firewall ubuntu

โดย อ.บอม กิตติทัศน์ | 06/03/2026 | SiamCafe.net Since 1997

ทำความเข้าใจพื้นฐาน: UFW คืออะไรและเหตุใดจึงสำคัญสำหรับ Ubuntu Server

UFW หรือ Uncomplicated Firewall เป็นเครื่องมือจัดการไฟร์วอลล์ระดับสูงที่ทำงานบนฐานของ iptables ซึ่งเป็นเฟรมเวิร์คไฟร์วอลล์ดั้งเดิมของ Linux การออกแบบมาเพื่อทำให้การจัดการกฎเครือข่ายซับซ้อนเป็นเรื่องง่ายและเป็นมิตรกับผู้ใช้มากขึ้น โดยเฉพาะสำหรับผู้ดูแลระบบที่อาจไม่ชำนาญในคำสั่ง iptables ที่ซับซ้อน สำหรับ Ubuntu Server แล้ว UFW ถือเป็นเครื่องมือมาตรฐานที่ถูกติดตั้งมาให้ตั้งแต่รุ่น 8.04 LTS เป็นต้นมา และเป็นด่านแรกที่สำคัญในการรักษาความปลอดภัยให้กับเซิร์ฟเวอร์

ความสำคัญของ UFW อยู่ที่การสร้างเลเยอร์ของการป้องกันให้กับระบบ ปกติแล้วเซิร์ฟเวอร์ Ubuntu ที่ติดตั้งใหม่จะมีการเปิดพอร์ตบริการต่างๆ ไว้ ซึ่งอาจรวมถึงพอร์ต SSH (พอร์ต 22) สำหรับการจัดการระยะไกล การเปิดพอร์ตเหล่านี้โดยปราศจากกฎไฟร์วอลล์ที่เหมาะสมถือเป็นการเปิดช่องโหว่ให้ผู้ไม่ประสงค์ดีสามารถสแกนและโจมตีระบบได้ UFW ทำหน้าที่เป็นผู้ควบคุมการเข้าถึงนี้ โดยบล็อกการเชื่อมต่อขาเข้าทั้งหมดโดยค่าเริ่มต้น และอนุญาตเฉพาะการเชื่อมต่อที่เรากำหนดไว้อย่างชัดเจนเท่านั้น

การทำงานของ UFW ไม่ได้จำกัดอยู่เพียงการบล็อกพอร์ตเท่านั้น แต่ยังสามารถจัดการกับการฟิลเตอร์แพ็กเก็ตที่ซับซ้อนมากขึ้นได้ เช่น การจำกัดอัตราการเชื่อมต่อ (rate limiting) เพื่อป้องกันการโจมตีแบบ brute-force บนพอร์ต SSH หรือการอนุญาตการเข้าถึงจากเฉพาะเครือข่ายหรือ IP Address ที่ระบุเท่านั้น ความสามารถเหล่านี้ทำให้ UFW เป็นเครื่องมือที่ทรงพลังแต่ใช้งานง่ายสำหรับการจัดการความปลอดภัยขั้นพื้นฐาน

นอกจากนี้ UFW ยังถูกออกแบบมาเพื่อทำงานร่วมกับโปรไฟล์แอปพลิเคชัน (application profiles) ที่กำหนดไว้ล่วงหน้า ซึ่งทำให้การอนุญาตบริการทั่วไป เช่น Apache, Nginx, หรือ OpenSSH ทำได้ง่ายเพียงพิมพ์ชื่อโปรไฟล์ นี่คือความ "Uncomplicated" ที่แท้จริง ซึ่งลดความเสี่ยงจากความผิดพลาดในการกำหนดกฎด้วยมือของผู้ดูแลระบบ

