怎样在Ubuntu上配置Apache防火墙

在Ubuntu上配置Apache防火墙的步骤

1. 安装并启用UFW防火墙

UFW（Uncomplicated Firewall）是Ubuntu默认的防火墙管理工具，简单易用。首先更新软件包列表并安装UFW：

sudo apt update
sudo apt install ufw

安装完成后，启用UFW以激活防火墙：

sudo ufw enable

系统会提示确认启用，输入y并按回车键。

2. 配置Apache基础防火墙规则

Apache默认使用80端口（HTTP）和443端口（HTTPS），需允许这两个端口的入站流量。

• 方法一：允许Apache预定义规则（推荐，自动包含HTTP/HTTPS及依赖端口）：

  sudo ufw allow 'Apache Full'
  

• 方法二：手动添加端口规则（更灵活，可单独控制）：

  sudo ufw allow 80/tcp    # 允许HTTP流量
  sudo ufw allow 443/tcp   # 允许HTTPS流量
  

  执行后，可通过sudo ufw status查看规则是否生效，输出应包含80/tcp ALLOW和443/tcp ALLOW。

3. 优化防火墙默认策略

为提升安全性，建议设置严格的默认策略：

• 拒绝所有入站流量（仅允许明确放行的端口）：

  sudo ufw default deny incoming
  

• 允许所有出站流量（服务器主动访问外部网络）：

  sudo ufw default allow outgoing
  

  此设置可防止未授权的外部连接访问服务器。

4. （可选）限制访问来源IP

若需进一步缩小访问范围，可仅允许可信IP地址访问Apache服务。例如，允许IP为192.168.1.100的电脑访问HTTP/HTTPS：

sudo ufw allow from 192.168.1.100 to any port 80
sudo ufw allow from 192.168.1.100 to any port 443

替换192.168.1.100为实际可信IP地址。

5. 重新加载UFW使规则生效

修改防火墙规则后，必须重新加载UFW才能应用更改：

sudo ufw reload

无需重启服务器，规则会立即生效。

6. 验证配置有效性

• 检查UFW状态：

  sudo ufw status verbose
  

  确认输出中包含Apache Full ALLOW或对应的端口规则，且默认策略为deny incoming。
• 测试Apache访问：
  在浏览器中输入服务器IP地址（如http://192.168.1.100），应能正常访问Apache默认页面；若配置了HTTPS，输入https://192.168.1.100应显示安全连接。

7. 额外安全增强建议（可选）

• 隐藏Apache版本信息：编辑Apache主配置文件/etc/apache2/apache2.conf，添加以下行：

  ServerTokens Prod
  ServerSignature Off
  

  重启Apache使设置生效：sudo systemctl restart apache2。
• 启用SSL/TLS加密：使用Certbot为网站配置免费SSL证书，强制HTTPS访问：

  sudo apt install certbot python3-certbot-apache
  sudo certbot --apache
  

  按提示完成证书申请，Certbot会自动配置Apache虚拟主机。