لیست مطالب
- بخش اول: فایروال UFW چیست؟
- بخش دوم: پیش نیاز ها و نصب UFW
- بخش سوم: پیکربندی سیاست های پیش فرض (Default Policies)
- بخش چهارم: اجازه دسترسی به سرویس های ضروری
- بخش پنجم: فعال سازی و بررسی وضعیت UFW
- بخش ششم: مدیریت پیشرفته دسترسی ها
- بخش هفتم: استفاده از پروفایل اپلیکیشن ها
- بخش هشتم: نکات امنیتی و نگهداری
- بخش نهم: UFW در سرویس های صفرویک
- جمع بندی
- درباره صفرویک
در دنیای امروز که حملات سایبری و نفوذ به سرور ها به یک چالش روزمره تبدیل شده است، امنیت اولین و مهم ترین دغدغه هر مدیر سیستم یا صاحب وب سایت است. وقتی شما یک سرور اختصاصی ایران یا یک سرور مجازی از "صفرویک" تهیه می کنید، در واقع یک قلعه دیجیتال در اختیار دارید؛ اما این قلعه بدون یک نگهبان هوشیار در ورودی آن، همیشه در معرض خطر است. اینجاست که نقش فایروال (Firewall) یا دیوار آتش مشخص می شود.
در میان ابزار های مختلف امنیتی در لینوکس، UFW یا Uncomplicated Firewall به عنوان یکی از محبوب ترین و در عین حال ساده ترین ابزار ها شناخته می شود. در این مقاله قرار است به صورت ذره بینی بررسی کنیم که UFW چیست، چرا باید از آن استفاده کنیم و چطور می توانیم آن را مانند یک حرفه ای پیکربندی کنیم.
بخش اول: فایروال UFW چیست؟
عبارت UFW مخفف Uncomplicated Firewall به معنای "فایروال بی پیچیدگی" است. همان طور که از نامش پیداست، این ابزار طراحی شده تا مدیریت فایروال در سیستم عامل های لینوکسی (به خصوص توزیع های مبتنی بر دبیان و اوبونتو) را برای کاربران ساده کند.
در واقع، UFW خودش یک فایروال مستقل نیست! در لایه های زیرین سیستم عامل لینوکس، ابزاری بسیار قدرتمند اما پیچیده به نام iptables وجود دارد که وظیفه فیلتر کردن بسته های شبکه را بر عهده دارد. کار کردن مستقیم با iptables برای بسیاری از کاربران (حتی متخصصان) سخت و مستعد خطا است. UFW به عنوان یک رابط کاربری خط فرمان (CLI) عمل می کند که دستورات ساده شما را می گیرد و آن ها را به قوانین پیچیده iptables تبدیل می کند.
چرا باید از UFW استفاده کنیم؟
- سادگی در استفاده: به جای نوشتن خطوط طولانی و گیج کننده، با چند کلمه ساده مثل allow یا deny امنیت را برقرار می کنید.
- پیش فرض های امن: UFW به گونه ای طراحی شده که در حالت پیش فرض، تمام ترافیک ورودی را مسدود کند، مگر اینکه شما اجازه دهید.
- مدیریت پروفایل اپلیکیشن ها: بسیاری از نرم افزار ها (مثل Apache یا Nginx) دارای پروفایل های پیش فرض در UFW هستند که تنظیمات را سریع تر می کند.
- کاهش خطای انسانی: به دلیل دستورات خوانا، احتمال اینکه دسترسی خودتان را به سرور به اشتباه قطع کنید، کمتر می شود (هرچند هنوز باید مراقب باشید!).
بخش دوم: پیش نیاز ها و نصب UFW
قبل از هر چیز، اگر از سرویس های هاست یا سرور مجازی صفرویک استفاده می کنید، باید با دسترسی root یا کاربری که دسترسی sudo دارد به ترمینال سرور خود متصل شوید.
