Много дистрибуции на Linux имат защитни стени по подразбиране, вградени в ядрото и могат да бъдат конфигурирани да предлагат отлична защита срещу проникване в мрежата. Например Firewalld е софтуерът по подразбиране за защитна стена за дистрибуции Fedora, Red Hat, CentOS, докато Debian и Ubuntu се доставят с неусложнената защитна стена.
Има много софтуер за защитна стена с отворен код, от който можете да избирате в зависимост от вашето ниво на опит, размера на защитената инфраструктура, удобството за използване или дори дали има графичен инструмент за защитната стена. Тази статия ще подчертае инструментите на защитната стена на Linux без определен ред. Най-добрата защитна стена ще варира при различните потребители в зависимост от вашите изисквания. Създаването на устойчива и сигурна мрежа за предотвратяване на пробиви в данни изисква изчерпателен набор от инструменти и конфигурации.
Защо Firewall?
Добре конфигурираната защитна стена е първата линия на защита на вашия компютър или мрежа срещу проникване в мрежата и може да предотврати загуба на данни и пробиви. Защитната стена е набор от правила, които регулират движението на пакетите данни в и извън защитена мрежа. Може да искате да знаете подробно какво е защитна стена на Linux, как работи и какво прави за вас в нашата подробна статия за защитната стена на Linux.
Инструменти за защитна стена с отворен код за вашите Linux системи
nftables & iptables
nftables е наследник на iptables и е част от проекта на ядрото Netfilter Linux, позволяващ защитна стена, мрежов адрес и превод на портове и филтриране на пакети.
iptables
Iptables е често срещано име в домейна на защитната стена. Това е софтуер за защитна стена, който ви позволява да дефинирате набори от правила. Той има базирана на терминали реализация и опитни администратори на Linux сървъри го използват, защото е ефективен и персонализиран. И все пак може да бъде сложно да се конфигурира за начинаещи системни администратори. Задачите за филтриране на пакети данни се извършват от системното ядро. Характеристиките и атрибутите на защитната стена iptables са както следва:
- Той има набор от правила за филтриране на пакети, които поддържат списък със съдържание.
- Прилага подход за проверка на заглавката на пакета, което прави защитната стена удобно бърза.
- Редактируемите правила за филтриране на пакети позволяват на потребителя да добавя, редактира или премахва правило за конфигуриране на защитна стена.
- Можете да го използвате за архивиране и възстановяване на файлове с данни, свързани с функционалността на защитната стена.
nftables
nftables е наследник на iptables и позволява повече гъвкавост, мащабируемост и класификация на пакетите за изпълнение. nftables е замяната на iptables от 2014 г. и е достъпна за системния администратор чрез инструмента за команден ред nft. Въпреки това iptables не отиват никъде скоро, тъй като все още се използват широко в защитени от iptables мрежи. Nftables добави нова функционалност и гъвкавост към пакета Netfilter. Основните му характеристики включват:
- Той предлага виртуална машина, специфична за мрежата чрез nft инструмент за команден ред.
- Системните администратори могат да постигнат висока производителност чрез карти и конкатенации.
- Той има по-малка кодова база на ядрото с потенциал да позволи на пакета да доставя нови функции чрез надграждане на инструмента за команден ред на потребителското пространство, без да е необходимо да надгражда ядрото.
- Той има унифициран и последователен синтаксис за всяко семейство протоколи за поддръжка.
Защитна стена и неусложнена защитна стена
Защитната стена и Некомплицираната защитна стена (UFC) са удобни за потребителя реализации на защитната стена, въведени като интерпретатори на по-високо ниво на Netfilter. Те са предназначени за решаване на проблеми с мрежовата сигурност, пред които са изправени самостоятелните компютри.
Firewalld
Firewalld е част от семейството на systemd и е инструментът за управление на защитната стена по подразбиране за RHEL, CentOS, Fedora, SUSE и OpenSUSE. Firewalld е динамично управлявана защитна стена с поддръжка на мрежи или зони на защитната стена. Зоните улесняват потребителите при определянето на нивата на доверие на мрежовите интерфейси и връзки. Той има поддръжка на настройките на защитната стена за IPv4, IPv6, Ethernet мостове и IP набори. Основните му характеристики и предимства включват:
- Той има пълен API на D-Bus, който улеснява приложенията, услугите и потребителите да адаптират настройките на защитната стена.
