Številni distribucijski sistemi Linux imajo v jedru privzete požarne zidove in jih je mogoče konfigurirati tako, da nudijo odlično obrambo pred vdorom v omrežje. Na primer, Firewalld je privzeta programska oprema požarnega zidu za distribucijo Fedora, Red Hat, CentOS, medtem ko Debian in Ubuntu dobavljata z nezapletenim požarnim zidom.
Na voljo je veliko odprtokodnih programov požarnega zidu, odvisno od vaše strokovnosti, velikosti zaščitene infrastrukture, udobja uporabe ali celo grafičnega orodja za požarni zid. Ta članek bo poudaril orodja požarnega zidu Linux brez posebnega vrstnega reda. Najboljši požarni zid se razlikuje glede na uporabnika, odvisno od vaših zahtev. Ustvarjanje prožnega in varnega omrežja za preprečevanje kršitev podatkov zahteva obsežen nabor orodij in konfiguracij.
Zakaj požarni zid?
Dobro konfiguriran požarni zid je prva obrambna linija vašega računalnika ali omrežja pred vdorom v omrežje in lahko prepreči izgubo podatkov in kršitve. Požarni zid je sklop pravil, ki ureja gibanje podatkovnih paketov v in iz zaščitenega omrežja. Morda boste želeli podrobno vedeti, kaj je požarni zid Linux, kako deluje in kaj naredi za vas v našem podrobnem članku o požarnem zidu Linux.
Odprtokodna orodja požarnega zidu za vaše sisteme Linux
nftables & iptables
nftables je naslednik iptables in je del jedrnega projekta Netfilter Linux, ki omogoča požarni zid, prevajanje omrežnih naslovov in vrat ter filtriranje paketov.
iptables
Iptables je splošno ime v domeni požarnega zidu. To je programska oprema za požarni zid, ki vam omogoča določanje naborov pravil. Ima terminalsko izvedbo in izkušeni skrbniki strežnikov Linuxa ga uporabljajo, ker je učinkovit in prilagodljiv. Kljub temu pa je lahko tudi zapleteno za konfiguriranje za skrbnike sistema za začetnike. Naloge filtriranja podatkovnih paketov se izvajajo iz sistemskega jedra. Značilnosti in atributi požarnega zidu iptables so naslednji:
- Ima nabora pravil filtriranja paketov, ki podpirajo uvrstitev vsebine.
- Izvaja pristop pregleda paketa glave, zaradi česar je požarni zid priročno hiter.
- Nabori pravil filtriranja paketov, ki jih je mogoče urejati, uporabniku omogočajo dodajanje, urejanje ali odstranjevanje pravila konfiguracije požarnega zidu.
- Uporabite ga lahko za varnostno kopiranje in obnovo podatkovnih datotek, ki je povezano s funkcionalnostjo požarnega zidu.
nftables
nftables je naslednik iptables in omogoča večjo prilagodljivost, razširljivost in klasifikacijo paketov zmogljivosti. nftables je zamenjava iptables od leta 2014 in je na voljo sistemskemu skrbniku prek orodja za ukazno vrstico nft. Vendar iptables ne gredo nikamor kmalu, saj se še vedno pogosto uporabljajo v omrežjih, zaščitenih z iptables. Nftables je paketu Netfilter dodal novo funkcionalnost in prilagodljivost. Njegove glavne značilnosti so:
- Ponuja mrežni navidezni stroj prek nft orodje ukazne vrstice.
- Skrbniki sistema lahko dosežejo visoko zmogljivost z zemljevidi in združitvami.
- Ima manjšo kodno bazo jedra, ki lahko paketu omogoči nove funkcije z nadgradnjo orodja za ukazno vrstico uporabniškega prostora, ne da bi bilo treba nadgraditi jedro.
- Ima enotno in skladno sintakso za vsako družino protokolov za podporo.
Požarni zid in nezapleten požarni zid
Požarni zid in nezapleteni požarni zid (UFC) sta uporabniku prijazni izvedbi požarnega zidu, predstavljeni kot tolmači na višji ravni Netfilter. Namenjeni so reševanju težav z omrežno varnostjo, s katerimi se soočajo samostojni računalniki.
Požarni zid
Požarni zid je del družine systemd in je privzeto orodje za upravljanje požarnega zidu za RHEL, CentOS, Fedora, SUSE in OpenSUSE. Požarni zid je dinamično upravljan požarni zid s podporo za omrežja ali požarni zid. Območja uporabnikom olajšajo določanje ravni zaupanja omrežnih vmesnikov in povezav. Podpira nastavitve požarnega zidu za IPv4, IPv6, ethernetne mostove in IP-nabore. Njegove glavne značilnosti in prednosti vključujejo:
- Ima popoln API za D-Bus, ki aplikacijam, storitvam in uporabnikom olajša prilagajanje nastavitev požarnega zidu.