การติดตั้งและเริ่มต้นใช้งาน UFW บน Ubuntu

โดยทั่วไปแล้ว UFW มักถูกติดตั้งมาพร้อมกับ Ubuntu อยู่แล้ว แต่หากระบบของคุณไม่มี คุณสามารถติดตั้งได้ง่ายๆ ด้วยคำสั่ง apt ดังต่อไปนี้ การอัปเดต package index ก่อนการติดตั้งเป็นสิ่งที่ดีเสมอ

sudo apt update
sudo apt install ufw

หลังการติดตั้ง UFW จะถูกติดตั้งแต่ยังไม่ถูกเปิดใช้งาน สถานะเริ่มต้นของมันคือ non-active ซึ่งหมายความว่ากฎต่างๆ ของมันยังไม่มีผลบังคับใช้กับระบบ คุณสามารถตรวจสอบสถานะของ UFW ได้ตลอดเวลาด้วยคำสั่ง sudo ufw status ซึ่งในขั้นตอนนี้ควรจะแสดงสถานะเป็น 'inactive' ก่อนที่คุณจะเปิดใช้งาน จำเป็นต้องกำหนดนโยบายพื้นฐาน (default policy) ก่อนเสมอ

นโยบายพื้นฐานกำหนดพฤติกรรมเริ่มต้นสำหรับการเชื่อมต่อขาเข้า (incoming) และขาออก (outgoing) แนะนำอย่างยิ่งให้ตั้งนโยบายขาเข้าเป็น 'deny' และขาออกเป็น 'allow' ซึ่งหมายความว่าการเชื่อมต่อจากภายนอกเข้ามาทั้งหมดจะถูกปฏิเสธ ยกเว้นที่เราอนุญาตเป็นกรณีๆ ไป ส่วนการเชื่อมต่อขาออกจากเซิร์ฟเวอร์ของเราไปยังภายนอกจะได้รับอนุญาตทั้งหมด ตั้งนโยบายด้วยคำสั่งต่อไปนี้

sudo ufw default deny incoming
sudo ufw default allow outgoing

หลังจากตั้งนโยบายพื้นฐานแล้ว คุณก็พร้อมที่จะเปิดใช้งาน UFW แล้ว ใช้คำสั่ง sudo ufw enable ระบบจะเตือนคุณว่าการเปิดใช้งานอาจขัดขวางการเชื่อมต่อ SSH ที่มีอยู่ หากคุณกำหนดกฎสำหรับ SSH ไว้ไม่ถูกต้อง ให้ตอบ 'y' เพื่อดำเนินการต่อ หลังเปิดใช้งาน UFW จะเริ่มทำงานทันทีและจะถูกเปิดใช้งานอัตโนมัติทุกครั้งที่บูตระบบใหม่

การกำหนดกฎพื้นฐาน: อนุญาตและปฏิเสธบริการ

หัวใจหลักของการทำงานกับ UFW คือการเขียนกฎเพื่ออนุญาต (allow) หรือปฏิเสธ (deny) การรับส่งข้อมูลผ่านพอร์ตต่างๆ กฎพื้นฐานที่สุดคือการอนุญาตการเชื่อมต่อผ่าน SSH เพื่อที่คุณจะไม่ถูกตัดการเชื่อมต่อจากเซิร์ฟเวอร์ทันทีหลังจากเปิดใช้งานไฟร์วอลล์ อนุญาต SSH ด้วยคำสั่งง่ายๆ

sudo ufw allow ssh

คำสั่งนี้จะแปลไปเป็นกฎที่อนุญาตการเชื่อมต่อ TCP เข้ามาที่พอร์ต 22 เนื่องจากโปรไฟล์แอปพลิเคชัน 'ssh' ถูกกำหนดไว้ล่วงหน้าในไฟล์ /etc/ufw/applications.d/ คุณสามารถใช้ชื่อบริการหรือหมายเลขพอร์ตโดยตรงก็ได้ เช่น sudo ufw allow 22/tcp หรือหากคุณต้องการเปลี่ยนพอร์ต SSH เป็นพอร์ตอื่น เช่น 2222 คุณก็สามารถระบุได้เฉพาะเจาะจง sudo ufw allow 2222/tcp

