افزایش امنیت سرور لینوکس با تنظیم فایروال لینوکس (UFW)

یکی از مهم‌ترین اقداماتی که هر مدیر سرور یا ادمین شبکه برای افزایش امنیت لینوکس باید انجام دهد، راه‌اندازی و تنظیم صحیح فایروال لینوکس است. در توزیع‌های مختلف لینوکسی و همچنین سرور مجازی لینوکس ابزارهای گوناگونی برای مدیریت ترافیک شبکه وجود دارد؛ اما یکی از ساده‌ترین و در عین حال کارآمدترین ابزارها، فایروال UFW (مخفف Uncomplicated Firewall) است.

در این مقاله قصد داریم ضمن بررسی ساختار فایروال لینوکس، نحوه کانفیگ اصولی و کاربردی UFW را به شما آموزش دهیم تا بتوانید امنیت سرور لینوکسی خود را تا حد امکان بالا ببرید.

فایروال لینوکس چیست و چرا اهمیت دارد؟

فایروال خط مقدم دفاع از هر سرور است. این ابزار ترافیک ورودی و خروجی را کنترل می‌کند و نقش مهمی در جلوگیری از نفوذهای غیرمجاز و حملات سایبری دارد. در سیستم‌عامل لینوکس، هسته (Kernel) دارای یک چارچوب به نام Netfilter است. این چارچوب وظیفه مدیریت بسته‌های شبکه (Packet Filtering) و پیاده‌سازی مفاهیمی مانند NAT و Firewall را بر عهده دارد.

معمولاً ما مستقیم با Netfilter کار نمی‌کنیم؛ بلکه از ابزارهای سطح بالاتر مانند iptables یا nftables برای اعمال قوانین امنیتی استفاده می‌کنیم. در عین حال، می‌توان با یک لایه بالاتر از این ابزارها – مثل UFW – تنظیمات را به شکل ساده‌تری مدیریت کرد و در نهایت امنیت را افزایش داد.

UFW یا Uncomplicated Firewall چیست؟

UFW مخفف واژه‌ی Uncomplicated Firewall به معنای «فایروالی که پیچیده نیست» است. همان‌طور که از نامش پیداست، UFW طراحی شده تا فرآیند نوشتن قوانین فایروال ساده‌تر شود.

• سهولت استفاده: با چند دستور کوتاه، می‌توانید پورت‌ها را باز یا بسته کنید.

• یکپارچگی با توزیع‌های لینوکسی خانواده دبیان: در اوبونتو، دبیان و دیگر توزیع‌های مبتنی بر آن‌ها، UFW به‌صورت پیش‌فرض نصب است (یا به‌راحتی با یک دستور نصب می‌شود).

• مدیریت سریع قوانین: به جای حفظ کردن دستورات پیچیده iptables یا nftables، با چند دستور ساده در UFW می‌توانید قوانین مورد نظر را اعمال کنید.

نحوه نصب و بررسی وضعیت UFW

در اکثر توزیع‌های مبتنی بر دبیان (Debian) و اوبونتو (Ubuntu)، UFW به‌صورت پیش‌فرض نصب است. برای اطمینان از نصب بودن آن، می‌توانید دستور زیر را اجرا کنید:

sudo apt update
sudo apt install ufw

اگر UFW نصب نباشد، با این دستور نصب خواهد شد و در صورتی که نصب باشد، پیام مبنی بر نصب بودن آن دریافت خواهید کرد.

sudo systemctl status ufw

نمایش وضعیت سرویس UFW در سطح سیستم:

• active: سرویس در حال اجراست (اما ممکن است هنوز قوانین فایروال فعال نباشند).
• inactive: سرویس غیرفعال است.

برای بررسی وضعیت فعال یا غیرفعال بودن فایروال در خود UFW نیز دستور زیر را وارد کنید:

sudo ufw status

active: قوانین فایروال UFW فعال هستند.

inactive: قوانین فایروال UFW غیرفعال است.

اصول اولیه: سیاست‌های پیش‌فرض (Default Policies)

به صورت پیش‌فرض در UFW، سیاست این است که تمام ترافیک ورودی (Incoming) مسدود شود و تمام ترافیک خروجی (Outgoing) باز باشد. برای مشاهده یا تغییر این وضعیت:

sudo ufw default deny incoming
sudo ufw default allow outgoing

با این تنظیم، تنها اتصالاتی که صریحاً مجاز (Allow) اعلام شده‌اند، از بیرون قابل دسترسی هستند. این بهترین حالت برای افزایش امنیت لینوکس است.

نحوه فعال‌سازی UFW (Enable)

sudo ufw enable

نکته مهم: پیش از فعال‌سازی UFW حتماً مطمئن شوید که پورت‌های ضروری مانند SSH یا پورت‌های مورد نیاز سرویس‌هایتان را باز کرده‌اید. در غیر این صورت، ممکن است دسترسی خود را به سرور از دست بدهید.

