あなたがシステム管理者であれば、複雑な機能を深く掘り下げる必要がなく、構成と管理が簡単な強力なセキュリティ システムがあればよかったとキャリアの中で思ったことがあるはずです。 iptables ルール。 UFW、または シンプルなファイアウォール は、簡単なインターフェイスを提供することでこのギャップを埋める、優れたネットワーク セキュリティ ツールです。 UFW を使用すると、単純なコマンドでサーバーのファイアウォール設定を制御できます。
この UFW チュートリアルでは、インストールから高度な構成まで、UFW について知っておくべきことをすべて説明します。 UFW を有効または無効にする方法、その構文を理解する方法、一般的なシナリオに実践的な例を適用する方法について説明します。この UFW チュートリアルを終えると、UFW を使用してサーバーを効果的に保護する方法をしっかりと理解できるようになります。
UFWのインストール
ファイアウォール管理に慣れていない場合でも、UFW のインストール プロセスは非常に簡単なので、簡単にインストールできます。ここでは、UFW をサーバー上で起動して実行するための段階的なチュートリアルを示します。
ステップ 1: パッケージリストを更新する
新しいソフトウェアをインストールする前に、パッケージ リストを更新することをお勧めします。
sudo apt update
ステップ 2: UFW をインストールする
簡単なコマンドで UFW をインストールできます。
sudo apt install ufw
ステップ 3: インストールを確認する
インストールが完了したので、インストールが成功したかどうかを確認できます。次のコマンドを実行して、UFW インストールのバージョンを確認できます。
ufw version
ステップ 4: 初期構成
UFW を有効にする前に、初期設定を行うことが重要です。こうすることで、アクティブ化したときに期待どおりに動作することを確認できます。最も重要な手順の 1 つは、デフォルト ポリシーを設定することです。デフォルトでは、UFW はすべての受信接続を拒否し、すべての送信接続を許可するように構成されています。次のコマンドを使用して、これらのデフォルトを確認または設定できます。
sudo ufw default deny incoming
sudo ufw default allow outgoing
ステップ 5: UFW を有効にする
UFW を有効にすると、定義されたルールとデフォルト ポリシーを使用してファイアウォールがアクティブになります。 UFW を有効にするには、次のコマンドを実行します。
sudo ufw enable
ステップ 6: UFW ステータスの確認
次のコマンドを使用して、UFW のステータスと現在適用されているルールを表示できます。
sudo ufw status
この UFW チュートリアルに従うことで、サーバーに UFW を正常にインストールして有効にすることができます。この初期セットアップにより、その後の構成が簡単になります。 UFW は非常にカスタマイズ可能で、必要に応じてトラフィックを許可またはブロックする特定のルールを追加できます。
基本的な UFW コマンドと構文
UFW は使いやすいように設計されています。そのため、ファイアウォール管理を簡素化する単純なコマンドと明確な構文が用意されています。これらの基本的なコマンドとその構文を理解すると、サーバーのファイアウォールの構成と保守に非常に役立ちます。 UFW チュートリアルの最後のセクションでは、UFW の有効化について説明しました。そこで、システム上で UFW を無効にするコマンドからこのセクションを始めましょう。
UFW の無効化
トラブルシューティングまたはメンテナンスの理由から、UFW を無効にする必要がある場合があります。このコマンドはそれを行います。
sudo ufw disable
UFWステータスの確認
UFW のステータスを定期的にチェックすると、現在アクティブなルールがわかります。したがって、ファイアウォールが期待どおりに動作していることを確認できます。次の UFW コマンドを使用して、UFW のステータスを確認できます。
sudo ufw status
このコマンドの後に冗長オプションを使用すると、UFW ステータスの詳細を取得できます。
sudo ufw status verbose
トラフィックの許可
UFW の主な機能の 1 つは、セキュリティ要件に基づいてトラフィックを許可または拒否することです。特定のポートを通過するトラフィックを許可する場合は、allow コマンドの後にポート番号とプロトコル (tcp/udp) を指定して使用する必要があります。以下に例を示します。