สำหรับบริการเว็บเช่น HTTP และ HTTPS คุณสามารถอนุญาตได้ด้วยการใช้ชื่อโปรไฟล์ซึ่งสั้นและเข้าใจง่าย

sudo ufw allow http
sudo ufw allow https

คำสั่งเหล่านี้จะอนุญาตการเข้าถึงพอร์ต 80 (TCP) และพอร์ต 443 (TCP) ตามลำดับ ในกรณีที่คุณต้องการปฏิเสธการเข้าถึงจากที่ใดที่หนึ่งโดยเฉพาะ คุณสามารถใช้กฎ 'deny' ได้ ตัวอย่างเช่น หากคุณพบเห็นการโจมตีจาก IP Address 192.168.1.100 และต้องการบล็อกมันทั้งหมด คุณสามารถใช้คำสั่ง

sudo ufw deny from 192.168.1.100

นอกจากนี้ คุณยังสามารถระบุพอร์ตและโปรโตคอลให้เฉพาะเจาะจงลงไปได้อีกด้วย ตัวอย่างเช่น การอนุญาตเฉพาะ UDP สำหรับพอร์ต 53 (DNS) จาก IP ใด IP หนึ่ง sudo ufw allow from 192.168.1.50 to any port 53 proto udp

การใช้งาน Rate Limiting สำหรับป้องกันการโจมตี Brute-Force

หนึ่งในฟีเจอร์ที่มีประโยชน์มากของ UFW คือความสามารถในการจำกัดอัตราการเชื่อมต่อ (rate limiting) ซึ่งมีประโยชน์อย่างยิ่งสำหรับการป้องกันการโจมตีแบบ brute-force บนพอร์ตบริการต่างๆ โดยเฉพาะพอร์ต SSH ผู้โจมตีมักใช้เครื่องมืออัตโนมัติเพื่อพยายามเดาชื่อผู้ใช้และรหัสผ่านด้วยการลองผิดลองถูกจำนวนมหาศาลในเวลาสั้นๆ

Rate limiting จะจำกัดจำนวนการเชื่อมต่อที่พยายามเกิดขึ้นจากโฮสต์ต้นทางเดียวภายในช่วงเวลาหนึ่ง โดยปกติจะอนุญาตการเชื่อมต่อได้ 6 ครั้งภายใน 30 วินาที หลังจากนั้นการเชื่อมต่อใหม่จากโฮสต์นั้นจะถูกปฏิเสธจนกว่าช่วงเวลาจะผ่านพ้นไป ซึ่งช่วยชะลอหรือหยุดเครื่องมืออัตโนมัติที่พยายามเชื่อมต่อหลายพันครั้งต่อวินาทีได้อย่างมีประสิทธิภาพ เปิดใช้งาน rate limiting บนพอร์ต SSH ด้วยคำสั่ง

sudo ufw limit ssh

คำสั่งนี้จะสร้างกฎสองกฎใน iptables: กฎหนึ่งสำหรับอนุญาตการเชื่อมต่อแต่พร้อมกับตัวนับ (limit) และอีกรกฎหนึ่งสำหรับปฏิเสธการเชื่อมต่อหลังจากเกินโควต้าแล้ว สิ่งสำคัญคือต้องเข้าใจว่า rate limiting ควรใช้กับบริการที่จำเป็นต้องเปิดสู่สาธารณะแต่มีความเสี่ยงต่อการโจมตีแบบ brute-force เท่านั้น

คุณสามารถใช้ rate limiting กับพอร์ตอื่นๆ ได้ด้วย โดยใช้รูปแบบคำสั่งเดียวกัน ตัวอย่างเช่น หากคุณมีบริการที่ทำงานบนพอร์ต 8080 และต้องการป้องกัน sudo ufw limit 8080/tcp อย่างไรก็ดี ฟีเจอร์นี้ไม่เหมาะสำหรับบริการที่คาดหวังการเชื่อมต่อจำนวนมากจากไคลเอ็นต์รายเดียวในเวลาปกติ เช่น การสตรีมมีเดีย หรือบริการ CDN อาจส่งผลให้ผู้ใช้ถูกบล็อกโดยไม่ได้ตั้งใจ

การตรวจสอบว่ากฎ limit ทำงานถูกต้องสามารถทำได้โดยดูจากผลลัพธ์คำสั่ง sudo ufw status ซึ่งจะแสดงรายการกฎพร้อมกับคำว่า 'LIMIT' ในคอลัมน์ action สำหรับพอร์ตนั้นๆ

