防火墻主要由服務(wù)訪問(wèn)規(guī)則、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。Ubuntu11.04默認(rèn)的是UFW(ufw 即uncomplicated firewall的簡(jiǎn)稱，不復(fù)雜的防火墻，繁瑣部分的設(shè)置還是需要去到iptables)防火墻，已經(jīng)支持界面操作了。在命令行運(yùn)行ufw命令就可以看到提示的一系列可進(jìn)行的操作，下面一起看看具體操作!

　　最簡(jiǎn)單的一個(gè)操作：

　　sudo ufw status(如果你是root，則去掉sudo，ufw status)可檢查防火墻的狀態(tài)，我的返回的是：inactive(默認(rèn)為不活動(dòng))。

　　sudo ufw version防火墻版本：

　　ufw 0.29-4ubuntu1

　　Copyright 2008-2009 Canonical Ltd.

　　ubuntu 系統(tǒng)默認(rèn)已安裝ufw.

　　1.安裝

　　sudo apt-get install ufw

　　2.啟用

　　sudo ufw enable

　　sudo ufw default deny

　　運(yùn)行以上兩條命令后，開(kāi)啟了防火墻，并在系統(tǒng)啟動(dòng)時(shí)自動(dòng)開(kāi)啟。關(guān)閉所有外部對(duì)本機(jī)的訪問(wèn)，但本機(jī)訪問(wèn)外部正常。

　　3.開(kāi)啟/禁用

　　sudo ufw allow|deny [service]

　　打開(kāi)或關(guān)閉某個(gè)端口，例如：

　　sudo ufw allow smtp　允許所有的外部IP訪問(wèn)本機(jī)的25/tcp (smtp)端口

　　sudo ufw allow 22/tcp 允許所有的外部IP訪問(wèn)本機(jī)的22/tcp (ssh)端口

　　這個(gè)很重要，ssh遠(yuǎn)程登錄用于SecureCRT等軟件建議開(kāi)啟?；蛘卟灰_(kāi)防火墻。

　　sudo ufw allow 53 允許外部訪問(wèn)53端口(tcp/udp)

　　sudo ufw allow from 192.168.1.100 允許此IP訪問(wèn)所有的本機(jī)端口

　　sudo ufw allow proto udp 192.168.0.1 port 53 to 192.168.0.2 port 53

　　sudo ufw deny smtp 禁止外部訪問(wèn)smtp服務(wù)

　　sudo ufw delete allow smtp 刪除上面建立的某條規(guī)則

　　4.查看防火墻狀態(tài)

　　sudo ufw status

　　一般用戶，只需如下設(shè)置：

　　sudo apt-get install ufw

　　sudo ufw enable

　　sudo ufw default deny

　　以上三條命令已經(jīng)足夠安全了，如果你需要開(kāi)放某些服務(wù)，再使用sudo ufw allow開(kāi)啟。

　　開(kāi)啟/關(guān)閉防火墻 (默認(rèn)設(shè)置是’disable’)

　　sudo ufw enable|disable

　　轉(zhuǎn)換日志狀態(tài)

　　sudo ufw logging on|off

　　設(shè)置默認(rèn)策略 (比如 “mostly open” vs “mostly closed”)

　　sudo ufw default allow|deny

　　許 可或者屏蔽端口 (可以在“status” 中查看到服務(wù)列表)?？梢杂?ldquo;協(xié)議：端口”的方式指定一個(gè)存在于/etc/services中的服務(wù)名稱，也可以通過(guò)包的meta-data。 ‘allow’ 參數(shù)將把條目加入 /etc/ufw/maps ，而 ‘deny’ 則相反。基本語(yǔ)法如下：

　　sudo ufw allow|deny [service]