- Поддръжка на IPv4, IPv6, мост и ipset.
- Поддръжка на IPv4 и IPv6 NAT.
- Поддръжка за зони на защитната стена, която разполага с предварително дефинирани зони и услуги.
- Временните правила на защитната стена предлагат система, която администрира гъвкавостта да разделя постоянни конфигурации и конфигурации по време на изпълнение, което прави възможно извършването на мрежови тестове и мрежови оценки в реално време.
- Можете да конфигурирате настройките с помощта на терминалната команда firewall-cmd и чрез графичен инструмент за конфигуриране.
Firewalld има широка наличност и може да бъде инсталиран и в друга дистрибуция като Debian и Ubuntu. След инсталацията трябва да активирате и активирате защитната стена по време на зареждане, за да бъде ефективна.
UFW - Несложна защитна стена
Сървърите на Ubuntu се доставят с опростената защитна стена по подразбиране. Целта му е да разработи по-малко сложна и лесна за употреба защитна стена от iptables от пакета Netfilter. Защитната стена също така пакетира GUI, наречен GUFW за потребители на Ubuntu и Debian. Можем да обобщим неговите характеристики, както следва:
- Поддържа IPV6
- Мониторинг на състоянието
- Той е разширяем и може лесно да се интегрира с други приложения
- Можете да добавяте, премахвате или променяте правилата на защитната стена според вашите предпочитания
- Има функция за включване / изключване като разширение на опциите за регистриране
pfSense
pfSense защитната стена има персонализирано ядро, базирано на FreeBSD, и се описва като най-доверената защитна стена с отворен код. Той е похвален за своята надеждност и характеристики на търговско ниво. Той концептуализира филтрирането на Stateful Packet. Предлага се като хардуерно устройство, виртуален уред и двоичен файл за изтегляне за изданието на общността. Премиум или търговската версия на защитната стена се предлага с висока цена. Основните му характеристики са, както следва:
- Балансиране на товара за входящ и изходящ трафик
- Предоставя информация за сървъра в реално време и обслужва формирането на трафика
- Конфигурацията му може да го накара да функционира като VPN крайна точка и като безжична точка за достъп
- Той може да се използва като DHCP и DNS сървър, защитна стена и като рутер
- Той има уеб-базиран интерфейс, от който може да бъде надграден или гъвкаво конфигуриран
- Предлага висока наличност
- Можете да го използвате на повече от една интернет връзка.
IPFire
IPFire е лесна за използване защитна стена с отворен код, която работи най-добре в настройка или среда на Home Office за малък офис. Това е защитна стена, изградена върху Netfilter. Той е изключително гъвкав и с много модулни съображения в дизайна си. Може да се използва като защитна стена, VPN шлюз или прокси сървър. Също така се квалифицира като защитна стена SPI (Stateful Packet Inspection). Резюме на неговите характеристики са както следва:
- Филтриране на съдържание
- Улеснението за многократно внедряване може да бъде като VPN шлюз, прокси сървър или защитна стена.
- Той разполага с вградена функционалност IDS (система за откриване на проникване) за откриване и предотвратяване на атаки от първия ден.
- Поддръжката му се разпростира върху чатове, форуми и Wiki.
- Осигурява среда за виртуализация чрез своята поддръжка за хипервизори като Xen, VMWare и KVM
- Той поддържа цветно кодирана конфигурация на защитата, което го прави лесен за ползване.
- Можете да увеличите неговите функционалности чрез удобни добавки като Guardian, които могат да внедрят автоматична превенция.
OPNsense
OPNSense е разклонение на проектите с отворен код pfSense и m0n0wall. Той се захранва от HardenedBSD, който е разклонение на ориентираната към сигурността OS FreeBSD. Може да се използва като защитна стена и платформа за маршрутизация. Той е приет поради следното;
- Може да се използва за филтриране на трафик, оформяне на трафик и показване на затворен портал.
- Той има функции за сигурност и защитна стена като IPSec, Netflow, Proxy, VPN, уеб филтър и др.
- Той използва вградена система за предотвратяване на проникване с дълбока проверка на пакети за откриване и предотвратяване на проникване в мрежата.
