ubuntu22.04防火墙策略

Ubuntu 22.04 作为一款流行的Linux发行版，其安全性尤为重要。防火墙是保护系统免受外部威胁的关键组成部分。本文将介绍如何在Ubuntu 22.04上配置和管理防火墙策略，包括使用UFW（Uncomplicated Firewall）和更为复杂的iptables。

一、UFW 简介

UFW（Uncomplicated Firewall）是Ubuntu默认的防火墙管理工具，它简化了iptables的配置过程，使用户可以通过简单的命令进行防火墙规则管理。

1. 安装与启用UFW

默认情况下，UFW通常已经安装在Ubuntu系统中。可以通过以下命令确认并启用UFW：

sudo apt-get update
sudo apt-get install ufw
sudo ufw enable
​

启用UFW后，可以使用以下命令查看UFW状态：

sudo ufw status
​

2. 基本命令

• 允许连接：

sudo ufw allow 22   # 允许SSH连接
sudo ufw allow 80   # 允许HTTP连接
sudo ufw allow 443  # 允许HTTPS连接
​

• 拒绝连接：

sudo ufw deny 23    # 拒绝Telnet连接
​

• 删除规则：

sudo ufw delete allow 22  # 删除允许SSH连接的规则
​

3. 配置示例

配置一个Web服务器防火墙策略：

sudo ufw default deny incoming   # 默认拒绝所有传入连接
sudo ufw default allow outgoing  # 默认允许所有传出连接
sudo ufw allow 22                # 允许SSH连接
sudo ufw allow 80                # 允许HTTP连接
sudo ufw allow 443               # 允许HTTPS连接
​

二、高级iptables配置

尽管UFW提供了简化的接口，但对于高级需求，iptables仍然是不可或缺的工具。iptables提供了强大的网络包过滤和NAT功能。

1. 安装iptables

通常，iptables已经预装在Ubuntu系统中。可以使用以下命令检查iptables版本：

sudo iptables -V
​

2. 基本命令

• 查看规则：

sudo iptables -L -v
​

• 添加规则：

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT  # 允许SSH连接
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT  # 允许HTTP连接
​

• 删除规则：

sudo iptables -D INPUT -p tcp --dport 22 -j ACCEPT  # 删除允许SSH连接的规则
​

3. 保存和恢复规则

防火墙规则在系统重启后会丢失，需要保存和恢复规则：

• 保存规则：

sudo iptables-save > /etc/iptables/rules.v4
​

• 恢复规则：

sudo iptables-restore < /etc/iptables/rules.v4
​

三、防火墙策略设计

防火墙策略的设计应根据实际需求，结合安全性和可用性进行综合考虑。以下是几种常见的防火墙策略示例。

1. 基本安全策略

# 默认策略
sudo ufw default deny incoming
sudo ufw default allow outgoing

# 允许常用服务
sudo ufw allow 22                # SSH
sudo ufw allow 80                # HTTP
sudo ufw allow 443               # HTTPS

# 启用UFW
sudo ufw enable
​

2. 限制特定IP访问

限制某个IP地址只能访问SSH服务：

sudo ufw allow from 192.168.1.100 to any port 22
​

限制某个IP地址范围访问：

sudo ufw allow from 192.168.1.0/24 to any port 22
​

3. 防御DDoS攻击

使用iptables限制单个IP的连接速率，防止DDoS攻击：

sudo iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j REJECT