sudo ufw allow 22/tcp
このコマンドは、TCP プロトコルを使用したポート 22 での受信 SSH 接続を許可します。
トラフィックの拒否
同様に、トラフィックをブロックするには、deny コマンドを使用する必要があります。
sudo ufw deny 23/tcp
このコマンドは、TCP プロトコルを使用したポート 23 での着信 Telnet 接続をブロックします。
IPアドレスによるトラフィックの許可
UFW では、特定の IP アドレスからのトラフィックを許可または拒否することもできます。こうすることで、より具体的なセキュリティ ルールを設定できます。以下に例を示します。
sudo ufw allow from 192.168.1.10
IPアドレスによるトラフィックの拒否
IP アドレスに基づいてトラフィックを拒否することは、最後のコマンドと同じくらい簡単です。これを行う方法の例を次に示します。
sudo ufw deny from 10.0.0.0/8
UFW ルールの管理
UFW を使用する場合、ルールを追加、変更、または削除することが必要になる場合があります。どのような UFW コマンドでそれが可能になるかを見てみましょう。まず、新しいルールを追加することから始めましょう。 UFW に新しいルールを追加するには、前に説明した許可または拒否 UFW コマンドを使用するだけです。ただし、ルールの削除にはさらに多くの手順が含まれます。ルールを削除するには、まず番号付きルールをリストする必要があります。削除する特定のルールを特定する必要があるため、この手順は重要です。次のコマンドは、番号付きルールをリストします。
sudo ufw status numbered
次に、番号を指定してルールを削除できます。
sudo ufw delete 1
UFWをリロードしています
UFW ルールを変更するときは常に、ファイアウォールをリロードすることをお勧めします。次の UFW コマンドは、UFW をリロードします。
sudo ufw reload
このコマンドは、ファイアウォールを無効にして再度有効にする必要なく、すべてのルールを再適用します。
UFWのリセット
UFW コマンドを使用すると、最初からやり直すか、既存のルールをすべて削除できます。ただし、UFW をリセットすると無効になり、すべてのルールが削除されることに注意してください。次の UFW コマンドは UFW をリセットします。
sudo ufw reset
これらの基本的な UFW コマンドを学習し、その構文を理解することは、ファイアウォールを効果的に管理するために不可欠です。次のセクションでは、サーバーのセキュリティをさらに強化できる高度な構成と使用例について詳しく説明します。
UFW と他のセキュリティ ツールの組み合わせ
UFW は、ファイアウォールを管理するための強力なツールです。ただし、他のセキュリティ ツールと組み合わせて最大限に活用することができます。そのようなツールの 1 つが、 失敗2禁止、ログを監視し、悪意のある兆候を示す IP アドレスを禁止することで、ブルート フォース攻撃を防止します。 UFW をfail2ban と統合してセキュリティ設定を強化する方法は次のとおりです。
failed2ban は、ログ ファイルをスキャンして、失敗したログイン試行やその他の不審なアクティビティのパターンを検出できるセキュリティ ツールです。疑わしいパターンを検出すると、ファイアウォール ルールを自動的に更新して、問題のある IP アドレスをブロックします。 UFW と Fail2ban の組み合わせは、繰り返されるブルートフォース ログイン試行を防御するのに非常に役立ちます。
フェイル2バンのインストール
failed2ban をインストールするには、サーバー上で次のコマンドを実行します。
sudo apt-get install fail2ban
UFW でのfail2banの構成
次に、UFW で動作するようにfail2banを設定する方法を学びます。
ステップ 1: ローカル Jail 構成を作成する
failed2ban のデフォルト設定ファイルは次の場所にあります。 /etc/fail2ban/jail.conf。ただし、fail2ban が更新されたときに設定が上書きされないように、このファイルのローカル コピーを作成することをお勧めします。ここで、構成ファイルをコピーできます。
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
ステップ 2: Jail 構成を編集する
