为什么默认情况下禁用防火墙？

为什么默认情况下未启用且未预先配置的ufw防火墙包含在Ubuntu中？大多数用户甚至不知道它在那里，因为没有提供GUI前端。

Ubuntu 出厂时没有打开任何TCP或UDP端口，因此认为默认情况下没有理由运行“ 不复杂防火墙”（ufw）。但是，我同意禁用ufw是一个奇怪的决定。我的理由是，经验不足的用户可能会安装诸如Samba，Apache等之类的东西，就像他们试用摆在他们面前的系统一样。如果他们不了解其含义，他们将使自己暴露在互联网上的恶意行为中。

示例-我的笔记本电脑配置了Samba，这在使用WPA2保护的家庭网络中还可以。但是，如果我将笔记本电脑带到星巴克，我可能什么都不会想到，但是那台笔记本电脑现在正在向所有人宣传我的股票，而且各种各样。使用防火墙，我可以将samba端口限制为仅家用服务器或对等设备。现在，无需担心谁会尝试连接到我的笔记本电脑。VNC，SSH或我的笔记本电脑可能正在运行或尝试连接的大量其他有用服务也是如此。

Ubuntu对某些安全元素采用了非常开/关的方法，这是我无法认同的哲学。从技术上讲，安全性可能处于打开状态或关闭状态，但是通过将安全性要素相互叠加，您最终会得到一个更好的系统。当然，Ubuntu的安全性足以应付大量用例，但并非全部。

底线，运行ufw。安全胜过遗憾。

简单的防火墙具有许多图形前端，但最简单的是Gufw。

sudo apt-get install gufw

在这里，我允许公司环境中来自特定服务器VLAN的所有流量，并且添加了一条规则，以允许反向SSH会话的必要端口从该计算机反弹。

与Microsoft Windows相比，Ubuntu桌面不需要防火墙就可以在Internet上安全，因为默认情况下，Ubuntu不会打开可能引入安全性问题的端口。

通常，经过适当加固的Unix或Linux系统将不需要防火墙。防火墙（Windows计算机的某些安全问题除外）更有意义，以阻止内部网络连接到Internet。在这种情况下，本地计算机可以通过开放端口相互通信，开放端口被防火墙阻止向外部传播。在这种情况下，将有意为内部通信打开计算机，这些通信在内部网络外部不可用。

标准的Ubuntu桌面不需要此功能，因此默认情况下未启用ufw。

在Ubuntu或任何其他Linux中，防火墙是基本系统的一部分，称为iptables / netfilter。始终启用。

iptables由一组规则组成，这些规则涉及数据包进出时的处理方式和行为。如果要显式阻止来自特定IP的传入连接，则需要添加一条规则。实际上，您不需要这样做。放松。

如果您想从任何方面获得良好的安全性，请记住不要在任何地方安装随机软件。它可能会破坏您的默认安全设置。永远不要以root用户身份运行。始终信任官方回购协议。

我想您想问的是，是否已安装UI？

另外，gufw可以提供GUI前端。（对我来说，它确实比命令行上的ufw直观得多，但确实可以使您更直观地了解其中的内容。）我同意，目前防火墙的广告宣传不佳。如果我猜的话，我想这是为了防止新用户用脚射击自己。

因为：密码或加密密钥。

这是IMO的正确答案，到目前为止，与其他答案完全不同。ufw为了方便大多数Ubuntu用户，默认情况下它是禁用的，因为他们知道密码是提供隐私和受限制的控制的重要保护形式。大多数Ubuntu用户将通过从Ubuntu批准的存储库中进行安装来“审核”软件，并注意其他来源，以最大程度地降低总体风险，而不仅仅是与端口相关的风险。这样一来，他们就可以极大地减少与端口相关的风险，该风险已经很小，因为它们使用的是“普通”密码，而如果使用的是难以破解的密码或密钥，则很小。

引用的某些风险（例如，Samba文件服务器，Apache HTTP服务器，SSH，星巴克（公共）WiFi上的VNC）通常可以通过主机上难以破解的密码来消除。

ufw像防火墙那样“破坏”软件，这就是默认情况下禁用软件的原因。要在全新安装的Ubuntu服务器A上进行测试，请ssh从同一本地网络上的另一台计算机（客户端B）安装并登录，您将立即看到它可以工作。登出。然后返回到服务器A和sudo ufw enable。回到客户端B，您将无法ssh访问服务器A。