DevOps日常之UFW 防火墙的配置和操作一

介绍 UFW

管理服务器时，安全性是非常重要的。UFW（uncomplicated firewall） 是管理防火墙规则的前端，它可以很方便的管理主机的防火墙。UFW 是通过命令行来管理防火墙，目的就是可以更加容易的配置和管理防火墙。

Iptables 是系统管理员最常用的防火墙工具之一。它用于管理和保护服务器中的传入和传出连接，但是 Iptables 管理和配置相对复杂，对于像我这样还在运维门口的同学来说更加复杂。UFW 是一个应用程序防火墙，用于在 Ubuntu 上管理基于Iptables 的防火墙，它提供了一个管理 netfilter 规则的框架，以及一个用于控制防火墙规则的命令行界面。

UFW 防火墙可以通过端口、网络接口和源IP地址来允许和阻止各种服务。对于我这样的初学者来说，使用它开始保护服务器的网络，是一个非常好的选择。

Ubuntu 适合中小型应用，巧了，我们的 linux 系统几乎都是 Ubuntu。下面的演示都是基于 Ubuntu 16.04。

UFW 安装

安装 ufw，使用命令，sudo apt install ufw，详细输出如下：

查看 ufw 状态，使用命令，sudo ufw status，详细输出如下：

激活 ufw，使用命令，sudo ufw enable，详细输出如下：

禁用 ufw，使用命令，sudo ufw disable，详细输出如下：

查看当前 UFW 规则

查看当前 ufw 中配置的规则，使用命令，sudo ufw status verbose，详细输出如下：

从上面的输出可以看出，默认情况下，拒绝外部所有的访问。

注意 ，这个时候重启服务器的话，就恭喜你，中奖了，系统进不去啦，啦啦啦，因为启用 ufw 后，默认 22 也是禁用的。

添加单个端口/应用访问

启用 ufw 后的第一件事，应该是启用 ssh 访问，使用命令，sudo ufw allow ssh 或者 sudo ufw allow 22/tcp，详细输出如下：

查看已经启用的 ssh 访问是否生效，使用命令，sudo ufw status，详细输出如下：

添加访问端口段

ufw 不仅可以允许特定的应用程序，或者端口访问，还是可以允许端口范围的访问，使用命令，sudo ufw allow start:end/tcp，sudo ufw allow 9900:9999/tcp，详细输出如下：

查看已经启用的端口范围访问是否生效，使用命令，sudo ufw status | grep 9900，详细输出如下：

拒绝访问

想要拒绝特定端口访问，使用命令，sudo ufw "Port/Protocol"， 比如：sudo ufw deny 9900:9999/tcp,详细输出如下：

查看已经禁用的访问是否生效，使用命令，sudo ufw status | grep 9900，详细输出如下：

查看配置的应用程序

列出本地系统上可用的应用程序配置，使用命令，sudo ufw app list，详细输出如下：

查看特定的应用程序配置，使用命令，sudo ufw app info "App Name"，sudo ufw app info OpenSSH，详细输出如下：

UFW 总结

UFW 第一部分先介绍到这里。

介绍了 UFW 是什么、如何安装、启用、如何配置规则、查看规则、查看应用程序的详细信息。使用这些信息已经可以完成大部分，关于防火墙设置的工作了。下次我们再介绍关于 UFW 更多的功能、一些高阶功能，DevOps日常之UFW 防火墙的配置和操作二。