כמעט כל משתמש מתקדם Ubuntu מעוניין להבטיח אבטחה עבור הרשת שלה. בנוסף, רבים משתמשים בשירותי רשת מסוימים שתפעיל כראוי רק לאחר ביצוע כללים ספציפיים בחומת האש. היום אנחנו רוצים לדבר על הגדרת חומת האש על הדוגמה של UFW (חומת אש מסובכת). זהו הכלי הקלה ביותר ליישום הכללים של חומת האש, ולכן מומלץ למשתמשים טירונים ואלה שאינם מרוצים פונקציונליות iptables מורכבים מדי. בואו צעד אחר צעד, לשקול את הליך ההתקנה כולה, לפרק כל צעד במפורט ביותר האפשרי.
הגדר UFW ב אובונטו
אתה לא צריך להתקין UFW לתוך מערכת ההפעלה כי הוא נוכח שם כברירת מחדל. עם זאת, בטופס סטנדרטי, זה לא פעיל ואין לו כללים בכלל. ראשית, אנו נעסוק בהפעלה, ולאחר מכן לשקול את הפעולות העיקריות. עם זאת, יש לבחון את העדיפות על ידי תחביר, וזה בדרך כלל נוגע למשתמשים אלה המתכוונים להשתמש בחומת אש זו על בסיס מתמשך.שלב 1: לימוד תחביר
כפי שאתה יודע, UFW הוא תועלת קונסולת, כלומר כי הוא מתבצע דרך "טרמינל" תקן או כל משתמש אחר. האינטראקציה מסוג זה נעשית בעזרת פקודות מותקנות במיוחד. כולם תמיד בתיעוד, אבל זה לא הגיוני לקרוא חבורה ענקית של חומרים, במיוחד במקרה של המכשיר של היום. עקרון הקלט נראה כך: Sudo UFW אפשרויות פעולה פרמטרים פעולה. Sudo אחראי על ריצה בשם Superuser, UFW הוא טיעון רגיל המציין את התוכנית הנקראת, ואת שאר הביטויים ולהגדיר את הכללים המותקנים. זה בשבילם שאנחנו רוצים לעצור בפירוט רב יותר.
- הפעל הוא פרמטר סטנדרטי אחראי על הפעלת חומת האש. במקרה זה, הוא יתווסף אוטומטית לאוטולואד.
- השבת - משבית UFW ומסיר אותו מ autoload.
- טען מחדש כדי להפעיל מחדש את חומת האש. רלוונטי במיוחד לאחר התקנת כללים חדשים.
- ברירת מחדל - מציין כי האפשרות הבאה תותקן כברירת מחדל.
- כניסה - מפעיל את יצירת קבצי יומן שבהן יאוחסן כל המידע הבסיסי על פעולת חומת האש.
- אפס - מאפס את כל ההגדרות עד תקן.
- מצב - משמש כדי להציג את המדינה הנוכחית.
- הצג - מבט מהיר של דוחות Firewall. אפשרויות נוספות חלות על פרמטר זה, אך נדבר עליהם בצעד נפרד.
- אפשר מעורב בעת הוספת כללים מתירניים.
- DENY הוא אותו דבר, אבל להחיל לאסור.
- דחה - מוסיף את כלל ההשלכה.
- להגביל - התקנת הכללים המגבילים.
- מחק - מסיר את הכלל שצוין.
- הכנס - הוספת הכלל.
כפי שאתה יכול לראות, אין הרבה צוותים. הם במדויק פחות מאשר חומות אש אחרות, ואתה יכול לזכור את התחביר לאחר כמה ניסיונות אינטראקציה עם UFW. זה נשאר רק כדי להתמודד עם דוגמה של תצורה, אשר השלבים הבאים של החומר של היום יוקדשו.
שלב 2: הפעל / השבתה / איפוס הגדרות
החלטנו להדגיש כמה רגעים תצורה לשלב אחד, שכן הם מחוברים חלקית ודומה ליישום. כפי שאתה כבר יודע, UFW הוא בתחילה במצב מנותק, אז בואו להפעיל אותו על ידי החלת פקודה אחת בלבד.
- פתח את החלונית עם יישומים והפעל את "הטרמינל". אתה יכול לפתוח את המסוף דרך אחרת נוח לך.
- לפני ביצוע ההפעלה, בדוק, אולי קודם לכן או יישום אחר כבר הפעל את חומת האש. זה נעשה על ידי הזנת פקודת מצב UFW sudo.
- הזן את הסיסמה כדי לקבל את זכויות Superuser ולחץ על Enter. שים לב כי באותו זמן, תווי שיטת הקלט אינם מוצגים בשורת הביטחון.
- בקו החדש תקבל מידע על המצב הנוכחי של UFW.
- ההפעלה של חומת האש מבוצעת באמצעות הפרמטר שכבר הוזכר לעיל, ושל הפקודה כולה נראית כך: Sudo UFW מאפשר.
