VPS海外部署Ubuntu 22.04安全防护：UFW与Fail2ban配置

当你在VPS海外部署Ubuntu 22.04系统时，合理的安全防护配置是保障系统稳定运行的关键。UFW（Uncomplicated Firewall，简单防火墙工具）和Fail2ban（暴力破解防御工具）是两个简单且有效的安全工具，能显著提升系统的安全性。

UFW：简化防火墙配置

UFW是Ubuntu系统自带的防火墙配置工具，通过直观的命令行操作管理网络规则，适合新手快速上手。

步骤1：检查UFW状态

登录VPS海外的Ubuntu 22.04系统后，打开终端输入`sudo ufw status`命令。如果UFW未启用，输出会显示“Status: inactive”；若已启用则显示当前规则列表。

步骤2：设置默认规则

为减少未授权访问风险，应设置默认拒绝所有传入连接，同时允许正常的传出连接。输入以下两条命令完成设置：

sudo ufw default deny incoming
sudo ufw default allow outgoing

前者限制外部主动连接，后者保证系统能正常访问外部网络。

步骤3：开放必要端口

根据实际需求开放特定端口。例如：
- 远程管理需开放SSH端口（默认22）：`sudo ufw allow 22`
- 部署网站需开放HTTP（80）和HTTPS（443）端口：`sudo ufw allow 80`、`sudo ufw allow 443`

步骤4：启用UFW

确认规则无误后，输入`sudo ufw enable`启用防火墙。再次执行`sudo ufw status`，若显示“Status: active”及已设置的规则，说明UFW已正常运行，开始按规则过滤网络流量。

Fail2ban：防范暴力破解

Fail2ban通过监控系统日志（如SSH登录日志），自动封禁多次尝试暴力破解的IP地址，是应对恶意登录的有效工具。

步骤1：安装Fail2ban

先更新软件包列表，再安装Fail2ban：

sudo apt update
sudo apt install fail2ban

步骤2：配置Fail2ban

Fail2ban的主配置文件是`/etc/fail2ban/jail.conf`，但直接修改可能被系统更新覆盖，建议复制为自定义配置文件：

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

用文本编辑器打开`/etc/fail2ban/jail.local`，找到SSH相关配置部分（或手动添加）：

[ssh]
enabled = true   # 启用SSH防护
port = ssh       # 监控SSH端口
filter = sshd    # 使用sshd过滤器
logpath = /var/log/auth.log  # 监控的日志路径
maxretry = 3     # 允许3次失败登录尝试

若需调整封禁时间，找到`bantime`选项设置，例如`bantime = 3600`表示封禁1小时（3600秒）。

步骤3：重启服务并验证

完成配置后，输入`sudo systemctl restart fail2ban`重启服务。通过`sudo systemctl status fail2ban`检查状态，若显示“active (running)”则表示服务正常。此时Fail2ban会实时监控日志，触发规则的IP将被自动封禁。

多维度防护：从单一工具到协同防御

传统中心化系统的安全依赖单一节点防护，一旦被突破风险极高。而VPS海外部署的Ubuntu系统更适合采用多工具协同策略：UFW像“网络门卫”，从边界过滤非法连接；Fail2ban如“行为猎手”，针对暴力破解精准打击。两者结合构建起“边界+行为”的双重防线，让系统在复杂网络环境中更安全。通过合理配置UFW与Fail2ban，你能为VPS海外的Ubuntu 22.04系统打造坚固的安全堡垒。