Ubuntu ผู้ใช้ขั้นสูงเกือบทุกคนมีความสนใจในการรักษาความปลอดภัยสำหรับเครือข่าย นอกจากนี้จำนวนมากใช้ยูทิลิตี้เครือข่ายบางอย่างที่ทำงานได้อย่างถูกต้องหลังจากทำกฎเฉพาะในไฟร์วอลล์ วันนี้เราต้องการพูดคุยเกี่ยวกับการกำหนดค่าไฟร์วอลล์ตามตัวอย่างของ UFW (ไฟร์วอลล์ที่ไม่ซับซ้อน) นี่เป็นเครื่องมือที่ง่ายที่สุดสำหรับการนำกฎของไฟร์วอลล์จึงขอแนะนำสำหรับผู้ใช้มือใหม่และผู้ที่ไม่พอใจกับฟังก์ชั่น IPTables ที่ซับซ้อนเกินไป ลองทีละขั้นตอนพิจารณาขั้นตอนการตั้งค่าทั้งหมดถอดแยกชิ้นส่วนทุกขั้นตอนในรายละเอียดมากที่สุดเท่าที่จะทำได้
กำหนดค่า UFW ใน Ubuntu
คุณไม่จำเป็นต้องติดตั้ง UFW เข้าสู่ระบบปฏิบัติการเนื่องจากมีอยู่ที่นั่นโดยค่าเริ่มต้น อย่างไรก็ตามในรูปแบบมาตรฐานมันไม่ทำงานและไม่มีกฎใด ๆ เลย ครั้งแรกเราจะจัดการกับการเปิดใช้งานแล้วพิจารณาการกระทำหลัก อย่างไรก็ตามควรตรวจสอบลำดับความสำคัญด้วยไวยากรณ์และมักเกี่ยวข้องกับผู้ใช้ที่วางแผนที่จะใช้ไฟร์วอลล์นี้อย่างต่อเนื่องขั้นตอนที่ 1: การศึกษาไวยากรณ์
อย่างที่คุณทราบ UFW เป็นยูทิลิตี้คอนโซลซึ่งหมายความว่าจะดำเนินการผ่าน "เทอร์มินัล" มาตรฐานหรือผู้ใช้อื่น ๆ การโต้ตอบของชนิดนี้ทำด้วยความช่วยเหลือของคำสั่งที่ติดตั้งเป็นพิเศษ พวกเขาทั้งหมดอยู่ในเอกสารเสมอ แต่มันไม่สมเหตุสมผลที่จะอ่านวัสดุจำนวนมากโดยเฉพาะอย่างยิ่งในกรณีของเครื่องมือในปัจจุบัน หลักการป้อนข้อมูลมีลักษณะดังนี้: พารามิเตอร์การกระทำของตัวเลือก Sudo UFW Sudo มีหน้าที่รับผิดชอบในการทำงานในนามของ Superuser UFW เป็นอาร์กิวเมนต์มาตรฐานที่แสดงถึงโปรแกรมที่เรียกว่าและวลีที่เหลือและกำหนดกฎที่ติดตั้ง มันมีไว้สำหรับพวกเขาที่เราต้องการหยุดในรายละเอียดเพิ่มเติม
- เปิดใช้งานเป็นพารามิเตอร์มาตรฐานที่รับผิดชอบในการเปิดไฟร์วอลล์ ในกรณีนี้มันจะถูกเพิ่มลงใน Autoload โดยอัตโนมัติ
- ปิดใช้งาน - ปิดใช้งาน UFW และลบออกจาก Autoload
- โหลดซ้ำ - ใช้เพื่อรีสตาร์ทไฟร์วอลล์ ที่เกี่ยวข้องโดยเฉพาะอย่างยิ่งหลังจากติดตั้งกฎใหม่
- ค่าเริ่มต้น - หมายถึงตัวเลือกถัดไปจะถูกติดตั้งตามค่าเริ่มต้น
- การบันทึก - เปิดใช้งานการสร้างไฟล์บันทึกที่ข้อมูลพื้นฐานทั้งหมดเกี่ยวกับการกระทำของไฟร์วอลล์จะถูกเก็บไว้
- รีเซ็ต - รีเซ็ตการตั้งค่าทั้งหมดเป็นมาตรฐาน
