Debian 默认没有安装防火墙工具，端口默认是全部开放的，对于有公网IP的服务器来说这非常危险。如果一个软件有漏洞，刚好该软件的端口又是开放的，就很容易被作为攻击入口，因此我们有必要为系统安装并配置防火墙。

Linux 实现的防火墙配置的工具有很多，这里主要讲比较简单的 UFW 防火墙。

操作步骤

1.安装 UFW 防火墙

apt update && apt install -y ufw

2.设置默认策略

安装后建议执行以下两条命令设置 UFW 默认策略

# 默认放行所有出站流量
ufw default allow outgoing

# 默认阻止所有入站流量
ufw default deny incoming

3.添加防火墙规则

在启用 UFW 防火墙之前，需要放行 SSH 服务的入站流量，避免机器失联。

# 放行 22 端口的 TCP 流量入站
ufw allow 22/tcp

如果没有修改过 SSH 服务的端口，其实可以通过服务名称放行，以下是示例：

# 放行 openssh 服务的流量入站
ufw allow openssh

常用服务名和对应默认端口：openssh（22）、telnet（23）、smtp（25）、http（80）、https（443）

4.启用防火墙

# 启用
ufw enable

# 查看防火墙状态
ufw status

常用命令（笔记）

激活UFW防火墙：ufw enable

关闭UFW防火墙：ufw disable

查看防火墙状态：ufw status

添加允许某端口的传入规则（tcp/udp）：ufw allow 22

删除允许某端口的传入规则（tcp/udp）：ufw delete allow 22

添加允许某服务端口及对应协议的传入规则：ufw allow openssh

删除允许某服务端口及对应协议的传入规则：ufw delete allow openssh

添加允许某端口范围的传入规则（tcp）： ufw allow 9002:9002/tcp

删除允许某端口范围的传入规则（tcp）： ufw delete allow 9000:9002/tcp

添加允许某端口范围的传入规则（udp）： ufw allow 9002:9002/udp

删除允许某端口范围的传入规则（udp）： ufw delete allow 9000:9002/udp

添加允许特定IP地址对某端口传入规则：ufw allow from 11.22.33.44 to any port 80

删除允许特定IP地址对某端口传入规则：ufw allow from 11.22.33.44 to any port 80

添加允许IP地址范围对某端口传入规则：ufw allow from 192.168.1.0/24 to any port 80

删除允许IP地址范围对某端口传入规则：ufw allow from 192.168.1.0/24 to any port 80

列出可用的应用程序配置文件：ufw app list