在统信uos中配置ufw防火墙需依次完成安装启用、端口开放、ip访问控制、规则管理及默认策略设置;具体包括sudo apt install ufw、sudo ufw enable、sudo ufw allow 80/tcp、sudo ufw allow from 192.168.1.100 to any port 22、sudo ufw delete 3、sudo ufw default deny incoming等操作。
如果您需要在统信UOS系统中配置UFW防火墙规则以控制网络访问权限,则需根据具体防护目标设定允许或拒绝特定端口、协议、IP地址等策略。以下是配置UFW防火墙规则的多种方法:
一、启用UFW并确认基础状态
UFW默认未启用,且桌面版通常未预装,需先完成安装与激活,确保底层netfilter模块可用,后续规则才能生效。
1、以管理员身份打开终端(Ctrl+Alt+T)。
2、执行sudo apt install -y ufw安装UFW工具(若提示已存在则跳过)。
3、运行sudo ufw status检查当前状态;若显示Status: inactive,说明尚未启用。
4、执行sudo ufw enable启用防火墙并自动设置开机自启。
5、再次运行sudo ufw status verbose,确认状态为active且默认策略(如Default: deny (incoming))符合安全预期。
二、开放指定端口或服务
通过allow指令添加入站放行规则,支持端口号、协议类型及服务名三种指定方式,规则立即生效且持久保存。
1、开放TCP协议的80端口(HTTP):sudo ufw allow 80/tcp。
2、开放UDP协议的53端口(DNS):sudo ufw allow 53/udp。
3、开放TCP端口范围5000至6000:sudo ufw allow 5000:6000/tcp。
4、使用服务名开放HTTPS:sudo ufw allow https(系统自动映射至443/tcp)。
5、验证规则是否写入:执行sudo ufw status numbered,查看列表中是否包含对应条目。
三、基于源IP实施访问控制
通过限定来源IP地址或子网,可实现白名单式精准放行,避免将高危服务暴露于全网,显著降低攻击面。
1、仅允许IP地址192.168.1.100访问本机SSH(22端口):sudo ufw allow from 192.168.1.100 to any port 22。
2、允许整个192.168.1.0/24子网访问MySQL(3306端口):sudo ufw allow from 192.168.1.0/24 to any port 3306。
3、禁止特定IP(如10.0.0.5)的所有入站连接:sudo ufw deny from 10.0.0.5。
4、执行sudo ufw status numbered确认规则编号,并记录用于后续删除操作。
四、删除与调整现有规则
UFW规则按添加顺序编号,删除操作必须基于编号进行,不可直接按内容匹配;误删可能导致关键服务中断,需谨慎核对。
1、列出所有带编号的规则:sudo ufw status numbered。
2、识别待删除规则的编号(例如编号为3)。
3、执行sudo ufw delete 3移除该条规则。
4、若需批量清空所有用户规则并重置,默认策略仍保留:sudo ufw reset(此操作不可逆,将清除全部自定义规则)。
五、配置默认策略与日志行为
默认策略决定未匹配任何显式规则的数据包如何处理,是防火墙整体安全基线的核心;日志功能则提供被拦截流量的审计依据。
1、设置默认拒绝所有入站连接:sudo ufw default deny incoming。
2、设置默认允许所有出站连接:sudo ufw default allow outgoing。
3、启用日志记录(记录被拒绝的连接尝试):sudo ufw logging on。
4、查看日志文件路径:sudo tail -f /var/log/ufw.log(日志需配合系统rsyslog或journalctl长期归档)。