- สถานะ - ใช้เพื่อดูสถานะปัจจุบัน
- แสดง - มุมมองด่วนของรายงานไฟร์วอลล์ ตัวเลือกเพิ่มเติมสามารถใช้ได้กับพารามิเตอร์นี้ แต่เราจะพูดถึงพวกเขาในขั้นตอนที่แยกต่างหาก
- อนุญาตมีส่วนเกี่ยวข้องเมื่อเพิ่มกฎที่อนุญาต
- ปฏิเสธเหมือนกัน แต่ใช้เพื่อห้าม
- ปฏิเสธ - เพิ่มกฎการยกเลิก
- จำกัด - การติดตั้งกฎการ จำกัด การ จำกัด
- ลบ - ลบกฎที่ระบุ
- แทรก - แทรกกฎ
อย่างที่คุณเห็นไม่มีทีมจำนวนมาก พวกเขามีน้อยกว่าไฟร์วอลล์อื่น ๆ ที่มีอยู่อย่างถูกต้องและคุณสามารถจดจำไวยากรณ์ได้หลังจากพยายามโต้ตอบกับ UFW หลายครั้ง มันยังคงเป็นเพียงการจัดการกับตัวอย่างของการกำหนดค่าซึ่งขั้นตอนต่อไปนี้ของวัสดุในปัจจุบันจะทุ่มเท
ขั้นตอนที่ 2: เปิด / ปิดการตั้งค่า / รีเซ็ตการตั้งค่า
เราตัดสินใจที่จะเน้นช่วงเวลาการกำหนดค่าหลายช่วงในขั้นตอนเดียวเนื่องจากมีการเชื่อมต่อระหว่างกันบางส่วนและคล้ายกับการใช้งาน ดังที่คุณทราบอยู่แล้ว ufw จะอยู่ในสถานะที่ตัดการเชื่อมต่อดังนั้นลองเปิดใช้งานโดยใช้คำสั่งเดียวเท่านั้น
- เปิดแผงด้วยแอปพลิเคชันและเรียกใช้ "เทอร์มินัล" คุณสามารถเปิดคอนโซลและอีกวิธีที่สะดวกสำหรับคุณ
- ก่อนที่จะทำการเปิดใช้งานตรวจสอบบางทีก่อนหน้านี้คุณหรือแอปพลิเคชันอื่นเปิดใช้งานไฟร์วอลล์แล้ว ทำโดยป้อนคำสั่งสถานะ sudo ufw
- ป้อนรหัสผ่านเพื่อรับสิทธิ์ Superuser แล้วกด ENTER โปรดทราบว่าในเวลาเดียวกันอักขระวิธีการป้อนข้อมูลจะไม่แสดงในแถวความปลอดภัย
- ในบรรทัดใหม่คุณจะได้รับข้อมูลเกี่ยวกับสถานะปัจจุบันของ UFW
- การเปิดใช้งานของไฟร์วอลล์จะดำเนินการผ่านพารามิเตอร์ที่กล่าวถึงแล้วข้างต้นและคำสั่งทั้งหมดจะเป็นเช่นนี้: Sudo UFW เปิดใช้งาน
- คุณจะแจ้งให้ทราบว่าไฟร์วอลล์เปิดใช้งานและจะทำงานพร้อมกับระบบปฏิบัติการ
- ใช้ Sudo UFW ปิดใช้งานให้ปิดเครื่อง
- การปิดใช้งานจะแจ้งให้ทราบเกือบข้อความเดียวกัน
- ในอนาคตหากคุณต้องการรีเซ็ตกฎหรือคุณต้องทำตอนนี้ให้ใส่คำสั่ง sudo ufw รีเซ็ตแล้วกดปุ่ม Enter
- ยืนยันการรีเซ็ตโดยเลือกคำตอบที่เหมาะสม
- คุณจะเห็นหกแถวที่แตกต่างกันด้วยที่อยู่สำรอง คุณสามารถย้ายได้ตลอดเวลาไปยังตำแหน่งนี้เพื่อเรียกคืนพารามิเตอร์
