Nginx安装防火墙配置（手把手教你为Nginx添加防火墙保护，小白也能轻松上手）

步骤一：启用UFW防火墙（推荐新手使用）

UFW（Uncomplicated Firewall）是Ubuntu默认的防火墙工具，操作简单，适合初学者。

首先，检查UFW状态：

sudo ufw status verbose

如果显示“Status: inactive”，则需要启用它。但请务必先允许SSH连接，否则可能被锁在服务器外：

sudo ufw allow sshsudo ufw allow 22/tcp

接着，允许Nginx所需的端口（HTTP 80 和 HTTPS 443）：

sudo ufw allow 'Nginx Full'

最后，启用UFW：

sudo ufw enable

系统会提示确认，输入 y 并回车即可。此时，你的Nginx服务只接受来自80和443端口的请求，其他端口默认被阻止。

步骤二：使用iptables进行高级配置（可选）

如果你更熟悉命令行，也可以直接使用iptables。以下是一组基础规则，用于保护Nginx：

# 允许本地回环sudo iptables -A INPUT -i lo -j ACCEPT# 允许已建立的连接sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT# 允许SSH（根据实际端口调整）sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT# 允许HTTP和HTTPSsudo iptables -A INPUT -p tcp --dport 80 -j ACCEPTsudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT# 拒绝其他所有入站连接sudo iptables -A INPUT -j DROP

注意：iptables规则重启后会丢失，建议使用 iptables-persistent 保存规则。

步骤三：增强Web应用安全（进阶）

除了系统防火墙，你还可以为Nginx集成Web应用防火墙（WAF），例如ModSecurity。这能防御SQL注入、XSS等应用层攻击。

安装ModSecurity for Nginx（Ubuntu示例）：

sudo apt updatesudo apt install libmodsecurity3 modsecurity-crs

然后在Nginx配置文件中加载ModSecurity模块，并启用OWASP规则集。这部分较为复杂，建议在测试环境先行验证。

总结

通过本教程，你已经学会了如何为Nginx配置基本的防火墙保护。无论是使用简单的UFW，还是更灵活的iptables，都能显著提升服务器的安全性。记住，Web服务器防护是一个持续的过程，定期更新系统、监控日志、限制访问来源都是良好实践。

希望这篇Linux防火墙教程能帮助你构建更安全的Web环境。如果你是新手，建议从UFW开始；若已有经验，可尝试结合WAF实现纵深防御。安全无小事，从今天开始加固你的Nginx吧！