文章目錄
-
- 一、為什么運維需要使用防火墻?
- 二、Ubuntu 上常用的防火墻工具
- 三、UFW 常用命令及運維使用示例
-
- 1. 安裝 UFW(如果尚未安裝)
- 2. 查看防火墻狀態
- 3. 設置默認策略(強烈建議)
- 4. 允許必要服務(常見運維場景)
-
- ? 允許 SSH(遠程管理,最重要!)
- ? 允許 HTTP / HTTPS(Web 服務)
- ? 允許數據庫端口(如 MySQL / PostgreSQL)
- ? 允許 DNS(如果運行 DNS 服務)
- 5. 基于 IP 地址/網段的精細化控制(運維重點!)
-
- ? 只允許某個 IP 訪問 SSH
- ? 允許某 IP 段訪問 HTTP
- ? 拒絕某個惡意 IP
- 6. 使用應用配置文件(更語義化)
- 7. 啟用 UFW 防火墻
- 8. 禁用防火墻(必要時,如排障)
- 9. 刪除 / 修改規則
-
- ? 查看帶編號的規則,方便刪除
- ? 刪除第 2 條規則
- ? ?重置防火墻?
- 10. 日志記錄(用于審計和排查)
- 四、典型運維場景示例
-
- 場景 1:新裝 Ubuntu 服務器,如何配置基礎防火墻?
- 場景 2:只允許公司 IP 訪問數據庫和 SSH
- 場景 3:開放??端口范圍??的場景(例如FTP被動模式或某些游戲服務器)
- 五、總結:運維必備 UFW 最佳實踐
- 六、進階提示(可選)
在運維工作場景下, Ubuntu防火墻(通常使用 UFW —— Uncomplicated Firewall) 是保障服務器網絡安全的重要工具。它基于底層的 iptables/nftables,但提供了更簡潔、易于管理的命令行接口,非常適合運維人員快速部署和維護防火墻策略。
一、為什么運維需要使用防火墻?
在運維工作中,防火墻的主要作用包括:
- 限制網絡訪問:只允許必要的流量進入或離開服務器,減少攻擊面。
- 保護關鍵服務:防止未授權訪問 SSH、數據庫、API 等敏感服務。
- 防御常見攻擊:如端口掃描、暴力破解、DDoS 等。
- 合規要求:滿足企業或行業對網絡安全的規范要求。
- 流量控制與審計:通過日志記錄網絡訪問行為,輔助安全分析。
二、Ubuntu 上常用的防火墻工具
Ubuntu 默認推薦使用 UFW(Uncomplicated Firewall),它是面向運維和普通用戶的 iptables 前端工具,簡單易用,適合大多數場景。
如果你的環境對網絡控制有非常復雜的需求(比如自定義鏈、NAT、流量整形等),可以直連使用
iptables或nftables,但 UFW 對于 90% 的運維場景已經足夠。
三、UFW 常用命令及運維使用示例
1. 安裝 UFW(如果尚未安裝)
sudo apt update
sudo apt install ufw
2. 查看防火墻狀態
sudo ufw status
# 詳細狀態(包含規則、策略等)
sudo ufw status verbose
# 帶編號的規則列表(便于刪除指定規則)
sudo ufw status numbered
?? 注意:默認情況下,UFW 是 禁用 的,即不攔截任何流量。
3. 設置默認策略(強烈建議)
在允許任何服務之前,先設置一個安全的默認策略:
# 默認:拒絕所有進來的連接(入站)
sudo ufw default deny incoming# 默認:允許所有出去的連接(出站)
sudo ufw default allow outgoing
? 這是最安全的做法,即“只允許你明確放行的,拒絕其他一切”。
4. 允許必要服務(常見運維場景)
? 允許 SSH(遠程管理,最重要!)
sudo ufw allow ssh
# 或者明確指定端口
sudo ufw allow 22/tcp
?? 重要提醒
與服務全解析(附避坑實戰))
)
---排序題的快排和歸并排序)