ตอนนี้คุณรู้ว่าทีมประเภทใดที่รับผิดชอบในการจัดการพฤติกรรมทั่วไปของไฟร์วอลล์ภายใต้การพิจารณา ขั้นตอนอื่น ๆ ทั้งหมดจะมุ่งเน้นไปที่การกำหนดค่าเพียงอย่างเดียวและพารามิเตอร์ที่ตัวเองได้รับเป็นตัวอย่างนั่นคือคุณต้องเปลี่ยนพวกเขา, รังเกียจจากความต้องการของคุณ
ขั้นตอนที่ 3: การตั้งค่ากฎเริ่มต้น
ในข้อบังคับใช้กฎดีฟอลต์ที่เกี่ยวข้องกับสารอินซตขาเข้าและขาออกทั้งหมดที่ไม่ได้กล่าวถึงแยกต่างหาก ซึ่งหมายความว่าการเชื่อมต่อขาเข้าทั้งหมดที่ไม่ได้ระบุด้วยการถูกบล็อกด้วยตนเองและการส่งออกที่ประสบความสำเร็จ โครงการทั้งหมดจะถูกนำไปใช้ดังนี้:
- เรียกใช้เซสชั่นใหม่ของคอนโซลและป้อนคำสั่ง Deny Incoming Deny เริ่มต้น Sudo UFW เปิดใช้งานโดยกดปุ่ม ENTER หากคุณคุ้นเคยกับกฎไวยากรณ์ที่ระบุไว้ข้างต้นแล้วคุณรู้ว่านี่หมายถึงการบล็อกการเชื่อมต่อที่เข้ามาทั้งหมด
- ในข้อบังคับคุณจะต้องป้อนรหัสผ่าน Superuser คุณจะระบุทุกครั้งที่คุณเริ่มเซสชันคอนโซลใหม่
- หลังจากใช้คำสั่งคุณจะได้รับแจ้งว่ากฎดีฟอลต์ที่มีผลบังคับใช้
- ดังนั้นคุณจะต้องตั้งค่าคำสั่งที่สองที่จะแก้ไขสารประกอบขาออก ดูเหมือนว่า: sudo ufw เริ่มต้นช่วยให้ขาออก
- ข้อความปรากฏขึ้นอีกครั้งในแอปพลิเคชันของกฎ
ตอนนี้คุณไม่ต้องกังวลเกี่ยวกับความจริงที่ว่าความพยายามในการเชื่อมต่อขาเข้าที่ไม่รู้จักจะประสบความสำเร็จและบางคนจะสามารถเข้าถึงเครือข่ายของคุณได้ หากคุณจะไม่บล็อกความพยายามในการเชื่อมต่อที่เข้ามาทั้งหมดให้ข้ามกฎข้างต้นและย้ายไปที่การสร้างของคุณเองโดยได้ศึกษาขั้นตอนต่อไปในรายละเอียด
ขั้นตอนที่ 4: การเพิ่มกฎของคุณเองของไฟร์วอลล์
กฎไฟร์วอลล์ - ตัวเลือกหลักที่ปรับได้สำหรับผู้ใช้และใช้ UFW เราจะพิจารณาตัวอย่างการอนุญาตจากการเข้าถึงเช่นเดียวกับอย่าลืมเกี่ยวกับการบล็อกโดยพอร์ตตอนนี้ดูเครื่องมือ OpenSSH ในการเริ่มต้นคุณต้องจำคำสั่งไวยากรณ์เพิ่มเติมที่รับผิดชอบในการเพิ่มกฎ:
- ufw alter_name_
- UFW อนุญาตให้พอร์ต
- UFW อนุญาตให้พอร์ต / โปรโตคอล
หลังจากนั้นคุณสามารถเริ่มสร้างกฎที่อนุญาตหรือห้ามไม่ต้องห้ามได้อย่างปลอดภัย มาจัดการกับนักการเมืองแต่ละประเภทตามลำดับ
- ใช้ Sudo UFW อนุญาตให้ OpenSSH เปิดการเข้าถึงพอร์ตบริการ
- คุณจะได้รับแจ้งว่ากฎได้รับการปรับปรุง
- คุณสามารถเปิดการเข้าถึงได้โดยการระบุพอร์ตไม่ใช่ชื่อของชื่อบริการซึ่งมีลักษณะดังนี้: sudo ufw อนุญาต 22
