یکی از اولین لایه‌ها در امنیت سرور شما، فعال سازی یک فایروال است. در اصطلاح فایروال سیستمی است که شبکه و یا کامپیوتر شخصی شما را در مقابل نفوذ مهاجمین، دسترسی‌های غیرمجاز، ترافیک‌های مخرب و حملات هکرها محافظت کند. نحوه عملکرد فایروال‌ها به اینگونه است که  بسته‌ها را بین شبکه‌ها رد و بدل و مسیریابی (Route) می‌کند. و هم ترافیک ورودی به شبکه و هم ترافیک خروجی از آن را کنترل و مدیریت کرده و با توجه به قوانینی که در آنها تعریف می‌شود به شخص یا کاربر خاصی اجازه ورود و دسترسی به یک سیستم خاص را می‌دهند.

 

UFW چیست؟

UFW، یا فایروال غیر پیچیده است. هدف اصلی آن، این است که مدیریت فایروال شما را ساده تر کرده و یک رابط آسان برای استفاده، فراهم نماید. این فایروال در انواع سیستم عامل های لینوکسی به خوبی پشتیبانی شده و محبوب می باشد و حتی به طور پیش فرض در بسیاری از توزیع های لینوکسی نصب شده است. به این ترتیب، این یک راه عالی برای شروع امنیت سرور شماست.
قبل از اینکه دست به کار شویم
ابتدا، بدیهی است، شما می خواهید مطمئن شوید UFW نصب شده باشد. UFW باید به طور پیش فرض در اوبونتو نصب باشد، اما اگر به هر دلیلی نصب نبود، می توانید آن را با استفاده از دستورات زیر با aptitude یا apt-get نصب کنید:

sudo apt-get install ufw

بررسی وضعیت

شما می توانید با تایپ کردن دستور زیر، وضعیت UFW را بررسی کنید:

sudo ufw status

احتمالا به شما می گوید که غیر فعال است؛ ولی هر زمان ufw فعال باشد، فهرستی از قوانین فعلی که شبیه به لیست زیر می باشد را به شما میدهد:

Status: active

To               Action      From
--               ------      ----
22               ALLOW       Anywhere

استفاده از UFW در IPv6

اگر VPS شما، برای IPv6 پیکربندی شده باشد، مطمئن شوید که UFW برای پشتیبانی از IPv6 پیکربندی شده باشد؛ بدین صورت، هر دو قوانین فایروال IPv4 و IPv6 شما را پیکربندی خواهد نمود. برای انجام این کار، تنظیمات UFW را با دستور زیر باز کنید:

sudo nano /etc/default/ufw

(ما در اینجا از ویرایشگر nano استفاده کرده‌ایم، در صورتی که این ویرایشگر به روی سیستم شما نصب نیست، این آموزش به شما کمک خواهد کرد: نصب nano در لینوکس)

سپس مطمئن شوید "IPV6" با مقدار "yes" تنظیم شده است، بدین صورت:

IPV6=yes

فایل را ذخیره نموده و خارج شوید. سپس فایروال خود را با دستورات زیر راه اندازی مجدد کنید:

sudo ufw disable
sudo ufw enable

اکنون UFW، فایروال را در صورت لزوم، برای هر دو مورد IPv4 و IPv6 پیکربندی می کند.

تنظیم پیش فرض ها

یکی از مواردی که باعث می شود تنظیم هر فایروال ساده تر شود، تعریف برخی از قوانین پیش فرض برای اجازه دادن به عبور یا رد اتصالات است. پیش فرض های UFW این است که همه اتصالات ورودی را رد کرده و تمام اتصالات خروجی را رد نماید. این بدان معنی است که هر کسی که در تلاش برای دسترسی به سرور شما است، قادر به اتصال نباشد، در حالی که هر برنامه درون سرور، قادر به دسترسی به جهان خارج می باشد. برای تنظیم پیش فرض های مورد استفاده توسط UFW، شما می توانید از دستورات زیر استفاده کنید:

sudo ufw default deny incoming
sudo ufw default allow outgoing

اجازه اتصالات

دستور اجازه اتصالات بسیار ساده است. شما قوانین فایروال را با صدور دستورات در ترمینال تغییر می‌دهید. اگر ما اکنون فایروالمان را روشن کنیم، تمام اتصالات ورودی رد خواهند شد. اگر شما از طریق SSH به سرور ابر خود متصل هستید،پس اینکار می تواند باعث ایجاد مشکل شود؛ زیرا شما دیگر دسترسی اتصال به سرور خود را نخواهید داشت. بنابراین باید ارتباطات SSH را برای سرورمان فعال کنیم؛ تا از وقوع چنین مشکلی جلوگیری کنیم:

