Linux VPS服务器Ufw防火墙限制IP访问实操指南

想象你在管理一个小区，Ufw防火墙就像小区的智能门禁系统——它能识别哪些"访客"（IP地址）可以进入，哪些需要被拦截。对于Linux VPS服务器来说，这个"门禁"能有效阻止恶意IP攻击，是守护数据安全的重要工具。接下来我们一步步拆解如何用Ufw限制特定IP访问。

Ufw防火墙基础：从认识到启用

Ufw全称Uncomplicated Firewall，是Linux系统自带的简化版防火墙工具。相比需要编写复杂规则的iptables，它用更直观的命令行操作实现相同功能，特别适合新手快速上手。

开始配置前，先确认防火墙状态。打开终端输入命令：

sudo ufw status

如果显示"Status: inactive"说明未启用。这时候输入：

sudo ufw enable

提示"Firewall is active and enabled on system startup"即表示启用成功。建议同时设置默认策略：

sudo ufw default deny incoming  # 默认拒绝所有入站连接
sudo ufw default allow outgoing  # 允许所有出站连接

这样能避免因规则疏漏导致的安全风险。

限制特定IP访问：从单个IP到IP段

遇到频繁尝试登录、刷流量的恶意IP时，限制访问是最直接的防护手段。假设发现IP 192.168.1.100持续发起异常请求，输入命令：

sudo ufw deny from 192.168.1.100

这条规则会拒绝该IP对服务器所有端口的连接。如果只想限制它访问80端口（网站服务常用端口），可以精确设置：

sudo ufw deny from 192.168.1.100 to any port 80

如果遇到同一网段的批量攻击（比如192.168.1.0/24这个C类网络），可以直接封禁整个IP段：

sudo ufw deny from 192.168.1.0/24

执行后Ufw会自动记录规则，后续可通过状态检查确认是否生效。

允许访问与规则管理：灵活调整权限

除了拦截，Ufw也能精准放行信任IP。比如需要允许192.168.1.200通过SSH（22端口）远程管理服务器，输入：

sudo ufw allow from 192.168.1.200 to any port 22

如果该IP需要访问所有服务，简化命令为：

sudo ufw allow from 192.168.1.200

规则配置后可能需要调整，这时候需要查看当前规则列表。输入：

sudo ufw status numbered

终端会显示带编号的规则列表，例如：
```
Status: active

To Action From
-- ------ ----
[1] 22/tcp ALLOW IN 192.168.1.200
[2] Anywhere DENY IN 192.168.1.100
```
要删除编号2的规则，输入：

sudo ufw delete 2

操作前建议先确认规则内容，避免误删关键配置。

实际使用中，建议定期检查Ufw规则。比如每周查看一次状态，清理过期的拦截/允许规则，既能保持防火墙效率，也能避免因规则过多导致的性能影响。对于生产环境的VPS服务器，还可以结合日志功能（通过sudo ufw logging on开启），记录被拦截的请求，方便后续分析攻击来源和模式。

掌握这些操作后，你能更灵活地通过Ufw防火墙管理VPS服务器的访问权限，为数据安全和服务稳定添加一道可靠屏障。无论是个人博客还是企业应用，合理配置的防火墙都是服务器安全体系中不可或缺的一环。