如何在 Ubuntu 24.04/22.04/20.04 上安裝 UFW

簡單防火牆 (UFW) 是用於管理 Ubuntu 系統上的網路流量的簡化解決方案。它的設計非常簡單,即使是那些網路安全經驗最少的人也可以進行防火牆配置。無論您是開發人員、系統管理員還是只是一個好奇的用戶,了解如何管理 UFW 都可以顯著增強 Ubuntu 伺服器的安全性。以下是 UFW 的一些突出的主要特點:

  • 使用者友善的介面:UFW 提供易於理解的命令列介面,消除了通常與防火牆配置相關的複雜性。
  • 規則管理的彈性:它允許設定簡單和進階的規則,滿足各種網路控制需求。
  • 與 iptables 集成:UFW 與 iptables 無縫協作,確保穩健可靠的防火牆管理。
  • 記錄和監控功能:提供詳細的日誌和監控工具來追蹤和分析網路流量。

這些功能使 UFW 成為管理 Ubuntu 伺服器上網路流量的首選,同時提供安全性和簡單性。以下部分將深入介紹安裝和使用 UFW 的技術細節,以確保伺服器的網路安全可靠且易於管理。

檢查UFW是否安裝

在開始安裝和設定程序之前,檢查系統上是否已安裝 UFW 至關重要。您可以透過執行以下命令來完成此操作:

ufw version

查看版本信息,會發現UFW已經安裝好了。如果沒有,您將看到一條錯誤訊息。在這種情況下,請按照以下步驟安裝 UFW:

sudo apt update
sudo apt install ufw

安裝後,您可以透過執行來驗證 UFW 是否已安裝 ufw version 再次。

使用 UFW 設定 IPv6(可選)

UFW 預設支援 IPv6。如果要啟用 IPv6 支持,請使用您喜歡的文字編輯器開啟 UFW 設定檔:

sudo nano /etc/default/ufw

找到顯示以下內容的行 IPV6=no 並將其更改為 IPV6=yes.

儲存變更並退出編輯器。

設定 UFW 預設策略

設定預設策略對於控制傳入和傳出流量至關重要。預設策略將套用於與您稍後建立的任何特定規則不符的任何流量。若要設定預設策略,請使用以下命令:

sudo ufw default deny incoming
sudo ufw default allow outgoing

預設情況下,這些命令將拒絕所有傳入連線並允許所有傳出連線。

允許 SSH 遠端連線(情境)

若要允許 SSH 連接,請執行下列命令:

sudo ufw allow ssh

此命令將允許預設連接埠 (22) 上的傳入 SSH 連線。如果您使用 SSH 的自訂端口,則可以如下指定:

sudo ufw allow 2222/tcp

這將允許連接埠 2222 上的傳入連接,假設您已將 SSH 伺服器設定為偵聽此連接埠。

在 Ubuntu 上啟用 UFW

筆記: 請記住,如果您使用 SSH 連線到遠端 Ubuntu 伺服器,請確保您已完成上一步以允許 UFW,然後再繼續本部分。

設定預設原則並允許 SSH 連線後,您可以使用以下命令啟用 UFW 防火牆:

sudo ufw enable

系統將提示您確認操作,因為啟用 UFW 可能會中斷現有連線。輸入“y”繼續操作。

允許與 UFW 的其他連接

若要允許其他連接,例如 HTTP、HTTPS 或 FTP,請使用 ufw allow 命令後接服務名稱或連接埠號碼。

例如:

sudo ufw allow http
sudo ufw allow https
sudo ufw allow 21/tcp

這些命令允許 HTTP(連接埠 80)、HTTPS(連接埠 443)和 FTP(連接埠 21)的傳入連線。

如果您需要允許一定範圍的連接埠的連接,您可以像這樣指定範圍:

sudo ufw allow 8000:9000/tcp

此命令允許 TCP 連接埠 8000 到 9000 上的傳入連線。

拒絕與 UFW 的連接

若要拒絕特定連接,請使用 ufw deny 命令後接服務名稱或連接埠號碼。例如:

