自从计算机互连后,各种服务迅速发展。用户使用的电子邮件、社交媒体、在线商城、即时聊天甚至网络会议等服务如雨后春笋般涌现。但从另一方面来说,这些连接服务也具有双刃剑,比如它们当中的病毒、恶意软件、特洛伊木马等会向计算机发送恶意消息。
安装 UFW 防火墙
作为最大的计算机网络,互联网上可并不都是善意的用户。因此,为了确保我们的计算机或服务器安全,我们需要进行保护。
在你的计算机或服务器上一个必须有的组件就是防火墙。在维基百科中,其定义是:
防火墙是计算机中一款应用软件或基于硬件的网络安全系统。它根据应用配置的规则,分析数据包,然后决定是否允许此数据包通过,来控制整个系统的网络数据进出访问权限。
iptables 是一款广泛使用于服务器的防火墙。它是一款应用程序,它会根据一系列规则来管理服务器上的进出数据流。一般来说,只有可信任的连接才允许进入服务器。但 iptables 是在控制台模式下运行,它非常的复杂。不熟悉 iptables 配置规则和命令的用户可以读读下面的文章,它描述了如何使用iptables防火墙。
Debian/Ubuntu 系统中安装 UFW 防火墙
—
22 ALLOW Anywhere
22 ALLOW Anywhere (v6)
如果你有很多条规则,想快速的在每条规则上加个序号数字的话,请使用 numbered 参数。
$ sudo ufw status numbered
To Action From
—
22/tcp ALLOW Anywhere
22/tcp ALLOW Anywhere (v6)
### 拒绝访问
添加拒绝规则也是同样的招数。我们假设你想拒绝 ftp 访问, 你只需输入
$ sudo ufw deny ftp
To Action From
—
2290 ALLOW Anywhere
2290 ALLOW Anywhere (v6)
你也可以把**端口范围**添加进规则。如果我们想打开从 **2290到2300** 的端口以供 **tcp** 协议使用,命令如下示:
$ sudo ufw allow 2290:2300/tcp
To Action From
—
2290:2300/udp ALLOW Anywhere
2290:2300/udp ALLOW Anywhere (v6)
请注意你得明确的指定是 ‘**tcp**’ 或 ‘**udp**’,否则会出现跟下面类似的错误信息。
ERROR: Must specify ‘tcp’ or ‘udp’ with multiple ports
### 添加特定 IP
前面我们添加的规则都是基于 **服务程序** 或 **端口** 的,UFW 也可以添加基于 **IP 地址**的规则。下面是命令样例。
$ sudo ufw allow from 192.168.0.104
你也可以使用子网掩码来扩宽范围。
$ sudo ufw allow form 192.168.0.0/24
To Action From
22/tcp ALLOW 192.168.0.104
21/tcp ALLOW Anywhere
21/tcp ALLOW Anywhere (v6)
删除规则有两个方法。
**方法1**
下面的命令将会 **删除** 与 **ftp** 相关的规则。所以像 **21/tcp** 这条 **ftp** 默认访问端口的规则将会被删除掉。
$ sudo ufw delete allow ftp
**方法2**
但当你使用如下命令来删除上面例子中的规则时,
$ sudo ufw delete allow ssh
或者
$ sudo ufw delete allow 22/tcp
会出现如下所示的一些错误
Could not delete non-existent rule
Could not delete non-existent rule (v6)
我们还有一招。上面已经提到过,可以序列数字来代替你想删除的规则。让我们试试。
$ sudo ufw status numbered
To Action From
—
via: http://www.tecmint.com/how-to-install-and-configure-ufw-firewall/
译者:runningwater 校对:Caroline
发表回复