Многие дистрибутивы Linux имеют встроенные в ядро брандмауэры по умолчанию, и их можно настроить для обеспечения отличной защиты от сетевых вторжений. Например, Firewalld является программным брандмауэром по умолчанию для дистрибутивов Fedora, Red Hat, CentOS, в то время как Debian и Ubuntu поставляются с несложным брандмауэром.
Существует множество программных брандмауэров с открытым исходным кодом на выбор в зависимости от вашего уровня знаний, размера защищаемой инфраструктуры, удобства использования или даже наличия графического инструмента для брандмауэра. В этой статье инструменты брандмауэра Linux будут выделены в произвольном порядке. Лучший брандмауэр будет варьироваться от одного пользователя к другому, в зависимости от ваших требований. Создание отказоустойчивой и безопасной сети для предотвращения утечки данных требует исчерпывающего набора инструментов и конфигураций.
Почему брандмауэр?
Правильно настроенный брандмауэр - это первая линия защиты вашего компьютера или сети от вторжений в сеть, которая может предотвратить потерю и утечку данных. Брандмауэр - это набор правил, регулирующих перемещение пакетов данных в защищенную сеть и из нее. Возможно, вы захотите подробно узнать, что такое брандмауэр Linux, как он работает и что он делает для вас, в нашей подробной статье о брандмауэре Linux.
Инструменты межсетевого экрана с открытым исходным кодом для ваших систем Linux
nftables и iptables
nftables является преемником iptables и является частью проекта ядра Netfilter Linux, обеспечивая брандмауэр, трансляцию сетевых адресов и портов, а также фильтрацию пакетов.
iptables
Iptables - это распространенное имя в домене межсетевого экрана. Это программное обеспечение для межсетевого экрана, которое позволяет вам определять наборы правил. Он имеет терминальную реализацию, и опытные администраторы серверов Linux используют его, потому что он эффективен и настраивается. Тем не менее, это может быть сложно настроить для начинающих системных администраторов. Задачи фильтрации пакетов данных выполняются из ядра системы. Возможности и атрибуты межсетевого экрана iptables следующие:
- Он имеет наборы правил фильтрации пакетов, которые поддерживают список содержимого.
- Реализует подход к проверке заголовка пакета, что делает межсетевой экран очень быстрым.
- Редактируемые наборы правил фильтрации пакетов позволяют пользователю добавлять, редактировать или удалять правила конфигурации брандмауэра.
- Вы можете использовать его для резервного копирования и восстановления файлов данных, связанных с функциональностью брандмауэра.
столы
nftables является преемником iptables и обеспечивает большую гибкость, масштабируемость и классификацию пакетов производительности. nftables - это замена iptables с 2014 года, доступная для системного администратора через инструмент командной строки nft. Однако iptables никуда не денется, так как он все еще широко используется в сетях, защищенных iptables. Nftables добавила новую функциональность и гибкость в пакет Netfilter. Его основные особенности включают в себя:
- Он предлагает виртуальную машину для конкретной сети через нфт инструмент командной строки.
- Системные администраторы могут добиться высокой производительности с помощью карт и конкатенаций.
- Он имеет меньшую кодовую базу ядра, что может позволить пакету предоставлять новые функции за счет обновления инструмента командной строки пользовательского пространства без необходимости обновления ядра.
- Он имеет унифицированный и согласованный синтаксис для каждого семейства протоколов поддержки.
Брандмауэр и несложный брандмауэр
Firewalld и Uncomplicated firewall (UFC) - это удобные для пользователя реализации брандмауэра, представленные как интерпретаторы Netfilter более высокого уровня. Они предназначены для решения проблем сетевой безопасности, с которыми сталкиваются автономные компьютеры.
Firewalld
Firewalld является частью семейства systemd и является инструментом управления брандмауэром по умолчанию для RHEL, CentOS, Fedora, SUSE и OpenSUSE. Firewalld - это динамически управляемый межсетевой экран с поддержкой сетевых или межсетевых зон. Зоны позволяют пользователям легко определять уровни доверия сетевых интерфейсов и подключений. Он имеет поддержку настроек брандмауэра для IPv4, IPv6, мостов Ethernet и наборов IP. Его основные особенности и преимущества:
- Он имеет полный API D-Bus, который позволяет приложениям, службам и пользователям легко адаптировать настройки брандмауэра.
