Apabila menguruskan pelayan, perkara pertama yang mesti dikonfigurasikan untuk mengurangkan keselamatannya ialah mengkonfigurasi tembok api Mujurlah, Linux menyertakan tetapan lalai yang dipanggil Iptables, dan ramai orang mendapati tembok api ini sukar untuk dikonfigurasikan dan diuruskan rumit. Terdapat alternatif yang lebih mudah, seperti UFW.
UFW sebenarnya ialah CLI atau antara muka baris arahan yang mengandungi Iptables Firewall untuk Linux, yang memberikan kami cara yang lebih mudah untuk mengurus dan mengkonfigurasi Iptables. Untuk UFW, malah terdapat GUI atau antara muka grafik yang dipanggil GUFW yang boleh kami gunakan pada PC desktop atau komputer riba kami untuk mengurus dan mengkonfigurasi tembok api.
Pasang UFW pada pelayan
Untuk memasangnyacara melihat firewall dalam linux, cuma tulis arahan ke terminal -
linuxidc@linuxidc:~/$sudoapt-getinstallufw
Secara lalai, UFW dilumpuhkan selepas pemasangan Cara melihat tembok api dalam linux, jadi kita boleh menggunakan arahan untuk melihat statusnya -
linuxidc@linuxidc:~/$sudoufwstatusverbose
Status: Tidak Aktif
Konfigurasi asas UFW
Beberapa konfigurasi asas yang boleh kami gunakan dalam UFW untuk menjamin pelayan kami.
Peraturan lalai:
Seperti namanya, semak jenis sistem Linux Peraturan lalai ialah satu siri peraturan standard yang mudah untuk mengkonfigurasi tembok api Jenis peraturan ini membolehkan kami menentukan sama ada untuk membenarkan atau menafikan trafik masuk atau keluar. serta beberapa peraturan lain.
Sebenarnya konfigurasi yang sangat baik untuk menggunakan GUFW hampir tidak pernah dipasang pada PC, ia adalah untuk menafikan semua trafik masuk dan membenarkan trafik keluar.
Kita boleh melaraskannya menggunakan arahan berikut:
linuxidc@linuxidc:~/$sudoufwdefaultdenyincoming
Dasar masuk lalai ditukar kepada "menafikan"
(Sila kemas kini peraturan firewall anda dengan sewajarnya)
Tolak semua trafik masuk.
linuxidc@linuxidc:~/$sudoufwdefaultallowoutgoing
Dasar keluar lalai ditukar kepada "benarkan"
(Sila kemas kini peraturan firewall anda dengan sewajarnya)
Dengan kedua-dua konfigurasi ini, PC boleh dilindungi dengan baik, dan jika kami ingin meningkatkan keselamatan, kami juga boleh menafikan trafik keluar untuk mendapatkan keselamatan yang lebih tinggi Malah, kelemahannya ialah apa yang anda mesti tahu Aplikasi ini memerlukan peraturan lalu lintas keluar berfungsi dengan baik.
Benarkan sambungan:
Andaikan kita mengkonfigurasi tembok api pada pelayan dan menafikan semua trafik masuk. Bagaimanakah kita menyambung kepadanya dari jauh melalui SSH? Kami perlu menggunakan peraturan yang membolehkan kami menyambung ke port 22.
Jadi kami menggunakan pilihan membenarkan dan menentukan port yang kami mahu membenarkan trafik masuk dan kontrak TCP yang mereka gunakan:
linuxidc@linuxidc:~/$sudoufwallow22/tcp
Peraturan firewall dikemas kini
Peraturan dikemas kini (v6)
UFW datang dengan beberapa peraturan pratetap yang boleh kita gunakan dengan namanya, contohnya, arahan sebelumnya cuba membuka port 22 yang diketahui digunakan sebagai port untuk sambungan SSH, peraturan ini juga boleh didayakan menggunakan arahan berikut:
linuxidc@linuxidc:~/$sudoufwallowssh
Langkau menambah peraturan sedia ada
Langkau menambah peraturan sedia ada (v6)
Dengan cara yang sama, kami boleh menggunakan peraturan pra-bina lain untuk mengendalikan perkhidmatan yang diketahui, seperti HTTP menggunakan port 80, HTTPS menggunakan port 443, dsb.