بررسی نصب بودن UFW
در اکثر نسخه های جدید اوبونتو، UFW به صورت پیش فرض نصب است. برای بررسی این موضوع دستور زیر را وارد کنید:
which ufw
اگر مسیری (مثل /usr/sbin/ufw) را مشاهده کردید، یعنی نصب است. در غیر این صورت، با دستورات زیر آن را نصب کنید:
sudo apt update
sudo apt install ufw
بخش سوم: پیکربندی سیاست های پیش فرض (Default Policies)
اولین قدم در تنظیم هر فایروال، تعیین تکلیف برای ترافیکی است که قانون خاصی برای آن ننوشته اید. استراتژی استاندارد امنیتی این است: همه چیز را ببند، مگر آن هایی که لازم داری.
UFW دو سیاست اصلی دارد:
- Incoming: ترافیکی که از بیرون می خواهد وارد سرور شما شود.
- Outgoing: ترافیکی که از داخل سرور می خواهد به بیرون برود.
برای تنظیم سیاست های پیش فرض امن، دستورات زیر را اجرا کنید:
sudo ufw default deny incoming
sudo ufw default allow outgoing
با این کار، سرور شما اجازه می دهد برنامه ها برای آپدیت شدن به اینترنت متصل شوند (Outgoing)، اما هیچ کس از بیرون نمی تواند به هیچ پورتی از سرور شما وصل شود (Incoming).
هشدار بسیار مهم: اگر همین حالا فایروال را فعال کنید، دسترسی SSH شما قطع می شود و دیگر نمی توانید به سرور وصل شوید! قبل از فعال سازی، حتما بخش بعدی را بخوانید.
بخش چهارم: اجازه دسترسی به سرویس های ضروری
حالا که همه ورودی ها را بستیم، باید "در" های مورد نیاز را باز کنیم.
1. باز کردن پورت SSH
برای اینکه بتوانید همچنان به سرور متصل بمانید، باید پورت ۲۲ (یا پورتی که برای SSH تنظیم کرده اید) را باز کنید:
sudo ufw allow ssh
یا به صورت مستقیم با شماره پورت:
sudo ufw allow 22/tcp
2. باز کردن پورت های وب (HTTP/HTTPS)
اگر روی سرور خود وب سایت راه اندازی کرده اید (مثلا از سرویس های هاست صفرویک استفاده می کنید و می خواهید امنیت را در لایه سرور مدیریت کنید)، باید پورت های ۸۰ و ۴۴۳ را باز کنید:
sudo ufw allow http
sudo ufw allow https
3. باز کردن محدوده ای از پورت ها
گاهی نیاز دارید یک بازه مشخص از پورت ها را باز کنید (مثلا برای سرویس های FTP):
sudo ufw allow 1000:2000/tcp
sudo ufw allow 1000:2000/udp
بخش پنجم: فعال سازی و بررسی وضعیت UFW
حالا که خیالتان از بابت SSH راحت شد، نوبت به روشن کردن فایروال می رسد.
فعال سازی:
sudo ufw enable
بعد از زدن این دستور، سیستم به شما هشدار می دهد که این کار ممکن است اتصالات موجود را قطع کند. اگر پورت SSH را باز کرده اید، کلید y را بزنید.
بررسی وضعیت:
برای اینکه ببینید چه قوانینی فعال هستند، از دستور زیر استفاده کنید:
sudo ufw status verbose
این دستور لیستی از پورت های باز و سیاست های پیش فرض را به شما نشان می دهد.
بخش ششم: مدیریت پیشرفته دسترسی ها
یک مدیر سرور حرفه ای فقط پورت ها را باز نمی کند، بلکه محدودیت های دقیق تری اعمال می کند.
اجازه دسترسی به یک آی پی خاص
فرض کنید می خواهید فقط با آی پی ثابت شرکت خودتان بتوانید به دیتابیس سرور وصل شوید:
sudo ufw allow from 1.2.3.4 to any port 3306
(در اینجا 1.2.3.4 آی پی شما و 3306 پورت دیتابیس MySQL است).