การจัดการกฎขั้นสูงและโปรไฟล์แอปพลิเคชัน

นอกเหนือจากกฎพื้นฐานแล้ว UFW ยังสนับสนุนการสร้างและจัดการกฎที่ซับซ้อนมากขึ้นเพื่อตอบโจทย์สถานการณ์เฉพาะ ตัวอย่างหนึ่งที่พบบ่อยคือการอนุญาตการเข้าถึงจากเฉพาะเครือข่ายภายในเท่านั้น สมมติว่าคุณมีเครือข่ายภายในที่ 192.168.1.0/24 และต้องการอนุญาตการเข้าถึงพอร์ต SSH เฉพาะจากเครือข่ายนี้เท่านั้น คุณสามารถใช้คำสั่ง

sudo ufw allow from 192.168.1.0/24 to any port 22

คุณยังสามารถระบุอินเทอร์เฟซเครือข่ายได้ด้วย ตัวอย่างเช่น หากคุณมีอินเทอร์เฟซภายในชื่อ 'eth1' และต้องการอนุญาตการเข้าถึงทั้งหมดจากอินเทอร์เฟซนี้ sudo ufw allow in on eth1 นี่มีประโยชน์สำหรับเซิร์ฟเวอร์ที่มีหลายเครือข่าย เช่น เครือขายภายในและเครือข่าย DMZ

UFW เก็บโปรไฟล์แอปพลิเคชันไว้ในไดเรกทอรี /etc/ufw/applications.d/ โปรไฟล์เหล่านี้คือไฟล์ INI ที่อธิบายพอร์ตและโปรโตคอลที่บริการนั้นๆ ใช้ คุณสามารถดูรายการโปรไฟล์ที่มีอยู่ได้ด้วยคำสั่ง sudo ufw app list หากคุณติดตั้งบริการใหม่ เช่น Nginx มันมักจะเพิ่มโปรไฟล์ของตัวเองลงไป ทำให้คุณสามารถอนุญาตบริการด้วยคำสั่งง่ายๆ อย่าง sudo ufw allow 'Nginx Full'

หากคุณต้องการสร้างโปรไฟล์แอปพลิเคชันของคุณเองสำหรับบริการที่กำหนดเอง คุณสามารถสร้างไฟล์ขึ้นมาในไดเรกทอรีดังกล่าวได้ ตัวอย่างไฟล์โปรไฟล์สำหรับแอปพลิเคชันชื่อ 'myapp' ที่ใช้พอร์ต TCP 9000

[MyApplication]
title=My Custom Application
description=This is my custom application running on port 9000
ports=9000/tcp

หลังจากบันทึกไฟล์แล้ว ให้รีเฟรชรายการโปรไฟล์ด้วย sudo ufw app update MyApplication จากนั้นคุณก็สามารถใช้คำสั่ง sudo ufw allow 'MyApplication' ได้เลย

การตรวจสอบ การลบ และการรีเซ็ตกฎ UFW

การจัดการกฎไฟร์วอลล์อย่างมีประสิทธิภาพไม่เพียงแต่การเพิ่มกฎใหม่ แต่รวมถึงการตรวจสอบ ลบ หรือรีเซ็ตกฎที่มีอยู่เสมอ คุณสามารถดูสถานะและรายการกฎทั้งหมดของ UFW ได้ด้วยคำสั่งมาตรฐาน sudo ufw status ซึ่งจะแสดงรายการกฎทั้งหมดที่มีผลบังคับใช้ในรูปแบบที่อ่านง่ายแบบ numbered

sudo ufw status numbered

ผลลัพธ์จะแสดงแต่ละกฎพร้อมกับหมายเลขเรียงลำดับ ฟีเจอร์นี้สำคัญมากเมื่อคุณต้องการลบกฎใดกฎหนึ่งออกไป เนื่องจากคุณสามารถอ้างอิงกฎด้วยหมายเลขนั้นได้โดยตรง ตัวอย่างเช่น หากคุณต้องการลบกฎหมายเลข 3 ออก คุณสามารถใช้คำสั่ง

sudo ufw delete 3

อีกวิธีหนึ่งคือการลบโดยการระบุกฎนั้นๆ อีกครั้ง แต่เปลี่ยนจาก 'allow' เป็น 'delete' เช่น หากคุณเคยเพิ่มกฎ sudo ufw allow 8000/tcp และต้องการลบมันออก คุณสามารถรัน sudo ufw delete allow 8000/tcp UFW จะลบกฎที่ตรงกันออกไป