- Podpora za IPv4, IPv6, most in ipset.
- Podpora za IPv4 in IPv6 NAT.
- Podpora za požarni zid, ki vsebuje vnaprej določena območja in storitve.
- Pravila požarnega zidu s časovnim omejitvijo sistemom omogočajo prilagodljivost pri ločevanju stalnih in izvajalnih konfiguracij, kar omogoča izvajanje preskusov omrežja in ocenjevanja omrežja v realnem času.
- Nastavitve lahko konfigurirate z ukazom terminala firewall-cmd in z grafičnim orodjem za konfiguracijo.
Firewalld je široko dostopen in ga je mogoče namestiti tudi v druge distribucije, kot sta Debian in Ubuntu. Po namestitvi morate med zagonom omogočiti in aktivirati požarni zid, da bo lahko učinkovit.
UFW - nezapleten požarni zid
Strežniki Ubuntu so privzeto priloženi nezapletenemu požarnemu zidu. Njegov oblikovalski cilj je bil razviti manj zapleten in uporabniku prijazen požarni zid kot iptables iz paketa Netfilter. Požarni zid za uporabnike Ubuntu in Debian vsebuje tudi GUI, imenovan GUFW. Njegove značilnosti lahko povzamemo na naslednji način:
- Podpira IPV6
- Spremljanje stanja
- Je razširljiv in ga je mogoče enostavno integrirati z drugimi aplikacijami
- Pravila požarnega zidu lahko dodate, odstranite ali spremenite po svojih željah
- Ima vklop / izklop kot razširitev možnosti beleženja
pfSense
požarni zid pfSense ima jedro po meri, ki temelji na FreeBSD, in se opisuje kot najbolj zaupanja vreden odprtokodni požarni zid. Pohvalili so ga zaradi zanesljivosti in lastnosti na komercialni ravni. Konceptualizira filtriranje paketov Stateful. Na voljo je kot strojna naprava, navidezna naprava in binarni prenos, ki ga lahko prenesete za izdajo skupnosti. Vrhunska ali komercialna različica požarnega zidu ima visoko ceno. Njegove glavne značilnosti so naslednje:
- Izravnava tovora za dohodni in odhodni promet
- Ponuja podatke o strežniku v realnem času in skrbi za oblikovanje prometa
- Zaradi njegove konfiguracije lahko deluje kot končna točka VPN in kot brezžična dostopna točka
- Uporaben je kot strežnik DHCP in DNS, požarni zid in kot usmerjevalnik
- Ima spletni vmesnik, iz katerega ga je mogoče nadgraditi ali prilagoditi
- Ponuja visoko razpoložljivost
- Uporabite ga lahko na več internetnih povezavah.
IPFire
IPFire je enostaven za uporabo odprtokodni požarni zid, ki najbolje deluje v nastavitvah ali okolju za domačo pisarno Small Office. Je požarni zid, zgrajen na vrhu Netfilterja. Je zelo prilagodljiv in z veliko modularnimi premisleki pri zasnovi. Uporablja se lahko kot požarni zid, prehod VPN ali strežnik proxy. Ustreza tudi požarnemu zidu SPI (Stateful Packet Inspection). Povzetek njegovih lastnosti je naslednji:
- Filtriranje vsebine
- Olajšanje večkratne razmestitve je lahko kot prehod VPN, proxy strežnik ali požarni zid.
- Ima vgrajeno funkcionalnost IDS (sistem za odkrivanje vdorov) za odkrivanje in preprečevanje napadov že prvi dan.
- Njegova podpora se širi na klepete, forume in Wiki.
- Ponuja okolje za virtualizacijo s podporo za hipervizorje, kot so Xen, VMWare in KVM
- Podpira barvno kodirano varnostno konfiguracijo, zaradi česar je uporabniku prijazna.
- Njegove funkcionalnosti lahko povečate s priročnimi dodatki, kot je Guardian, ki lahko izvajajo samodejno preprečevanje.
OPNsense
OPNSense je vilica odprtokodnih projektov pfSense in m0n0wall. Poganja ga HardenedBSD, ki je vilica varnostno naravnanega OS FreeBSD. Lahko se uporablja kot požarni zid in usmerjevalna platforma. Sprejet je bil zaradi naslednjega;
- Uporablja se lahko za filtriranje prometa, oblikovanje prometa in prikaz zaprtega portala.
- Ima varnostne in požarne zidove, kot so IPSec, Netflow, Proxy, VPN, spletni filter itd.
