Как включить и настроить файервол с помощью UFW на Ubuntu

Отредактировано 3 Несколько недель назад от ExtremeHow Редакционная команда

UFWБрандмауэрУбунтуБезопасностьЛинуксКонфигурацияОперационные системыСетевые подключенияСистемаАдминистрирование

Ubuntu, популярная операционная система на базе Linux, предлагает надежные функции безопасности для защиты вашего сервера или персонального компьютера от несанкционированного доступа. Одной из таких важных функций является система файервола, которая является механизмом сетевой безопасности, контролирующим входящий и исходящий сетевой трафик на основе заранее определенных правил безопасности. В этом руководстве мы объясним, как включить и настроить файервол в Ubuntu с использованием Uncomplicated Firewall, известного как UFW.

Понимание основ UFW

UFW означает Uncomplicated Firewall. Это удобный графический интерфейс для управления правилами файервола в Ubuntu. Цель UFW – упростить процесс настройки файервола. Хотя UFW может быть использован с расширенными настройками, в этом руководстве фокус на базовых операциях.

Ключевые особенности UFW

• Простота: UFW разработан для того, чтобы сделать управление файерволом проще для всех пользователей. Он позволяет управлять файерволом через простые командные операции, без редактирования сложных конфигураций.
• Предварительно настроенные опции: UFW поставляется с набором правил по умолчанию, которые часто достаточно для большинства конфигураций. Эти правила могут быть изменены или расширены по мере необходимости.
• Интеграция: UFW интегрирован в системы Ubuntu и может быть использован с другими дистрибутивами Linux.

Установка UFW

По умолчанию, UFW может быть уже установлен на вашей системе Ubuntu. Однако, если он не установлен, вы можете легко установить его с помощью следующей команды:

sudo apt update sudo apt install ufw

Первая команда обновляет список пакетов, чтобы убедиться, что у вас есть наиболее актуальная информация о установленных пакетах, а вторая команда устанавливает UFW.

Проверка статуса UFW

Чтобы проверить, активирован ли UFW, вы можете выполнить следующую команду:

sudo ufw status

Если установлен, но не активирован, вывод скажет "Status: Inactive". Мы активируем его позже в этом руководстве.

Включение UFW

Чтобы включить UFW, используйте следующую команду:

sudo ufw enable

После включения UFW он автоматически начнет защищать вашу систему на основе настроенных правил. Важно помнить, что нужно установить правила по умолчанию перед включением. Если правило по умолчанию – запретить все подключения, то вы можете оказаться заблокированы от сервера, особенно в удаленных сценариях доступа через SSH.

Понимание политики UFW по умолчанию

Политики по умолчанию служат основой для конфигурации файервола. Если подключение не соответствует определенному правилу, применяются политики по умолчанию. В большинстве случаев хорошей практикой является настройка файервола на блокировку всех входящих подключений и разрешение только исходящих. Это гарантирует, что услуги, работающие на вашем сервере, не могут быть доступны из внешнего мира, если вы их не разрешите.

sudo ufw default allow outgoing sudo ufw default deny incoming

Первая команда позволяет все исходящие подключения, а вторая блокирует все входящие.

Разрешение соединений SSH

Если у вас есть доступ SSH к вашему серверу, вам нужно настроить UFW для разрешения соединений SSH, чтобы не потерять доступ при включении UFW:

sudo ufw allow ssh

Указанная команда разрешает трафик на порту 22, который является портом по умолчанию для SSH. Если ваша служба SSH работает на другом порту, вам нужно указать этот порт с помощью следующей команды:

sudo ufw allow <номер порта>/tcp

Добавление правил в UFW

UFW позволяет обрабатывать правила, контролирующие доступ. Эти правила могут разрешать или запрещать доступ через определенные порты. Ниже приведены некоторые примеры и сценарии использования для добавления правил:

Разрешение определенных портов

sudo ufw allow 80

Эта команда разрешает трафик HTTP к вашему веб-серверу, открывая порт 80.

Разрешение портов с определенным протоколом

sudo ufw allow 443/tcp

Чтобы разрешить безопасный HTTPS-трафик, вы разрешаете подключения TCP на порту 443.

Разрешение конкретного IP-адреса

sudo ufw allow from 192.168.1.100

Эта команда разрешает все подключения с конкретного IP-адреса.

Разрешение портов для конкретных IP-адресов

sudo ufw allow from 192.168.1.100 to any port 22

Это разрешает соединения SSH только с указанного IP-адреса.

Правила отклонения

Подобно разрешению соединений, UFW может быть настроен на явное блокирование соединений по мере необходимости:

Отклонение конкретного порта

sudo ufw deny 8080

Эта команда останавливает любые соединения через порт 8080.

Отклонение конкретного IP-адреса

sudo ufw deny from 203.0.113.5

Это блокирует весь сетевой трафик с указанного IP-адреса.

Удаление правила

Если вам нужно удалить правило из UFW, вы можете перечислить все правила и использовать их номер для удаления:

sudo ufw status numbered

Он перечисляет все правила вместе с их номерами, например:

[ 1] Allow 80/tcp

Чтобы удалить правило, вы можете сделать следующее:

sudo ufw delete 1

Это удаляет правило, связанное с номером 1, из списка правил.

Отключение UFW

В некоторых случаях вам может понадобиться временно отключить UFW, например, для устранения неполадок:

sudo ufw disable

Это мгновенно отключает файервол, обеспечивая прохождение всего сетевого трафика без каких-либо ограничений. Не забудьте включить его снова после завершения устранения неполадок:

sudo ufw enable

Расширенные функции UFW

Хотя UFW ориентирован на простоту, он также может обрабатывать более сложные задачи файервола:

Ограничение скорости

Чтобы предотвратить атаки типа "brute force", UFW может быть настроен для ограничения скорости соединений. Например, ограничение скорости может быть включено на порте SSH:

sudo ufw limit ssh

Эта команда ограничивает количество попыток соединения, и если их количество превышено, она временно блокирует трафик с IP-адреса источника.

Журналирование

UFW предоставляет возможности журналирования, чтобы помочь вам контролировать и устранять неполадки с сетевым трафиком:

sudo ufw logging on

Журналирование помогает вам понять, как работает файервол, и фиксирует любую попытку блокировки.

Использование профилей приложений

UFW может работать с профилями приложений, которые упрощают процесс разрешения соединений для нескольких приложений, упакованных с заранее определенными правилами. Получите обзор доступных профилей:

sudo ufw app list

Как только имя профиля будет идентифицировано, вы можете легко предоставить ему разрешение:

sudo ufw allow <имя профиля>

Заключение

После изучения данного подробного руководства вы получили важную информацию о том, как включить и настроить файервол на Ubuntu с использованием UFW. Теперь вы понимаете основные концепции правил файервола, как применять политики безопасности и как контролировать сетевую активность с помощью UFW. Поддержка работающего файервола является важной частью обеспечения безопасности сервера и требует постоянного мониторинга и обновления, чтобы гарантировать, что он обеспечивает необходимую защиту.

С помощью этих практик UFW вы можете поддерживать строгий контроль вашего сервера, защищая его от несанкционированного доступа, в то время как авторизованные пользователи имеют необходимый доступ – все это достигается благодаря замечательной простоте, предоставляемой UFW на Ubuntu.

  Поделиться этой статьей

Если вы найдете что-то неправильное в содержании статьи, вы можете запросить обновление