ในกรณีที่คุณต้องการเริ่มต้นใหม่ทั้งหมด กำจัดกฎทั้งหมดที่กำหนดเองและกลับไปใช้นโยบายเริ่มต้น UFW มีคำสั่งสำหรับรีเซ็ต

sudo ufw reset

คำสั่งนี้จะปิดใช้งาน UFW ลบกฎทั้งหมดที่เคยเพิ่มเข้ามา (ทั้งที่เปิดใช้งานและไม่เปิดใช้งาน) และตั้งนโยบายพื้นฐานกลับไปเป็น allow ทั้งขาเข้าและขาออก หลังจากรีเซ็ตแล้ว คุณต้องเปิดใช้งาน UFW ใหม่อีกครั้งด้วย sudo ufw enable คำสัณนี้มีประโยชน์เมื่อคุณทำการทดลองกับกฎหลายๆ ครั้งและต้องการเริ่มต้นจากศูนย์ใหม่

ควรตรวจสอบกฎของคุณอยู่เสมอหลังการเพิ่ม ลบ หรือแก้ไข เพื่อให้แน่ใจว่ากฎมีผลลัพธ์ตามที่คุณต้องการจริงๆ และไม่บล็อกการเข้าถึงที่สำคัญหรือเปิดช่องโหว่ให้กับระบบ

กรณีศึกษา: การใช้ UFW เพื่อปกป้องเว็บเซิร์ฟเวอร์

สมมติสถานการณ์ที่คุณมีเซิร์ฟเวอร์ Ubuntu ที่ทำหน้าที่เป็นเว็บเซิร์ฟเวอร์ เรียกใช้งาน WordPress บน Apache และมีการใช้ฐานข้อมูล MySQL บนเครื่องเดียวกัน เซิร์ฟเวอร์นี้ต้องเปิดให้บริการแก่สาธารณชนผ่านพอร์ต HTTP และ HTTPS แต่ต้องป้องกันการเข้าถึงจากที่อื่นๆ ให้น้อยที่สุดและลดพื้นการโจมตีให้น้อยที่สุด

ขั้นตอนแรกคือการตั้งนโยบายพื้นฐานให้ปฏิเสธการเชื่อมต่อขาเข้าทั้งหมด และอนุญาตการเชื่อมต่อขาออกทั้งหมด ตามที่ได้แนะนำไปก่อนหน้านี้ ต่อมา อนุญาตพอร์ต SSH พร้อมเปิดใช้งาน rate limiting เพื่อป้องกันการโจมตี brute-force sudo ufw limit ssh ถ้าคุณจัดการเซิร์ฟเวอร์จากที่ทำงานซึ่งมี IP สาธารณะคงที่ คุณควรจำกัดการเข้าถึง SSH เฉพาะจาก IP นั้นๆ เท่านั้นเพื่อเพิ่มความปลอดภัยให้มากยิ่งขึ้น sudo ufw allow from 203.0.113.10 to any port 22

ขั้นต่อไปคือการอนุญาตการเข้าถึงเว็บเซิร์ฟเวอร์ อนุญาตทั้ง HTTP และ HTTPS ด้วยโปรไฟล์แอปพลิเคชัน sudo ufw allow 'Apache Full' โปรไฟล์ 'Apache Full' นี้จะรวมพอร์ต 80 และ 443 ไว้ด้วยกัน สำหรับฐานข้อมูล MySQL ซึ่งโดยปกติควรจะฟังการเชื่อมต่อที่ localhost (127.0.0.1) เท่านั้น และไม่ควรเปิดสู่ภายนอก หากมีเหตุผลจำเป็นต้องให้บริการฐานข้อมูลแก่เซิร์ฟเวอร์อื่น คุณควรอนุญาตเฉพาะจากเครือข่ายหรือ IP นั้นๆ เท่านั้น เช่น อนุญาตจากเครือข่ายภายใน sudo ufw allow from 192.168.1.0/24 to any port 3306

สุดท้าย คุณอาจต้องการบล็อกการเข้าถึงพอร์ตอื่นๆ ที่อาจถูกสแกนและใช้เป็นจุดเริ่มต้นของการโจมตี เช่น พอร์ต FTP, Telnet, หรือพอร์ตอื่นๆ ที่ไม่ได้ใช้ หลังจากกำหนดกฎทั้งหมดแล้ว ตรวจสอบด้วย sudo ufw status numbered เพื่อให้แน่ใจว่ากฎถูกต้องก่อนเปิดใช้งาน การกำหนดค่าเช่นนี้จะสร้างเลเยอร์การป้องกันที่แข็งแกร่งให้กับเว็บเซิร์ฟเวอร์ของคุณ โดยปิดช่องโหว่ที่ไม่จำเป็นและอนุญาตเฉพาะการรับส่งข้อมูลที่ถูกต้องเท่านั้น