- สิ่งเดียวกันนี้เกิดขึ้นผ่านพอร์ต / โปรโตคอล - Sudo UFW ให้ 22 / TCP
- หลังจากทำตามกฎแล้วให้ตรวจสอบรายการแอปพลิเคชันที่มีอยู่โดยป้อนรายการแอป Sudo UFW หากมีการใช้ทุกอย่างเรียบร้อยแล้วบริการที่ต้องการจะปรากฏในบรรทัดต่อไปนี้
- สำหรับการอนุญาตและห้ามมิให้ส่งสัญญาณการจราจรผ่านพอร์ตนี้ทำได้โดยการป้อน UFW อนุญาตทิศทางไวยากรณ์ ในภาพหน้าจอคุณจะเห็นตัวอย่างของความละเอียดของการรับส่งข้อมูลขาออกบนพอร์ต (Sudo UFW อนุญาตให้ 80 / TCP) รวมถึงการห้ามใช้นโยบายในทิศทางเดียวกันในส่วน (Sudo UFW ปฏิเสธใน 80 / TCP)
- หากคุณมีความสนใจในตัวอย่างของการเพิ่มนโยบายโดยป้อนการกำหนดไวยากรณ์ที่กว้างขึ้นให้ใช้ UFW อนุญาตให้โปรโตคอลตัวอย่างโปรโตคอลจาก IP_ ซอฟต์แวร์เป็น IP_NAGE PORT_NAME
ขั้นตอนที่ 5: การติดตั้งกฎ จำกัด
เรานำหัวข้อการติดตั้งกฎ จำกัด ในขั้นตอนที่แยกต่างหากเนื่องจากจำเป็นต้องพูดถึงเรื่องนี้มากขึ้น กฎนี้ จำกัด จำนวนที่อยู่ IP ที่เชื่อมต่อกับพอร์ตเดียว การใช้พารามิเตอร์นี้ที่ชัดเจนที่สุดคือการป้องกันการโจมตีที่ต้องการรหัสผ่าน การติดตั้งนโยบายมาตรฐานเช่นนี้:
- ในคอนโซล Sudo UFW จำกัด SSH / TCP และคลิกที่ Enter
- ป้อนรหัสผ่านจากบัญชี Superuser ของคุณ
- คุณจะได้รับแจ้งว่าการอัปเดตของกฎได้ผ่านสำเร็จแล้ว
ในลักษณะเดียวกันนโยบายของข้อ จำกัด และแอปพลิเคชันอื่น ๆ จะถูกสร้างขึ้น ใช้ชื่อบริการพอร์ตหรือพอร์ต / โปรโตคอลนี้
ขั้นตอนที่ 6: ดูสถานะ UFW
บางครั้งคุณต้องดูสถานะปัจจุบันของไฟร์วอลล์ไม่เพียง แต่ในแง่ของกิจกรรม แต่ยังรวมถึงกฎ สำหรับสิ่งนี้มีทีมงานแยกต่างหากที่เราได้กล่าวไว้ก่อนหน้านี้และตอนนี้เราจะพิจารณารายละเอียดเพิ่มเติม
- สถานะ Sunday Sudo UFW เพื่อรับข้อมูลมาตรฐาน
- บรรทัดใหม่จะแสดงนโยบายการตั้งค่าทั้งหมดไปยังที่อยู่ชื่อโปรโตคอลและชื่อบริการ ทางด้านขวาแสดงการกระทำและทิศทาง
- ข้อมูลรายละเอียดเพิ่มเติมจะปรากฏขึ้นเมื่อใช้อาร์กิวเมนต์เพิ่มเติมและคำสั่งจะได้รับประเภทของ Sudo UFW สถานะ verbose
- รายการกฎทั้งหมดในความเข้าใจผิดสำหรับผู้เริ่มต้นของผู้ใช้จะปรากฏขึ้นผ่าน Sudo UFW แสดงดิบ
มีตัวเลือกอื่น ๆ ที่แสดงข้อมูลบางอย่างเกี่ยวกับกฎที่มีอยู่และสถานะของไฟร์วอลล์ ลองทำงานสั้น ๆ ทั้งหมด:
- RAW - แสดงกฎที่ใช้งานทั้งหมดโดยใช้รูปแบบการส่ง iptables
