Sok Linux disztribúció alapértelmezett tűzfala van beépítve a kernelbe, és konfigurálható úgy, hogy kiváló védelmet nyújtson a hálózati behatolás ellen. Például a Firewalld az alapértelmezett tűzfalszoftver a Fedora, a Red Hat, a CentOS disztribúciók számára, míg a Debian és az Ubuntu a komplikáció nélküli tűzfalat szállítja.
Számos nyílt forráskódú tűzfalszoftver közül választhat, a szakértelem szintjétől, a védendő infrastruktúra méretétől, a használat kényelmétől, vagy attól függően, hogy van-e grafikus eszköz a tűzfalhoz. Ez a cikk külön sorrendben emeli ki a Linux tűzfal eszközeit. A legjobb tűzfal az egyes felhasználóktól függ, az Ön igényeinek megfelelően. Rugalmas és biztonságos hálózat létrehozása az adatsértések elkerülése érdekében átfogó eszköz- és konfigurációkészletet igényel.
Miért tűzfal?
A jól konfigurált tűzfal a számítógép vagy a hálózat első védelmi vonala a hálózati behatolással szemben, és megakadályozhatja az adatvesztést és a jogsértéseket. A tűzfal olyan szabálykészlet, amely szabályozza az adatcsomagok mozgását a védett hálózatban és onnan kifelé. Érdemes részletesen megtudnia, mi a Linux tűzfal, hogyan működik és mit csinál Önnek a részletes Linux tűzfal cikkünkben.
Nyílt forráskódú tűzfaleszközök Linux rendszeréhez
nftable & iptables
Az nftables az iptables utódja, és része a Netfilter Linux kernel projektnek, amely lehetővé teszi a tűzfalat, a hálózati cím és port fordítást, valamint a csomagok szűrését.
iptables
Az Iptables egy általános név a tűzfal tartományban. Ez egy tűzfal szoftver, amely lehetővé teszi szabálykészletek definiálását. Terminál alapú megvalósítással rendelkezik, és tapasztalt Linux szerver adminisztrátorok használják, mert hatékony és testreszabható. Ennek ellenére a kezdő rendszergazdák számára is bonyolult konfigurálni. Az adatcsomag-szűrési feladatok a rendszermagból történnek. Az iptables tűzfal jellemzői és tulajdonságai a következők:
- Csomagszűrőszabályokkal rendelkezik, amelyek támogatják a tartalomjegyzéket.
- Csomagfejléc-ellenőrzési megközelítést valósít meg, amely kényelmesen gyorsítja a tűzfalat.
- A szerkeszthető csomagszűrő-szabályok lehetővé teszik a felhasználó számára, hogy tűzfal-konfigurációs szabályt adjon hozzá, szerkesszen vagy távolítson el.
- Használhatja az adatfájlok biztonsági mentéséhez és a tűzfal funkcionalitásához kötött helyreállításához.
nftable
Az nftables az iptable utódja, és nagyobb rugalmasságot, skálázhatóságot és teljesítménycsomag-besorolást tesz lehetővé. Az nftables az iptable-k cseréje 2014 óta, és az nft parancssori eszközön keresztül érhető el a rendszergazdák számára. Az iptables azonban nem megy sehova, mivel még mindig széles körben használják az iptables által védett hálózatokban. Az Nftables új funkcionalitást és rugalmasságot adott a Netfilter csomaghoz. Fő jellemzői:
- Hálózat-specifikus virtuális gépet kínál a nft parancssori eszköz.
- A rendszergazdák térképek és összefűzések révén nagy teljesítményt érhetnek el.
- Van egy kisebb kernel-kódbázisa, amely lehetővé teszi a csomag számára, hogy új szolgáltatásokat nyújtson a felhasználói tér parancssori eszközének frissítésével anélkül, hogy szükségszerűen frissítenie kellene a kernelt.
- Egységes és következetes szintaxisa van minden támogatási protokollcsalád számára.
Tűzfalú és bonyolult tűzfal
A tűzfal és a nem egyszerű tűzfal (UFC) felhasználóbarát tűzfal-implementációk, amelyeket magasabb szintű Netfilter tolmácsokként vezetnek be. Úgy tervezték, hogy megoldják az önálló számítógépek hálózati biztonsági problémáit.
Tűzfal
A Firewalld a systemd család része, és az alapértelmezett tűzfalkezelő eszköz az RHEL, CentOS, Fedora, SUSE és OpenSUSE számára. A Firewalld egy dinamikusan felügyelt tűzfal, amely támogatja a hálózati vagy tűzfal zónákat. A zónák megkönnyítik a felhasználók számára a hálózati interfészek és kapcsolatok megbízhatósági szintjének meghatározását. Tűzfalbeállítási támogatással rendelkezik az IPv4, az IPv6, az Ethernet-hidak és az IP-készletek számára. Fő jellemzői és előnyei:
- Teljes D-Bus API-val rendelkezik, amely egyszerűvé teszi az alkalmazások, szolgáltatások és felhasználók számára a tűzfal beállításainak adaptálását.
