是沒有速率限制,加上所有具有速率限制的數據包。
- full- 同上,只是沒有速率限制。
您可以使用以下命令模式更改默認的低日志記錄級別:
ufw logging [level]
例如,使用以下命令將日志記錄級別更改為中等:
ufw logging medium
通過這種方式,您可以啟用中等日志記錄級別并增加日志記錄范圍。
了解 UFW 日志
日志文件存儲在 /var/log/ 目錄中。您可以使用 ls 命令列出 UFW 創建的所有日志文件:
ls /var/log/ufw*
您現在可以檢查您的日志文件以查找有關 UFW 活動的相關信息,例如:
less /var/log/ufw.log
如您所見,有大量信息可供您了解 UFW 活動。單行可能如下所示:
Jan 2 00:00:14 ubuntu-sandbox kernel: [142705.160851] [UFW BLOCK] IN=eth0 OUT= MAC=52:54:21:9a:ca:d7:fe:54:21:9a:ca:d7:08:00 SRC=198.144.159.22 DST=5.199.162.56 LEN=40 TOS=0x00 PREC=0x00 TTL=239 ID=61187 PROTO=TCP SPT=49194 DPT=10164 WINDOW=1024 RES=0x00 SYN URGP=0
現在讓我們剖析這行 UFW 日志以更好地理解其含義。信息量最大的變量可能是 SRC 和 DST IP 地址及其相關端口號 SPT 和 DPT,但了解所有這些變量很有用:
- [UFW BLOCK]: 表示數據包被阻塞
- IN=eth0:傳入流量設備。
- OUT=:傳出流量設備為空,因為流量是傳入的。
- MAC=52:54:21:9a:ca:d7:fe:54:21:9a:ca:d7:08:00:設備的MAC地址。
- SRC=198.144.159.22:數據包發送方的源IP地址。
- DST=5.199.162.56:用于接收數據包的目標 IP 地址。在這種情況下,它是我的 IP 地址。
- LEN=40:數據包長度。
- TOS=0x00和PREC=0x00:不推薦使用的不相關的變量并設置為 0。
- TTL=239: 一次換一個包。每個數據包在終止之前只能通過給定數量的路由器反彈。
- ID=61187:IP 數據報的唯一 ID,由同一數據包的片段共享。
- PROTO=TCP: 使用的協議。
- SPT=49194:連接的源端口。該端口可能表明是什么服務發起了連接嘗試。
- DPT=10164: 連接的目標端口。該端口可能表明什么服務是用來接收連接嘗試的。
- WINDOW=1024:發送方愿意接收的數據包大小。
- RES=0x00:該位保留供將來使用。它目前無關緊要并設置為 0。
- SYN URGP=0: SYN表示這個連接需要三次握手,URGP代表緊急指針相關性是無關緊要的,設置為0。
重置 UFW 配置
有時您需要從頭開始配置。如果您想將 UFW 配置重置為默認設置,可以使用以下命令:
ufw reset
出現提示時輸入y并按下ENTER以重置所有活動的防火墻規則并關閉 UFW 守護進程。如您所見,UFW 會自動為您剛剛重置的規則創建備份文件,以防您改變主意或想在將來查看它們。
文章鏈接: http://www.qzkangyuan.com/13728.html
文章標題:如何使用UFW配置Ubuntu防火墻
文章版權:夢飛科技所發布的內容,部分為原創文章,轉載請注明來源,網絡轉載文章如有侵權請聯系我們!