　　顯示防火墻和端口的偵聽(tīng)狀態(tài)，參見(jiàn) /var/lib/ufw/maps。括號(hào)中的數(shù)字將不會(huì)被顯示出來(lái)。

　　sudo ufw status

　　UFW 使用范例：

　　允許 53 端口

　　$ sudo ufw allow 53

　　禁用 53 端口

　　$ sudo ufw delete allow 53

　　允許 80 端口

　　$ sudo ufw allow 80/tcp

　　禁用 80 端口

　　$ sudo ufw delete allow 80/tcp

　　允許 smtp 端口

　　$ sudo ufw allow smtp

　　刪除 smtp 端口的許可

　　$ sudo ufw delete allow smtp

　　允許某特定 IP

　　$ sudo ufw allow from 192.168.254.254

　　刪除上面的規(guī)則

　　$ sudo ufw delete allow from 192.168.254.254

　　linux 2.4內(nèi)核以后提供了一個(gè)非常優(yōu)秀的防火墻工具：netfilter/iptables,他免費(fèi)且功能強(qiáng)大，可以對(duì)流入、流出的信息進(jìn)行細(xì)化控制，它可以 實(shí)現(xiàn)防火墻、NAT(網(wǎng)絡(luò)地址翻譯)和數(shù)據(jù)包的分割等功能。netfilter工作在內(nèi)核內(nèi)部，而iptables則是讓用戶定義規(guī)則集的表結(jié)構(gòu)。

　　但是iptables的規(guī)則稍微有些“復(fù)雜”，因此ubuntu提供了ufw這個(gè)設(shè)定工具，以簡(jiǎn)化iptables的某些設(shè)定，其后臺(tái)仍然是 iptables。ufw 即uncomplicated firewall的簡(jiǎn)稱，一些復(fù)雜的設(shè)定還是要去iptables。

　　ufw相關(guān)的文件和文件夾有：

　　/etc /ufw/：里面是一些ufw的環(huán)境設(shè)定文件，如 before.rules、after.rules、sysctl.conf、ufw.conf，及 for ip6 的 before6.rule 及 after6.rules。這些文件一般按照默認(rèn)的設(shè)置進(jìn)行就ok。

　　若開(kāi)啟ufw之 后，/etc/ufw/sysctl.conf會(huì)覆蓋默認(rèn)的/etc/sysctl.conf文件，若你原來(lái)的/etc/sysctl.conf做了修 改，啟動(dòng)ufw后，若/etc/ufw/sysctl.conf中有新賦值，則會(huì)覆蓋/etc/sysctl.conf的，否則還以/etc /sysctl.conf為準(zhǔn)。當(dāng)然你可以通過(guò)修改/etc/default/ufw中的“IPT_SYSCTL=”條目來(lái)設(shè)置使用哪個(gè) sysctrl.conf.

　　/var/lib/ufw/user.rules 這個(gè)文件中是我們?cè)O(shè)置的一些防火墻規(guī)則，打開(kāi)大概就能看明白，有時(shí)我們可以直接修改這個(gè)文件，不用使用命令來(lái)設(shè)定。修改后記得ufw reload重啟ufw使得新規(guī)則生效。

　　下面是ufw命令行的一些示例：

　　ufw enable/disable:打開(kāi)/關(guān)閉ufw

　　ufw status：查看已經(jīng)定義的ufw規(guī)則

　　ufw default allow/deny:外來(lái)訪問(wèn)默認(rèn)允許/拒絕

　　ufw allow/deny 20：允許/拒絕 訪問(wèn)20端口,20后可跟/tcp或/udp，表示tcp或udp封包。

　　ufw allow/deny servicename:ufw從/etc/services中找到對(duì)應(yīng)service的端口，進(jìn)行過(guò)濾。

　　ufw allow proto tcp from 10.0.1.0/10 to 本機(jī)ip port 25:允許自10.0.1.0/10的tcp封包訪問(wèn)本機(jī)的25端口。

　　ufw delete allow/deny 20:刪除以前定義的"允許/拒絕訪問(wèn)20端口"的規(guī)則

　　補(bǔ)充閱讀：防火墻主要使用技巧

　　一、所有的防火墻文件規(guī)則必須更改。

　　盡管這種方法聽(tīng)起來(lái)很容易，但是由于防火墻沒(méi)有內(nèi)置的變動(dòng)管理流程，因此文件更改對(duì)于許多企業(yè)來(lái)說(shuō)都不是最佳的實(shí)踐方法。如果防火墻管理員因?yàn)橥话l(fā)情況或者一些其他形式的業(yè)務(wù)中斷做出更改，那么他撞到槍口上的可能性就會(huì)比較大。但是如果這種更改抵消了之前的協(xié)議更改，會(huì)導(dǎo)致宕機(jī)嗎?這是一個(gè)相當(dāng)高發(fā)的狀況。