- Той предлага седмични актуализации на сигурността.
- Той разполага с уеб-базиран интерфейс, достъпен на множество езици като френски, китайски, руски и др.
- Той е съвместим с 32-битова и 64-битова системна архитектура.
Ендиан
Общността на защитната стена Endian концептуализира защитна стена за защита за защита на мрежата и проверка на пакети. Той може да трансформира хардуер от гол метал в мощно решение за сигурност, включващо шлюз VPN, защитна стена, антивирусна програма, прокси и филтриране на съдържание. Основните му характеристики са, както следва:
- VPN поддръжка с IPSec
- Мониторинг и регистриране в мрежата в реално време.
- Двупосочна защитна стена
- Отчитане в реално време на мрежови дейности и използване на ресурси като честотна лента и др.
- Осигурява защита на пощенските сървъри чрез спам автоматично обучение, SMTP прокси сървъри, списъци със списъци и POP3 прокси сървъри.
- Осигурява защита на уеб сървъра чрез черния списък на URL адреси, антивирусни, HTTP и FTP прокси сървъри.
Конфигуриране на защитата и защитната стена на сървъра (CSF)
Config Server Security & Firewall (CSF) е универсален междуплатформен софтуер. Той концептуализира защитна стена, SPI (Stateful Packet Inspection), откриване на вход и решение за сигурност на Linux системи. Защитната стена се поддържа от множество хостове като RHEL / CentOS, CloudLinux, Fedora, Debian, Ubuntu, OpenSUSE, Slackware и виртуални среди като VMware, Virtuozzo, XEN, OpenVZ, Virtualbox и KVM. Основните му характеристики включват:
- Той има ясен скрипт за защитна стена SPI
- Поддръжка на IPv6 с ip6tables
- Той разполага с усъвършенствана система за откриване на проникване и може да ви предупреди за промени в системата и двоичните файлове на приложенията.
- Може да защити кутия на Linux от пинга на смъртта и да атакува синхронизирани наводнения
- Лесен за управление и конфигуриране
- Може да работи с конфигурирана система за предупреждение по имейл за изпращане на известия за необичайни мрежови дейности или открити прониквания.
- Той разполага с интеграция на потребителски интерфейс за cPanel, DirectAdmin, CentOS уеб панел и др.
Шоруол
Shorewall е инструмент за конфигуриране на защитна стена и шлюз с отворен код за средата GNU / Linux. Ядрото на Linux е известно с интеграцията си със система Netfilter. Именно от тази система се осигурява основа за разработването или създаването на тази защитна стена. Неговите характеристики могат да бъдат обобщени, както следва:
- Поддържа VPN
- Поддържа пренасочване и маскиране на портове
- Поддържа множество ISP
- Контролният панел на Webmin е част от неговия GUI интерфейс
- Централизирано администриране на защитната стена
- Поддържа множество приложения за шлюз, рутери и защитна стена.
- Той управлява филтриране на пакети със състояния чрез съоръжения за проследяване на връзки, предоставени от Netfilter.
NG защитна стена
NG Firewall е част от платформата Untangle, която предоставя решения за защита на вашата мрежа. Разплитащата се платформа работи като магазин за приложения, за да активира или деактивира определени модули въз основа на вашите изисквания. Безплатната версия на Untangle се предлага с NG Firewall и може да бъде инсталирана на сървър, виртуална машина и облак. Можете да надстроите Untangle до платена версия, за да отключите повече функции. Untangle предоставя и софтуера в самостоятелен хардуерен пакет, който се доставя с предварително инсталирания софтуерен пакет.
Обобщение
Защитната стена поддържа вашата мрежа сигурна, здрава и организирана чрез защита от проникване и протоколи за удостоверяване и упълномощаване, които тя въвежда. Преди да изберете софтуера за защитна стена, който трябва да използвате, трябва да вземете предвид размера на мрежовата инфраструктура, необходимите слоеве за сигурност и броя на мрежовите устройства, които искате да управлявате. Инструментът на защитната стена трябва да се поддържа активно с редовни корекции за сигурност и да работи добре за типичен потребител. Типичните потребители могат да предпочетат система с уеб интерфейс или GUI, докато опитният потребител на Linux може да се чувства удобно да работи с инструментите на защитната стена чрез командния ред.