在服务器安全领域，防火墙是守护网络安全的坚实盾牌。UFW（Uncomplicated Firewall），即“不复杂的防火墙”，是一个运行在iptables之上的防火墙配置工具，它为Ubuntu系统默认提供了一个简洁的命令行界面，用于配置常见的防火墙使用场景。

本文将带你快速掌握UFW的常用规则和命令，包括如何通过端口、网络接口和源IP地址来允许或阻止服务。

快速上手指南

使用sudo ufw status或sudo ufw status verbose可以检查你当前的UFW规则集。

注意:

在尝试使用本篇博客的 UFW 命令前记得先备份你的云服务器的重要数据，建议可以为服务器创建一个快照，学习完 UFW 命令后恢复快照即可。

服务器准备

想要完全理解UFW防火墙规则，建议还是搭配一台云服务器作为测试以及实际操作的工具，毕竟孰能生巧嘛。

注册完毕后，请按照以下步骤创建一台自己的云服务器。

创建云服务器

点击 云产品 → 云服务器 → 立即购买。

建议选择距离您较近的区域，以保证低延迟。

带宽以及配置自行选择。

选择 Ubuntu 22.04 版本。

最后点击 立即购买，并按照提示进行购买。购买后等待机器部署完毕，点击购买的服务器，进入管理面板，找到远程连接相关信息。

使用 PowerShell 进行远程连接。

输入 ssh root@您的服务器IP 例如 ssh root@154.9.227.239 回车后，首次需要输入 yes，再次回车后即可登录服务器。

到此为止，我们的云服务器就创建好了，接下来就可以在终端运行下面教程中的命令。

基础命令检查UFW状态

要检查ufw是否已启用，运行以下命令：

sudo ufw status

如果输出显示Status: inactive，则表示你的防火墙尚未激活。

启用UFW

如果你在运行ufw status后输出了Status: inactive的消息，这表示系统上的防火墙并未启用。你需要运行一个命令来启用它。默认情况下，启用UFW会阻止服务器上所有端口的外部访问。实际上，如果你在通过SSH连接到服务器并启用ufw之前没有允许通过SSH端口访问，你将会被断开连接。因此，如果你的情况是这样，请确保按照本指南中的部分先启用SSH访问，然后再启用防火墙。要在你的系统上启用UFW，运行：

sudo ufw enable

你会看到如下输出：

Firewall is active and enabled on system startup

要查看当前被阻止或允许的内容，你可以在运行ufw status时使用verbose参数：

sudo ufw status verbose

禁用UFW

如果你出于某种原因需要禁用UFW，可以使用以下命令：

sudo ufw disable

请注意，此命令将完全禁用你系统上的防火墙服务。

阻止IP地址

要阻止来自特定IP地址的所有网络连接，请运行以下命令，将高亮的IP地址替换为你想要阻止的IP地址：

sudo ufw deny from 203.0.113.100

如果你现在运行sudo ufw status，你会看到指定的IP地址被列为被拒绝：

Status: active
To                         Action      From
--                         ------      ----
Anywhere                   DENY        203.0.113.100

对于指定的IP地址，所有传入和传出的连接都被阻止。

阻止子网

如果你需要阻止整个子网，你可以使用子网地址作为from参数在ufw deny命令中。这将阻止示例子网203.0.113.0/24中的所有IP地址：

sudo ufw deny from 203.0.113.0/24

阻止特定网络接口的传入连接

要阻止来自特定IP地址到特定网络接口的传入连接，请运行以下命令，将高亮的IP地址替换为你想要阻止的IP地址：

sudo ufw deny in on eth0 from 203.0.113.100

in参数告诉ufw仅对传入连接应用此规则，而on eth0参数指定此规则仅适用于eth0接口。如果你的系统有多个网络接口（包括虚拟的），并且你需要阻止对某些接口的外部访问，而不是全部，这可能会很有用。

允许IP地址

要允许来自特定IP地址的所有网络连接，请运行以下命令，将高亮的IP地址替换为你想要允许访问的IP地址：

sudo ufw allow from 203.0.113.101

如果你现在运行sudo ufw status，你会看到输出类似于这样，显示你刚刚添加的IP地址旁边的ALLOW字样。

Status: active
To                         Action      From
--                         ------      ----
...
Anywhere                   ALLOW       203.0.113.101

