为什么默认禁用防火墙？

Question

为什么 ufw 防火墙包含在 Ubuntu 中，但默认情况下未启用和预配置？大多数用户甚至不知道它在那里，因为没有提供 GUI 前端。

Answer 1

开箱即用，Ubuntu 没有打开 TCP 或 UDP 端口，因此认为没有理由默认运行简单防火墙 (ufw)。不过，我同意禁用 ufw 是一个奇怪的决定。我的理由是，没有经验的用户可能会安装 Samba、Apache 之类的东西，因为他们会试验摆在他们面前的系统。如果他们不了解这一点的含义，他们就会暴露在互联网上的恶意行为中。

示例 - 我的笔记本电脑配置了 Samba，这在使用 WPA2 保护的家庭网络中很好。但是如果我把我的笔记本电脑带到星巴克，我可能不会考虑任何事情，但是那台笔记本电脑现在正在向所有人宣传我的股票。使用防火墙，我可以将我的 samba 端口限制在我的家庭服务器或对等设备上。现在无需担心谁可能会尝试连接到我的笔记本电脑。VNC、SSH 或我的笔记本电脑可能正在运行或尝试连接的大量其他有用服务也是如此。

Ubuntu 对某些安全元素采取了非常开/关的方法，这是我无法同意的理念。安全性可能在技术上是开启或关闭的，但通过将安全元素相互分层，您最终会得到一个更好的系统。当然，Ubuntu 的安全性对于大量用例来说已经足够好了，但不是全部。

最重要的是，运行 ufw。安全总比后悔好。

简单的防火墙有许多图形前端，但最简单的是Gufw。

sudo apt-get install gufw

在这里，我允许来自我公司环境中特定服务器 VLAN 的所有流量，并且我添加了一个规则以允许反向 SSH 会话的必要端口从这台机器上反弹。

Answer 2

与 Microsoft Windows 相比，Ubuntu 桌面不需要防火墙即可在 Internet 上保持安全，因为默认情况下 Ubuntu 不会打开会带来安全问题的端口。

通常，经过适当加固的 Unix 或 Linux 系统不需要防火墙。防火墙（Windows 计算机的某些安全问题除外）更适合阻止内部网络访问 Internet。在这种情况下，本地计算机可以通过开放端口相互通信，这些端口被防火墙阻止到外部。在这种情况下，计算机被有意打开以进行内部通信，而内部通信不应在内部网络之外进行。

标准的 Ubuntu 桌面不需要这个，因此默认情况下不启用 ufw。

Answer 3

在 Ubuntu 或任何其他 Linux 中，防火墙是基本系统的一部分，称为 iptables/netfilter。它始终处于启用状态。

iptables 由一组规则组成，当一个数据包离开进入时该做什么以及如何表现。如果你想明确阻止来自特定 IP 的传入连接，你需要添加一个规则。其实你不需要这样做。放松。

如果您想从任何地方获得良好的安全性，请记住不要从任何地方安装随机软件。它可能会破坏您的默认安全设置。永远不要以 root 身份运行。始终相信官方回购。

我想你想问的是，是否安装了 UI？