### 步骤 1：安装 UFW Ubuntu 默认包含 UFW，但可能未安装。运行以下命令检查并安装 UFW： sudo apt update sudo apt install ufw -y 安装完成后，确认 UFW 是否可用： sudo ufw --version ### 步骤 2：检查 UFW 状态 在配置之前，检查 UFW 当前状态以了解是否启用： sudo ufw status 如果输出显示 Status: inactive，则防火墙尚未启用。默认情况下，UFW 是禁用的，以避免意外锁定用户。 ### 步骤 3：设置默认策略 为确保安全性，配置默认策略以拒绝所有传入连接，并允许所有传出连接。这是一个安全的起点，之后可以根据需要添加特定规则。 设置默认策略： sudo ufw default deny incoming sudo ufw default allow outgoing 这些命令确保除非明确允许，否则所有外部连接请求都会被拒绝，而服务器可以自由向外发起连接。 ### 步骤 4：允许常用服务 根据服务器用途，启用必要的服务端口。例如，以下是常见服务的配置命令： * **SSH（端口 22）：** 确保远程访问可用，运行： sudo ufw allow ssh 或者指定端口：sudo ufw allow 22 * **HTTP（端口 80）：** 用于 Web 服务器： sudo ufw allow http * **HTTPS（端口 443）：** 用于安全 Web 访问： sudo ufw allow https 如果使用非标准端口（例如，SSH 使用 2222 端口），可以指定端口号： sudo ufw allow 2222 为防止锁定，始终确保 SSH 端口在启用防火墙前已允许。 ### 步骤 5：启用 UFW 配置好规则后，启用 UFW 以激活防火墙： sudo ufw enable 系统会提示警告，说明启用防火墙可能中断现有连接。确认已允许 SSH 端口后继续。再次检查状态以验证规则： sudo ufw status 输出将显示启用的规则，例如： Status: active 22 ALLOW Anywhere 80 ALLOW Anywhere 443 ALLOW Anywhere ### 步骤 6：管理高级规则（可选） UFW 支持更精细的规则配置，以满足特定需求。以下是一些高级示例： * **限制特定 IP 访问：** 仅允许特定 IP 访问 SSH： sudo ufw allow from 192.168.1.100 to any port 22 * **允许特定端口范围：** 例如，允许 3000-4000 端口： sudo ufw allow 3000:4000/tcp * **拒绝特定连接：** 拒绝某个 IP 的访问： sudo ufw deny from 192.168.1.200 ### 步骤 7：删除或重置规则 如果需要修改规则，可以删除或重置 UFW 配置： * **删除规则：** 列出带编号的规则： sudo ufw status numbered 删除特定规则（例如，第 2 条规则）： sudo ufw delete 2 * **重置 UFW：** 删除所有规则并禁用防火墙： sudo ufw reset * ### 故障排除建议 配置 UFW 时可能遇到问题，以下是一些常见问题及解决方法： | 问题 | 解决方法 | | ------------------- | ------------------------------------------------------------- | | 无法通过 SSH 连接 | 确保 SSH 端口已允许：sudo ufw allow ssh；检查端口号是否正确 | | 服务无法访问 | 确认相关端口已开放，例如：sudo ufw allow 80 | | UFW 未运行 | 启用 UFW：sudo ufw enable | ### 安全最佳实践 为确保防火墙有效保护服务器，建议以下措施： * 定期检查规则：sudo ufw status。 * 仅开放必要的端口，避免不必要的暴露。 * 结合其他安全措施，如 SSH 密钥认证和两因素认证（2FA）。 * 监控日志以检测异常活动：sudo tail -f /var/log/ufw.log。