香港VPS Linux防火墙配置：ufw与iptables入门指南

对于使用香港VPS搭建业务的用户来说，网络安全是绕不开的课题。作为Linux系统的核心防护工具，ufw和iptables防火墙的正确配置，直接关系到服务器能否抵御恶意扫描、暴力破解等攻击。本文结合真实案例，详细讲解这两款工具的基础使用与规则设置要点。



曾接触过一家外贸企业，他们通过香港VPS搭建跨境电商官网。由于初期未配置防火墙，服务器连续三天遭遇异常IP扫描，最终SSH端口被暴力破解，客户信息数据库被恶意篡改，直接导致一周内订单量暴跌40%。这个教训足以说明，防火墙配置不是“可选功能”，而是“必做项”。

新手友好的ufw：简单配置也能高效防护

ufw（Uncomplicated Firewall，简单防火墙）是基于iptables开发的前端工具，最大特点是用更友好的命令替代了复杂的iptables语法。大多数Ubuntu/Debian系统默认已预装，没装的话执行“sudo apt-get install ufw”就能快速安装。

实际运维中，最常见的需求是控制端口访问。比如防止SSH暴力破解，只需简单几步：
- 启用防火墙：执行“sudo ufw enable”（启用后随系统启动自动加载规则）
- 允许必要端口：“sudo ufw allow 22”开放SSH默认端口；若网站需要HTTP/HTTPS，执行“sudo ufw allow 80”和“sudo ufw allow 443”
- 拒绝危险端口：若发现8080端口被异常扫描，用“sudo ufw deny 8080”直接封禁
- 查看当前状态：“sudo ufw status”能清晰显示已启用的规则和端口状态

需要注意，删除规则时用“sudo ufw delete allow 22”即可，但操作前建议先用“status”确认规则序号，避免误删。

进阶必备的iptables：底层控制更精细

如果说ufw是“自动挡汽车”，iptables就是“手动挡”——需要更熟悉规则，但能实现更精准的流量控制。它直接操作Linux内核的netfilter框架，适合需要定制化防护的场景。

新手常被复杂的命令吓退，其实掌握基础规则并不难：
- 查看当前规则：“sudo iptables -L -n -v”（-L列出规则，-n显示IP而非域名，-v显示详细信息）
- 清空旧规则（谨慎操作）：“sudo iptables -F”会清除所有自定义规则，恢复默认策略
- 允许特定IP访问：“sudo iptables -A INPUT -s 192.168.1.100 -p tcp --dport 22 -j ACCEPT”（允许192.168.1.100通过22端口访问）
- 设置默认拒绝策略：“sudo iptables -P INPUT DROP”（所有未明确允许的请求直接拒绝）

需要提醒的是，iptables规则默认重启后失效，可通过“sudo apt install iptables-persistent”安装持久化工具，保存规则到/etc/iptables/rules.v4文件。

规则设置的三个关键原则

无论是用ufw还是iptables，实际配置时记住这三个原则能少走弯路：
1. 最小权限原则：只开放业务必须的端口。比如纯SSH管理的服务器，只开22端口；有网站的服务器再开80/443，其他端口默认拒绝。
2. 动态更新规则：新增业务（如文件传输需要21端口）或发现异常（如某IP频繁尝试连接3306数据库端口）时，及时调整规则。我维护香港VPS时遇到过用户因忘记开放新增的5000端口，导致新部署的API服务无法访问。
3. 结合辅助防护：重要服务（如SSH）建议修改默认端口（比如改为2222），并启用密钥认证替代密码登录。双重防护下，暴力破解成功率会大幅降低。

香港VPS的安全防护没有“一劳永逸”的方案。定期检查ufw/iptables规则、根据业务变化调整端口策略、结合密钥认证等辅助手段，才能构建更稳固的网络防线。无论是个人开发者还是企业用户，掌握防火墙基础配置，都是守护业务数据的第一步。