Debian LAMP环境防火墙配置指南(以UFW为例)
UFW(Uncomplicated Firewall)是Debian系统默认推荐的防火墙工具,专为简化配置设计,适合LAMP(Linux+Apache+MySQL+PHP)这类常见Web环境。以下是详细配置步骤:
若系统未预装UFW,可通过以下命令安装:
sudo apt update && sudo apt install ufw
安装完成后,启用UFW服务(系统会提示确认,输入y并按回车):
sudo ufw enable
UFW默认采用“拒绝所有传入、允许所有传出”的严格策略,符合LAMP环境的安全需求,无需额外修改。可通过以下命令验证:
sudo ufw default deny incoming # 确认默认拒绝传入
sudo ufw default allow outgoing # 确认默认允许传出
LAMP环境需开放以下端口,对应服务及用途:
127.0.0.1,见下文“高级配置”)。开放端口命令:
sudo ufw allow 80/tcp # 允许HTTP
sudo ufw allow 443/tcp # 允许HTTPS
sudo ufw allow 22/tcp # 允许SSH(远程管理)
sudo ufw allow 3306/tcp # 允许MySQL(数据库)
通过以下命令查看当前规则及端口开放情况(verbose模式显示更详细信息):
sudo ufw status verbose
输出示例:
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
To Action From
-- ------ ----
80/tcp ALLOW Anywhere
443/tcp ALLOW Anywhere
22/tcp ALLOW Anywhere
3306/tcp ALLOW Anywhere
80/tcp (v6) ALLOW Anywhere (v6)
443/tcp (v6) ALLOW Anywhere (v6)
22/tcp (v6) ALLOW Anywhere (v6)
3306/tcp (v6) ALLOW Anywhere (v6)
为提升安全性,可限制仅信任IP访问敏感端口(如SSH、MySQL):
sudo ufw allow from <信任IP> to any port 22 # 仅允许指定IP访问SSH
sudo ufw allow from <信任IP> to any port 3306 # 仅允许指定IP访问MySQL
将<信任IP>替换为你的实际IP地址(如192.168.1.100)。
sudo ufw status numbered
1):sudo ufw delete 1
allow命令覆盖原有规则(如将MySQL端口从3306改为3307):sudo ufw delete 4 # 先删除旧规则
sudo ufw allow 3307/tcp # 添加新规则
修改规则后,需重新加载UFW使更改生效:
sudo ufw reload
若数据库无需远程连接,可将MySQL端口限制为127.0.0.1,避免暴露在公网:
sudo ufw deny 3306/tcp # 先拒绝所有访问
sudo ufw allow from 127.0.0.1 to any port 3306 # 仅允许本地访问
若需更复杂的配置(如端口转发、IP段限制),可通过iptables实现:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -P INPUT DROP # 拒绝所有未明确允许的传入流量
sudo iptables-save > /etc/iptables/rules.v4 # Debian系统保存规则
iptables-persistent包以自动加载规则:sudo apt install iptables-persistent)通过以上步骤,Debian LAMP环境的防火墙可有效抵御非法访问,保障服务器及Web应用的安全。建议定期检查规则(sudo ufw status),根据业务需求调整端口开放策略。