sudo ufw deny 25/tcp

此命令將拒絕連接埠 25 (SMTP) 上的傳入連線。

使用 UFW 刪除規則

若要刪除規則,請使用 ufw delete 命令後跟規則的參數。例如:

sudo ufw delete allow 21/tcp

此指令刪除允許連接埠 21 (FTP) 上傳入連線的規則。

檢查 UFW 狀態和 UFW 規則

若要檢查 UFW 防火牆的狀態並查看目前規則,請使用下列命令:

sudo ufw status verbose

此命令將顯示 UFW 狀態、預設策略以及您建立的特定規則。

使用 UFW 記錄 UFW

UFW 提供日誌記錄功能來追蹤其操作並監控潛在問題。在本節中,我們將討論如何設定和查看日誌。

配置 UFW 日誌設定

若要啟用 UFW 日誌記錄,請使用 ufw logging 命令後跟所需的日誌等級(例如, low, medium, high, 或者 full)。例如:

sudo ufw logging medium

此命令將日誌等級設為“中”,記錄封鎖的資料包和新連線。

查看 UFW 日誌

UFW 日誌儲存在 /var/log/ufw.log 預設檔。要查看日誌文件,您可以使用類似命令 less, tail, 或者 cat。例如:

sudo less /var/log/ufw.log

此命令使用以下命令顯示日誌文件 less 命令,它允許您滾動瀏覽內容。

UFW 的應用程式設定檔

UFW 支援應用程式設定文件,這是流行應用程式的預定義規則。這些設定檔簡化了允許或拒絕特定應用程式連線的過程。您可以使用以下命令查看可用的應用程式設定檔:

sudo ufw app list

要查看特定配置文件的詳細信息,請使用 ufw app info 命令後跟設定檔名稱:

sudo ufw app info 'Apache Full'

若要允許或拒絕應用程式設定檔的連接,請使用 ufw allow 或者 ufw deny 命令後跟設定檔名稱:

sudo ufw allow 'Apache Full'

測試 UFW 規則

在應用新規則之前,您可能需要對其進行測試以確保它們按預期工作。要模擬連線並測試 UFW 規則,您可以使用 nc (netcat)工具。

首先,如果尚未安裝 netcat,則需要安裝它:

sudo apt install netcat

接下來,在伺服器端執行以下命令,替換 <port> 與您要測試的連接埠號碼:

nc -l <port>

在客戶端,使用以下命令連接到伺服器,替換 <server_ip> 與伺服器的 IP 位址和 <port> 與連接埠號碼:

nc <server_ip> <port>

如果連線成功,您可以透過在終端機中鍵入內容在伺服器和用戶端之間傳送訊息。如果連線失敗,對應的 UFW 規則可能會阻止流量。確保相應地調整您的 UFW 規則並再次測試。

停用或重置 UFW

如果需要暫時停用UFW,請使用以下指令:

sudo ufw disable

若要將 UFW 重設為其預設值並刪除所有規則,請使用 ufw reset 命令:

sudo ufw reset

請注意,此操作將刪除您的所有自訂規則,並且您必須從頭開始重新配置 UFW。

安裝GUFW

如前所述,GUFW 是用於管理 UFW 規則的圖形前端。要在 Ubuntu 上安裝 GUFW,請使用以下命令:

sudo apt update
sudo apt install gufw

安裝後,您可以從應用程式選單啟動 GUFW。圖形介面使您無需使用命令列即可輕鬆管理防火牆規則。

結論

就是這樣!我們剛剛完成了在 Ubuntu 24.04、22.04 和 20.04 上安裝和設定 UFW 的步驟。請記住,正確設定防火牆對於系統安全至關重要。定期檢查和更新您的規則,以確保它們符合您當前的需求。請毫不猶豫地嘗試不同的配置,找到最適合您的配置。最重要的是,不斷探索和學習 UFW,以維護安全、強壯的 Ubuntu 系統。

Joshua James
跟我來
Joshua James 的最新帖子 (看全部)