debian

Debian Backlog:如何配置防火墙与安全策略

小樊
35
2025-07-27 13:04:44
栏目: 智能运维

在Debian系统中,配置防火墙和安全策略是确保系统安全性的重要步骤。以下是使用firewalldufw配置防火墙以及制定安全策略的详细指南。

配置防火墙

使用 firewalld

firewalld是一个动态管理防火墙的工具,通过引入“区域(zone)”和“服务(service)”的概念,提供灵活的网络安全管理方式。

  1. 安装 firewalld(如果尚未安装):

    sudo apt install firewalld
    
  2. 启动和启用 firewalld

    sudo systemctl start firewalld
    sudo systemctl enable firewalld
    
  3. 查看当前状态

    sudo systemctl status firewalld
    
  4. 基本命令

    • 查看当前区域和规则:
      sudo firewall-cmd --get-active-zones
      sudo firewall-cmd --zone public --list-all
      
    • 管理区域:
      • 添加服务到区域:
        sudo firewall-cmd --zone public --add-service http --permanent
        
      • 移除服务:
        sudo firewall-cmd --zone public --remove-service http --permanent
        
    • 添加和移除端口:
      • 添加端口:
        sudo firewall-cmd --zone public --add-port 8080/tcp --permanent
        
      • 移除端口:
        sudo firewall-cmd --zone public --remove-port 8080/tcp --permanent
        
    • 重新加载配置:
      sudo firewall-cmd --reload
      
  5. 查看所有预定义服务

    sudo firewall-cmd --get-services
    
  6. 查看所有区域

    sudo firewall-cmd --get-zones
    

使用 ufw

ufw(Uncomplicated Firewall)是一个用户友好的防火墙工具,适合简单的防火墙配置。

  1. 安装 ufw(如果尚未安装):

    sudo apt update
    sudo apt install ufw
    
  2. 启用 ufw

    sudo ufw enable
    
  3. 设置默认策略

    • 拒绝所有传入连接,只允许已建立的连接和你的SSH连接:
      sudo ufw default deny incoming
      sudo ufw default allow outgoing
      
  4. 允许特定端口和服务

    • 允许HTTP(80端口)和HTTPS(443端口)流量:
      sudo ufw allow 80/tcp
      sudo ufw allow 443/tcp
      
  5. 查看 ufw状态

    sudo ufw status
    
  6. 禁用 ufw

    sudo ufw disable
    
  7. 重新加载 ufw规则

    sudo ufw reload
    

安全策略

  1. 更新系统和软件:保持系统最新状态,安装所有可用的安全更新。

    sudo apt update && sudo apt upgrade
    
  2. 用户权限管理

    • 新建普通用户,避免直接使用root用户进行操作。
    • 通过PAM模块来强化密码策略。
  3. SSH服务安全配置

    • 使用SSH密钥对认证,防止密码穷举攻击。
    • 编辑 /etc/ssh/sshd_config 文件,禁用root远程登录:
      PermitRootLogin no
      
    • 禁止使用空密码登录:
      PermitEmptyPasswords no
      
  4. 防火墙配置

    • 对于暴露在互联网上的Debian服务器,合理配置 iptables 至关重要。
    • 编辑防火墙规则,仅允许必要的端口(如HTTP、HTTPS和SSH)连接,拒绝所有其他未授权的入站连接请求。
  5. 监控系统日志:使用工具如 LogwatchFail2ban 自动监控并报告系统活动。

通过上述步骤,你可以在Debian系统上成功配置防火墙和进行安全设置,以提高系统的安全性和稳定性。

0
看了该问题的人还看了