Julat pelabuhan:
Anda juga mungkin mahu membenarkan bukan sahaja trafik masuk ke port, tetapi membenarkan julat trafik masuk di dalamnya, contohnya, aplikasi Mosh mungkin memerlukan julat port dari port 60000 hingga 61000 yang dikontrakkan. Buka udp.
Kita boleh mengaplikasikannya dengan memasukkan arahan berikut:
linuxidc@linuxidc:~/$sudoufwallow60000:61000/udp
Peraturan firewall dikemas kini
Peraturan dikemas kini (v6)
Sambungan ditolak:
Dengan cara yang sama kami membenarkan sambungan masuk, kami boleh menafikan sambungan sedemikian.
Andaikan kami mempunyai peraturan lalai yang membenarkan semua trafik masuk (tidak disyorkan), tetapi kami hanya mahu menafikan trafik masuk untuk port tertentu, kami boleh menggunakan konfigurasi seperti ini:
linuxidc@linuxidc:~/$sudoufwdeny22/tcp
Peraturan firewall dikemas kini
Peraturan dikemas kini (v6)
Dengan cara yang sama, kita boleh menafikan julat port.
linuxidc@linuxidc:~/$sudoufwdeny60000:61000/udp
Peraturan firewall dikemas kini
Peraturan dikemas kini (v6)
Padamkan peraturan:
Dengan mengandaikan bahawa kami telah mengkonfigurasi pelayan SSH untuk menggunakan port 2222 dan bukannya port 22 yang dibuka pada asalnya, kami harus memadamkan peraturan asal yang membenarkan port 22. Ini boleh dilakukan menggunakan arahan berikut:
sudoufwdeleteallow22/tcp
Dalam bentuk yang sama, jika ia adalah satu siri port, kita boleh melakukan ini:
sudoufwdeleteallow60000:61000/udp
Sebagai contoh, jika kita mempunyai satu set peraturan yang disempurnakan dengan UFW dan kita ingin mengalih keluarnya tetapi tidak tahu cara melakukan pengalihan keluar, kerana ia adalah sejenis peraturan yang rumit, kita boleh menghitungnya dengan arahan:
linuxidc@linuxidc:~/$sudoufwstatusnumbered
Status:Diaktifkan
Untuk tindakan daripada
-----
[1]22/tcpDENYINAanywhere
[2]60000:61000/udpDENYINAdi mana sahaja
[3]22/tcp(v6) MENAFIKAN mana-mana sahaja(v6)
[4]60000:61000/udp(v6)MENAFIKANDi mana-mana(v6)
Yang akan memberi kita satu set peraturan penomboran seperti ini:
status peraturan ufw
Seperti yang dinyatakan di atas, peraturan dinomborkan supaya kita boleh menggunakan nombor itu untuk mengalih keluar peraturan tertentu:
linuxidc@linuxidc:~/$sudoufwdelete4
Tidak lama lagi akan dipadamkan:
nafi60000:61000/udp
Adakah anda mahu meneruskan (y|n)? y
Peraturan telah dipadamkan (v6)
Aktifkan dan nyahaktifkan UFW:
Setelah semua peraturan dikonfigurasikan dan semuanya betul, kami akan meneruskan untuk mengaktifkan tembok api menggunakan arahan berikut:
linuxidc@linuxidc:~/$sudoufwenable
Dengan ini, kami akan menjadikan UFW aktif dan menjamin sambungan menggunakan peraturan kami yang ditetapkan.
Jika anda ingin melumpuhkan UFW, sila taip arahan berikut:
linuxidc@linuxidc:~/$sudoufwdisable
Jika atas sebab tertentu anda meminta untuk membatalkan semua peraturan yang berkenaan-
linuxidc@linuxidc:~/$sudoufwreset
Ringkasan
Ini hanyalah beberapa konfigurasi asas UFW yang melaluinya kami boleh menambah lapisan keselamatan yang baik pada PC dan pelayan kami. Terdapat juga konfigurasi peringkat pertengahan yang boleh digunakan untuk meningkatkan lagi keselamatan atau melaksanakan tugas tertentu.
Linux コマンドの詳細については、Linux コマンドの特別ページを参照してください
Linux Commune の RSS アドレス:
Atas ialah kandungan terperinci Cara mudah memasang dan mengkonfigurasi tembok api UFW pada pelayan anda. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
