假设：

• 我几乎不了解Ubuntu / Linux OS的内部运作方式。我从Windows的经验中学到的就是，在连接到Internet之前，必须配置并运行防火墙，否则我的系统将和度假并带所有门窗离开家一样安全。打开。
• 我刚刚迁移到Ubuntu 桌面 18.04 LTS，并且是第一次登录。在将PC连接到Internet之前，我想保护系统安全。

（注：请注意对单词“ 台式机”的强调，因此对服务器的任何引用都不会与该问题相关，因此是不相关的）

在对此主题进行一些研究之后，我了解了很多：

一个。ufw是Ubuntu的默认防火墙“配置工具”吗？（请注意，它说的是配置工具，而不是实际的防火墙），并且已经安装了ufw，但它没有运行，也没有进行任何配置，因此它没有默认规则。

b。Gufw是ufw的UI，但默认情况下未安装，至少在Ubuntu Desktop 18.04 LTS中是这样。

C。iptables是作为模块内置在内核中的实际防火墙。

至此，我可以配置ufw，因为它像abc一样简单，因此可以使用它的名称并使用它，作为起点，您需要设置deny（传入），allow（传出）并启动它，我也理解我可以使用Gufw也这样做。因此，我可以将其保留在那里并执行该操作。

但是，经过所有的研究，我发现有很多关于该主题的文章，问题和博客，它们具有很多观点和看法，其中许多都表明您不需要防火墙，没有开放的端口，但是我在想，当然，某些端口必须当我连接到互联网时打开？这意味着我正在将设备连接到网络并建立双向流量连接，但是我已阅读的所有信息只能使此信息变得不清楚和含糊不清，因此我会消化所有信息并尝试加以理解，然后减少它归结为一个语句，所以我总结一下：

Ubuntu桌面用户不需要ufw，因为它只是iptables的配置工具，而iptables是真正的防火墙。

所以说我按字面意思接受上面的陈述，那么下面的陈述是真的吗？：

iptables是Ubuntu桌面的内置防火墙，它已完全配置，并且具有默认规则，即开即用，默认规则对于普通桌面用户而言足够安全。

因为如果上述情况是正确的，那么除了为iptables提供简单的接口外，ufw的意义是什么，从所有角度来看这都是复杂的，此外，专家建议您避免直接配置iptables，因为如果您不确切知道什么如果这样做的话，如果配置错误，很容易使系统不安全或无法使用？

这是我的系统的nmap扫描以及防火墙配置，显示了系统上打开的端口：

请有人可以提供一个简洁，相关且没有争议的基于事实的答案:)

问题发生了很大变化

新答案

标题问题

作为新的Ubuntu桌面18.04 LTS用户，我需要ufw用于防火墙还是iptables足够？

大多数家庭Ubuntu用户不需要使用ufw。这两个ufw和iptables默认安装和配置什么也不做。为什么没有必要，将在下面更详细地说明。

其他问题1：

所以说我按字面意思接受上面的陈述，那么下面的陈述是真的吗？：

iptables是Ubuntu桌面的内置防火墙，它经过全面配置，并使用默认规则对常规桌面用户足够安全，即默认（即拒绝（传入），允许（传出））。

陈述是错误的

该语句实际上是由和连接的两个语句。因此，如果整个语句中只有一部分为假，那么整个语句为假。让我们分解一下：

iptables 是Ubuntu桌面的内置防火墙

上面的部分是正确的。

现在让我们看另一部分：

iptables 已完全配置，并且具有默认规则，这些规则对于普通台式机用户而言足够安全，即拒绝（传入），允许（传出）。

上面的部分是错误的。

默认的Ubuntu桌面安装没有打开任何端口，也没有服务器在运行。因此，即使iptables默认安装在桌面Ubuntu中，它也没有配置为执行任何操作。也就是说，默认防火墙没有设置规则。

因此，iptable在安装Ubuntu时，配置为不执行任何操作。

其他问题2：

nmap和gufw图像的说明（我认为这是您想要的）

您的nmap显示只有两个打开的端口对127.0.0.1开放。这是指计算机本身的特殊IP地址。也就是说，计算机本身可以使用这两个打开的端口与自己通信。

该gufw截图显示，没有防火墙规则设置。但是，由于已安装gufw并单击它，ufw因此也会安装（gufw使用ufw），并且ufw处于活动状态。您上面提到的默认ufw配置有效（拒绝（传入）和允许（传出））。但是，这些规则不适用于计算机本身，即127.0.0.1。对于家庭用户，这（不是必需的）就足够了。

原始答案==>

一般家庭用户不需要防火墙

默认的Ubuntu桌面安装没有打开任何端口，也没有服务器在运行。因此，如果您不运行任何服务器守护程序（例如ssh服务器），则不需要任何防火墙。因此，在安装Ubuntu时，iptable被配置为不执行任何操作。请参阅我需要激活防火墙吗？我仅将Ubuntu用于家庭桌面吗？有关详细信息。

