Ubuntu防火墙基础：如何控制流量和端口访问-精创网络云防护

帮助文档
Ubuntu防火墙基础：如何控制流量和端口访问
来源：www.jcwlyf.com更新时间：2025-02-24
Ubuntu是一款广泛使用的Linux操作系统，在服务器和桌面环境中都得到了广泛应用。在保护服务器的安全性时，防火墙作为一个重要的安全机制，可以有效地控制进出网络的流量，确保只有授权的用户或服务能够访问指定的端口。Ubuntu系统默认使用了Uncomplicated Firewall（UFW）作为防火墙管理工具。本文将详细介绍如何使用UFW防火墙控制流量和端口访问，帮助你更好地管理系统的安全。
1. 什么是UFW防火墙
UFW（Uncomplicated Firewall）是Ubuntu系统自带的一款防火墙管理工具，旨在简化iptables（Linux内核级别的防火墙工具）的使用。它通过简单的命令和配置文件，帮助用户设置规则，控制进出流量。UFW默认情况下是关闭的，用户需要手动启用并配置它。UFW通过规则来决定哪些流量可以进出系统，哪些流量应该被阻止。
2. 启用和检查UFW防火墙状态
在Ubuntu系统中，首先需要启用UFW防火墙。默认情况下，UFW是处于关闭状态的。你可以使用以下命令来启用防火墙：
```
sudo ufw enable
```
启用后，你可以使用以下命令检查UFW的状态：
```
sudo ufw status
```
该命令会显示防火墙的当前状态，若显示“Status: active”，则表示UFW已启用。
3. 设置允许和拒绝的规则
在UFW防火墙中，你可以通过设置规则来控制哪些端口可以访问，哪些端口被拒绝。规则一般分为“允许”（allow）和“拒绝”（deny）两种。以下是一些常见的命令：
1. 允许特定端口访问：
```
sudo ufw allow 80
```
上述命令允许HTTP（端口80）端口的流量通过。如果要允许其他端口，替换80为所需的端口号即可。
2. 拒绝特定端口的访问：
```
sudo ufw deny 22
```
这条命令会阻止SSH（端口22）的流量访问系统。
3. 允许来自特定IP的流量：
```
sudo ufw allow from 192.168.1.100 to any port 80
```
上述命令表示允许IP地址为192.168.1.100的机器访问HTTP端口（80）。
4. 拒绝特定IP的访问：
```
sudo ufw deny from 192.168.1.100
```
这条命令表示拒绝来自IP地址为192.168.1.100的机器访问系统。
4. 允许和拒绝服务访问
UFW还支持通过服务名称来管理规则，避免手动输入端口号。这对于一些常见的服务（如SSH、HTTP、HTTPS等）特别方便。
1. 允许SSH服务访问：
```
sudo ufw allow ssh
```
这条命令会自动允许SSH（默认端口22）服务的流量通过。
2. 允许HTTP服务访问：
```
sudo ufw allow http
```
这条命令会允许HTTP服务（端口80）流量通过。
3. 允许HTTPS服务访问：
```
sudo ufw allow https
```
这条命令会允许HTTPS服务（端口443）流量通过。
5. 设置默认规则
在使用UFW时，你可以设置默认的流量策略，以决定在没有特定规则匹配时该如何处理流量。你可以设置默认规则为“允许”或“拒绝”。
1. 默认拒绝所有流量：
```
sudo ufw default deny incoming
```
这条命令表示默认拒绝所有传入的流量，只有在明确允许的情况下才会允许。
2. 默认允许所有流量：
```
sudo ufw default allow incoming
```
这条命令表示默认允许所有传入的流量，但这种设置一般不推荐，除非你的系统有其他安全措施。
设置默认规则后，你可以进一步添加特定的允许或拒绝规则，以确保系统的安全。
6. 查看和删除规则
有时你可能需要查看当前的防火墙规则或者删除某些不再需要的规则。在UFW中，你可以使用以下命令：
1. 查看已设置的规则：
```
sudo ufw status verbose
```
这个命令会显示详细的防火墙规则，包括规则编号、状态、端口号等。
2. 删除指定规则：
```
sudo ufw delete allow 80
```
这条命令会删除允许端口80的规则。
你也可以根据规则编号删除规则。例如，如果你看到某个规则编号为1，可以使用以下命令删除：
```
sudo ufw delete 1
```
7. 限制流量速率
UFW支持对流量进行速率限制，这有助于防止DDoS（分布式拒绝服务）攻击等恶意行为。例如，你可以限制SSH的访问速率，防止暴力破解攻击：
```
sudo ufw limit ssh
```
上述命令将限制SSH连接的速率，通常是每分钟最多允许3次连接尝试，超过次数会被暂时阻止。
8. 高级配置：IPv6与日志记录
UFW不仅支持IPv4，还支持IPv6。如果你的Ubuntu系统启用了IPv6，你可能还需要配置IPv6的防火墙规则。可以使用以下命令启用IPv6支持：
```
sudo ufw enable
```
此命令将自动启用IPv6的防火墙设置。你还可以在配置文件中查看和修改默认设置。
另外，UFW支持日志记录功能，可以记录防火墙的活动日志，帮助你监控系统的安全状况。你可以通过以下命令启用日志记录：
```
sudo ufw logging on
```
这将启用UFW的日志功能，日志文件将保存到/var/log/ufw.log文件中。
9. 小结
通过使用UFW防火墙，Ubuntu用户可以有效地管理进出系统的流量，提升系统的安全性。本文介绍了UFW的基本概念、如何设置防火墙规则、如何查看和删除规则等内容。掌握这些基本操作后，你将能够更好地保护自己的Ubuntu系统，防止不必要的安全风险。