- Builtins - รวมเฉพาะกฎที่เพิ่มเป็นค่าเริ่มต้น
- ก่อนหน้ากฎ - แสดงนโยบายที่ดำเนินการก่อนที่จะยอมรับแพ็คเกจจากแหล่งภายนอก
- กฎของผู้ใช้ - ตามลำดับแสดงนโยบายที่เพิ่มโดยผู้ใช้
- After-Rules เป็นเช่นเดียวกับกฎเกณฑ์ก่อนหน้านี้ แต่รวมเฉพาะกฎเหล่านั้นที่เปิดใช้งานอยู่แล้วหลังจากทำแพ็คเกจ
- กฎการบันทึก - แสดงข้อมูลเกี่ยวกับเหตุการณ์ที่ล็อกอิน
- การฟัง - ใช้เพื่อดูพอร์ตที่ใช้งานอยู่ (ฟัง)
- เพิ่ม - มีส่วนร่วมเมื่อดูกฎที่เพิ่มขึ้น
ในเวลาที่คุณต้องการคุณสามารถใช้ตัวเลือกใด ๆ เหล่านี้เพื่อรับข้อมูลที่ต้องการและใช้เพื่อวัตถุประสงค์ของคุณเอง
ขั้นตอนที่ 7: ลบกฎที่มีอยู่
ผู้ใช้บางคนได้รับข้อมูลที่จำเป็นเกี่ยวกับกฎที่มีอยู่ต้องการที่จะลบบางส่วนเพื่อสร้างการเชื่อมต่อหรือกำหนดนโยบายใหม่ ไฟร์วอลล์ที่ต้องเผชิญกับคุณจะสามารถทำสิ่งนี้ได้ในช่วงเวลาที่มีอยู่ซึ่งดำเนินการนี้:
- ใส่ Sudo UFW Delete อนุญาตให้ใช้คำสั่ง 80 / TCP มันจะลบกฎโดยอัตโนมัติที่อนุญาตการเชื่อมต่อขาออกผ่านพอร์ต / โปรโตคอล 80 / TCP
- คุณจะได้รับแจ้งว่านโยบายถูกลบออกสำเร็จทั้งสำหรับ IPv4 และ IPv6
- เช่นเดียวกับการเชื่อมต่อที่ห้ามปรามเช่น Sudo UFW ลบปฏิเสธใน 80 / TCP
ใช้ตัวเลือกมุมมองสถานะเพื่อคัดลอกกฎที่ต้องการและลบออกในลักษณะเดียวกับที่แสดงให้เห็นในตัวอย่าง
ขั้นตอนที่ 8: เปิดการตัดไม้
ขั้นตอนสุดท้ายของบทความในปัจจุบันหมายถึงการเปิดใช้งานตัวเลือกที่จะบันทึกข้อมูลพฤติกรรม UFW ในไฟล์แยกต่างหากโดยอัตโนมัติ เป็นสิ่งจำเป็นสำหรับผู้ใช้ทุกคน แต่ใช้เช่นนี้:
- เขียนการเข้าสู่ระบบ Sudo UFW แล้วกด ENTER
- รอการแจ้งให้ทราบว่าบันทึกจะถูกบันทึกไว้ในขณะนี้
- คุณสามารถใช้ตัวเลือกอื่นตัวอย่างเช่น Sudo UFW Medium ยังมีข้อมูลเหลือน้อย (บันทึกข้อมูลเฉพาะเกี่ยวกับแพ็คเกจที่ถูกบล็อกเท่านั้น) และสูง (บันทึกข้อมูลทั้งหมด) ตัวเลือกเฉลี่ยเขียนลงในนิตยสารที่ถูกล็อคและอนุญาตแพ็กเก็ต
ข้างต้นคุณศึกษามากถึงแปดขั้นตอนซึ่งใช้ในการกำหนดค่าไฟร์วอลล์ UFW ในระบบปฏิบัติการ Ubuntu อย่างที่คุณเห็นนี่เป็นไฟร์วอลล์ที่ง่ายมากซึ่งเหมาะสำหรับผู้ใช้มือใหม่เนื่องจากความสะดวกในการสำรวจไวยากรณ์ UFW ยังคงโดดเด่นยิ่งกว่าที่จะเรียก iptables มาตรฐานการเปลี่ยนที่ดีหากไม่เหมาะกับคุณ