当前配置

数据中心： {{ getconfigInfoArea(productDetailInfo) }}

套餐规格： 2 核 2 G

带宽：

系统盘 {{ validateMySplit(ProductVM.getProductappointInfoBykey(productDetailInfo,'云系统盘'),'|',1) }} 性能型

IP 数 1 个

可选配置

操作系统：

VPC：

安全组：

购买时长：

1 月

我已阅读并同意《恒创科技服务协议》

购买前请阅读协议并勾选同意

Ubuntu防火墙配置全攻略：从基础到高级的防护策略

来源：佚名编辑：佚名

2026-02-15 23:26:09

一、为什么需要配置Ubuntu防火墙？

在云计算和容器化盛行的今天，Ubuntu服务器作为企业级应用的基础平台，其安全性至关重要。防火墙作为第一道安全防线，能够有效控制入站/出站流量，防止未授权访问。根据2023年SANS Institute报告，78%的服务器入侵事件源于未正确配置的防火墙规则。

二、Ubuntu防火墙核心组件解析

Ubuntu默认使用netfilter/iptables框架，但更推荐使用其前端工具ufw（Uncomplicated Firewall）或nftables（新一代替代方案）。以下是三者的对比：

特性	iptables	ufw	nftables
学习曲线	陡峭	平缓	中等
性能	高	中（依赖iptables）	最高
语法复杂度	★★★★☆	★☆☆☆☆	★★★☆☆
推荐场景	高级用户/复杂规则	新手/简单配置	新项目/高性能需求

三、ufw实战配置指南

1. 基础操作

sudo ufw status          # 查看当前状态
sudo ufw enable         # 启用防火墙（开机自启）
sudo ufw disable        # 禁用防火墙
sudo ufw reset          # 重置所有规则
    

2. 允许/拒绝流量

sudo ufw allow 22/tcp   # 允许SSH（TCP端口22）
sudo ufw deny 80/tcp    # 拒绝HTTP（TCP端口80）
sudo ufw allow from 192.168.1.100 to any port 3306  # 允许特定IP访问MySQL
    

3. 应用配置文件（推荐）

Ubuntu为常见服务提供了预置规则：

sudo ufw app list       # 查看可用应用配置
sudo ufw allow OpenSSH  # 允许SSH服务
sudo ufw allow Nginx Full  # 允许Nginx完整访问（HTTP+HTTPS）
    

四、高级场景：nftables配置

对于需要更高性能和更灵活规则的场景，nftables是更好的选择。以下是典型配置示例：

# 创建基本规则集
sudo nft add table inet filter
sudo nft add chain inet filter input { type filter hook input priority 0 ; }
sudo nft add chain inet filter forward { type filter hook forward priority 0 ; }
sudo nft add chain inet filter output { type filter hook output priority 0 ; }

# 允许已建立的连接
sudo nft add rule inet filter input ct state established,related accept

# 允许本地回环
sudo nft add rule inet filter input iifname lo accept

# 拒绝无效包
sudo nft add rule inet filter input ct state invalid drop

# 允许SSH（需保存规则：nft list ruleset > /etc/nftables.conf）
sudo nft add rule inet filter input tcp dport 22 accept
    