- IPv4, IPv6, bridge és ipset támogatás.
- IPv4 és IPv6 NAT támogatás.
- Tűzfalzónák támogatása, amelyek előre meghatározott zónákat és szolgáltatásokat tartalmaznak.
- Az időzített tűzfalszabályok rugalmasságot kínálnak a rendszergazdák számára az állandó és a futásidejű konfigurációk elkülönítésére, lehetővé téve a hálózati tesztek és a hálózat kiértékelésének valós idejű elvégzését.
- A beállításokat a tűzfal-cmd terminál paranccsal és egy grafikus konfigurációs eszközzel konfigurálhatja.
A Firewalld széles elérhetőséggel rendelkezik, és más disztribúciókba is telepíthető, például a Debianba és az Ubuntuba. A telepítés után a rendszer indításakor engedélyeznie és aktiválnia kell a tűzfalat, hogy hatékony legyen.
UFW - Nem egyszerű tűzfal
Az Ubuntu szerverek alapértelmezés szerint a bonyolult tűzfalakkal együtt szállítanak. Tervezési célja egy kevésbé összetett és felhasználóbarát tűzfal kifejlesztése volt, mint a Netfilter csomag iptable-i. A tűzfal egy GUFW nevű GUI-t is csomagol Ubuntu és Debian felhasználók számára. Funkcióit a következőképpen foglalhatjuk össze:
- Támogatja az IPV6-ot
- Állapotfigyelés
- Kiterjeszthető és könnyen integrálható más alkalmazásokkal
- Hozzáadhatja, eltávolíthatja vagy módosíthatja a tűzfal szabályait
- Be- és kikapcsolási lehetőséggel rendelkezik a naplózási lehetőségek kiterjesztéseként
pfSense
A pfSense tűzfalon van egy egyéni kernel, amely a FreeBSD-n alapul, és a legmegbízhatóbb nyílt forráskódú tűzfalként írja le magát. Megbízzák megbízhatósága és kereskedelmi szintű tulajdonságai miatt. Koncepcionálja az államszerű csomagszűrést. Hardverként, virtuális eszközként és letölthető bináris formátumban érhető el a közösségi kiadáshoz. A tűzfal prémium vagy kereskedelmi verziója súlyos árcédulával rendelkezik. Fő jellemzői a következők:
- Terheléselosztás a bejövő és a kimenő forgalom számára
- Biztosítja a szerver valós idejű információit, és kiszolgál a forgalom alakításában
- Konfigurációjával VPN-végpontként és vezeték nélküli hozzáférési pontként működhet
- Telepíthető DHCP és DNS szerverként, tűzfalként és útválasztóként
- Webalapú felülettel rendelkezik, amelyről frissíthető vagy rugalmasan konfigurálható
- Magas rendelkezésre állást kínál
- Több internetkapcsolaton is használhatja.
IPFire
Az IPFire egy könnyen használható nyílt forráskódú tűzfal, amely a Small Office Home Office beállításaiban vagy környezetében működik a legjobban. Ez egy állapotos tűzfal, amelyet a Netfilter tetejére építettek. Rendkívül rugalmas és sok moduláris szempontot figyelembe vesz a tervezésében. Tűzfalként, VPN-átjáróként vagy proxy szerverként használható. Ez egyben SPI (Stateful Packet Inspection) tűzfalnak is minősül. Funkcióinak összefoglalása a következő:
- Tartalomszűrés
- A több telepítés megkönnyítése lehet VPN-átjáró, proxy szerver vagy tűzfal.
- Beépített IDS (behatolásérzékelő rendszer) funkcióval rendelkezik, amely az első naptól kezdve észleli és megakadályozza a támadásokat.
- Támogatása kiterjed a csevegésekre, a fórumokra és a Wikire.
- Virtualizációs környezetet biztosít az olyan hipervizorok támogatásával, mint a Xen, a VMWare és a KVM
- Támogatja a színkódolt biztonsági konfigurációt, amely felhasználóbaráttá teszi.
- Növelheti funkcionalitását olyan praktikus kiegészítőkkel, mint a Guardian, amelyek képesek automatikus megelőzést megvalósítani.
OPNsense
Az OPNSense a pfSense és az m0n0wall nyílt forráskódú projektek eleme. A HardenedBSD hajtja, amely a biztonságorientált FreeBSD operációs rendszer villája. Tűzfalként és útválasztó platformként használható. A következők miatt fogadták el;
- Használható a forgalom szűrésére, a forgalom alakítására és egy rögzített portál megjelenítésére.
- Biztonsági és tűzfalfunkciókkal rendelkezik, például IPSec, Netflow, Proxy, VPN, webszűrő stb.
