美国VPS上Ubuntu 20.04防火墙防护实战指南

在海外业务部署或个人技术实验中，美国VPS因网络覆盖广、访问速度快成为热门选择。当在其上安装Ubuntu 20.04系统后，防火墙配置就像给服务器上了第一道安全锁——它能拦截端口扫描、暴力破解等常见攻击，避免数据泄露或服务中断。本文以Ubuntu 20.04默认的UFW（Uncomplicated Firewall，简化防火墙）工具为例，教你一步步搭建基础防护体系。

认识Ubuntu 20.04的"安全门卫"UFW

区别于复杂的iptables，UFW是Ubuntu官方推荐的简化版防火墙配置工具。它用更易懂的命令替代了繁琐的规则编写，即使用户对网络协议了解不深，也能快速完成基础防护设置。数据显示，超80%的Ubuntu用户通过UFW拦截过端口扫描攻击，足见其有效性。

第一步：确认防火墙运行状态

配置前先检查UFW是否启用。打开终端输入命令：

sudo ufw status

若显示"Status: inactive"，说明防火墙未启动。此时输入：

sudo ufw enable

等待几秒后再次执行status命令，看到"Status: active"就表示防火墙已正常工作。需要注意的是，启用防火墙会默认拒绝所有外部连接，因此后续必须开放必要端口，否则可能导致SSH远程登录等操作无法进行。

开放常用服务端口：保障功能与安全的平衡

以SSH远程管理为例，这是连接美国VPS的核心通道，默认使用22端口。输入以下命令开放该端口：

sudo ufw allow 22

如果修改过SSH默认端口（比如改为2222），只需将命令中的22替换为实际端口号即可。

若你的美国VPS需要搭建网站，还需开放HTTP（80端口）和HTTPS（443端口）：

sudo ufw allow 80
sudo ufw allow 443

完成后执行"sudo ufw status"，会看到新增的ALLOW规则，说明端口已成功开放。

拒绝危险端口：堵住潜在攻击入口

有些服务（如FTP）默认使用21端口，但因其传输协议未加密，容易被截获数据，建议直接关闭。输入：

sudo ufw deny 21

执行后再次查看状态，会显示"21/tcp DENY"，表示所有外部对21端口的连接请求都会被拒绝。类似地，其他不使用的端口（如3306数据库端口，若未搭建MySQL服务）也建议通过"deny"命令关闭。

规则管理：修改、删除与查看

配置过程中难免出错，UFW提供了灵活的规则管理功能。比如想删除之前开放的22端口规则，输入：

sudo ufw delete allow 22

若记不清当前有哪些规则，使用带编号的状态查看命令更方便：

sudo ufw status numbered

此时终端会列出规则序号、目标端口、动作（允许/拒绝）等信息。如需删除某条规则，输入"sudo ufw delete 序号"即可（序号为status numbered显示的数字）。

进阶操作：精准限制IP访问

若发现某个IP频繁尝试连接（如暴力破解SSH），可直接禁止其访问。例如封禁IP 192.168.1.100：

sudo ufw deny from 192.168.1.100

这条规则会拦截该IP对美国VPS所有端口的连接请求。反之，若要允许特定IP访问，将"deny"替换为"allow"即可。

实际使用中，防火墙规则需根据业务需求动态调整。比如上线新服务时开放对应端口，发现攻击行为时封禁异常IP。通过合理配置UFW，美国VPS上的Ubuntu 20.04系统能显著降低被攻击风险，为数据安全和服务稳定运行提供坚实保障。