مسدود کردن یک آی پی مزاحم
اگر متوجه شدید یک آی پی خاص در حال حمله به سرور شماست، به سادگی آن را بلاک کنید:
sudo ufw deny from 123.123.123.123
حذف یک قانون (Delete)
اگر اشتباهی پورتی را باز کردید یا دیگر به آن نیاز ندارید، ابتدا لیست قوانین را با شماره ببینید:
sudo ufw status numbered
سپس با استفاده از شماره سطر، آن را حذف کنید:
sudo ufw delete [شماره سطر]
بخش هفتم: استفاده از پروفایل اپلیکیشن ها
برخی نرم افزار ها پکیج های تنظیماتی خود را به UFW معرفی می کنند. برای مشاهده این لیست دستور زیر را بزنید:
sudo ufw app list
خروجی ممکن است شامل مواردی مثل Nginx Full یا OpenSSH باشد. به جای باز کردن تک تک پورت ها، می توانید بنویسید:
sudo ufw allow 'Nginx Full'
بخش هشتم: نکات امنیتی و نگهداری
1. لاگ ها (Logging): برای عیب یابی یا شناسایی حملات، می توانید لاگ های فایروال را فعال کنید:
sudo ufw logging on
لاگ ها معمولا در مسیر /var/log/ufw.log ذخیره می شوند.
2. غیرفعال سازی یا ریست: اگر به هر دلیلی خواستید فایروال را خاموش کنید:
sudo ufw disable
و اگر تنظیمات به قدری به هم ریخت که خواستید همه چیز را از اول شروع کنید:
sudo ufw reset
3. پورت های غیر استاندارد: اگر برای امنیت بیشتر، پورت SSH سرور خود را از ۲۲ به شماره دیگری تغییر داده اید، حتما در دستورات UFW شماره پورت جدید را لحاظ کنید.
بخش نهم: UFW در سرویس های صفرویک
زمانی که شما از سرور اختصاصی ایران یا کولوکیشن در مراکز داده صفرویک استفاده می کنید، امنیت فیزیکی و پایداری شبکه (آپتایم ۹۹٪) توسط ما تضمین می شود. اما امنیت لایه نرم افزار و سیستم عامل مستقیما به عهده شماست.
استفاده از UFW روی سرور مجازی صفرویک، اولین و حیاتی ترین گام برای جلوگیری از نفوذ است. حتی اگر از اینترنت VDSL یا پهنای باند اختصاصی ما استفاده می کنید تا مدیریت سرور های خود را انجام دهید، داشتن یک فایروال پیکربندی شده، ریسک حملات Brute Force را به شدت کاهش می دهد.
جمع بندی
UFW ابزاری قدرتمند، کاربردی و در عین حال ساده است که هر مدیر سروری باید بر آن مسلط باشد. با یادگیری دستورات پایه ای که در این مقاله بررسی کردیم، شما می توانید امنیت سرور های لینوکسی خود را به طرز چشمگیری افزایش دهید. به یاد داشته باشید که امنیت یک مسیر دائمی است، نه یک مقصد. همیشه لاگ های خود را بررسی کنید و فقط پورت هایی را باز بگذارید که واقعا به آن ها نیاز دارید.
درباره صفرویک
شرکت صفرویک پرداز، پیشرو در ارائه خدمات هاستینگ و اینترنت پرسرعت، با بهره گیری از تکنولوژی روز دنیا و پشتیبانی ۲۴ ساعته، همراه مطمئن کسب و کار شماست. از سرور اختصاصی و مجازی تا اینترنت اختصاصی سازمانی، ما پایداری و امنیت شما را تضمین می کنیم. همین حالا برای ارتقای زیرساخت دیجیتال خود با کارشناسان مجرب صفرویک تماس بگیرید و بهترین راهکار را انتخاب کنید.
