ubuntu防火墙入侵检测

首页

网络安全

ubuntu防火墙入侵检测

热心网友

转载

2026-04-25

在Ubuntu上构筑安全防线：防火墙配置与入侵检测实战指南

为Ubuntu服务器或工作站部署一套坚实的安全屏障，是每个系统管理员的基础功课。今天，我们就来深入聊聊如何利用系统自带的工具，一步步配置防火墙，并引入更强大的入侵检测系统。整个过程其实并不复杂，关键在于理解每个步骤背后的逻辑。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

ubuntu防火墙入侵检测

使用UFW配置防火墙：从零开始的简易之道

对于大多数用户而言，Uncomplicated Firewall (UFW) 是上手最快、管理最直观的防火墙工具。它的设计初衷就是化繁为简。

安装UFW（如果尚未安装）：
首先，确保你的软件包列表是最新的，然后安装UFW。这通常是第一步。
```
sudo apt update
sudo apt install ufw
```
启用UFW：
安装完成后，别忘记启用它。这个命令会同时设置默认策略（通常拒绝所有入站、允许所有出站），并启动防火墙。
```
sudo ufw enable
```
配置UFW规则：
这才是核心步骤。你需要根据服务需求开放或关闭端口。
- 允许特定端口：比如，运行Web服务器需要开放HTTP和HTTPS，管理服务器则需要SSH。
```
sudo ufw allow 80/tcp  # 允许HTTP
sudo ufw allow 443/tcp # 允许HTTPS
sudo ufw allow 22/tcp  # 允许SSH
```
- 拒绝特定端口：如果你想明确禁止某项服务访问，可以这样做。
```
sudo ufw deny 22/tcp   # 拒绝SSH
```
查看UFW状态：
规则添加后，务必检查一下当前状态和规则列表，确认配置是否符合预期。
```
sudo ufw status
```
删除规则：
如果某条规则不再需要，可以按添加时的相同语法将其删除。
```
sudo ufw delete allow 80/tcp  # 删除允许80端口的规则
```
禁用UFW：
在极少数需要完全关闭防火墙进行排错的情况下，可以使用此命令。但请记住，完成后应及时重新启用。
```
sudo ufw disable
```

使用iptables配置防火墙：追求精细控制的选择

如果你需要更底层、更灵活的规则控制，那么直接使用iptables是不二之选。它功能强大，但配置也相对复杂一些。

安装iptables（如果尚未安装）：
虽然大多数发行版已预装，但确保其存在总是好的。
```
sudo apt update
sudo apt install iptables
```

编辑iptables规则：
建议将规则写入配置文件（如 /etc/iptables.rules），便于管理和持久化。使用你熟悉的编辑器打开它。

sudo vi /etc/iptables.rules

下面是一个基础规则的示例，它允许常见服务端口、本地回环通信和已建立的连接，最后默认拒绝所有其他入站流量。这个策略在安全性和可用性之间取得了不错的平衡。

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# 允许常用端口
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT   # 允许HTTP
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT  # 允许HTTPS
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT   # 允许SSH
# 允许本地回环接口
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
# 允许已建立的连接
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 拒绝所有其他输入
-A INPUT -j DROP
COMMIT

加载并生效规则：
编辑好配置文件后，使用以下命令让规则立即生效。
```
sudo iptables-restore < /etc/iptables.rules
```
查看当前规则：
随时可以检查当前内存中生效的iptables规则列表。
```
sudo iptables -L -n
```
保存iptables规则：
内存中的规则重启后会丢失。为了永久保存，需要安装持久化包并执行保存操作。
```
sudo apt install iptables-persistent
sudo netfilter-persistent sa ve
```
确保防火墙开机自启：
为了双重保险，可以配置系统在启动时自动加载我们的规则文件。这涉及到创建服务软链接和编辑启动脚本。
```
sudo ln -s /lib/systemd/system/rc-local.service /etc/systemd/system/rc-local.service
sudo vi /etc/rc.local
```
在 /etc/rc.local 文件中添加这行关键命令：
```
iptables-restore < /etc/iptables.rules
```
然后，别忘了给这个启动脚本加上执行权限：
```
sudo chmod +x /etc/rc.local
```
最后，启用并启动这个服务：
```
sudo systemctl enable rc-local.service
sudo systemctl start rc-local.service
```

入侵检测系统：让安全从被动防御转向主动预警

防火墙像是一道门，规定了谁可以进出。而入侵检测系统（IDS）则像是监控摄像头和警报器，时刻分析网络流量中的异常行为。对于安全要求更高的环境，部署一个IDS至关重要。这里以功能强大的Suricata为例。

安装依赖项：
Suricata的编译安装需要比较多的开发库。一次性安装这些依赖可以避免后续麻烦。

sudo apt install autoconf automake build-essential cargo cbindgen libjansson-dev libpcap-dev libcap-ng-dev libmagic-dev liblz4-dev libpcre2-dev libtool libyaml-dev make pkg-config rustc zlib1g-dev -y

下载并解压Suricata源代码：
从官网下载稳定版本的源代码包，然后解压并进入目录。请注意，版本号可能需要更新为最新的稳定版。
```
wget https://www.openinfosecfoundation.org/download/suricata-7.0.6.tar.gz
tar xvzf suricata-7.0.6.tar.gz
cd suricata-7.0.6
```
配置并安装：
这里我们启用NFQUEUE支持（便于与其他工具联动），并指定标准的安装路径。然后进行编译和完整安装。
```
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var
sudo make && sudo make install-full
```
启动Suricata：
安装完成后，将其设置为系统服务并立即启动。
```
sudo systemctl enable --now suricata
```
配置Suricata：
主配置文件位于 /etc/suricata/suricata.yaml。你需要在这里指定监听的网络接口、配置规则集路径等关键参数。
```
sudo nano /etc/suricata/suricata.yaml
```
更新Suricata规则：
Suricata的强大之处在于其规则库。使用内置工具可以方便地从官方源更新威胁检测规则。
```
sudo suricata-update
```
测试Suricata：
在正式投入生产前，强烈建议运行测试模式，检查配置是否有语法错误，并观察初始化过程是否正常。
```
sudo suricata -T -c /etc/suricata/suricata.yaml -v
```