debian防火墙最佳实践分享

在 Debian 系统中，防火墙是保护服务器安全的重要工具。以下是 Debian 防火墙的最佳实践：

安装和配置 UFW 防火墙

• 安装 UFW：

  sudo apt update
  sudo apt install ufw
  

• 启用 UFW：

  sudo ufw enable
  

• 允许特定端口：

  sudo ufw allow 22/tcp  # 允许 SSH 连接
  sudo ufw allow 80/tcp  # 允许 HTTP 连接
  sudo ufw allow 443/tcp # 允许 HTTPS 连接
  

• 查看 UFW 状态：

  sudo ufw status
  

• 保存规则：

  sudo ufw enable
  

使用 iptables 进行更高级的配置

• 查看当前 iptables 规则：

  sudo iptables -L
  

• 添加规则：

  sudo iptables -A INPUT -p tcp --dport 8080 -j ACCEPT # 允许 8080 端口
  

• 保存 iptables 规则：

  sudo iptables-save /etc/iptables/rules.v4
  

• 设置规则开机自启：

  sudo netfilter-persistent save
  sudo netfilter-persistent reload
  

防火墙规则示例

• 允许所有入站连接：

  sudo iptables -P INPUT ACCEPT
  

• 允许所有出站连接：

  sudo iptables -P OUTPUT ACCEPT
  

• 允许已建立的连接：

  sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  

• 拒绝所有其他入站连接：

  sudo iptables -A INPUT -j REJECT
  

提高安全性

• 限制用户权限：避免直接使用 root 用户进行操作，通过 useradd 和 usermod 命令新建普通用户，并通过 sudo 命令提升权限。
• 强化密码策略：通过 PAM 模块强化密码策略，要求密码包含字母、数字和特殊字符的组合，并定期更新密码。
• 使用 SSH 密钥对认证：为 SSH 服务配置密钥对认证，禁用 root 远程登录，禁止使用空密码登录。

防火墙优化建议

• 备份和还原配置：在进行任何更改之前，确保备份当前的防火墙配置。
• 设置默认策略：将 iptables 的默认策略设置为拒绝（DROP），以提高安全性。
• 允许必要的端口：只允许必要的端口和服务通过防火墙，如 SSH（22 端口）、HTTP（80 端口）、HTTPS（443 端口）等。
• 日志记录：启用日志记录功能，以便监控被拒绝的连接。

以上步骤可以帮助提高 Debian 系统的安全性，防止多种类型的攻击。需要注意的是，这些配置应根据实际的安全需求和环境进行调整，并且建议在进行任何更改后都进行彻底的测试。