VPS服务器部署Ubuntu 20.04防火墙策略与端口配置技巧

VPS服务器像一个24小时运转的网络仓库，防火墙是仓库的智能门禁系统，端口则是不同货物的专属通道。合理设置门禁规则和通道权限，既能防止非法闯入，又能确保正常业务流畅运行。本文以Ubuntu 20.04系统为例，详细讲解VPS服务器中防火墙策略与端口配置的实用技巧。

一、防火墙与端口的基础概念

防火墙是VPS服务器的第一层安全屏障，通过预设规则过滤进出网络流量，决定哪些请求可以通过、哪些需要拦截。Ubuntu 20.04默认使用UFW（Uncomplicated Firewall，简单防火墙）作为管理工具，它简化了传统iptables的复杂操作，更适合新手快速上手。

端口是服务器上应用程序的“门牌号”，每个服务通过唯一端口接收数据。例如网页服务常用80（HTTP明文）和443（HTTPS加密）端口，远程管理多用22（SSH）端口。不同端口对应不同服务，合理配置端口权限能精准控制服务访问范围。

二、UFW防火墙的安装与启动

Ubuntu 20.04系统默认已预装UFW，若因特殊原因未安装（如最小化安装），可通过命令手动安装：

sudo apt install ufw

安装完成后启动防火墙：

sudo ufw enable

执行时系统会提示“Command may disrupt existing ssh connections. Proceed with operation (y|n)?”，输入“y”并回车确认。启动后防火墙将立即生效，默认拒绝所有外部连接（仅允许已配置的规则通过）。

三、防火墙基础策略配置

1. 开放常用服务端口
若需提供网页服务，需开放80和443端口：

sudo ufw allow 80   # 允许HTTP流量
sudo ufw allow 443  # 允许HTTPS流量

若服务仅需特定协议（如仅TCP），可指定协议类型：

sudo ufw allow 22/tcp  # 仅允许TCP协议的SSH连接

2. 限制特定IP访问
若需仅允许某IP（如192.168.1.100）访问服务器，可添加规则：

sudo ufw allow from 192.168.1.100

反之，拒绝某IP（如192.168.1.101）访问：

sudo ufw deny from 192.168.1.101

四、端口安全配置进阶技巧

1. 修改SSH默认端口提升安全
SSH默认使用22端口，易被暴力破解。建议修改为1024-65535之间的非特权端口（如2222）：
- 编辑SSH配置文件：

sudo nano /etc/ssh/sshd_config

- 找到“Port 22”行，修改为“Port 2222”，保存并退出（Ctrl+O保存，Ctrl+X退出）。
- 重启SSH服务使配置生效：

sudo systemctl restart sshd

- 最后在防火墙中开放新端口：

sudo ufw allow 2222

修改后需用新端口（如ssh -p 2222 服务器IP）登录，原22端口将不再响应。

2. 查看端口占用情况
若需检查当前哪些端口被服务监听，可使用：

sudo netstat -tuln

输出结果中“Proto”列显示协议（TCP/UDP），“Local Address”列显示监听的IP和端口（如0.0.0.0:80表示所有IP均可访问80端口）。

五、防火墙规则管理与重置

- 查看当前规则：

sudo ufw status verbose

“verbose”参数会显示更详细的规则信息（如端口协议、生效时间）。
- 移除指定规则：
若需删除之前添加的80端口允许规则，先查看规则编号（通过status命令获取），再执行：

sudo ufw delete 规则编号

- 重置所有规则：
若配置错误需清空规则，使用：

sudo ufw reset

注意：重置会删除所有自定义规则，防火墙将恢复为“拒绝所有入站”的初始状态，需重新配置必要规则。

通过以上步骤，用户可在VPS服务器上构建起基础的安全防护体系。合理配置防火墙策略与端口权限，既能阻挡恶意攻击，又能确保业务服务正常运行，让VPS服务器在网络环境中更稳定、更安全。