- תודיע לכך שהחומת האש מופעלת ותתגלה יחד עם מערכת ההפעלה.
- השתמש UFW sudo להשבית כדי לסגור.
- השבתת תודיע כמעט באותו מסר.
- בעתיד, אם אתה צריך לאפס את הכללים או שאתה צריך לעשות זאת עכשיו, הכנס את הפקודה לאיפוס UFW של Sudo ולחץ על מקש Enter.
- אשר את האיפוס על-ידי בחירת התשובה המתאימה.
- אתה תראה שש שורות שונות עם כתובות גיבוי. באפשרותך להעביר בכל עת למיקום זה כדי לשחזר את הפרמטרים.
עכשיו אתה יודע איזה סוג של צוותים אחראים לניהול ההתנהגות הכללית של חומת האש הנדונה. כל השלבים האחרים יתמקדו אך ורק על התצורה, והפרמטרים עצמם ניתנים כדוגמה, כלומר, עליך לשנותם, לטעון מהצרכים שלך.
שלב 3: הגדרת כללי ברירת המחדל
במנדט חובה, החל את כללי ברירת המחדל שיסייחסו לכל התרכובות הנכנסות והיוצאות שלא הוזכרו בנפרד. משמעות הדבר היא כי כל החיבורים הנכנסים שאינם מסומנים באופן ידני ייחסמו, והיוצאות מוצלחות. כל התוכנית מיושמת כדלקמן:
- הפעל את ההפעלה החדשה של הקונסולה והזן את הפקודה הנכנסת של UFW UFW. הפעל אותו על ידי לחיצה על מקש Enter. אם כבר הכרת את כל חוקי התחביר המפורטות לעיל, אתה יודע כי פירוש הדבר החסימה את כל החיבורים הנכנסים.
- במנדטוריה, יהיה עליך להזין סיסמת Superuser. תוכלו לציין אותו בכל פעם בעת הפעלת הפעלת קונסולת חדשה.
- לאחר החלת הפקודה, תקבל הודעה כי כלל ברירת המחדל נכנס לתוקף.
- לפיכך, יהיה עליך להגדיר את הפקודה השנייה שתפתור תרכובות יוצאות. זה נראה כך: Sudo UFW ברירת המחדל לאפשר יוצא.
- שוב מופיע הודעה על יישום הכלל.
עכשיו אתה לא יכול לדאוג לגבי העובדה כי כל ניסיונות חיבור נכנסות לא ידוע יהיה מוצלח ומישהו יוכל לגשת לרשת שלך. אם אתה לא הולך לחסום לחלוטין כל ניסיונות חיבור נכנסים, לדלג על הכלל לעיל ולעבור ליצירת משלך, לאחר שלמד את הצעד הבא בפירוט.
שלב 4: הוספת הכללים שלך של חומת האש
כללי חומת אש - האפשרות המתכווננת הראשית של המשתמשים ושימוש ב- UFW. אנו נשקול דוגמה של אישור מגישה, כמו גם לא לשכוח את החסימה על ידי יציאות עכשיו, להסתכל על הכלי Openssh. ראשית, עליך לזכור פקודות תחביר נוספות האחריות על הוספת כללים:
- Ufw text_name_
- UFW אפשר לנמל
- UFW לאפשר יציאת / פרוטוקול
לאחר מכן, אתה יכול להתחיל בבטחה ליצור כללים מתירניים או אוסרניים. בואו נתמודד עם כל סוג של פוליטיקאי בסדר.
- השתמש ב- Sudo UFW לאפשר OPENSSH כדי לפתוח גישה ליציאות השירות.
- תקבל הודעה כי הכללים עודכנו.
- באפשרותך לפתוח גישה על-ידי ציון הנמל, לא את שם שם השירות, שנראה כך: UFW Sudo מאפשר 22.
- אותו דבר קורה דרך היציאה / פרוטוקול - UFW UFW לאפשר 22 / TCP.
- לאחר ביצוע הכללים, בדוק את רשימת היישומים הזמינים על ידי הזנת רשימת App UFW Sudo. אם הכל הוחל בהצלחה, השירות הנדרש יופיע באחת מהשורות הבאות.
- באשר הרשאות ואסור את שידור התנועה על יציאות, זה נעשה על ידי הזנת UFW לאפשר כיוון תחביר. ב צילום מסך, אז אתה רואה דוגמה לפתרון של התנועה היוצאת על הנמל (Sudo UFW לאפשר 80 / TCP), כמו גם לאסור מדיניות עבור אותו כיוון בחלק (sudo ufw לדחות 80 / tcp).
- אם אתה מעוניין בדוגמה של הוספת מדיניות על-ידי הזנת ייעוד תחביר רחב יותר, השתמש בפרוטוקול UFW אפשר פרוטו לדוגמה מ- IP_ Software ל- IP_NAGE Port_name.
