Ubuntu防火墙安全策略怎么制定

Ubuntu 防火墙安全策略制定指南

一 策略设计原则

• 采用“默认拒绝、按需放行”的基线：默认拒绝入站、允许出站，仅对明确需要的端口与来源放行，降低攻击面。
• 先放行关键管理通道（如 SSH 22/TCP）再启用防火墙，避免被远程锁死；必要时限制来源 IP。
• 对面向公网的访问优先使用端口白名单与速率限制，降低暴力破解与滥用风险。
• 保持规则最小化与可审计：仅开放必需端口，定期审查与清理无用规则。
• 在云环境中，同时检查云平台安全组/NACL策略，做到主机与边界两层一致。
• 如需更细粒度控制，可结合 AppArmor/SELinux 做进程级强制访问控制。

二 使用 UFW 快速落地

• 安装与启用
  • 安装：sudo apt update && sudo apt install ufw
  • 设置默认策略：sudo ufw default deny incoming；sudo ufw default allow outgoing
  • 放行 SSH：sudo ufw allow ssh 或 sudo ufw allow 22/tcp（务必先放行再启用）
  • 启用：sudo ufw enable
• 常用规则
  • 放行 Web：sudo ufw allow http；sudo ufw allow https
  • 来源 IP 白名单：sudo ufw allow from 203.0.113.10 to any port 22
  • 子网放行：sudo ufw allow from 192.168.1.0/24 to any port 22
  • 端口范围：sudo ufw allow 3000:4000/tcp
  • 拒绝规则：sudo ufw deny 23
• 管理与查看
  • 状态与编号：sudo ufw status；sudo ufw status numbered
  • 删除规则：sudo ufw delete allow 80/tcp 或 sudo ufw delete <编号>
  • 重载与重置：sudo ufw reload；sudo ufw reset
• 进阶
  • 防暴力破解：sudo ufw limit ssh（对 SSH 自动触发速率限制）
  • 启用日志：sudo ufw logging on
  • IPv6：编辑 /etc/default/ufw，确保 IPV6=yes 后重载

三 场景化策略模板

• 模板A 公网 Web 服务器
  • 目标：仅暴露 22/80/443，限制 SSH 来源，开启速率限制与日志。
  • 规则示例：
    • sudo ufw default deny incoming
    • sudo ufw default allow outgoing
    • sudo ufw allow from 203.0.113.0/24 to any port 22
    • sudo ufw allow http
    • sudo ufw allow https
    • sudo ufw limit ssh
    • sudo ufw logging on
    • sudo ufw enable
• 模板B 内网应用服务器
  • 目标：仅内网网段访问 3306/6379 等敏感端口，拒绝公网访问。
  • 规则示例：
    • sudo ufw default deny incoming
    • sudo ufw default allow outgoing
    • sudo ufw allow from 10.0.0.0/8 to any port 3306
    • sudo ufw allow from 10.0.0.0/8 to any port 6379
    • sudo ufw enable
• 模板C 严格最小化（运维通道受限）
  • 目标：仅允许跳板机访问 22，其他端口一律关闭。
  • 规则示例：
    • sudo ufw default deny incoming
    • sudo ufw default deny outgoing
    • sudo ufw allow from 198.51.100.10 to any port 22
    • sudo ufw allow out 53,80,443/tcp # 仅允许 DNS/HTTP/HTTPS 出站（按需收紧）
    • sudo ufw enable
      以上模板可按需增删端口与来源网段，并配合云平台安全组实现“默认拒绝”的边界一致策略。

四 高级控制与持久化

• 使用 iptables 实现细粒度与速率限制
  • 限制单 IP 对 80/TCP 的连接数（防滥用/简单抗 DDoS）：
    • sudo iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j REJECT
  • 规则持久化（UFW 一般自动持久；原生 iptables 需手动保存/恢复）：
    • 保存：sudo iptables-save > /etc/iptables/rules.v4
    • 恢复：sudo iptables-restore < /etc/iptables/rules.v4
• 进程与系统加固配合
  • AppArmor：为关键服务（如 sshd、nginx、数据库）启用或编写策略，限制可执行与文件访问范围。
  • SELinux：在需要时启用并配置相应策略模块，增强进程级强制访问控制。

五 运维与风险控制清单

• 变更前先在本地或带外通道验证规则，再应用到生产；变更窗口内保持控制台/带外可访问。
• 统一审计：定期执行 sudo ufw status numbered、sudo ufw logging on 并检查日志，清理过期规则。
• 云上双保险：主机防火墙与安全组同时采用“默认拒绝”，仅放行业务必需端口与来源。
• 防暴力破解：启用 ufw limit ssh，并配合 fail2ban 等工具实现自动封禁。
• 备份与回滚：保存 UFW 与 iptables 规则快照，变更失败可快速回滚。