Cấu Hình Firewall Cơ Bản Cho Server Linux

Giới Thiệu

Firewall (tường lửa) là một thành phần thiết yếu trong hệ thống bảo mật của bất kỳ server nào. Nó hoạt động như một rào cản giữa server của bạn và Internet, kiểm soát lưu lượng truy cập ra vào dựa trên các quy tắc đã định. Việc cấu hình firewall cơ bản giúp ngăn chặn truy cập trái phép, bảo vệ server khỏi các mối đ đe dọa phổ bi�ần từ mạng bên ngoài và chỉ cho phép các dịch vụ hợp lệ hoạt động.

Trong hướng dẫn này, chúng ta sẽ tập trung vào việc sử dụng UFW (Uncomplicated Firewall) – một giao diện thân thiện với người dùng cho iptables – để thiết lập các quy tắc bảo mật cơ bản cho server Linux của bạn.

📋 Thời gian: 15 phút | Độ khó: Cơ bản

Yêu Cầu

Để thực hiện theo hướng dẫn này, bạn cần:

Một server Linux đang hoạt động (ví dụ: Ubuntu, Debian, CentOS).
Quyền truy cập root hoặc tài khoản người dùng có quyền sudo.
Kết nối SSH tới server của bạn.
Hiểu biết cơ bản về các lệnh Linux.

Các Bước Thực Hiện

Bước 1: Cập Nhật Hệ Thống

Trước khi cài đặt bất kỳ phần mềm nào, luôn nên cập nhật danh sách gói và nâng cấp các gói hiện có để đảm bảo bạn đang làm việc với phiên bản mới nhất và vá lỗi bảo mật.

# Đối với hệ thống dựa trên Debian/Ubuntu
sudo apt update
sudo apt upgrade -y

# Đối với hệ thống dựa trên RHEL/CentOS (sử dụng firewalld hoặc iptables trực tiếp)
# Tuy nhiên, UFW có thể được cài đặt trên CentOS/RHEL thông qua EPEL repo.
# Đối với hướng dẫn này, chúng ta sẽ tập trung vào UFW phổ biến trên Debian/Ubuntu.

Bước 2: Chọn Công Cụ Firewall

Trên Linux, có hai công cụ chính để quản lý firewall:

iptables: Công cụ gốc, rất mạnh mẽ và linh hoạt nhưng có cú pháp phức tạp, khó học đối với người mới bắt đầu.
UFW (Uncomplicated Firewall): Một giao diện dòng lệnh đơn giản hơn cho iptables, được thiết kế để dễ sử dụng. Đây là lựa chọn tuyệt vời cho cấu hình cơ bản.

💡 Mẹo: Đối với người mới bắt đầu và các tác vụ cấu hình firewall cơ bản, UFW là lựa chọn được khuyến nghị. Nếu server của bạn chạy CentOS/RHEL, firewalld là công cụ mặc định và có cách sử dụng tương tự UFW.

Bước 3: Cài Đặt và Kích Hoạt UFW

UFW thường được cài đặt sẵn trên Ubuntu. Nếu chưa có, bạn có thể cài đặt nó:

# Cài đặt UFW nếu chưa có
sudo apt install ufw -y

# Kiểm tra trạng thái UFW
sudo ufw status verbose

Ban đầu, UFW sẽ ở trạng thái "inactive". Chúng ta sẽ cấu hình các quy tắc trước khi kích hoạt nó.

Bước 4: Cấu Hình Các Quy Tắc Cơ Bản với UFW

4.1. Thiết Lập Chính Sách Mặc Định

Chính sách mặc định của UFW là chặn tất cả kết nối đến (inbound) và cho phép tất cả kết nối đi (outbound). Đây là một điểm khởi đầu an toàn.