を開きます。 jail.local 次のコマンドを使用して、好みのテキスト エディタでファイルを作成します。
sudo nano /etc/fail2ban/jail.local
このファイル内で、 [デフォルト] セクションを作成し、 禁止時間, ファインタイム、 そして マックスリトライ パラメータ。これらの各パラメーターが示す内容のリストは次のとおりです。
- バンタイム: IP が禁止される期間を制御します。
- 検索時間: 失敗した試行がカウントされる時間枠を表示します。
- マックスリトライ: 禁止されるまでに許容される失敗の数を示します。
たとえば、これらのパラメータを次のように設定できます。
[DEFAULT] bantime = 600 findtime = 600 maxretry = 5
ステップ 3: Jail 構成で UFW を有効にする
を見つけてください [sshd] セクション (または保護したいその他のサービス) jail.local ファイル。ここで、enabled が true に設定されていることを確認し、禁止に UFW を使用するように指定します。
[sshd] enabled = true banaction = ufw port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 5
この設定は、fail2ban が SSH サービスを監視し、UFW ルールを更新して悪意のある IP アドレスを禁止するようにするために必要です。
fail2ban の開始と有効化
failed2ban を構成した後、サービスを開始し、起動時に実行できるようにします。
sudo systemctl start fail2ban
sudo systemctl enable fail2ban
ここで、fail2ban のステータスをチェックして、正しく実行されていることを確認します。
sudo systemctl status fail2ban
UFW とfail2ban を組み合わせる利点
failed2ban を UFW と統合すると、 多層的なセキュリティアプローチ。 UFW はファイアウォール ルールを管理する簡単な方法を提供し、fail2ban は悪意のある動作を示す IP アドレスを禁止することで動的保護を追加します。この効率的なチームワークにより、ブルート フォース攻撃のリスクが軽減され、サーバーの安全性が確保されます。
まとめ
この UFW チュートリアルでは、UFW がシステム セキュリティを強化し、ファイアウォール管理を容易にする優れたツールとなり得る方法を確認しました。 UFW を使用するための、わかりやすいインストールと構成のプロセスを提供しました。また、UFW をfail2ban などの他のセキュリティ ツールと併用することで、プロセスをさらに最適化できる方法についても説明しました。
よくある質問
追加した UFW ルールを削除するにはどうすればよいですか?
特定の UFW ルールを削除するには、ufw delete コマンドの後に削除するルールを使用する必要があります。たとえば、ポート 80 (HTTP) でのトラフィックを許可するルールを削除する場合は、次のコマンドを使用します。
sudo ufw delete allow 80/tcp
UFW は iptables よりも優れていますか?
UFW は、より簡単な構文とユーザーフレンドリーなコマンドにより、ファイアウォール管理をシンプルにします。そのため、初心者にとって理想的な選択となります。一方、iptables は、より詳細な制御およびカスタマイズのオプションを提供します。そのため、非常に特殊なファイアウォール ルールを必要とする上級ユーザーに適しています。
Firewalld と UFW はどちらが優れていますか?
UFW はコマンドが簡単なので、初心者にとっては簡単です。シンプルな構成に最適です。 ファイアウォール は、複雑な環境や動的なファイアウォール ルールに適したツールとなる、より高度な機能と柔軟性を提供します。選択は、特定のニーズと各ツールの精通度によって異なります。
Ubuntu に最適なファイアウォールは何ですか?
Ubuntu に最適なファイアウォールはニーズによって異なります。 UFW はシンプルで使いやすいため、ほとんどのユーザーにとってデフォルトの推奨オプションです。より高度な構成の場合、iptables はファイアウォール ルールを詳細に制御できます。 Firewalld は、ファイアウォール ルールの動的な管理を提供するもう 1 つの堅牢なオプションです。簡単なタスクには UFW を選択し、より複雑な要件には iptables または Firewalld を検討できます。