ข้อดี ข้อเสีย และข้อควรระวังที่สำคัญ

UFW นำเสนอข้อได้เปรียบหลายประการสำหรับผู้ดูแลระบบ ข้อดีที่ใหญ่ที่สุดคือความเรียบง่าย มันลดความซับซ้อนของ iptables ลงเป็นชุดคำสั่งที่เข้าใจง่ายและใช้งานได้ทันที ทำให้ผู้ใช้ระดับกลางสามารถตั้งค่าไฟร์วอลล์ที่แข็งแกร่งได้โดยไม่ต้องศึกษารายละเอียดลึกๆ ของ netfilter/iptables มันมีการผสานรวมที่ดีกับระบบ Ubuntu โดยมีสคริปต์การบูตและโปรไฟล์แอปพลิเคชันที่ทำงานร่วมกับแพ็กเกจต่างๆ ได้อย่างสมบูรณ์

ฟีเจอร์ rate limiting ในตัวเป็นเครื่องมือที่มีประสิทธิภาพสูงสำหรับการป้องกันการโจมตีแบบ brute-force โดยไม่ต้องติดตั้งซอฟต์แวร์เพิ่มเติมเช่น fail2ban นอกจากนี้ มันยังมีเอกสารประกอบที่ดีและชุมชนผู้ใช้ขนาดใหญ่ที่สามารถให้คำแนะนำและช่วยแก้ปัญหาได้

อย่างไรก็ตาม UFW ก็มีข้อจำกัดของมัน สำหรับสภาพแวดล้อม enterprise ที่ต้องการควบคุมนโยบายไฟร์วอลล์ที่ซับซ้อนและละเอียดมากกว่า UFW อาจไม่ใช่เครื่องมือที่เหมาะสม มันขาดฟีเจอร์ขั้นสูงบางอย่างที่พบในไฟร์วอลล์แบบเต็มรูปแบบ เช่น การตรวจสอบแพ็กเก็ตแบบ stateful ที่ลึกกว่านี้ การทำ VPN การรายงานและติดตามแบบเรียลไทม์ที่ซับซ้อน

ข้อควรระวังที่สำคัญที่สุดเมื่อใช้ UFW คือความเสี่ยงที่จะล็อกตัวเองออกจากเซิร์ฟเวอร์ การเปิดใช้งาน UFW โดยปราศจากการอนุญาตพอร์ต SSH ก่อนจะทำให้คุณตัดการเชื่อมต่อทันที หากคุณจัดการเซิร์ฟเวอร์ระยะไกลและเกิดผิดพลาดนี้ คุณอาจต้องใช้วิธีอื่นในการเข้าถึงเช่น console ผ่านผู้ให้บริการคลาวด์เพื่อแก้ไขปัญหา อีกข้อควรระวังคือการไม่ตรวจสอบกฎอย่างสม่ำเสมอ กฎที่เพิ่มขึ้นเรื่อยๆ อาจทำให้การจัดการยุ่งยากและนำไปสู่ช่องโหว่ได้ หากกฎเก่าไม่ได้ถูกนำออกเมื่อปิดบริการแล้ว

สุดท้าย จำไว้ว่า UFW เป็นเพียงเลเยอร์หนึ่งในกลยุทธ์การป้องกันแบบหลายชั้น ถึงแม้คุณจะมีไฟร์วอลล์ที่配置得很好แล้ว คุณก็ยังต้องอัปเดตระบบสม่ำเสมอ ใช้รหัสผ่านที่แข็งแกร่ง 和管理บริการอื่นๆ อย่างระมัดระวัง UFW ไม่ได้เปลี่ยนความจำเป็นในการปฏิบัติตามหลักการรักษาความปลอดภัยอื่นๆ

วิดีโอที่เกี่ยวข้อง

คำถามที่พบบ่อย (FAQ)