如果运行服务器，则需要防火墙

如果您不是普通家庭用户，并且想要做一些高级事情，例如通过ssh远程访问您的桌面或运行其他服务，那么您需要防火墙。防火墙的配置将取决于您计划运行的服务器守护程序。

即使您不打算运行服务器，您也可能希望使用默认配置为拒绝来自所有端口的所有传入连接的防火墙。万一有一天您想安装并运行服务器而又没有意识到自己在做什么，这将是双重安全。如果不更改默认防火墙配置，服务器将无法正常工作。在记住您已激活防火墙之前，您将花费数小时的时间挠头。然后，您可能需要卸载服务器软件，因为这样做可能不值得冒险。或者，您可能希望配置防火墙以使服务器正常工作。

gufw 是最简单的

gufw是一个GUI界面，用于ufw配置iptables。由于您从1990年代开始使用Linux，因此您可能对命令行感到满意，或者可能更喜欢GUI的视觉提示。如果您喜欢GUI，请使用gufw。即使是新手也很容易理解和配置。

ufw 简单

如果您喜欢命令行，ufw就很简单。

iptables 不是那么容易

我们不希望任何人直接摆弄iptables并使用ufwor gufw的原因是，很容易搞砸iptables，一旦这样做，系统可能会严重损坏，以致无法使用。该iptables-apply命令具有一些内置的保护措施，可以保护用户免受错误的侵害。

希望这可以帮助

我自己提供了这个答案，因为我没有被那些坚持认为您不需要防火墙的人说服，您没有开放的端口...并且尽管我本人也接受它，但我不会将其标记为接受，因此我将其留给社会是否应该对此做出表决。

我想对所有使用Ubuntu Desktop的人说这个问题，如果您不确定防火墙的问题，因为像我一样，您已经亲眼目睹了关于该主题的众多观点，那么我的建议就是继续前进，使用防火墙，我建议使用ufw，如果要使用UI，则请使用Gufw，因为说完所有事情后，即使这样做只是让您放心，使用它也不会造成任何伤害。

我最终转向Ubuntu官方文档进行澄清，找到了以下文章，并以我的经验来寻找答案，我建议您阅读这篇文章，因为它很有意义并且可以回答我的问题和子问题，我想我现在可以了;）

https://help.ubuntu.com/community/DoINeedAFirewall

这是上面文章的摘录：

我没有开放的端口，所以我不需要防火墙，对吗？

好吧，不是真的。这是一个普遍的误解。首先，让我们了解一个开放端口实际上是什么。开放端口是绑定了服务（例如SSH）并正在监听的端口。当SSH客户端尝试与SSH服务器通信时，它将向SSH端口（默认为22）发送TCP SYN数据包，服务器将对其进行确认，从而创建新的连接。关于防火墙如何帮助您的误解从这里开始。一些用户认为，由于您没有运行任何服务，因此无法建立连接。因此，您不需要防火墙。如果只有这些是您需要考虑的事情，那将是完全可以接受的。但是，这只是图片的一部分。还有两个其他因素在起作用。第一，如果不基于没有开放端口的情况使用防火墙，则会削弱自己的安全性，因为如果利用了您拥有的应用程序并且执行了代码执行，则可以创建新的套接字并将其绑定到任意套接字。港口。此处的另一个重要因素是，如果您不使用防火墙，那么您也将没有出站流量控制。在被利用的应用程序唤醒之后，攻击者可以利用的另一种替代方法是创建与恶意计算机的反向连接，而不是创建新的套接字并绑定端口。没有适当的防火墙规则，此连接将畅通无阻。

iptables是TCP / IP网络堆栈的一部分。如果您有* Nix，则有IPTABLES。如果您在IP网络上，启用或禁用了防火墙，则无论如何，您都在使用iptables。

ufw是*之上的* Nix应用程序（意味着使用 iptables）。它基于Shell控制台，但使用起来并不难。可以打开/关闭。您不能禁用iptables，因为必须有 Internet（0.0.0.0），本地环回（127.0.0.0）， localhost（192.168.0.0）和自动寻址（169.254.0.0）的默认路由。如您所见， iptables被放入网络堆栈中。即使您愿意，也无法避免。

ufw可以方便地在Shell控制台中修改矩阵中的iptables条目。可以手动编辑iptables IP路由，但我不建议这样做，因为充其量是容易出错的。将ufw视为用于编辑IP路由表的工具。

尽管与shell控制台一样舒适，但我仍然建议使用gufw的简单性，它是ufw的图形化“包装器”，位于iptables之上。

我喜欢它的简单性，特别是添加应用程序的防火墙配置文件，例如媒体服务器或bittorrent应用程序。任何使我的生活更轻松的事情都会赢得我的荣誉。

因此，要回答您修改过的问题，IPTABLES如果单独放置，将不会保护您的网络。它并非旨在阻止，过滤，禁用或允许某些遍历IP路由表的端口。如果只想允许/阻止某些端口或端口范围，则可以使用ufw + gufw来动态地编辑ip路由表。