Ubuntu系统中防火墙UFW设置方法步骤
学习啦在线学习网 防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。自打2.4版本以后的Linux内核中, 提供了一个非常优秀的防火墙工具。这个工具可以对出入服务的网络数据进行分割、过滤、转发等等细微的控制,进而实现诸如防火墙、NAT等功能,下面一起看看具体步骤
方法步骤
学习啦在线学习网 一般来说, 我们会使用名气比较的大iptables等程序对这个防火墙的规则进行管理。iptables可以灵活的定义防火墙规则, 功能非常强大。但是由此产生的副作用便是配置过于复杂。一向以简单易用著称Ubuntu在它的发行版中,附带了一个相对iptables简单很多的防火墙配置工具:ufw。
学习啦在线学习网 ufw默认是没有启用的。也就是说,ubuntu中的端口默认都是开放的。使用如下命令启动ufw:
$sudo ufw default deny
$sudo ufw enable
学习啦在线学习网 通过第一命令,我们设置默认的规则为allow, 这样除非指明打开的端口, 否则所有端口默认都是关闭的。第二个命令则启动了ufw。如果下次重新启动机器,ufw也会自动启动。
对于大部分防火墙操作来说, 其实无非就是的打开关闭端口。如果要打开SSH服务器的22端口, 我们可以这样:
$sudo ufw allow 22
由于在/etc/services中,22端口对应的服务名是ssh。所以下面的命令是一样的:
学习啦在线学习网 $sudo ufw allow ssh
现在可以通过下面命令来查看防火墙的状态了:
$sudo ufw status
Firewall loaded
To Action From
–—— —-
学习啦在线学习网 22:tcp ALLOW Anywhere
学习啦在线学习网 22:udp ALLOW Anywhere
我们可以看到,22端口的tcp和udp协议都打开了。
删除已经添加过的规则:
学习啦在线学习网 $sudo ufw delete allow 22
学习啦在线学习网 只打开使用tcp/ip协议的22端口:
学习啦在线学习网 $sudo ufw allow 22/tcp
打开来自192.168.0.1的tcp请求的80端口:
学习啦在线学习网 $sudo ufw allow proto tcp from 192.168.0.1 to any port 22
要关系防火墙:
$sudu ufw disable
ubuntu下的ufw防火墙配置
UFW防火墙是一个主机端的iptables类防火墙配置工具。这个工具的目的是提供给用户一个可以轻松驾驭的界面,就像包集成和动态检测开放的端口一样。
在Ubuntu中安装UFW:
学习啦在线学习网 目前这个包存在于Ubuntu 8.04的库中。
sudo apt-get install ufw
上面这行命令将把软件安装到您系统中。
开启/关闭防火墙(默认设置是’disable’)
# ufw enable|disable
转换日志状态
# ufw logging on|off
设置默认策略(比如 “mostly open”vs “mostly closed”)
# ufw default allow|deny
许 可或者屏蔽某些入埠的包(可以在“status” 中查看到服务列表[见后文])。可以用“协议:端口”的方式指定一个存在于/etc/services中的服务名称,也可以通过包的meta-data。 ‘allow’ 参数将把条目加入/etc/ufw/maps ,而 ‘deny’ 则相反。基本语法如下:
# ufw allow|deny [service]
学习啦在线学习网 显示防火墙和端口的侦听状态,参见/var/lib/ufw/maps。括号中的数字将不会被显示出来。
# ufw status
[注意:上文中虽然没有使用sudo,但是命令提示符号都是“#”。所以……你知道啥意思了哈。原文如此。──译者注]
UFW 使用范例:
允许53 端口
$ sudo ufw allow 53
禁用53 端口
$ sudo ufw delete allow 53
允许80 端口
$ sudo ufw allow 80/tcp
禁用80 端口
$ sudo ufw delete allow 80/tcp
