UFWを使用してUbuntuでファイアウォールを構成する方法
Linuxオペレーティングシステムは、手に入れることができる最も堅牢で安全なオペレーティングシステムの1つです。しかし、それはセキュリティ違反の傾向がまったくないという意味ではありません。
情報セキュリティに関しては、データ侵害を回避するために積極的なアプローチを取ることが重要です。このガイドでは、Ubuntu Linuxシステムでファイアウォールを有効にして構成することにより、セキュリティをさらに強化する方法を説明します。
ファイアウォールを使用する理由
相互接続されたデバイスの世界におけるデータセキュリティは最も重要であり、それはあなたとあなたのデバイスから始まります。他のセキュリティ対策に従い、安全なパスワードを使用する以外に、ファイアウォールはシステムを安全に保つのに役立ちます。
ファイアウォールは、ネットワーク上の着信および発信トラフィックを管理および制御するために使用されるネットワークプログラムです。
Ubuntu Linuxには、ファイアウォールを管理するためのシンプルで効率的なアプリケーションであるUncomplicatedFirewallの略であるファイアウォールアプリケーションUFWが付属しています。 UFWを使用すると、ファイアウォールを構成し、制限付きポリシーを設定して、ネットワーク上のコンピューターを保護できます。
UFWは、ネットワーク接続を管理およびフィルタリングするためのカーネルネイティブ管理ツールであるiptablesに基づいています。
ファイアウォールのステータスを確認する
Ubuntu Linuxでは、ファイアウォールがデフォルトで無効になっています。ファイアウォールの構成を開始する前に、ファイアウォールがアクティブか無効かを確認する必要があります。
sudo ufw status

上記の出力から、ファイアウォールがアクティブであり、他のデバイスがポート5900にアクセスして接続を開始できることがわかります。ほとんどの場合、VNCサーバーはポート5900を使用してリモートデスクトップ接続を許可します。
ステータス出力に非アクティブと表示されている場合は、マシンでファイアウォールを有効にする必要があります。
UFWでファイアウォールを有効にする
ファイアウォールを有効にするには、次のコマンドを実行するだけです。
sudo ufw enable
これでファイアウォールが有効になり、システムが起動するたびに自動的に起動します。 sudo ufw statusコマンドを再実行すると、ファイアウォールがアクティブになっていることがわかります。
ヒント:ufwコマンドで変更を加えるときは、必ずファイアウォールをリロードしてそれらの変更を登録してください。
sudo ufw reload
UFWでファイアウォールログを有効にする
システムロギングは、コンピュータで発生する特定のイベントの記録を登録および保持するためのセキュリティメカニズムです。 Linuxオペレーティングシステムは常に重要なイベントをログに記録しており、Ubuntuファイアウォールも例外ではありません。
Ubuntu Linuxでは、ファイアウォールログはデフォルトで無効になっています。ファイアウォールログを有効にするには:
sudo ufw logging on
Ubuntuでは、/ var / log /ufw.logファイルにファイアウォールログが保存されます。
ルールの定義と削除
コンピューターの特定のポートを明示的に外部に開く場合は、 allowオプションに続けてポート番号を使用して開くことができます。たとえば、他のコンピューターからのHTTP接続を明示的に許可するには、ポート80を有効にする必要があります。
sudo ufw allow 80
ポート番号の代わりに、ポートのサービス名を使用することもできます。したがって、HTTPサービスを許可するには:
sudo ufw allow http
ファイアウォールのステータスを確認すると、ファイアウォールでポート80(HTTP)が有効になっていることがわかります。
sudo ufw status

ご覧のとおり、ポート80は、他のコンピューターからの接続を許可するように定義されています。
ポート80での接続を許可するファイアウォールルールを削除するには:
sudo ufw delete allow 80
一時的にポートを閉じる
ルールを削除せずにポートを一時的に閉じるには、 ufwdenyコマンドを使用できます。たとえば、ポート80を閉じるには:
sudo ufw deny 80
UFWを使用したアプリケーションのプロファイリング
システム上の特定のアプリケーションは、スムーズに機能するために特定のポート番号を利用します。セキュリティ上の理由から、これらのアプリケーションにはUFWプロファイルがあります。 UFWプロファイルを持つアプリケーションを一覧表示するには、次のコマンドを使用します。
sudo ufw app list
UFWプロファイルを持つアプリケーションでは、ファイルが/etc/ufw/applications.dディレクトリに保存されています。このディレクトリ内のファイルの1つを見ると、アプリケーションが使用しているポートとアプリケーションの説明がわかります。
特定のIPアドレスからの接続を許可する
PCに接続するために特定のIPアドレスを信頼したい場合があります。たとえば、IPアドレス192.168.10.197からの接続のみを許可するには、次のコマンドを使用できます。
sudo ufw allow from 192.168.10.197
許可されたアドレスのリストからIPアドレスを削除または削除するには:
sudo ufw delete allow from 192.168.10.197
ファイアウォールルールのテスト
場合によっては、ファイアウォールルールを適用する前にテストして、ファイアウォールルールの効果を確認することをお勧めします。たとえば、変更を適用せずにSSHポートを開くことをテストするには、次のようにします。
sudo ufw --dry-run allow ssh
ファイアウォール保護だけでは不十分です
Ubuntuファイアウォールは、ネットワーク上のコンピューターを構成および保護する可能性を提供しますが、システムを安全に保つことは多面的です。ファイアウォールだけではシステムを保護するのに十分ではありません。そのため、アカウントに強力なパスワードを使用するなど、常に適切なセキュリティ対策を講じる必要があります。