- Поддержка IPv4, IPv6, моста и ipset.
- Поддержка IPv4 и IPv6 NAT.
- Поддержка зон межсетевого экрана с предопределенными зонами и службами.
- Синхронизированные правила брандмауэра позволяют системным администраторам гибко разделять постоянные конфигурации и конфигурации времени выполнения, что позволяет проводить сетевые тесты и оценки сети в реальном времени.
- Вы можете настроить параметры с помощью команды терминала firewall-cmd и с помощью графического инструмента настройки.
Firewalld имеет широкую доступность, а также может быть установлен в другом дистрибутиве, таком как Debian и Ubuntu. После установки вы должны включить и активировать firewalld во время загрузки, чтобы он работал.
UFW - Несложный межсетевой экран
Серверы Ubuntu по умолчанию поставляются с несложным брандмауэром. Целью его разработки было разработать менее сложный и удобный межсетевой экран, чем iptables из пакета Netfilter. Брандмауэр также содержит графический интерфейс GUFW для пользователей Ubuntu и Debian. Мы можем резюмировать его особенности следующим образом:
- Поддерживает IPV6
- Мониторинг статуса
- Он расширяемый и может быть легко интегрирован с другими приложениями
- Вы можете добавлять, удалять или изменять правила брандмауэра по своему усмотрению
- Имеет функцию включения / выключения в качестве расширения возможностей ведения журнала
pfSense
Брандмауэр pfSense имеет собственное ядро на основе FreeBSD и описывает себя как самый надежный брандмауэр с открытым исходным кодом. Он получил высокую оценку за надежность и возможности коммерческого уровня. Он концептуализирует фильтрацию пакетов с отслеживанием состояния. Он доступен как аппаратное устройство, виртуальное устройство и загружаемый двоичный файл для версии сообщества. Премиум или коммерческая версия межсетевого экрана имеет высокую цену. Его основные особенности заключаются в следующем:
- Балансировка нагрузки для входящего и исходящего трафика
- Предоставляет информацию о сервере в режиме реального времени и обеспечивает формирование трафика
- Его конфигурация позволяет использовать его как конечную точку VPN и как точку беспроводного доступа
- Его можно развернуть как DHCP- и DNS-сервер, брандмауэр и как маршрутизатор
- Он имеет веб-интерфейс, с помощью которого его можно обновлять или гибко настраивать
- Он предлагает высокую доступность
- Вы можете использовать его более чем с одним подключением к Интернету.
IPFire
IPFire - это простой в использовании брандмауэр с открытым исходным кодом, который лучше всего работает в домашнем офисе или среде малого офиса. Это брандмауэр с отслеживанием состояния, созданный поверх Netfilter. Он очень гибкий и в его конструкции много модульных элементов. Его можно использовать как брандмауэр, VPN-шлюз или прокси-сервер. Он также квалифицируется как межсетевой экран SPI (Stateful Packet Inspection). Краткое описание его функций:
- Фильтрация контента
- Содействие множественному развертыванию может осуществляться в виде шлюза VPN, прокси-сервера или межсетевого экрана.
- Он имеет встроенную функцию IDS (система обнаружения вторжений) для обнаружения и предотвращения атак с первого дня.
- Его поддержка распространяется на чаты, форумы и вики.
- Предоставляет среду виртуализации за счет поддержки гипервизоров, таких как Xen, VMWare и KVM
- Он поддерживает конфигурацию безопасности с цветовой кодировкой, что делает его удобным для пользователя.
- Вы можете расширить его функциональные возможности с помощью удобных надстроек, таких как Guardian, которые могут реализовать автоматическое предотвращение.
OPNsense
OPNSense - это ответвление проектов с открытым исходным кодом pfSense и m0n0wall. Он работает на HardenedBSD, который является форком ориентированной на безопасность ОС FreeBSD. Его можно использовать как межсетевой экран и платформу маршрутизации. Он был принят по следующим причинам;
- Его можно использовать для фильтрации трафика, формирования трафика и отображения адаптивного портала.
- Он имеет функции безопасности и брандмауэра, такие как IPSec, Netflow, Proxy, VPN, веб-фильтр и т. Д.
- Он использует встроенную систему предотвращения вторжений с глубокой проверкой пакетов для обнаружения и предотвращения сетевых вторжений.
- Он предлагает еженедельные обновления безопасности.