باز و بسته کردن پورت‌ها در فایروال لینوکس (UFW)

باز کردن یک پورت با نام سرویس

معمول‌ترین مثال باز کردن پورت SSH (شماره پورت ۲۲) است:

sudo ufw allow ssh

UFW با تشخیص سرویس SSH، به طور خودکار پورت ۲۲ را برای پروتکل TCP باز می‌کند. برای مشاهده قوانین فعال:

sudo ufw status

یا برای نمایش جزییات بیشتر:

sudo ufw status verbose

باز کردن پورت به روش مستقیم

sudo ufw allow 80/tcp

در این مثال، پورت ۸۰ پروتکل TCP باز خواهد شد.

باز کردن رنج پورت

اگر نیاز دارید رنجی از پورت‌ها را مجاز کنید:

sudo ufw allow 3000:4000/tcp

این دستور پورت‌های بین ۳۰۰۰ تا ۴۰۰۰ را برای پروتکل TCP باز می‌کند.

باز کردن دسترسی فقط از یک آی‌پی خاص

اگر می‌خواهید فقط یک آی‌پی خاص مثلاً آی‌پی استاتیک خودتان قادر باشد به سرور SSH بزند (یا هر پورت دیگری)، می‌توانید با استفاده از گزینه from (مبدأ ترافیک) و to (مقصد ترافیک) این کار را انجام دهید:

sudo ufw allow from <YOUR_IP> to any port 22 proto tcp

به این ترتیب تمامی درخواست‌های SSH به جز آنهایی که از این آی‌پی هستند، مسدود خواهند شد.

پاک کردن قوانین فایروال در UFW

sudo ufw status numbered

سپس با دستور زیر قانون مورد نظر را حذف کنید (به جای X، عدد مربوط به آن قانون را وارد کنید):

sudo ufw delete X

اگر بخواهید تمام قوانین و تنظیمات به حالت اولیه برگردد:

sudo ufw reset

این دستور تمام تنظیمات UFW را ریست می‌کند و حتی آن را به حالت غیرفعال برمی‌گرداند.

تغییر سطح گزارش (Logging)

UFW می‌تواند رخدادها را در سطوح مختلفی (Low, Medium, High, Full) گزارش کند. برای تنظیم سطح گزارش:

sudo ufw logging low

یا

sudo ufw logging medium

با این کار می‌توانید میزان جزییات گزارش‌های ثبت شده در لاگ‌ها را مدیریت کنید.

رفع مشکل از دست دادن دسترسی به سرور

گاه پیش می‌آید که پورت SSH را فراموش می‌کنید قبل از فعال‌سازی فایروال باز کنید و دسترسی‌تان قطع می‌شود. در چنین مواقعی می‌توانید از کنسول وب یا VNC ارایه‌دهنده سرور (سرویس دهنده شما) استفاده کرده و مجدداً با دسترسی روت وارد شوید و قوانین را اصلاح کنید.

نقش فایروال ابری (Cloud Firewall)

بسیاری از سرویس‌دهندگان ابری، گزینه تنظیم فایروال را در پنل مدیریت خود ارائه می‌دهند. توصیه می‌شود علاوه بر فایروال لینوکس که در سطح سیستم‌عامل فعال می‌کنید، از قوانین فایروال ابری نیز استفاده کنید تا چند لایه حفاظتی داشته باشید.

نکات کلیدی برای افزایش امنیت لینوکس با فایروال لینوکس

1. حداقل دسترسی: با سیاست دیفالت “deny incoming” کار را شروع کنید و فقط پورت‌های ضروری را باز بگذارید.
2. تنظیم لاگ: گزارش‌های مرتبط با فایروال را بررسی کنید تا فعالیت‌های مشکوک را سریع شناسایی کنید.
3. محدود کردن IP: اگر آی‌پی ثابت دارید، دسترسی SSH را تنها از آی‌پی خودتان مجاز کنید.
4. مدیریت خدمات: سرویس‌های غیرضروری را متوقف یا حذف کنید تا پورت‌های باز کمتری روی سرور داشته باشید.
5. استفاده از Fail2Ban: برای محافظت در برابر حملات جستجوی فراگیر (Brute Force) روی SSH یا سرویس‌های دیگر، از ابزارهایی مثل Fail2Ban بهره ببرید.

جمع‌بندی

در دنیای امروزی که امنیت اطلاعات برای هر کسب‌وکاری حیاتی شده، افزایش امنیت لینوکس و استفاده از یک فایروال لینوکس مناسب اولین گام در مقابله با نفوذگران به شمار می‌آید. ابزار UFW با ساختاری ساده ولی قدرتمند به شما اجازه می‌دهد با چند دستور محدود، ترافیک ناخواسته را مسدود کرده و ترافیک ضروری را بر اساس نیاز خود باز کنید.

با رعایت اصول مطرح شده در این مقاله، می‌توانید سرور لینوکسی خود را امن‌تر کرده و خیال خود و کاربران‌تان را از بابت افزایش امنیت لینوکس راحت کنید.

اگر تجربه‌ای در کار با UFW یا هر فایروال لینوکس دیگر دارید، حتماً در بخش دیدگاه‌ها با ما و دیگر خوانندگان به اشتراک بگذارید!

نکته: برای آشنایی بیشتر با دستورات، از دستور زیر استفاده کنید:

man ufw

این راهنما به صورت آفلاین در همه سیستم‌های مبتنی بر لینوکس در دسترس است و مثال‌های متعددی برای پیکربندی فایروال لینوکس ارائه می‌دهد.