允许smtp 端口
$ sudo ufw allow smtp
删除smtp 端口的许可
$ sudo ufw delete allow smtp
允许某特定IP
$ sudo ufw allow from 192.168.254.254
删除上面的规则
$ sudo ufw delete allow from 192.168.254.254
学习啦在线学习网 ——————————————
我自己还用7.10呢,所以翻译的过程中上面步骤没经过试验。
Ubuntu的名字都很别嘴,一直记不住:
学习啦在线学习网 * Ubuntu 6.06 LTS (Dapper Drake)
* Ubuntu 6.10 (Edgy Eft)
* Ubuntu 7.04 (Feisty Fawn)
学习啦在线学习网 * Ubuntu 7.10 (Gutsy Gibbon)
* Ubuntu 8.04 (Hardy Heron)
ubuntu 防火墙
学习啦在线学习网 ufw是Ubuntu下的一个简易的防火墙配置工具,底层还是调用iptables来处理的,虽然功能较简单,但对桌面型应用来说比较实用,基本常用功能都有,使用也较为容易。
==鱼漂(admin.net#163.com)原创,转载请注明==
1.安装
sudo apt-get install ufw
2.启用
sudo ufw enable
sudo ufw default deny
运行以上两条命令后,开启了防火墙,并在系统启动时自动开启。
关闭所有外部对本机的访问,但本机访问外部正常。
3.开启/禁用
sudo ufw allow|deny [service]
学习啦在线学习网 打开或关闭某个端口,例如:
sudo ufw allow smtp 允许所有的外部IP访问本机的25/tcp (smtp)端口
sudo ufw allow 22/tcp 允许所有的外部IP访问本机的22/tcp (ssh)端口
sudo ufw allow 53 允许外部访问53端口(tcp/udp)
sudo ufw allow from 192.168.1.100 允许此IP访问所有的本机端口
学习啦在线学习网 sudo ufw allow proto udp 192.168.0.1 port 53 to 192.168.0.2 port 53
sudo ufw deny smtp 禁止外部访问smtp服务
sudo ufw delete allow smtp 删除上面建立的某条规则
学习啦在线学习网 4.查看防火墙状态
sudo ufw status
学习啦在线学习网 一般用户,只需如下设置:
学习啦在线学习网 sudo apt-get install ufw
学习啦在线学习网 sudo ufw enable
学习啦在线学习网 sudo default deny
以上三条命令已经足够安全了,如果你需要开放某些服务,再使用sudo ufw allow开启。
学习啦在线学习网 Ubuntu防火墙UFW 设置简介
1.安装
sudo apt-get install ufw
2.启用
学习啦在线学习网 sudo ufw enable
学习啦在线学习网 sudo ufw default deny
学习啦在线学习网 运行以上两条命令后,开启了防火墙,并在系统启动时自动开启。关闭所有外部对本机的访问,但本机访问外部正常。
3.开启/禁用
sudo ufw allow|deny [service]
打开或关闭某个端口,例如:
sudo ufw allow smtp 允许所有的外部IP访问本机的25/tcp (smtp)端口
sudo ufw allow 22/tcp 允许所有的外部IP访问本机的22/tcp (ssh)端口
sudo ufw allow 53 允许外部访问53端口(tcp/udp)
学习啦在线学习网 sudo ufw allow from 192.168.1.100 允许此IP访问所有的本机端口
sudo ufw allow proto udp 192.168.0.1 port 53 to 192.168.0.2 port 53
sudo ufw deny smtp 禁止外部访问smtp服务
学习啦在线学习网 sudo ufw delete allow smtp 删除上面建立的某条规则
4.查看防火墙状态