# Từ chối tất cả các kết nối đến mặc định
sudo ufw default deny incoming

# Cho phép tất cả các kết nối đi mặc định
sudo ufw default allow outgoing

4.2. Cho Phép Kết Nối SSH (Cực Kỳ Quan Trọng!)

⚠️ Cảnh báo: Luôn đảm bảo bạn đã cho phép cổng SSH (mặc định là 22) trước khi kích hoạt UFW. Nếu không, bạn có thể bị khóa khỏi server của mình.

# Cho phép SSH trên cổng mặc định (22)
sudo ufw allow ssh

# Hoặc, bạn có thể chỉ định cổng cụ thể nếu bạn đã thay đổi cổng SSH
# Ví dụ, nếu SSH của bạn chạy trên cổng 2222:
# sudo ufw allow 2222/tcp

# Bạn cũng có thể cho phép từ một địa chỉ IP cụ thể (nếu bạn có IP tĩnh)
# sudo ufw allow from 192.168.1.100 to any port 22

4.3. Cho Phép Các Dịch Vụ Web (HTTP/HTTPS)

Nếu server của bạn chạy một trang web, bạn cần mở các cổng 80 (HTTP) và 443 (HTTPS).

# Cho phép HTTP (cổng 80)
sudo ufw allow http

# Hoặc theo số cổng:
# sudo ufw allow 80/tcp

# Cho phép HTTPS (cổng 443)
sudo ufw allow https

# Hoặc theo số cổng:
# sudo ufw allow 443/tcp

4.4. Cho Phép Các Dịch Vụ Khác (Ví Dụ: Cơ Sở Dữ Liệu)

Nếu server của bạn có các dịch vụ khác như MySQL, PostgreSQL, FTP, v.v., bạn cần mở các cổng tương ứng.

# Ví dụ: Cho phép MySQL (cổng 3306)
sudo ufw allow mysql

# Ví dụ: Cho phép PostgreSQL (cổng 5432)
sudo ufw allow postgresql

# Ví dụ: Cho phép FTP (cổng 20 và 21)
# sudo ufw allow ftp

💡 Mẹo: Chỉ mở các cổng mà server của bạn thực sự cần để hoạt động. Mỗi cổng mở là một điểm tiềm năng mà kẻ tấn công có thể khai thác.

4.5. Xóa Quy Tắc (Nếu Cần)

Nếu bạn cần xóa một quy tắc, bạn có thể làm theo số hoặc theo quy tắc.

# Xem các quy tắc đã được đánh số
sudo ufw status numbered

# Ví dụ, để xóa quy tắc số 3:
# sudo ufw delete 3

# Hoặc xóa quy tắc theo tên/cổng:
# sudo ufw delete allow 80/tcp

Bước 5: Kích Hoạt UFW và Kiểm Tra

Sau khi đã thiết lập tất cả các quy tắc cần thiết, bạn có thể kích hoạt UFW.

# Kích hoạt UFW
sudo ufw enable

Bạn sẽ nhận được một cảnh báo rằng lệnh này có thể làm gián đoạn các kết nối SSH hiện có. Nhấn y và Enter để tiếp tục.

✅ Thành công: UFW đã được kích hoạt.

Kiểm tra lại trạng thái UFW để đảm bảo các quy tắc của bạn đã được áp dụng:

sudo ufw status verbose

Bạn sẽ thấy Status: active và danh sách các quy tắc bạn đã thiết lập.

Troubleshooting

Bị Khóa Khỏi Server Sau Khi Kích Hoạt UFW

Nguyên nhân: Bạn quên mở cổng SSH (mặc định 22) trước khi kích hoạt UFW.
Cách xử lý:
1. Nếu bạn có quyền truy cập console (ví dụ: thông qua bảng điều khiển của nhà cung cấp dịch vụ đám mây), hãy đăng nhập qua console.
2. Chạy lệnh: sudo ufw allow ssh hoặc sudo ufw allow 22/tcp.
3. Sau đó, bạn có thể vô hiệu hóa UFW nếu cần gỡ lỗi thêm: sudo ufw disable.
4. Nếu không có quyền truy cập console, bạn có thể cần phải khởi động lại server ở chế độ phục hồi hoặc liên hệ với nhà cung cấp dịch vụ của bạn để được hỗ trợ.

