配置 UFW 防火墙保护 VPS 主机：从入门到精通

为什么选择UFW防火墙？

Uncomplicated Firewall (UFW) 是Ubuntu系统默认的防火墙配置工具，相比直接操作iptables，它提供了更友好的命令行界面。对于VPS用户而言，UFW能有效阻止未经授权的访问，同时保持配置的简洁性。

基础安装与配置

大多数Linux发行版已预装UFW，若未安装可通过以下命令获取：

sudo apt update
sudo apt install ufw

安装完成后，建议首先禁用所有入站连接并允许所有出站连接：

sudo ufw default deny incoming
sudo ufw default allow outgoing

常用服务端口配置

根据您的服务需求开放必要端口：

 SSH连接（建议修改默认22端口）
sudo ufw allow 2222/tcp

 Web服务
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

 数据库（仅限内网访问示例）
sudo ufw allow from 192.168.1.0/24 to any port 3306

高级防护策略

1. 速率限制防护

防止暴力破解攻击：

sudo ufw limit 2222/tcp

2. 特定IP访问控制

 允许单个IP
sudo ufw allow from 203.0.113.4

 拒绝IP段
sudo ufw deny from 192.168.2.0/24

3. 应用配置文件

UFW支持通过应用名管理规则：

sudo ufw app list
sudo ufw allow 'Nginx Full'

规则管理与排错

查看当前规则：

sudo ufw status numbered

删除特定规则：

sudo ufw delete [规则编号]

启用日志记录：

sudo ufw logging on
 查看日志
sudo tail -f /var/log/ufw.log

最佳实践建议

• 配置前确保已开放SSH连接，避免被锁
• 定期审查防火墙规则（建议每月一次）
• 结合fail2ban增强防护
• 重要变更前备份规则：sudo ufw export backup.rules

完成配置后启用防火墙：

sudo ufw enable
sudo ufw status verbose

通过以上步骤，您的VPS主机已获得基础防火墙保护。根据实际服务需求，可进一步细化规则配置。