debian虚拟机如何设置防火墙

Debian虚拟机防火墙配置指南（以ufw和iptables为例）

Debian虚拟机配置防火墙是提升系统安全性的关键步骤，能有效限制非法网络访问。以下是**ufw（简单易用）和iptables（底层工具）**两种主流工具的具体配置方法：

一、使用ufw（推荐：简单直观）

ufw（Uncomplicated Firewall）是Debian默认的防火墙前端工具，基于iptables封装，命令简洁，适合新手快速配置。

1. 安装ufw

若系统未预装ufw，可通过以下命令安装：

sudo apt update && sudo apt install ufw

2. 启用ufw

安装完成后，启用ufw并确认是否允许SSH连接（若通过SSH管理虚拟机，必须允许，否则会断开连接）：

sudo ufw enable # 系统会提示“Command may disrupt existing ssh connections. Proceed with operation (y|n)?”，输入y并回车

3. 配置默认策略

设置默认的入站/出站规则，默认拒绝所有入站连接（阻断未明确允许的流量），允许所有出站连接（保障虚拟机正常访问外网）：

sudo ufw default deny incoming # 默认拒绝入站 sudo ufw default allow outgoing # 默认允许出站

4. 允许常用端口

根据需求开放必要服务端口（以HTTP、HTTPS、SSH为例）：

sudo ufw allow 22/tcp # 允许SSH（默认端口22） sudo ufw allow 80/tcp # 允许HTTP（网页服务） sudo ufw allow 443/tcp # 允许HTTPS（加密网页服务）

也可使用服务名替代端口号（需系统识别服务）：

sudo ufw allow ssh # 等同于allow 22/tcp sudo ufw allow http # 等同于allow 80/tcp sudo ufw allow https # 等同于allow 443/tcp

5. 允许特定IP访问

若需限制仅某IP可访问SSH（增强安全性），可使用以下命令（以192.168.1.100为例）：

sudo ufw allow from 192.168.1.100 to any port 22

6. 查看与管理规则

查看当前规则及状态（verbose模式显示详细信息）：

sudo ufw status verbose

输出示例：

Status: active Logging: on (low) Default: deny (incoming), allow (outgoing) New profiles: skip To Action From -- ------ ---- 22/tcp ALLOW Anywhere 80/tcp ALLOW Anywhere 443/tcp ALLOW Anywhere 22/tcp (v6) ALLOW Anywhere (v6)

删除规则（以删除SSH规则为例）：
```
sudo ufw delete allow 22/tcp 
```
重载规则（修改规则后无需重启，直接重载即可生效）：
```
sudo ufw reload 
```

7. 高级配置（可选）

启用日志记录（记录防火墙活动，便于排查问题）：

sudo ufw logging on # 设置日志级别（low/medium/high/full，默认low） sudo ufw logging medium

二、使用iptables（底层工具：灵活强大）

iptables是Linux内核级的防火墙工具，功能全面，但命令复杂，适合需要精细控制流量的场景。

1. 安装iptables

Debian默认可能未安装iptables，需通过以下命令安装：

sudo apt update && sudo apt install iptables

2. 配置基本规则

允许SSH连接（默认端口22）：

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

允许HTTP（80端口）和HTTPS（443端口）：

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

拒绝所有其他入站连接（最后一条规则必须为DROP，阻断未允许的流量）：
```
sudo iptables -P INPUT DROP 
```
允许所有出站连接（保障虚拟机正常访问外网）：
```
sudo iptables -P OUTPUT ACCEPT 
```

3. 保存规则

Debian默认不会自动保存iptables规则，需手动保存（否则重启后规则失效）：

sudo sh -c "iptables-save > /etc/iptables/rules.v4"

或使用netfilter-persistent工具（需安装）：

sudo apt install netfilter-persistent sudo netfilter-persistent save

4. 设置开机自动加载

创建启动脚本，使iptables在系统启动时自动加载规则：

sudo tee /etc/network/if-pre-up.d/iptables <<EOF #!/bin/sh /sbin/iptables-restore < /etc/iptables/rules.v4 EOF sudo chmod +x /etc/network/if-pre-up.d/iptables

5. 查看与管理规则

查看当前规则（-L列出规则，-n显示数字格式，-v显示详细信息）：
```
sudo iptables -L -n -v 
```

删除规则（以删除SSH规则为例）：

sudo iptables -D INPUT -p tcp --dport 22 -j ACCEPT

注意事项

测试规则：修改防火墙规则前，确保已开放SSH端口（或通过控制台访问），避免误操作导致无法连接。
备份规则：定期备份iptables规则（sudo cp /etc/iptables/rules.v4 ~/iptables-backup.rules），防止规则丢失。
最小化开放：仅开放必要的端口（如Web服务只需开放80/443，数据库服务只需开放3306给特定IP），减少攻击面。
结合其他安全措施：防火墙仅为第一道防线，还需配合SSH密钥认证、强密码策略、系统更新等提升安全性。

通过以上步骤，即可在Debian虚拟机上完成防火墙配置，有效保护系统免受非法网络访问。根据实际需求选择ufw（简单）或iptables（灵活），合理设置规则即可满足大多数场景的安全需求。