Firewall für Webserver: UFW/firewalld richtig konfigurieren

Eine korrekt konfigurierte Firewall ist essenziell für die Sicherheit von Webservern. Sie schützt vor unbefugtem Zugriff, DoS-Angriffen und limitiert den Datenverkehr auf notwendige Dienste. In diesem Leitfaden lernen Einsteiger, IT-Studierende und Junior Network Engineers, wie UFW (Ubuntu) und firewalld (CentOS/RHEL) für Web-Stacks sicher eingerichtet werden.

Grundlagen von Firewalls

Firewalls filtern den eingehenden und ausgehenden Netzwerkverkehr basierend auf Regeln. Für Webserver sind typische Regeln:

• HTTP/HTTPS-Verkehr erlauben
• SSH-Zugriff nur von autorisierten IPs
• Alle anderen Ports blockieren

UFW auf Ubuntu/Debian konfigurieren

UFW (Uncomplicated Firewall) bietet eine einfache Verwaltung von iptables-Regeln.

Installation und Aktivierung

sudo apt update
sudo apt install ufw
sudo ufw enable
sudo ufw status verbose

Standardrichtlinien setzen

sudo ufw default deny incoming
sudo ufw default allow outgoing

Web-Ports erlauben

sudo ufw allow 80/tcp   # HTTP
sudo ufw allow 443/tcp  # HTTPS

SSH-Zugriff sichern

sudo ufw allow from 192.168.1.100 to any port 22 proto tcp

UFW-Regeln prüfen

sudo ufw status numbered

firewalld auf CentOS/RHEL konfigurieren

firewalld bietet dynamisches Firewall-Management mit Zonen und Services.

Installation und Aktivierung

sudo yum install firewalld
sudo systemctl start firewalld
sudo systemctl enable firewalld
sudo firewall-cmd --state

Standardzone konfigurieren

sudo firewall-cmd --set-default-zone=public

Web-Ports freigeben

sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=https --permanent
sudo firewall-cmd --reload

SSH-Zugriff sichern

sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="22" accept' --permanent
sudo firewall-cmd --reload

Monitoring und Logging

Regelmäßiges Überwachen der Firewall-Logs hilft bei der Erkennung von Angriffen und Fehlkonfigurationen.

# UFW Log prüfen
sudo tail -f /var/log/ufw.log

# firewalld Log prüfen
sudo journalctl -u firewalld -f

Netzwerk- und Subnetzplanung

Für sichere Web-Stacks sollte das interne und externe Netzwerk sauber segmentiert werden.

IPv4 Subnetz

<math>
Server-IP = 192.168.330.10/24
Subnetzadresse = 192.168.330.10 & 255.255.255.0 = 192.168.330.0
Broadcastadresse = 192.168.330.0 | ~255.255.255.0 = 192.168.330.255
</math>

IPv6 Subnetz

<math>
Server-IP = 2001:db8:abcd:330::10/64
Subnetzadresse = 2001:db8:abcd:330:: & ffff:ffff:ffff:ffff:: = 2001:db8:abcd:330::0
Broadcastadresse = 2001:db8:abcd:330:ffff:ffff:ffff:ffff
</math>

Best Practices

• Nur notwendige Ports öffnen (HTTP, HTTPS, SSH)
• SSH nur von spezifischen IPs erlauben
• UFW oder firewalld aktivieren und prüfen
• Regelmäßiges Monitoring der Logs
• Separate Zonen für interne und externe Dienste definieren
• Updates für Firewall-Software zeitnah durchführen
• Dynamische IPs für SSH nur mit VPN absichern
• Backup der Firewall-Konfiguration
• Segmentierung von Webserver, DB-Server und Backup-Server
• Dokumentation aller Regeln und Änderungen

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.