學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 防火墻知識(shí) >

Ubuntu系統(tǒng)中防火墻UFW設(shè)置方法步驟

時(shí)間: 加城1195 分享

  防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成,防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。自打2.4版本以后的Linux內(nèi)核中, 提供了一個(gè)非常優(yōu)秀的防火墻工具。這個(gè)工具可以對(duì)出入服務(wù)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分割、過濾、轉(zhuǎn)發(fā)等等細(xì)微的控制,進(jìn)而實(shí)現(xiàn)諸如防火墻、NAT等功能,下面一起看看具體步驟

  方法步驟

  一般來說, 我們會(huì)使用名氣比較的大iptables等程序?qū)@個(gè)防火墻的規(guī)則進(jìn)行管理。iptables可以靈活的定義防火墻規(guī)則, 功能非常強(qiáng)大。但是由此產(chǎn)生的副作用便是配置過于復(fù)雜。一向以簡(jiǎn)單易用著稱Ubuntu在它的發(fā)行版中,附帶了一個(gè)相對(duì)iptables簡(jiǎn)單很多的防火墻配置工具:ufw。

  ufw默認(rèn)是沒有啟用的。也就是說,ubuntu中的端口默認(rèn)都是開放的。使用如下命令啟動(dòng)ufw:

  $sudo ufw default deny

  $sudo ufw enable

  通過第一命令,我們?cè)O(shè)置默認(rèn)的規(guī)則為allow, 這樣除非指明打開的端口, 否則所有端口默認(rèn)都是關(guān)閉的。第二個(gè)命令則啟動(dòng)了ufw。如果下次重新啟動(dòng)機(jī)器,ufw也會(huì)自動(dòng)啟動(dòng)。

  對(duì)于大部分防火墻操作來說, 其實(shí)無非就是的打開關(guān)閉端口。如果要打開SSH服務(wù)器的22端口, 我們可以這樣:

  $sudo ufw allow 22

  由于在/etc/services中,22端口對(duì)應(yīng)的服務(wù)名是ssh。所以下面的命令是一樣的:

  $sudo ufw allow ssh

  現(xiàn)在可以通過下面命令來查看防火墻的狀態(tài)了:

  $sudo ufw status

  Firewall loaded

  To Action From

  –—— —-

  22:tcp ALLOW Anywhere

  22:udp ALLOW Anywhere

  我們可以看到,22端口的tcp和udp協(xié)議都打開了。

  刪除已經(jīng)添加過的規(guī)則:

  $sudo ufw delete allow 22

  只打開使用tcp/ip協(xié)議的22端口:

  $sudo ufw allow 22/tcp

  打開來自192.168.0.1的tcp請(qǐng)求的80端口:

  $sudo ufw allow proto tcp from 192.168.0.1 to any port 22

  要關(guān)系防火墻:

  $sudu ufw disable

  ubuntu下的ufw防火墻配置

  UFW防火墻是一個(gè)主機(jī)端的iptables類防火墻配置工具。這個(gè)工具的目的是提供給用戶一個(gè)可以輕松駕馭的界面,就像包集成和動(dòng)態(tài)檢測(cè)開放的端口一樣。

  在Ubuntu中安裝UFW:

  目前這個(gè)包存在于Ubuntu 8.04的庫中。

  sudo apt-get install ufw

  上面這行命令將把軟件安裝到您系統(tǒng)中。

  開啟/關(guān)閉防火墻(默認(rèn)設(shè)置是’disable’)

  # ufw enable|disable

  轉(zhuǎn)換日志狀態(tài)

  # ufw logging on|off

  設(shè)置默認(rèn)策略(比如 “mostly open”vs “mostly closed”)

  # ufw default allow|deny

  許 可或者屏蔽某些入埠的包(可以在“status” 中查看到服務(wù)列表[見后文])??梢杂?ldquo;協(xié)議:端口”的方式指定一個(gè)存在于/etc/services中的服務(wù)名稱,也可以通過包的meta-data。 ‘allow’ 參數(shù)將把條目加入/etc/ufw/maps ,而 ‘deny’ 則相反?;菊Z法如下:

  # ufw allow|deny [service]

  顯示防火墻和端口的偵聽狀態(tài),參見/var/lib/ufw/maps。括號(hào)中的數(shù)字將不會(huì)被顯示出來。

  # ufw status

  [注意:上文中雖然沒有使用sudo,但是命令提示符號(hào)都是“#”。所以……你知道啥意思了哈。原文如此。──譯者注]

  UFW 使用范例:

  允許53 端口

  $ sudo ufw allow 53

  禁用53 端口

  $ sudo ufw delete allow 53

  允許80 端口

  $ sudo ufw allow 80/tcp

  禁用80 端口

  $ sudo ufw delete allow 80/tcp

  允許smtp 端口

  $ sudo ufw allow smtp

  刪除smtp 端口的許可

  $ sudo ufw delete allow smtp

  允許某特定IP

  $ sudo ufw allow from 192.168.254.254

  刪除上面的規(guī)則

  $ sudo ufw delete allow from 192.168.254.254

  ——————————————

  我自己還用7.10呢,所以翻譯的過程中上面步驟沒經(jīng)過試驗(yàn)。

  Ubuntu的名字都很別嘴,一直記不?。?/p>

  * Ubuntu 6.06 LTS (Dapper Drake)

