统信UOS怎么设置防火墙_统信UOS防火墙规则配置方法教程【进阶】

统信UOS怎么设置防火墙_统信UOS防火墙规则配置方法教程【进阶】

系统教程

统信UOS系统可通过ufw、firewall-cmd、iptables、安全中心图形界面及ufw与iptables协同机制五种方式精细化控制网络流量。ufw适用于桌面版快速配置端口与IP黑白名单;firewall-cmd支持Server版区域化富规则;iptables提供底层包过滤能力;安全中心满足可视化操作需求;协同机制可避免规则冲突并实现持久化。

如果您需要在统信UOS系统中精细化控制网络流量进出,例如开放特定服务端口、限制访问来源或实施访问黑名单策略,则需通过命令行或图形界面配置防火墙规则。以下是多种可操作的进阶配置方法:

一、使用ufw配置端口与IP白名单规则

ufw(Uncomplicated Firewall)是统信UOS默认集成的防火墙前端工具,支持按协议、端口、源IP组合设定细粒度访问控制,规则自动持久化且易于管理。

1、检查当前ufw状态:sudo ufw status verbose

2、若显示 inactive,先启用防火墙:sudo ufw enable

3、开放TCP协议的80端口(HTTP):sudo ufw allow 80/tcp

4、仅允许来自192.168.1.100的主机访问22端口(SSH):sudo ufw allow from 192.168.1.100 to any port 22

5、允许192.168.10.0/24子网访问MySQL服务端口:sudo ufw allow from 192.168.10.0/24 to any port 3306 proto tcp

6、拒绝某恶意IP的所有连接:sudo ufw deny from 203.0.113.77

7、查看带编号的规则列表以便后续删除或调整:sudo ufw status numbered

二、使用firewall-cmd配置firewalld区域化规则

firewalld适用于UOS Server版本,支持基于zone(区域)的动态策略管理,可配合rich rule实现源IP+端口+协议的复合条件匹配,适合生产环境部署。

1、确认firewalld服务运行状态:sudo systemctl status firewalld

2、若未运行,启动并设为开机自启:sudo systemctl start firewalld && sudo systemctl enable firewalld

3、向public区域永久添加HTTPS端口规则:sudo firewall-cmd --zone=public --add-port=443/tcp --permanent

4、添加富规则:仅允许10.0.30.5访问本机3389端口(RDP):sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="10.0.30.5" port port="3389" protocol="tcp" accept' --permanent

5、重新加载配置使所有永久规则生效:sudo firewall-cmd --reload

6、验证当前public区域开放的端口:sudo firewall-cmd --zone=public --list-ports

三、通过iptables直接编写底层过滤规则

iptables提供对netfilter内核模块的原生访问能力,适用于需匹配包状态、TTL、标志位等高级场景,但手动规则不随ufw/firewalld自动保存,需主动持久化。

1、查看当前filter表完整规则及计数:sudo iptables -L -v -n

Felvin

AI无代码市场,只需一个提示快速构建应用程序

下载

2、在INPUT链最前插入一条DROP规则,拦截指定攻击源:sudo iptables -I INPUT -s 192.0.2.200 -j DROP

3、确保已建立连接的响应包能正常返回:sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

4、保存当前规则至UOS标准持久化路径:sudo iptables-save | sudo tee /etc/iptables/rules.v4

四、在安全中心图形界面中配置高级策略

统信UOS桌面专业版内置“安全中心”应用,支持可视化设置防火墙策略模式、自定义端口规则及IP黑名单,无需记忆命令,适合非技术用户快速完成基础进阶配置。

1、点击任务栏启动器图标,搜索并运行安全中心

2、进入左侧导航栏中的网络安全 → 防火墙防护

3、点击高级设置 → 添加规则,填写服务名称、端口号(如22)、协议类型(TCP/UDP)

4、在“来源IP范围”栏输入单个IP(如192.168.5.88)或CIDR网段(如172.16.0.0/12),留空表示不限制

5、切换至IP黑名单标签页,点击“添加IP”,输入需屏蔽的IPv4地址(支持逗号分隔多个)

6、点击应用按钮保存全部更改,系统将立即执行新策略

五、配置ufw与iptables协同机制避免规则冲突

当同时使用ufw和手动iptables时,ufw重启可能覆盖自定义规则。将底层规则写入ufw框架支持的组件目录,可确保其随ufw服务自动加载,维持策略一致性。

1、创建自定义应用规则定义文件:sudo nano /etc/ufw/applications.d/custom-rules

2、在文件中添加如下内容(以记录并丢弃TTL=1的数据包为例):[Log-Drop-TTL1]\ntitle=Drop packets with TTL=1\ndescription=Drops IPv4 packets where TTL equals 1\nports=any\nprotocol=any

3、启用该规则组:sudo ufw allow Log-Drop-TTL1

4、重启ufw使配置生效:sudo ufw disable && sudo ufw enable

5、验证规则是否载入:sudo ufw status verbose | grep "Log-Drop-TTL1"

本文地址:https://www.sztg.com.cn/article/601108.html

如非特殊说明,本站内容均来自于网友自主分享,如有任何问题均请联系我们进行处理!

猜您喜欢