Ubuntu 防火墙安全级别选择指南
一、核心原则与默认策略
sudo ufw default deny incoming;sudo ufw default allow outgoingsudo ufw allow ssh 或 sudo ufw allow 22/tcpsudo ufw enablesudo ufw status verbose;带编号查看:sudo ufw status numbered二、按场景选择安全级别
| 场景 | 入站默认 | 出站策略 | 放行要点 | 适用说明 |
|---|---|---|---|---|
| 个人桌面 | deny | allow | 按需放行 SSH(22/TCP)、Samba(445,137-139/TCP+UDP)、打印机等 | 兼顾安全与日常使用 |
| 云服务器 Web | deny | allow | 放行 22/TCP(SSH)、80/TCP(HTTP)、443/TCP(HTTPS);可用应用配置 sudo ufw allow "Apache Full" |
面向公网,仅暴露必要端口 |
| 数据库/内网服务 | deny | allow(或按最小原则限制) | 仅内网网段访问,如 sudo ufw allow from 192.168.1.0/24 to any port 3306 proto tcp |
降低横向渗透风险 |
| 严格管控主机 | deny | deny(按需白名单) | 仅放行业务必需出站(DNS/HTTPS/NTP 等),其余默认拒绝 | 合规/等保/高敏环境 |
说明:UFW 支持按端口、服务名、IP/子网、协议精细化放行;必要时用 sudo ufw status numbered 管理规则,用 sudo ufw delete <编号> 删除;对 SSH 建议启用速率限制:sudo ufw limit ssh(默认 30 秒内超过 6 次触发临时阻断),缓解暴力破解。
三、关键配置要点
sudo ufw enable,避免失联。status numbered 检查并按编号调整。sudo ufw logging on,日志级别可选 low/medium/high/full,日志通常写入 /var/log/ufw.log。IPV6=yes,为 IPv6 也生成规则。四、常用命令速查
sudo ufw status / sudo ufw status verbose / sudo ufw status numberedsudo ufw enable / sudo ufw disablesudo ufw default deny incoming;sudo ufw default allow outgoingsudo ufw allow 80/tcp、sudo ufw deny 21/tcpsudo ufw allow http、sudo ufw allow httpssudo ufw allow "Apache Full"(查看可用:sudo ufw show apps)sudo ufw allow from 203.0.113.10、sudo ufw allow from 192.168.1.0/24 to any port 22 proto tcpsudo ufw delete allow 80/tcp 或 sudo ufw delete <编号>sudo ufw limit ssh(或 sudo ufw limit 22/tcp)sudo ufw logging medium;查看:sudo less /var/log/ufw.log 或 sudo journalctl -t ufwsudo ufw reset(谨慎:会清空规则并禁用)