 

sudo ufw allow 22/tcp

این دستور، اجازه ی یک اتصال برروی پورت 22 را با استفاده از پروتکل TCP می دهد. در صورتی که شما از پورتی غیر از ۲۲ که به صورت پیشفرض برای SSH تنظیم شده است استفاده می‌کنید، آن‌را به جای ۲۲ وارد کنید. به عنوان مثال اگر سرور SSH ما برروی پورت 2222 در حال اجرا باشد، می توانیم اتصالات با دستور زیر فعال کنیم:

sudo ufw allow 2222/tcp

اتصالات دیگری که ممکن است نیاز داشته باشیم

اکنون، زمان خوبی برای اجازه دادن به اتصالات دیگری است که ممکن است نیاز داشته باشیم. اگر ما وب سرور با دسترسی FTP امن می کنیم، ممکن است به این دستورات نیاز داشته باشیم:

sudo ufw allow www
sudo ufw allow 80/tcp
sudo ufw allow ftp
udo ufw allow 21/tcp

اینکه چه پورت‌هایی را محدود و چه پورت‌هایی را آزاد بگذارید، کاملا به نحوه استفاده شما از سرور مربوط می‌باشد.

محدوده های پورت

شما می توانید محدوده های پورت را نیز با UFW مشخص کنید. برای اجازه دادن به پورت های 1000 تا 2000، از دستور زیر استفاده کنید:

sudo ufw allow 1000:2000/tcp

اگر شما UDP می خواهید، دستور بالا را به صورت زیر وارد نمایید:

sudo ufw allow 1000:2000/udp

آدرس IP

شما همچنین می توانید آدرس های IP را مشخص کنید. برای مثال، اگر میخواهم ارتباطات را از یک آدرس IP مشخص (به نام آدرس کار یا آدرس خانه ی من) اجازه دهم، از این دستور استفاده می نمایم:

sudo ufw allow from ***.***.***.***

رد اتصالات

در رد اتصالات، تنظیمات پیش فرض ما این است که تمام اتصالات ورودی را رد کنیم. این باعث می شود؛ که قوانین فایروال ساده تر مدیریت شود، زیرا ما فقط به صورت انتخابی به پورت های و آدرس های IP مشخصی، اجازه می دهیم. در این صورت، اگر شما می خواهید آن را برگردانده و تمام پورت های سرورتان را باز کنید (که این کار توصیه نمی شود)، شما می توانید، تمام اتصالات را اجازه داده و سپس به صورت محدود پورت های که نمیخواهید به آن ها دسترسی بدهید را با جایگزینی عبارت "allow" با "deny" در دستورات بالا، رد نمایید. به عنوان مثال:

sudo ufw allow 80/tcp

در این صورت به پورت 80 دسترسی داده می شود در حالی که:

sudo ufw deny 80/tcp

برای پورت 80 دسترسی را رد می کند.

حذف قوانین

دو گزینه برای حذف قوانین وجود دارد. ساده ترین آن، این است که از دستور زیر استفاده کنید:

sudo ufw delete allow ssh

همانطور که می بینید، ما از دستور "delete" استفاده کردیم و قوانینی را که می خواهیم حذف کنیم را، پس از آن، وارد می نماییم. مثالهای دیگر عبارتند از:

sudo ufw delete allow 80/tcp


یک روش ساده تر و دو مرحله ای به صورت زیر می باشد:

sudo ufw status numbered

که لیست UFW از تمامی قوانین فعلی را در یک لیست شماره‌دار نشان می دهد. سپس دستور را صادر می کنیم:

sudo ufw delete [number]

که در آن "[number]" شماره خطی از دستور قبلی است.

فعال کردن آن

پس از اینکه ما UFW را به صورتی که نیاز داشتیم تنظیم کردیم، می توانیم آن را با استفاده از این دستور فعال نماییم (به یاد داشته باشید: اگر از طریق SSH متصل هستید، مطمئن شوید که پورت SSH تان را باز کرده باشید، پورت SSH به صورت پیشفرض ۲۲ می‌باشد):

sudo ufw enable

شما باید تنظیمات را دوباره چک کنید که همه چیز خوب پیش رفته باشد. میتوانید با تایپ کردن دستور زیر، وضعیت قوانین خود را بررسی نمایید:

sudo ufw status

یا دستور زیر را برای نمایش کامل اطلاعات استفاده کنید:

sudo ufw status verbose


برای غیرفعال کردن UFW، از دستور زیر استفاده کنید:

sudo ufw disable

 

بازنشانی به حالت پیشفرض

اگر، به هر دلیلی، شما باید قوانین سرورتان را به تنظیمات پیش فرض شان بازگردانید، شما می توانید این کار را با تایپ کردن این دستور انجام دهید:

sudo ufw reset

 

تبریک می‌گوییم؛ اکنون شما به مقدمات UWF آشنا هستید.

منبع: این