Dịch Vụ Không Hoạt Động Sau Khi Bật Firewall

Nguyên nhân: Bạn đã không mở cổng cần thiết cho dịch vụ đó.
Cách xử lý:
1. Xác định cổng mà dịch vụ của bạn đang sử dụng (ví dụ: Nginx/Apache dùng 80/443, MySQL dùng 3306).
2. Thêm quy tắc cho phép cổng đó: sudo ufw allow <port_number>/tcp.
3. Kiểm tra lại trạng thái UFW: sudo ufw status verbose.

Quy Tắc Không Được Áp Dụng

Nguyên nhân: UFW có thể chưa được kích hoạt, hoặc có thể có một quy tắc khác xung đột hoặc có độ ưu tiên cao hơn.
Cách xử lý:
1. Đảm bảo UFW đang hoạt động: sudo ufw status. Nếu không, hãy kích hoạt nó: sudo ufw enable.
2. Xem xét các quy tắc theo thứ tự được đánh số: sudo ufw status numbered. Các quy tắc được xử lý theo thứ tự này.
3. Thử vô hiệu hóa và kích hoạt lại UFW: sudo ufw disable sau đó sudo ufw enable.

Kết Luận

Cấu hình firewall cơ bản là một bước quan trọng đầu tiên để bảo vệ server của bạn khỏi các mối đe dọa mạng. Bằng cách sử dụng UFW, bạn có thể dễ dàng thiết lập các quy tắc để kiểm soát lưu lượng truy cập, chỉ cho phép các dịch vụ cần thiết hoạt động và chặn các truy cập không mong muốn.

Best practices:

Chỉ mở các cổng cần thiết: Nguyên tắc "least privilege" áp dụng ở đây. Hạn chế tối đa các cổng mở ra Internet công cộng.
Kiểm tra định kỳ: Thường xuyên kiểm tra các quy tắc firewall của bạn để đảm bảo chúng vẫn phù hợp với nhu cầu và không có lỗ hổng nào bị bỏ sót.
Ghi chú quy tắc: Ghi lại lý do cho mỗi quy tắc firewall mà bạn thêm vào, đặc biệt là trong môi trường phức tạp.
Nắm vững iptables: Khi bạn đã quen với UFW, việc tìm hiểu sâu hơn về iptables sẽ giúp bạn có khả năng cấu hình firewall mạnh mẽ và chi tiết hơn cho các trường hợp đặc biệt.

Bảo mật server là một quá trình liên tục, và firewall chỉ là một phần của chiến lược toàn diện. Tuy nhiên, việc cấu hình firewall cơ bản một cách chính xác là nền tảng vững chắc cho một hệ thống an toàn.

Giới Thiệu​

Yêu Cầu​

Các Bước Thực Hiện​

Bước 1: Cập Nhật Hệ Thống​

Bước 2: Chọn Công Cụ Firewall​

Bước 3: Cài Đặt và Kích Hoạt UFW​

Bước 4: Cấu Hình Các Quy Tắc Cơ Bản với UFW​

4.1. Thiết Lập Chính Sách Mặc Định​

4.2. Cho Phép Kết Nối SSH (Cực Kỳ Quan Trọng!)​

4.3. Cho Phép Các Dịch Vụ Web (HTTP/HTTPS)​

4.4. Cho Phép Các Dịch Vụ Khác (Ví Dụ: Cơ Sở Dữ Liệu)​

4.5. Xóa Quy Tắc (Nếu Cần)​

Bước 5: Kích Hoạt UFW và Kiểm Tra​

Troubleshooting​

Bị Khóa Khỏi Server Sau Khi Kích Hoạt UFW​

Dịch Vụ Không Hoạt Động Sau Khi Bật Firewall​

Quy Tắc Không Được Áp Dụng​

Kết Luận​