统信UOS防火墙配置与管理_uos端口开放与安全策略

统信uos系统中外部客户端无法连接web或远程管理服务，通常因防火墙默认拦截端口；可通过ufw、firewall-cmd、富规则、图形化安全中心四种方式开放端口并配置安全策略。

如果您在统信uos系统中部署了web服务或远程管理功能，但外部客户端无法建立连接，则很可能是防火墙默认拦截了相关端口流量。以下是针对uos防火墙进行端口开放与安全策略配置的多种可行方法：

一、使用ufw命令行工具开放端口

ufw（Uncomplicated Firewall）是UOS Server默认支持的轻量级防火墙前端，语法简洁，适合快速启用基础端口策略。该工具通过调用iptables底层规则实现过滤控制，所有配置默认仅作用于当前激活区域（通常为public）。

1、检查防火墙当前状态，确认是否已启用：
sudoufw status

2、若显示Status: inactive，则需先启用防火墙：
sudoufw enable

3、开放TCP协议的80端口（HTTP）：
sudoufw allow 80/tcp

4、开放TCP协议的443端口（HTTPS）：
sudoufw allow 443/tcp

5、开放UDP协议的53端口（DNS）：
sudoufw allow 53/udp

6、开放端口范围（如5000至6000之间的TCP端口）：
sudoufw allow 5000:6000/tcp

7、验证规则是否生效：
sudoufw status numbered

二、使用firewall-cmd配置永久性端口规则

firewalld服务提供动态管理能力，支持区域（zone）、富规则（rich rule）及服务名抽象，其规则在系统重启后仍保持有效，适用于生产环境长期策略部署。

1、确认firewalld服务已安装并运行：
sudosystemctl is-active firewalld

2、若未运行，启动并设为开机自启：
sudosystemctl start firewalld
sudosystemctlenable firewalld

3、查看当前活跃区域及规则：
sudofirewall-cmd --get-active-zones
sudofirewall-cmd --zone=public --list-all

4、向public区域永久添加80端口（TCP）：
sudofirewall-cmd --zone=public --add-port=80/tcp --permanent

5、向public区域永久添加443端口（TCP）：
sudofirewall-cmd --zone=public --add-port=443/tcp --permanent

6、重载配置使永久规则立即生效：
sudofirewall-cmd --reload

7、验证端口是否出现在列表中：
sudofirewall-cmd --zone=public --list-ports

三、基于源IP地址的精细化访问控制

当仅需允许特定客户端访问某端口时，可借助富规则（rich rule）实现IP白名单机制，避免全网暴露高危服务端口，显著提升安全性。

1、允许来自192.168.1.100的主机访问本机TCP 22端口（SSH）：
sudofirewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port port="22" protocol="tcp" accept'

2、允许同一IP访问TCP 3389端口（RDP）：
sudofirewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port port="3389" protocol="tcp" accept'

Dora

创建令人惊叹的3D动画网站，无需编写一行代码。

下载

3、允许10.0.30.0/24子网访问TCP 8080端口：
sudofirewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.0.30.0/24" port port="8080" protocol="tcp" accept'

4、执行重载操作应用上述所有富规则：
sudofirewall-cmd --reload

5、检查富规则是否已写入当前配置：
sudofirewall-cmd --list-rich-rules

四、通过UOS安全中心图形界面配置防火墙

对于不熟悉命令行操作的用户，UOS桌面版内置的安全中心提供了可视化防火墙管理模块，支持应用级联网控制与远程访问策略设定，无需记忆命令即可完成基本策略调整。

1、点击任务栏右下角系统托盘中的安全中心图标，或在开始菜单中搜索“安全中心”并打开

2、在左侧导航栏中选择防火墙项

3、将防火墙开关拨动至开启状态

4、在应用联网区域，下拉选择默认策略：推荐设为默认询问，以便对每个新应用弹出授权提示

5、在远程访问区域，勾选需要允许远程连接的服务，例如SSH、RDP或VNC

6、点击页面右上角的流量详情按钮，可实时查看各应用的入站/出站连接行为

7、如需重置全部策略为初始状态，点击重置防火墙按钮，并确认执行

五、删除误配规则与恢复默认策略

错误添加的防火墙规则可能导致服务不可达，及时识别并移除异常条目是维护系统连通性的关键步骤。ufw和firewall-cmd均提供编号化规则管理能力，确保操作可追溯、可撤销。

1、列出ufw所有带编号的规则：
sudoufw status numbered

2、删除编号为3的规则（示例）：
sudoufw delete 3

3、列出firewalld当前所有富规则：
sudofirewall-cmd --list-rich-rules

4、根据输出内容，复制完整规则字符串并执行删除（注意去除换行与多余空格）：
sudofirewall-cmd --remove-rich-rule='rule family="ipv4" source address="192.168.1.100" port port="22" protocol="tcp" accept' --permanent

5、再次执行重载以使删除生效：
sudofirewall-cmd --reload

6、若需彻底清空所有ufw规则并禁用防火墙：
sudoufw reset

7、执行后系统将提示确认，输入yes并回车完成初始化