　　防火墻管理產(chǎn)品的中央控制臺(tái)能全面可視所有的防火墻規(guī)則基礎(chǔ)，因此團(tuán)隊(duì)的所有成員都必須達(dá)成共識(shí)，觀察誰(shuí)進(jìn)行了何種更改。這樣就能及時(shí)發(fā)現(xiàn)并修理故障，讓整個(gè)協(xié)議管理更加簡(jiǎn)單和高效。

　　二、以最小的權(quán)限安裝所有的訪問(wèn)規(guī)則。

　　另一個(gè)常見(jiàn)的安全問(wèn)題是權(quán)限過(guò)度的規(guī)則設(shè)置。防火墻規(guī)則是由三個(gè)域構(gòu)成的：即源(IP地址)，目的地(網(wǎng)絡(luò)/子網(wǎng)絡(luò))和服務(wù)(應(yīng)用軟件或者其他目的地)。為了確保每個(gè)用戶都有足夠的端口來(lái)訪問(wèn)他們所需的系統(tǒng)，常用方法是在一個(gè)或者更多域內(nèi)指定打來(lái)那個(gè)的目標(biāo)對(duì)象。當(dāng)你出于業(yè)務(wù)持續(xù)性的需要允許大范圍的IP地址來(lái)訪問(wèn)大型企業(yè)的網(wǎng)絡(luò)，這些規(guī)則就會(huì)變得權(quán)限過(guò)度釋放，因此就會(huì)增加不安全因素。服務(wù)域的規(guī)則是開(kāi)放65535個(gè)TCP端口的ANY。防火墻管理員真的就意味著為黑客開(kāi)放了65535個(gè)攻擊矢量?

　　三、根據(jù)法規(guī)協(xié)議和更改需求來(lái)校驗(yàn)每項(xiàng)防火墻的更改。

　　在防火墻操作中，日常工作都是以尋找問(wèn)題，修正問(wèn)題和安裝新系統(tǒng)為中心的。在安裝最新防火墻規(guī)則來(lái)解決問(wèn)題，應(yīng)用新產(chǎn)品和業(yè)務(wù)部門的過(guò)程中，我們經(jīng)常會(huì)遺忘防火墻也是企業(yè)安全協(xié)議的物理執(zhí)行者。每項(xiàng)規(guī)則都應(yīng)該重新審核來(lái)確保它能符合安全協(xié)議和任何法規(guī)協(xié)議的內(nèi)容和精神，而不僅是一篇法律條文。

　　四、當(dāng)服務(wù)過(guò)期后從防火墻規(guī)則中刪除無(wú)用的規(guī)則。

　　規(guī)則膨脹是防火墻經(jīng)常會(huì)出現(xiàn)的安全問(wèn)題，因?yàn)槎鄶?shù)運(yùn)作團(tuán)隊(duì)都沒(méi)有刪除規(guī)則的流程。業(yè)務(wù)部門擅長(zhǎng)讓你知道他們了解這些新規(guī)則，卻從來(lái)不會(huì)讓防火墻團(tuán)隊(duì)知道他們不再使用某些服務(wù)了。了解退役的服務(wù)器和網(wǎng)絡(luò)以及應(yīng)用軟件更新周期對(duì)于達(dá)成規(guī)則共識(shí)是個(gè)好的開(kāi)始。運(yùn)行無(wú)用規(guī)則的報(bào)表是另外一步。黑客喜歡從來(lái)不刪除規(guī)則的防火墻團(tuán)隊(duì)。

Ubuntu默認(rèn)防火墻安裝配置啟用命令是什么相關(guān)文章：

1.centos setup 無(wú)法配置防火墻怎么辦

2.windows與linux怎么實(shí)現(xiàn)文件互拷

3.Ubuntu系統(tǒng)修復(fù)命令有哪些

4.Linux mysql命令安裝允許遠(yuǎn)程連接的安裝設(shè)置方法

5.Linux系統(tǒng)中最實(shí)用的防火墻有哪些