- Он имеет веб-интерфейс, доступный на нескольких языках, таких как французский, китайский, русский и т. Д.
- Он совместим с 32-битной и 64-битной системной архитектурой.
Порядок байтов
Сообщество Endian Firewall представляет концепцию межсетевого экрана с отслеживанием состояния для защиты сети и проверки пакетов. Он может превратить аппаратное устройство без операционной системы в мощное решение безопасности, включающее шлюз VPN, брандмауэр, антивирус, прокси и фильтрацию контента. Его основные особенности заключаются в следующем:
- Поддержка VPN с IPSec
- Мониторинг и регистрация сети в реальном времени.
- Двунаправленный межсетевой экран
- Отчетность в реальном времени о сетевой активности и использовании ресурсов, таких как пропускная способность и т. Д.
- Обеспечивает безопасность почтовых серверов с помощью автоматического обучения спама, прокси SMTP, серых списков и прокси POP3.
- Обеспечивает безопасность веб-сервера с помощью черного списка URL-адресов, антивируса, HTTP и FTP-прокси.
Конфигурация безопасности сервера и брандмауэра (CSF)
Config Server Security & Firewall (CSF) - универсальное кроссплатформенное программное обеспечение. Он концептуализирует межсетевой экран с отслеживанием состояния, SPI (Stateful Packet Inspection), обнаружение входа в систему и решение для обеспечения безопасности систем Linux. Брандмауэр поддерживается многочисленными хостами, такими как RHEL / CentOS, CloudLinux, Fedora, Debian, Ubuntu, OpenSUSE, Slackware и виртуальными средами, такими как VMware, Virtuozzo, XEN, OpenVZ, Virtualbox и KVM. Его ключевые особенности включают в себя:
- Имеет простой скрипт брандмауэра SPI
- Поддержка IPv6 с помощью ip6tables
- Он имеет расширенную систему обнаружения вторжений и может предупреждать вас об изменениях в системе и двоичных файлах приложений.
- Может защитить Linux-сервер от атак ping of death и syn flood
- Легко управлять и настраивать
- Может работать с настроенной системой оповещения по электронной почте для отправки уведомлений о необычных сетевых действиях или обнаруженных вторжениях.
- Он имеет интеграцию пользовательского интерфейса для cPanel, DirectAdmin, CentOS Web Panel и т. Д.
Shorewall
Shorewall - это инструмент настройки межсетевого экрана и шлюза с открытым исходным кодом для среды GNU / Linux. Ядро Linux известно своей интеграцией с системой Netfilter. Именно из этой системы предоставляется основа для разработки или создания этого межсетевого экрана. Его особенности можно резюмировать следующим образом:
- Поддерживает VPN
- Поддерживает переадресацию и маскировку портов
- Поддерживает несколько интернет-провайдеров
- Панель управления Webmin является частью его графического интерфейса
- Централизованное администрирование межсетевого экрана
- Поддерживает многочисленные шлюзы, маршрутизаторы и брандмауэры.
- Он управляет фильтрацией пакетов с отслеживанием состояния с помощью средств отслеживания подключений, предоставляемых Netfilter.
Межсетевой экран NG
NG Firewall является частью платформы Untangle, которая предоставляет решения для защиты вашей сети. Платформа Untangle работает как магазин приложений, позволяя включать или отключать определенные модули в зависимости от ваших требований. Бесплатная версия Untangle поставляется с брандмауэром NG и может быть установлена на сервере, виртуальной машине и в облаке. Вы можете обновить Untangle до платной версии, чтобы разблокировать больше функций. Untangle также предоставляет программное обеспечение в виде отдельного аппаратного пакета, который поставляется с предустановленным программным пакетом.
Резюме
Брандмауэр обеспечивает безопасность, работоспособность и организованность вашей сети за счет защиты от вторжений и протоколов аутентификации и авторизации, которые он устанавливает. Прежде чем выбрать программное обеспечение брандмауэра для использования, вы должны рассмотреть размер сетевой инфраструктуры, требуемые уровни безопасности и количество сетевых устройств, которыми вы хотите управлять. Инструмент межсетевого экрана должен активно поддерживаться регулярными исправлениями безопасности и хорошо работать для обычного пользователя. Обычные пользователи могут предпочесть систему с веб-интерфейсом или графическим интерфейсом, в то время как опытный пользователь Linux может с комфортом работать с инструментами межсетевого экрана через командную строку.