△注意：本文是配合 Ubuntu Server/Desktop 12.04 LTS 安裝

做資訊安全的人，可能都會聽過差不多的一句話，它大概是這樣說的：「把網路環境中的一個環節做到百分百的安全，不如把每一個環節都做到水準以上的安全」，舉個例子來說明，一般最常做的資訊安全投資，可能就是網路閘道上加個專業的防火牆吧，我們還可以花大錢，在防火牆上(或前或後)加IPS功能、加防毒、加URL filter、加東加西加加加，讓防火牆傲笑江湖的強，但做完這些功夫，還是防止不了使用者由USB隨身碟帶進來的攻擊，所以說，除了在閘道上有防火牆，定時更新作業系統與應用軟體的 patch，固定的弱點掃描並防範程式的弱點等安全作為，我們還可以做一個簡單又有效的安全防護，那就是本機防火牆，這邊要介紹的是在 Ubuntu Server/Desktop 上使用的 ufw。

▲    圖一、本機防火牆示意圖。

ufw 早在 2008 年 Ubuntu 8.04 的時候就有提供了，對比於 iptables，ufw 相對的簡單易懂些，很容易就可以完成本機防火牆的需求設置，這裡不是說 iptables 不好，而是它提供的功能較全面，對於只要設定本機防火牆的需求而言，相對比較複雜。

本機防火牆的設置之前，需要想像一下應用的情景，而且這個情景還很好想像，就是我這個電腦或伺服器，其存在於這個網路上是為了要提供什麼樣的功能給別人使用，有的部份就允許通訊埠被使用，其它的部份統統都關閉，讓宵小等惡意程式不得其門而入。下面我們舉例來做說明，有一台內部的網頁伺服器( http 通訊埠 80)，提供有遠端連線( ssh通訊埠 22)供 IT 人員做遠端操控，它的本機防火牆原則可以是這麼設的。

●  sudo ufw allow http，設定本機防火牆原則，允許 http 的通訊連入伺服器

●  sudo ufw allow ssh，設定本機防火牆原則，允許 ssh 的通訊遠端連入伺服器

●  sudo ufw default deny，設定本機防火牆原則，將除了已開放的通訊埠外，其它的通訊埠都關閉。

●  sudo ufw enable，啟用本機防火牆，並依已設定的原則允許或阻絕連線。

▲    圖二、設定 ssh 與 http 可以連入伺服器，並拒絕其它的連線

不確定現在 ufw 設定的內容？沒關係，使用指令就可以查看 ufw 的狀態

●    sudo ufw status

▲    圖三、查看本機防火牆設定，80 就是 http 服務，22 是 ssh 服務

這樣就收工了嗎？好像太簡單了，我們小小的進階一下，”內部”的網頁伺服務？要供”內部網段的”人員使用？那就應該列出內部網段在那裡呀，例如 192.168.1.1/24 (註2)，只有來自這個網段的人員才可以使用內部網頁，同理，IT 人員會有指定的管理者與代理人，也限定特定的 IP 才可進行 ssh 連線，例如管理者 192.168.1.101/32，代理人 192.168.1.102/32，我們來設定只有這些地方，才可以連到網頁伺服器 192.168.0.11，指令如下所示

註2：/24代表subnet mask(子網路遮罩）是24位元，等於255.255.255.0的另一種寫法。

●  sudo ufw allow from 192.168.1.1/24 to 192.168.0.11 port 80，指令一樣是ufw allow做允許的設定，允許來源是藍色的區塊，到綠色的地方，是伺服器自己的IP位址，可連入的通訊埠是 80在紅色的地方，下面是 ssh 的設定，也是一樣的原理。

●  sudo ufw allow from 192.168.1.101/32 to 192.168.0.11 port 22

●  sudo ufw allow from 192.168.1.102/32 to 192.168.0.11 port 22

▲    圖四、指定來源網段才可進行連線。

第一次設定 ufw allow http(如圖二)，是讓所有人都可以連到伺服器的網頁服務，透過更精細的設定，我們已限定指定網段的人才可以連入，這個範圍不受限設定值要刪除，使用指令如下

●  ufw delete allow http ，進行防火牆原則的刪除，其實也是很簡單的，就是在原本的允許指令中，加入 delete ，舉一反三聰明的您，試試看將ssh連入不受限的設定值刪除吧。

▲ 圖五、刪除不需要的本機防火牆原則

真的做錯了，也搞迷糊了，沒關係，我們就先把防火牆關閉，等下次想清楚時再來試試看吧，使用指令

●    sudo ufw disable，關閉ufw

▲ 圖六、關閉本機防火牆