你也可以通过提供相应的子网掩码来允许整个子网的连接，例如203.0.113.0/24。

允许特定网络接口的传入连接

要允许来自特定IP地址到特定网络接口的传入连接，请运行以下命令，将高亮的IP地址替换为你想要允许的IP地址：

sudo ufw allow in on eth0 from 203.0.113.102

如果你现在运行sudo ufw status，你会看到输出类似于这样：

Status: active
To                         Action      From
--                         ------      ----
...
Anywhere on eth0           ALLOW       203.0.113.102

删除UFW规则

要删除你之前在UFW中设置的规则，使用ufw delete后跟规则（allow或deny）和目标规格。以下示例将删除之前设置的允许所有来自IP地址203.0.113.101的连接的规则：

sudo ufw delete allow from 203.0.113.101

另一种指定你想要删除的规则的方法是通过提供规则ID。这些信息可以通过以下命令获得：

sudo ufw status numbered

从输出中，你可以看到有两个活动规则。第一个规则，带有高亮值，阻止了来自IP地址203.0.113.100的所有连接。第二个规则允许来自IP地址203.0.113.102的连接在eth0接口上。由于默认情况下UFW已经阻止了所有外部访问，除非明确允许，所以第一个规则是多余的，因此你可以删除它。要按ID删除规则，请运行：

sudo ufw delete 1

你将被提示确认操作，并确保你提供的ID指的是你想要删除的正确规则。

列出可用的应用配置文件

安装后，依赖于网络通信的应用程序通常会设置一个UFW配置文件，你可以使用它来允许来自外部地址的连接。这通常与运行ufw allow from相同，优点是提供了一个快捷方式，抽象了服务使用的具体端口号，并提供了用户友好的术语来引用服务。

要列出当前可用的配置文件，请运行以下命令：

sudo ufw app list

如果你安装了一个服务，如Web服务器或其他依赖网络的软件，而UFW中没有提供配置文件，首先确保服务已启用。对于远程服务器，你通常会有OpenSSH可用：

启用应用配置文件

要启用UFW应用配置文件，请运行ufw allow后跟你想要启用的应用配置文件的名称，你可以通过sudo ufw app list命令获得。以下示例中，我们启用了OpenSSH配置文件，这将允许所有传入的SSH连接在服务器的默认SSH端口上：

sudo ufw allow "OpenSSH"

记住，如果配置文件名称由多个单词组成，如Nginx HTTPS，则需要引用配置文件名称。

禁用应用配置文件

要禁用你之前在UFW中设置的应用配置文件，你需要移除其对应的规则。例如，考虑以下来自sudo ufw status的输出：

sudo ufw status

这表明Nginx Full应用配置文件当前已启用，允许任何和所有连接到Web服务器，无论是通过HTTP还是HTTPS。如果你想只允许HTTPS请求从和到你的Web服务器，你首先需要启用最限制性的规则，在这种情况下将是Nginx HTTPS，然后禁用当前活动的Nginx Full规则：

sudo ufw allow "Nginx HTTPS"
sudo ufw delete allow "Nginx Full"

记住你可以使用sudo ufw app list列出所有可用的应用配置文件。

允许SSH

在处理远程服务器时，你需要确保SSH端口是开放的，以便能够远程登录到你的服务器。

以下命令将启用OpenSSH UFW应用配置文件，并允许所有连接到服务器默认SSH端口：

sudo ufw allow OpenSSH

虽然不太用户友好，另一种语法是指定SSH服务的确切端口号，默认设置为22：

sudo ufw allow 22

允许特定IP地址或子网的传入SSH

要允许来自特定IP地址或子网的传入连接，你将包括一个from指令来定义连接的来源。这将要求你还需要使用to参数指定目标地址。要将此规则锁定到SSH仅，你将限制proto（协议）为tcp，然后使用port参数并将其设置为22，SSH的默认端口。

以下命令将仅允许来自IP地址203.0.113.103的SSH连接：

sudo ufw allow from 203.0.113.103 proto tcp to any port 22

你也可以使用子网地址作为from参数，以允许来自整个网络的SSH连接：

sudo ufw allow from 203.0.113.0/24 proto tcp to any port 22

允许特定IP地址或子网的传入Rsync

Rsync程序在端口873上运行，可用于从一台计算机传输文件到另一台计算机。

要允许来自特定IP地址或子网的传入rsync连接，请使用from参数指定源IP地址，并使用port参数将目标端口设置为873。以下命令将仅允许来自IP地址203.0.113.103的Rsync连接：

sudo ufw allow from 203.0.113.103 to any port 873

要允许整个203.0.113.0/24子网能够rsync到你的服务器，请运行：

sudo ufw allow from 203.0.113.0/24 to any port 873