sudo ufw status
一般用户,只需如下设置:
sudo apt-get install ufw
sudo ufw enable
学习啦在线学习网 sudo ufw default deny
以上三条命令已经足够安全了,如果你需要开放某些服务,再使用sudo ufw allow开启。
开启/关闭防火墙(默认设置是’disable’)
sudo ufw enable|disable
转换日志状态
学习啦在线学习网 sudo ufw logging on|off
学习啦在线学习网 设置默认策略(比如 “mostly open”vs “mostly closed”)
学习啦在线学习网 sudo ufw default allow|deny
学习啦在线学习网 许可或者屏蔽端口(可以在“status” 中查看到服务列表)。可以用“协议:端口”的方式指定一个存在于/etc/services中的服务名称,也可以通过包的meta-data。 ‘allow’ 参数将把条目加入/etc/ufw/maps ,而 ‘deny’ 则相反。基本语法如下:
学习啦在线学习网 sudo ufw allow|deny [service]
显示防火墙和端口的侦听状态,参见/var/lib/ufw/maps。括号中的数字将不会被显示出来。
学习啦在线学习网 sudo ufw status
UFW 使用范例:
允许53 端口
学习啦在线学习网 $ sudo ufw allow 53
禁用53 端口
$ sudo ufw delete allow 53
允许80 端口
$ sudo ufw allow 80/tcp
禁用80 端口
$ sudo ufw delete allow 80/tcp
学习啦在线学习网 允许smtp 端口
$ sudo ufw allow smtp
删除smtp 端口的许可
学习啦在线学习网 $ sudo ufw delete allow smtp
允许某特定IP
$ sudo ufw allow from 192.168.254.254
删除上面的规则
$ sudo ufw delete allow from 192.168.254.254
补充阅读:防火墙主要使用技巧
一、所有的防火墙文件规则必须更改。
学习啦在线学习网 尽管这种方法听起来很容易,但是由于防火墙没有内置的变动管理流程,因此文件更改对于许多企业来说都不是最佳的实践方法。如果防火墙管理员因为突发情况或者一些其他形式的业务中断做出更改,那么他撞到枪口上的可能性就会比较大。但是如果这种更改抵消了之前的协议更改,会导致宕机吗?这是一个相当高发的状况。
防火墙管理产品的中央控制台能全面可视所有的防火墙规则基础,因此团队的所有成员都必须达成共识,观察谁进行了何种更改。这样就能及时发现并修理故障,让整个协议管理更加简单和高效。
二、以最小的权限安装所有的访问规则。
另一个常见的安全问题是权限过度的规则设置。防火墙规则是由三个域构成的:即源(IP地址),目的地(网络/子网络)和服务(应用软件或者其他目的地)。为了确保每个用户都有足够的端口来访问他们所需的系统,常用方法是在一个或者更多域内指定打来那个的目标对象。当你出于业务持续性的需要允许大范围的IP地址来访问大型企业的网络,这些规则就会变得权限过度释放,因此就会增加不安全因素。服务域的规则是开放65535个TCP端口的ANY。防火墙管理员真的就意味着为黑客开放了65535个攻击矢量?
学习啦在线学习网 三、根据法规协议和更改需求来校验每项防火墙的更改。
在防火墙操作中,日常工作都是以寻找问题,修正问题和安装新系统为中心的。在安装最新防火墙规则来解决问题,应用新产品和业务部门的过程中,我们经常会遗忘防火墙也是企业安全协议的物理执行者。每项规则都应该重新审核来确保它能符合安全协议和任何法规协议的内容和精神,而不仅是一篇法律条文。
四、当服务过期后从防火墙规则中删除无用的规则。
学习啦在线学习网 规则膨胀是防火墙经常会出现的安全问题,因为多数运作团队都没有删除规则的流程。业务部门擅长让你知道他们了解这些新规则,却从来不会让防火墙团队知道他们不再使用某些服务了。了解退役的服务器和网络以及应用软件更新周期对于达成规则共识是个好的开始。运行无用规则的报表是另外一步。黑客喜欢从来不删除规则的防火墙团队。
学习啦在线学习网 Ubuntu系统中防火墙UFW设置方法步骤相关文章: