UFW 虚拟主机配置指南

什么是 UFW？

UFW 是一个安全的虚拟主机防火墙，由 UpGuard 公司开发，它能够隔离虚拟主机的内部网络，防止来自外部网络的恶意攻击，通过 UFW,你可以确保在虚拟主机上运行的程序和应用都是安全的。

UFW 虚拟主机配置步骤

安装 UFW

你需要下载并安装 UFW，以下是安装 UFW 的一般步骤：

Windows 系列虚拟主机

1. 下载 UFW：访问 UpGuard 官网,选择适合你操作系统的版本进行下载。
2. 安装 UFW：将下载的 UFW 包解压到你虚拟主机的根目录下，C:\ufw-<version>\。
3. 启用 UFW：打开控制面板，找到“网络和 Internet 设置”，然后选择“启用网络防火墙”。

Linux 虚拟主机

1. 安装 UFW：通过以下命令在终端中安装 UFW：

   sudo apt-get update && sudo apt-get install -y upgguard-ufw

2. 配置 UFW：进入 UFW 配置文件目录，通常位于 /etc/ufw/。

   cd /etc/ufw/

3. 启用 UFW：在终端中输入以下命令启用 UFW：

   sudo service upgguard-ufw enable

配置 UFW

配置 UFW 的主要目的是确保它能够正确隔离虚拟主机的内部网络,以下是常见的配置步骤：

添加防火墙规则

1. 打开 UFW 配置文件：

   sudo nano /etc/ufw/firewall.psw

2. 添加新的防火墙规则，

   input:
     protocol == tcp and (state == FIN or state == FIN, state == FIN or state == FIN)
     destination_port == 22
   action: ACCEPT

   这个规则允许 SSH 连接，端口 22。

3. 保存并退出编辑器。

添加默认规则

为了确保 UFW 能够隔离所有内部网络,添加一个默认规则：

input:
   protocol == tcp
   destination_port == 0/255
action: ACCEPT

保存并退出编辑器。

测试防火墙规则

在终端中输入以下命令,测试防火墙规则：

sudo netfilter -Iufw

启用流量分类

流量分类是 UFW 的核心功能之一，它允许你隔离来自不同来源的流量,以下是配置流量分类的步骤：

1. 打开 UFW 配置文件：

   sudo nano /etc/ufw/flow.classifications.psw

2. 添加新的流量分类规则，

   input:
     protocol == tcp
     source_permanent == 0x00000000/0x000000ff
     destination_permanent == 0x00000000/0x000000ff
   action: CREATE
   default: DISALLOW

   这个规则允许所有流量通过。

3. 保存并退出编辑器。

4. 在终端中启用流量分类：

   sudo netfilter -Iufw

离线配置

如果你不想通过终端配置 UFW，可以使用离线工具，使用 ufw-graphical：

1. 在终端中输入：

   sudo apt-get install -y ufw-graphical

2. 启动图形界面：

   sudo ./ufw-graphical

3. 在图形界面中配置 UFW。

检查防火墙规则

在配置完成后，检查 UFW 是否正确隔离了虚拟主机的内部网络：

1. 在终端中输入：

   sudo netfilter -Iufw

2. 确保所有内部网络流量都被正确隔离。

启用 UFW 服务

为了确保 UFW 在系统启动时自动加载，可以将其添加到 systemd 服务。

1. 打开 systemctl 管理器：

   sudo systemctl da -n

2. 在编辑器中输入以下内容：

   [Unit]
   Description=UFW Virtual Host Firewall
   After=network.target
   [Service]
   ExecStart=/usr/bin/ufw-standalone
   Description=UFW Virtual Host Firewall
   User=www-data
   Group=www-data
   Command=/usr/bin/ufw-standalone
   [Install]
   WantedBy=multi-user.target

3. 保存并退出编辑器。

4. 启动服务：

   sudo systemctl enable ufw-vhfirewall.service

5. 检查服务状态：

   sudo systemctl status ufw-vhfirewall.service

注意事项

• 定期更新 UFW 和相关软件,以修复已知漏洞。
• 确保 UFW 的所有规则都是正确的,避免恶意流量通过。
• 流量分类规则可能会较大,建议定期清理不必要的规则。

通过以上步骤，你可以成功配置 UFW 虚拟主机防火墙,确保你的虚拟主机安全可靠。