  * Ubuntu 6.10 (Edgy Eft)

  * Ubuntu 7.04 (Feisty Fawn)

  * Ubuntu 7.10 (Gutsy Gibbon)

  * Ubuntu 8.04 (Hardy Heron)

  ubuntu 防火墻

  ufw是Ubuntu下的一個(gè)簡(jiǎn)易的防火墻配置工具,底層還是調(diào)用iptables來處理的,雖然功能較簡(jiǎn)單,但對(duì)桌面型應(yīng)用來說比較實(shí)用,基本常用功能都有,使用也較為容易。

  ==魚漂(admin.net#163.com)原創(chuàng),轉(zhuǎn)載請(qǐng)注明==

  1.安裝

  sudo apt-get install ufw

  2.啟用

  sudo ufw enable

  sudo ufw default deny

  運(yùn)行以上兩條命令后,開啟了防火墻,并在系統(tǒng)啟動(dòng)時(shí)自動(dòng)開啟。

  關(guān)閉所有外部對(duì)本機(jī)的訪問,但本機(jī)訪問外部正常。

  3.開啟/禁用

  sudo ufw allow|deny [service]

  打開或關(guān)閉某個(gè)端口,例如:

  sudo ufw allow smtp 允許所有的外部IP訪問本機(jī)的25/tcp (smtp)端口

  sudo ufw allow 22/tcp 允許所有的外部IP訪問本機(jī)的22/tcp (ssh)端口

  sudo ufw allow 53 允許外部訪問53端口(tcp/udp)

  sudo ufw allow from 192.168.1.100 允許此IP訪問所有的本機(jī)端口

  sudo ufw allow proto udp 192.168.0.1 port 53 to 192.168.0.2 port 53

  sudo ufw deny smtp 禁止外部訪問smtp服務(wù)

  sudo ufw delete allow smtp 刪除上面建立的某條規(guī)則

  4.查看防火墻狀態(tài)

  sudo ufw status

  一般用戶,只需如下設(shè)置:

  sudo apt-get install ufw

  sudo ufw enable

  sudo default deny

  以上三條命令已經(jīng)足夠安全了,如果你需要開放某些服務(wù),再使用sudo ufw allow開啟。

  Ubuntu防火墻UFW 設(shè)置簡(jiǎn)介

  1.安裝

  sudo apt-get install ufw

  2.啟用

  sudo ufw enable

  sudo ufw default deny

  運(yùn)行以上兩條命令后,開啟了防火墻,并在系統(tǒng)啟動(dòng)時(shí)自動(dòng)開啟。關(guān)閉所有外部對(duì)本機(jī)的訪問,但本機(jī)訪問外部正常。

  3.開啟/禁用

  sudo ufw allow|deny [service]

  打開或關(guān)閉某個(gè)端口,例如:

  sudo ufw allow smtp 允許所有的外部IP訪問本機(jī)的25/tcp (smtp)端口

  sudo ufw allow 22/tcp 允許所有的外部IP訪問本機(jī)的22/tcp (ssh)端口

  sudo ufw allow 53 允許外部訪問53端口(tcp/udp)

  sudo ufw allow from 192.168.1.100 允許此IP訪問所有的本機(jī)端口

  sudo ufw allow proto udp 192.168.0.1 port 53 to 192.168.0.2 port 53

  sudo ufw deny smtp 禁止外部訪問smtp服務(wù)

  sudo ufw delete allow smtp 刪除上面建立的某條規(guī)則

  4.查看防火墻狀態(tài)

  sudo ufw status

  一般用戶,只需如下設(shè)置:

  sudo apt-get install ufw

  sudo ufw enable

  sudo ufw default deny

  以上三條命令已經(jīng)足夠安全了,如果你需要開放某些服務(wù),再使用sudo ufw allow開啟。

  開啟/關(guān)閉防火墻(默認(rèn)設(shè)置是’disable’)

  sudo ufw enable|disable

  轉(zhuǎn)換日志狀態(tài)

  sudo ufw logging on|off

  設(shè)置默認(rèn)策略(比如 “mostly open”vs “mostly closed”)

  sudo ufw default allow|deny

  許可或者屏蔽端口(可以在“status” 中查看到服務(wù)列表)??梢杂?ldquo;協(xié)議:端口”的方式指定一個(gè)存在于/etc/services中的服務(wù)名稱,也可以通過包的meta-data。 ‘allow’ 參數(shù)將把條目加入/etc/ufw/maps ,而 ‘deny’ 則相反?;菊Z法如下:

  sudo ufw allow|deny [service]

