麒麟OS中UFW防火墙配置包括:一、启用UFW并验证状态;二、设置默认入站拒绝、出站允许策略;三、开放SSH、HTTP等端口或服务;四、限制特定IP访问;五、按编号或内容删除规则,或重置防火墙。
如果您在麒麟操作系统中需要管理网络流量并增强系统安全性,UFW(Uncomplicated Firewall)提供了一种简洁而有效的命令行方式来配置iptables规则。以下是针对麒麟OS环境下UFW防火墙的常用配置方法:
一、启用UFW防火墙
启用UFW是启动防火墙策略的第一步,它会激活底层iptables规则链,并应用默认策略。默认情况下,UFW处于禁用状态,必须手动启用才能生效。
1、以root权限打开终端。
2、执行命令:sudo ufw enable。
3、系统将提示“Command may disrupt existing ssh connections. Proceed with operation (y|n)?”,输入y确认。
4、运行sudo ufw status verbose验证状态是否显示为“Status: active”。
二、设置默认策略
默认策略决定UFW对未明确匹配规则的入站和出站连接如何处理,是构建安全基线的关键环节。麒麟OS默认采用允许所有出站、拒绝所有入站的保守策略。
1、将默认入站策略设为拒绝:sudo ufw default deny incoming。
2、将默认出站策略设为允许:sudo ufw default allow outgoing。
3、若需限制出站连接,可改为:sudo ufw default deny outgoing,随后需逐条放行必要服务。
三、开放指定端口和服务
为使外部设备能访问本机提供的服务(如SSH、HTTP),必须显式添加允许规则。UFW支持端口号、服务名及协议类型组合定义。
1、开放SSH端口(TCP 22):sudo ufw allow 22。
2、开放HTTP端口(TCP 80):sudo ufw allow 80/tcp。
3、开放HTTPS端口(TCP 443):sudo ufw allow 443/tcp。
4、按服务名称开放(需/etc/services中存在对应条目):sudo ufw allow ssh。
四、限制特定IP地址的访问
通过源IP限制可缩小攻击面,尤其适用于管理端口(如SSH),仅允许可信网络段连接,防止暴力破解。
1、仅允许192.168.1.100访问SSH:sudo ufw allow from 192.168.1.100 to any port 22。
2、仅允许10.0.0.0/8网段访问HTTP:sudo ufw allow from 10.0.0.0/8 to any port 80。
3、拒绝某个恶意IP的所有连接:sudo ufw deny from 203.0.113.45。
五、删除与重置规则
当规则配置错误或需重新规划策略时,可通过编号或规则内容精准删除,避免误删关键策略;重置则彻底清除所有用户定义规则并禁用UFW。
1、列出含编号的规则:sudo ufw status numbered。
2、删除编号为3的规则:sudo ufw delete 3。
3、按规则内容删除(如开放22端口的规则):sudo ufw delete allow 22。
4、重置UFW(清空所有规则并禁用):sudo ufw reset。
