Debian 10防火墙配置全攻略：从零开始搭建安全防线

在当今网络环境日益复杂的背景下，服务器安全已成为每一位运维人员和系统管理员必须面对的重要课题。作为一款以稳定性和安全性著称的Linux发行版，Debian 10 被广泛应用于各类服务器场景。然而，一个未经配置的系统就像一座没有守卫的城堡，随时可能面临网络攻击的威胁。

本文将为您详细介绍如何在 Debian 10 系统上使用 UFW (Uncomplicated Firewall) 这一用户友好的工具来设置和管理防火墙，帮助您为服务器构筑起第一道坚实的安全防线。

为什么选择UFW管理Debian 10防火墙？

iptables 是Linux系统底层强大的防火墙工具，但其规则语法复杂，学习成本高，对于新手来说极易出错。而 UFW (Uncomplicated Firewall) 正是为了解决这一痛点而生。

UFW 的核心优势在于“简单”。它是一个管理 iptables 防火墙规则的前端工具，通过简洁明了的命令行指令，让防火墙配置变得直观易懂，特别适合Debian、Ubuntu等系统的初学者和中级用户。

准备工作：检查与安装UFW

在开始配置之前，请确保您拥有 root权限 或一个具有 sudo 权限的用户账户。这是管理防火墙的必要前提。

1. 检查UFW是否已安装

大多数Debian 10系统默认未安装UFW。您可以通过以下命令检查其状态：

sudo ufw status verbose

如果系统提示 ufw: command not found，则说明UFW尚未安装。

2. 安装UFW

使用APT包管理器安装UFW非常简单：

sudo apt update
sudo apt install ufw

执行上述命令后，UFW软件包将被安装到您的系统中。

UFW基础配置：设置默认策略

防火墙的默认策略是所有规则的基础。UFW的默认策略非常合理：

• 入站连接（Incoming）：DENY - 拒绝所有未经允许的外部访问请求。

• 出站连接（Outgoing）：ALLOW - 允许服务器主动向外发起的连接。

这意味着，安装后您的服务器对外是“封闭”的，外部无法随意访问，但服务器自身可以正常访问互联网（如更新软件包）。

您可以通过以下命令查看当前的默认策略：

sudo ufw status verbose

如果需要手动设置（通常无需更改），可以使用：

sudo ufw default deny incoming
sudo ufw default allow outgoing

关键一步：允许SSH连接（远程管理必备）

这是配置防火墙时最重要的一步！ 如果您正在通过SSH远程连接到您的Debian 10服务器，在启用防火墙之前，必须先允许SSH连接。否则，一旦启用防火墙，您将立刻被锁定在外，无法再登录服务器。

方法一：使用应用配置文件（推荐）

UFW内置了常用服务的应用配置。对于SSH服务，通常可以直接使用：

sudo ufw allow OpenSSH

方法二：指定端口

如果您的SSH服务没有使用默认的22端口（例如改为了7722），则需要明确指定端口：

sudo ufw allow 7722/tcp

执行命令后，您会看到 Rules updated 的提示，表示规则已成功添加。

启用UFW防火墙

当您确认SSH连接规则已正确添加后，就可以启用UFW了：

sudo ufw enable

系统会给出警告：

Command may disrupt existing ssh connections. Proceed with operation (y|n)?

输入 y 并按回车确认。如果一切顺利，您将看到：

Firewall is active and enabled on system startup

这表示防火墙已成功启动，并会在系统重启后自动加载。

开放常用服务端口

根据您服务器上运行的服务，您需要开放相应的端口。以下是一些常见服务的配置示例：

1. 允许HTTP (端口80)

sudo ufw allow http
# 或者使用端口号
sudo ufw allow 80/tcp

2. 允许HTTPS (端口443)

sudo ufw allow https
# 或者使用端口号
sudo ufw allow 443/tcp

3. 允许自定义端口（如8080）

如果您运行了Tomcat或其他Web应用服务器：

sudo ufw allow 8080/tcp

4. 允许端口范围

对于需要开放连续端口范围的服务（如某些P2P应用或游戏服务器）：

# 允许TCP端口7100到7200
sudo ufw allow 7100:7200/tcp
# 允许UDP端口7100到7200
sudo ufw allow 7100:7200/udp

高级配置：精细化访问控制

UFW还支持更精细的访问控制策略。

1. 允许特定IP地址访问

只允许某个固定IP（如您的办公电脑）访问服务器：

sudo ufw allow from 192.168.1.100

2. 允许特定IP访问特定端口

例如，只允许IP 64.63.62.61 通过SSH连接：

sudo ufw allow from 64.63.62.61 to any port 22

3. 允许整个子网

允许来自 192.168.1.0/24 子网的所有设备访问MySQL服务（端口3306）：

sudo ufw allow from 192.168.1.0/24 to any port 3306

4. 允许指定网络接口

限制规则仅在特定网络接口上生效，例如只允许内网接口 eth1 访问数据库：

sudo ufw allow in on eth1 to any port 3306

管理防火墙规则

1. 查看当前状态和规则

随时检查防火墙状态和已设置的规则：

sudo ufw status
# 显示更详细的信息，包括规则编号
sudo ufw status numbered

2. 删除规则

如果需要删除某条规则，可以使用规则编号（通过 status numbered 查看）进行删除：

sudo ufw delete allow 80/tcp
# 或者通过编号删除
sudo ufw delete 2  # 删除编号为2的规则

3. 禁用或重置防火墙

如果需要临时禁用防火墙：

sudo ufw disable

要完全重置所有规则并禁用防火墙：

sudo ufw reset

最佳安全实践建议

1. 最小权限原则：只开放必要的端口，遵循“默认拒绝”的安全理念。

2. 定期审查规则：定期使用 ufw status 检查规则列表，确保没有不必要的开放。

3. 结合SSH安全配置：除了防火墙，还应配置SSH服务，如禁用root远程登录、使用密钥认证等。

4. 保持系统更新：定期运行 sudo apt update && sudo apt upgrade 安装安全补丁。

通过本文的详细步骤，您已经掌握了在 Debian 10 上使用 UFW 配置防火墙的完整流程。从安装、设置默认策略、允许关键服务（如SSH），到开放端口和精细化控制，UFW让复杂的防火墙管理变得前所未有的简单。

一个正确配置的防火墙是系统安全的基石。立即行动起来，为您的Debian 10服务器部署UFW防火墙，有效抵御潜在的网络威胁，保障您的数据和应用安全。

如果您觉得这篇教程对您有帮助，欢迎点赞、收藏并分享给更多需要的朋友！