  顯示防火墻和端口的偵聽狀態(tài),參見/var/lib/ufw/maps。括號(hào)中的數(shù)字將不會(huì)被顯示出來。

  sudo ufw status

  UFW 使用范例:

  允許53 端口

  $ sudo ufw allow 53

  禁用53 端口

  $ sudo ufw delete allow 53

  允許80 端口

  $ sudo ufw allow 80/tcp

  禁用80 端口

  $ sudo ufw delete allow 80/tcp

  允許smtp 端口

  $ sudo ufw allow smtp

  刪除smtp 端口的許可

  $ sudo ufw delete allow smtp

  允許某特定IP

  $ sudo ufw allow from 192.168.254.254

  刪除上面的規(guī)則

  $ sudo ufw delete allow from 192.168.254.254

  補(bǔ)充閱讀:防火墻主要使用技巧

  一、所有的防火墻文件規(guī)則必須更改。

  盡管這種方法聽起來很容易,但是由于防火墻沒有內(nèi)置的變動(dòng)管理流程,因此文件更改對(duì)于許多企業(yè)來說都不是最佳的實(shí)踐方法。如果防火墻管理員因?yàn)橥话l(fā)情況或者一些其他形式的業(yè)務(wù)中斷做出更改,那么他撞到槍口上的可能性就會(huì)比較大。但是如果這種更改抵消了之前的協(xié)議更改,會(huì)導(dǎo)致宕機(jī)嗎?這是一個(gè)相當(dāng)高發(fā)的狀況。

  防火墻管理產(chǎn)品的中央控制臺(tái)能全面可視所有的防火墻規(guī)則基礎(chǔ),因此團(tuán)隊(duì)的所有成員都必須達(dá)成共識(shí),觀察誰進(jìn)行了何種更改。這樣就能及時(shí)發(fā)現(xiàn)并修理故障,讓整個(gè)協(xié)議管理更加簡(jiǎn)單和高效。

  二、以最小的權(quán)限安裝所有的訪問規(guī)則。

  另一個(gè)常見的安全問題是權(quán)限過度的規(guī)則設(shè)置。防火墻規(guī)則是由三個(gè)域構(gòu)成的:即源(IP地址),目的地(網(wǎng)絡(luò)/子網(wǎng)絡(luò))和服務(wù)(應(yīng)用軟件或者其他目的地)。為了確保每個(gè)用戶都有足夠的端口來訪問他們所需的系統(tǒng),常用方法是在一個(gè)或者更多域內(nèi)指定打來那個(gè)的目標(biāo)對(duì)象。當(dāng)你出于業(yè)務(wù)持續(xù)性的需要允許大范圍的IP地址來訪問大型企業(yè)的網(wǎng)絡(luò),這些規(guī)則就會(huì)變得權(quán)限過度釋放,因此就會(huì)增加不安全因素。服務(wù)域的規(guī)則是開放65535個(gè)TCP端口的ANY。防火墻管理員真的就意味著為黑客開放了65535個(gè)攻擊矢量?

  三、根據(jù)法規(guī)協(xié)議和更改需求來校驗(yàn)每項(xiàng)防火墻的更改。

  在防火墻操作中,日常工作都是以尋找問題,修正問題和安裝新系統(tǒng)為中心的。在安裝最新防火墻規(guī)則來解決問題,應(yīng)用新產(chǎn)品和業(yè)務(wù)部門的過程中,我們經(jīng)常會(huì)遺忘防火墻也是企業(yè)安全協(xié)議的物理執(zhí)行者。每項(xiàng)規(guī)則都應(yīng)該重新審核來確保它能符合安全協(xié)議和任何法規(guī)協(xié)議的內(nèi)容和精神,而不僅是一篇法律條文。

  四、當(dāng)服務(wù)過期后從防火墻規(guī)則中刪除無用的規(guī)則。

  規(guī)則膨脹是防火墻經(jīng)常會(huì)出現(xiàn)的安全問題,因?yàn)槎鄶?shù)運(yùn)作團(tuán)隊(duì)都沒有刪除規(guī)則的流程。業(yè)務(wù)部門擅長(zhǎng)讓你知道他們了解這些新規(guī)則,卻從來不會(huì)讓防火墻團(tuán)隊(duì)知道他們不再使用某些服務(wù)了。了解退役的服務(wù)器和網(wǎng)絡(luò)以及應(yīng)用軟件更新周期對(duì)于達(dá)成規(guī)則共識(shí)是個(gè)好的開始。運(yùn)行無用規(guī)則的報(bào)表是另外一步。黑客喜歡從來不刪除規(guī)則的防火墻團(tuán)隊(duì)。


Ubuntu系統(tǒng)中防火墻UFW設(shè)置方法步驟相關(guān)文章:

1.Ubuntu系統(tǒng)中防火墻UFW設(shè)置(-ufw-iptables)

2.Linux系統(tǒng)中最實(shí)用的防火墻有哪些

3.提高Linux系統(tǒng)安全方法有哪些

4.ubuntu如何開啟和關(guān)閉防火墻

4042552