שלב 5: התקנת כללי הגבלה
הבאנו את נושא ההתקנה של כללי הגבול בשלב נפרד, שכן יהיה צורך לדבר על זה יותר. כלל זה מגביל את מספר כתובות ה- IP המחוברות לנמל אחד. השימוש הברור ביותר בפרמטר זה הוא להגן מפני התקפות המתכוונים לסיסמאות. התקנה של מדיניות סטנדרטית כאלה:
- ב קונסולה, Sudo UFW להגביל SSH / TCP ולחץ על Enter.
- הזן את הסיסמה מחשבון Superuser שלך.
- תקבל הודעה כי העדכון של הכללים עבר בהצלחה.
באותו אופן נקבעים פוליסות של הגבלות ויישומים אחרים. השתמש עבור שם שירות זה, יציאה או יציאה / פרוטוקול.
שלב 6: הצג מצב UFW
לפעמים אתה צריך לראות את המצב הנוכחי של חומת האש לא רק במונחים של פעילות, אלא גם הקים כללים. בשביל זה, יש צוות נפרד שאמרנו קודם לכן, ועכשיו נשקול את זה בפירוט רב יותר.
- יום ראשון Sudo UFW מצב כדי לקבל מידע סטנדרטי.
- קווים חדשים יציגו את כל המדיניות להגדיר לכתובות, פרוטוקולים ושמות שירות. בצד ימין מראה פעולות וכיוונים.
- מידע מפורט יותר מוצג בעת שימוש בטענה נוספת, והפקודה רוכשת את סוג של מצב UFW של Sudo Verbose.
- רשימת כל הכללים בלתי מובנת למתחילים של המשתמש מוצג באמצעות Sudo UFW הצג גלם.
ישנן אפשרויות אחרות המציגות מידע מסוים על הכללים הקיימים והמדינה של חומת האש. בואו נגמר בקצרה על כולם:
- RAW - מציג את כל הכללים הפעילים באמצעות תבנית הגשת iptables.
- Builtins - כולל רק את הכללים שנוספו כברירת מחדל.
- לפני הכללים - מציג מדיניות שבוצעה לפני קבלת חבילה ממקור חיצוני.
- כללי משתמש - בהתאמה, מציג את הפוליסה המוספת על ידי המשתמש.
- לאחר הכללים זהה לזו שלפני כללים, אך כולל רק את הכללים שהופעלו כבר לאחר ביצוע חבילות.
- כללי כניסה - מציג מידע על האירועים המחוברים.
- האזנה - משמשת להצגת יציאות פעיל (מקושבלות).
- הוסיף - מעורב בעת הצגת כללים שנוספו לאחרונה.
בזמן שאתה צריך בשבילך, אתה יכול להשתמש בכל האפשרויות האלה כדי לקבל את המידע הרצוי ולהשתמש בו למטרות משלך.
שלב 7: מחק כללים קיימים
משתמשים מסוימים, לאחר שקיבלו את המידע הדרוש לגבי הכללים הקיימים, רוצים למחוק חלק מהם להקים חיבור או להגדיר מדיניות חדשה. חומת האש של הפנים מאפשרת לך לעשות זאת בכל רגע זמין, המתבצעת כך:
- הכנס את ה- Sudo UFW מחק לאפשר הפקודה 80 / TCP. זה יהיה למחוק באופן אוטומטי את הכלל המאפשר חיבורים יוצאים באמצעות יציאת / פרוטוקול 80 / TCP.
- תקבל הודעה כי המדיניות מסירה בהצלחה הן עבור IPv4 ו- IPv6.
- אותו הדבר חל על קשרים אוסרני, לדוגמה, Sudo UFW מחק את DEY ב 80 / TCP.
השתמש באפשרויות מצב מצב כדי להעתיק את הכללים הנדרשים ולמחוק אותם באותו אופן כפי שהוכח בדוגמה.
שלב 8: הפעלת רישום
השלב האחרון של המאמר של היום מרמז על הפעלה של האפשרות שתחסוך באופן אוטומטי את פרטי התנהגות UFW בקובץ נפרד. זה הכרחי עבור לא כל המשתמשים, אבל חל ככה:
- כתוב כניסה של Sudo UFW ולחץ על Enter.
- המתן עד שההודעה תישמר כעת.
- אתה יכול ליישם אפשרות אחרת, למשל, Sudo UFW רישום בינוני. יש עדיין נמוך (חוסך מידע רק על חבילות חסומות) ו גבוה (שומר את כל המידע). האפשרות הממוצעת כותבת למגזין נעולה מותר מנות.
מעל לך למדת כמו שמונה שלבים, אשר משמשים כדי להגדיר את חומת האש UFW במערכת ההפעלה Ubuntu. כפי שאתה יכול לראות, זהו חומת אש פשוטה מאוד, אשר מתאים אפילו למשתמשים טירון בשל הקלות של חקירה של תחביר. UFW עדיין יכול להיות נועז כדי להתקשר טוב תחליף תקן iptables אם זה לא מתאים לך.