首页主机资讯Ubuntu防火墙安全策略怎么制定

Ubuntu防火墙安全策略怎么制定

时间2025-11-21 13:47:04发布访客分类主机资讯浏览326
导读:Ubuntu 防火墙安全策略制定指南 一 策略设计原则 采用“默认拒绝、按需放行”的基线:默认拒绝入站、允许出站,仅对明确需要的端口与来源放行,降低攻击面。 先放行关键管理通道(如 SSH 22/TCP)再启用防火墙,避免被远程锁死;必要...

Ubuntu 防火墙安全策略制定指南

一 策略设计原则

  • 采用“默认拒绝、按需放行”的基线:默认拒绝入站允许出站,仅对明确需要的端口与来源放行,降低攻击面。
  • 先放行关键管理通道(如 SSH 22/TCP)再启用防火墙,避免被远程锁死;必要时限制来源 IP。
  • 对面向公网的访问优先使用端口白名单速率限制,降低暴力破解与滥用风险。
  • 保持规则最小化与可审计:仅开放必需端口,定期审查与清理无用规则。
  • 在云环境中,同时检查云平台安全组/NACL策略,做到主机与边界两层一致。
  • 如需更细粒度控制,可结合 AppArmor/SELinux 做进程级强制访问控制。

二 使用 UFW 快速落地

  • 安装与启用
    • 安装:sudo apt update & & sudo apt install ufw
    • 设置默认策略:sudo ufw default deny incomingsudo ufw default allow outgoing
    • 放行 SSH:sudo ufw allow sshsudo ufw allow 22/tcp(务必先放行再启用)
    • 启用:sudo ufw enable
  • 常用规则
    • 放行 Web:sudo ufw allow httpsudo ufw allow https
    • 来源 IP 白名单:sudo ufw allow from 203.0.113.10 to any port 22
    • 子网放行:sudo ufw allow from 192.168.1.0/24 to any port 22
    • 端口范围:sudo ufw allow 3000:4000/tcp
    • 拒绝规则:sudo ufw deny 23
  • 管理与查看
    • 状态与编号:sudo ufw statussudo ufw status numbered
    • 删除规则:sudo ufw delete allow 80/tcpsudo ufw delete < 编号>
    • 重载与重置:sudo ufw reloadsudo ufw reset
  • 进阶
    • 防暴力破解:sudo ufw limit ssh(对 SSH 自动触发速率限制)
    • 启用日志:sudo ufw logging on
    • IPv6:编辑 /etc/default/ufw,确保 IPV6=yes 后重载

三 场景化策略模板

  • 模板A 公网 Web 服务器
    • 目标:仅暴露 22/80/443,限制 SSH 来源,开启速率限制与日志。
    • 规则示例:
      • sudo ufw default deny incoming
      • sudo ufw default allow outgoing
      • sudo ufw allow from 203.0.113.0/24 to any port 22
      • sudo ufw allow http
      • sudo ufw allow https
      • sudo ufw limit ssh
      • sudo ufw logging on
      • sudo ufw enable
  • 模板B 内网应用服务器
    • 目标:仅内网网段访问 3306/6379 等敏感端口,拒绝公网访问。
    • 规则示例:
      • sudo ufw default deny incoming
      • sudo ufw default allow outgoing
      • sudo ufw allow from 10.0.0.0/8 to any port 3306
      • sudo ufw allow from 10.0.0.0/8 to any port 6379
      • sudo ufw enable
  • 模板C 严格最小化(运维通道受限)
    • 目标:仅允许跳板机访问 22,其他端口一律关闭。
    • 规则示例:
      • sudo ufw default deny incoming
      • sudo ufw default deny outgoing
      • sudo ufw allow from 198.51.100.10 to any port 22
      • sudo ufw allow out 53,80,443/tcp # 仅允许 DNS/HTTP/HTTPS 出站(按需收紧)
      • sudo ufw enable
        以上模板可按需增删端口与来源网段,并配合云平台安全组实现“默认拒绝”的边界一致策略。

四 高级控制与持久化

  • 使用 iptables 实现细粒度与速率限制
    • 限制单 IP 对 80/TCP 的连接数(防滥用/简单抗 DDoS):
      • sudo iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j REJECT
    • 规则持久化(UFW 一般自动持久;原生 iptables 需手动保存/恢复):
      • 保存:sudo iptables-save > /etc/iptables/rules.v4
      • 恢复:sudo iptables-restore < /etc/iptables/rules.v4
  • 进程与系统加固配合
    • AppArmor:为关键服务(如 sshdnginx、数据库)启用或编写策略,限制可执行与文件访问范围。
    • SELinux:在需要时启用并配置相应策略模块,增强进程级强制访问控制。

五 运维与风险控制清单

  • 变更前先在本地或带外通道验证规则,再应用到生产;变更窗口内保持控制台/带外可访问。
  • 统一审计:定期执行 sudo ufw status numberedsudo ufw logging on 并检查日志,清理过期规则。
  • 云上双保险:主机防火墙与安全组同时采用“默认拒绝”,仅放行业务必需端口与来源。
  • 防暴力破解:启用 ufw limit ssh,并配合 fail2ban 等工具实现自动封禁。
  • 备份与回滚:保存 UFW 与 iptables 规则快照,变更失败可快速回滚。

声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!


若转载请注明出处: Ubuntu防火墙安全策略怎么制定
本文地址: https://pptw.com/jishu/753257.html
CxImage与Ubuntu兼容性问题 Ubuntu防火墙更新后重启吗

游客 回复需填写必要信息