- Belső behatolásgátló rendszert használ mély csomagellenőrzéssel a hálózati behatolások észlelésére és megelőzésére.
- Heti biztonsági frissítéseket kínál.
- Webalapú felületet kínál, amely több nyelven elérhető, például francia, kínai, orosz stb.
- Kompatibilis a 32 és 64 bites rendszerarchitektúrával.
Endian
Az Endian Firewall Community egy állapotfajtás tűzfalat fogalmaz meg a hálózat védelme és a csomagellenőrzés céljából. Át tudja alakítani a csupasz fém hardverkészüléket egy erőteljes biztonsági megoldássá, amely egy átjáró VPN-t, tűzfalat, víruskeresőt, proxyt és tartalomszűrést tartalmaz. Fő jellemzői a következők:
- VPN támogatás az IPSec segítségével
- Valós idejű hálózatfigyelés és naplózás.
- Kétirányú tűzfal
- Valós idejű jelentés a hálózati tevékenységekről és az erőforrás-használatról, például a sávszélességről stb.
- Biztonságot nyújt a levelező szerverek számára a Spam Auto-Learning, az SMTP proxyk, a Greylisting és a POP3 proxyk révén.
- Biztosítja a webkiszolgáló biztonságát az URL feketelistáján, a víruskereső, a HTTP és az FTP proxykon keresztül.
Config Server Security & Firewall (CSF)
A Config Server Security & Firewall (CSF) egy sokoldalú, több platformon futó szoftver. Koncepcionálja egy állapotú tűzfalat, az SPI-t (Stateful Packet Inspection), a bejelentkezés észlelését és a Linux rendszerek biztonsági megoldását. A tűzfalat számos gazdagép támogatja, például RHEL / CentOS, CloudLinux, Fedora, Debian, Ubuntu, OpenSUSE, Slackware és virtuális környezetek, például VMware, Virtuozzo, XEN, OpenVZ, Virtualbox és KVM. Főbb jellemzői:
- Egyszerű SPI tűzfal-szkriptje van
- IPv6 támogatás ip6táblákkal
- Fejlett behatolásérzékelő rendszerrel rendelkezik, és figyelmeztethet a rendszer és az alkalmazás bináris fájljainak változásaira.
- Védheti a Linux dobozt a halál és az árvíz támadásainak ellen
- Könnyen kezelhető és konfigurálható
- Egy konfigurált e-mail riasztórendszerrel együttműködve értesítéseket küldhet szokatlan hálózati tevékenységekről vagy észlelt behatolásokról.
- A felhasználói felület integrációja a cPanel, a DirectAdmin, a CentOS Web Panel stb.
Shorewall
A Shorewall egy nyílt forráskódú tűzfal és átjáró konfigurációs eszköz a GNU / Linux környezethez. A Linux kernel a Netfilter rendszerrel való integrációjáról ismert. Ebből a rendszerből adnak alapot ennek a tűzfalnak a fejlesztésére vagy létrehozására. Jellemzői a következőképpen foglalhatók össze:
- Támogatja a VPN-t
- Támogatja a port továbbítását és álarcosítását
- Több ISP-t támogat
- A Webmin vezérlőpult része a GUI felületének
- Központosított tűzfaladminisztráció
- Számos átjárót, útválasztót és tűzfal alkalmazást támogat.
- A statikus csomagszűrést a Netfilter által biztosított Connection Tracking létesítményeken keresztül kezeli.
NG tűzfal
Az NG Firewall az Untangle platform része, amely megoldásokat kínál a hálózat védelmére. A kibontó platform úgy működik, mint egy alkalmazásbolt, hogy az Ön igényei szerint engedélyezzen vagy letiltson bizonyos modulokat. Az Untangle ingyenes verziója az NG tűzfallal érkezik, és telepíthető szerverre, virtuális gépre és felhőbe. Frissítheti a szétszerelést fizetős verzióra a további funkciók feloldásához. Az Untangle a szoftvert különálló hardvercsomagban is biztosítja, amely az előre telepített szoftvercsomaghoz tartozik.
Újrafutóz
A tűzfal biztonságossá, egészségesé és szervezetté teszi a hálózatot a behatolásvédelem, valamint az általa bevezetett hitelesítési és hitelesítési protokollok révén. Mielőtt kiválasztja a használni kívánt tűzfal szoftvert, vegye figyelembe a hálózati infrastruktúra méretét, a szükséges biztonsági rétegeket és a kezelni kívánt hálózati eszközök számát. A tűzfal eszközt aktívan kell karbantartani, rendszeres biztonsági javításokkal, és jól kell működnie egy tipikus felhasználó számára. A tipikus felhasználók előnyben részesíthetik a webes felülettel vagy GUI-val rendelkező rendszert, míg a Linux felhasználói számára a tűzfaleszközökkel a parancssoron keresztül lehet dolgozni.