- Za odkrivanje in preprečevanje vdorov v omrežje uporablja vgrajeni sistem za preprečevanje vdorov z globokim pregledom paketov.
- Ponuja tedenske varnostne posodobitve.
- Ima spletni vmesnik, ki je na voljo v več jezikih, kot so francoščina, kitajščina, ruščina itd.
- Združljiv je z 32-bitno in 64-bitno sistemsko arhitekturo.
Endian
Skupnost Endian Firewall oblikuje požarni zid s stanjem za zaščito omrežja in pregled paketov. Strojno napravo iz kovine lahko pretvori v močno varnostno rešitev, ki vključuje prehod VPN, požarni zid, protivirusno programsko opremo in filtriranje vsebine. Njegove glavne značilnosti so naslednje:
- Podpora VPN z IPSec
- Spremljanje in beleženje omrežja v realnem času.
- Dvosmerni požarni zid
- Poročanje v realnem času o omrežnih dejavnostih in porabi virov, kot je pasovna širina itd.
- Zagotavlja varnost poštnih strežnikov prek samodejnega učenja neželene pošte, SMTP strežnikov, seznamov sivk in strežnikov POP3.
- Zagotavlja varnost spletnega strežnika prek črnega seznama URL, protivirusnih strežnikov, strežnikov HTTP in FTP.
Konfiguriranje varnosti strežnika in požarnega zidu (CSF)
Config Server Security & Firewall (CSF) je vsestranska programska oprema za več platform. Konceptualizira požarni zid s stanjem, SPI (Stateful Packet Inspection), zaznavanje prijave in varnostno rešitev Linux sistemov. Požarni zid podpirajo številni gostitelji, kot so RHEL / CentOS, CloudLinux, Fedora, Debian, Ubuntu, OpenSUSE, Slackware in navidezna okolja, kot so VMware, Virtuozzo, XEN, OpenVZ, Virtualbox in KVM. Njegove ključne značilnosti vključujejo:
- Ima enostaven skript požarnega zidu SPI
- Podpora za IPv6 z ip6tables
- Ima napreden sistem za odkrivanje vdorov in vas lahko opozori na spremembe sistemskih in aplikacijskih binarnih datotek.
- Lahko zaščiti Linuxovo škatlo pred pingom smrti in sinhronizacijskimi napadi
- Enostavno upravljanje in konfiguriranje
- Lahko deluje s konfiguriranim e-poštnim opozorilnim sistemom za pošiljanje obvestil o nenavadnih omrežnih dejavnostih ali zaznanih vdorih.
- Ima integracijo uporabniškega vmesnika za cPanel, DirectAdmin, spletno ploščo CentOS itd.
Shorewall
Shorewall je odprtokodno orodje za konfiguracijo požarnega zidu in prehoda za okolje GNU / Linux. Jedro Linuxa je znano po svoji integraciji s sistemom Netfilter. Iz tega sistema je osnova za razvoj ali izdelavo tega požarnega zidu. Njene značilnosti lahko povzamemo na naslednji način:
- Podpira VPN
- Podpira posredovanje in maskiranje vrat
- Podpira več ponudnikov internetnih storitev
- Nadzorna plošča Webmin je del njenega vmesnika GUI
- Centralizirano upravljanje požarnega zidu
- Podpira številne prehode, usmerjevalnike in programe požarnega zidu.
- Upravlja filtriranje paketov s stanjem prek naprav za sledenje povezav, ki jih ponuja Netfilter.
NG požarni zid
NG Firewall je del platforme Untangle, ki ponuja rešitve za zaščito vašega omrežja. Platforma za razvozlavanje deluje kot trgovina z aplikacijami, da omogoči ali onemogoči določene module glede na vaše zahteve. Brezplačna različica Untangle je priložena požarnemu zidu NG in jo je mogoče namestiti na strežnik, navidezni stroj in oblak. Če želite odkleniti več funkcij, lahko Untangle nadgradite na plačljivo različico. Untangle ponuja tudi programsko opremo v samostojnem paketu strojne opreme, ki je priložen vnaprej nameščenemu programskemu paketu.
Povzetek
Požarni zid ohranja vaše omrežje varno, zdravo in organizirano z zaščito pred vdorom in protokoli za preverjanje pristnosti in avtorizacije, ki jih vzpostavi. Preden izberete programsko opremo požarnega zidu, upoštevajte velikost omrežne infrastrukture, zahtevane varnostne sloje in število omrežnih naprav, ki jih želite upravljati. Orodje požarnega zidu je treba aktivno vzdrževati z rednimi varnostnimi popravki in dobro delovati za običajnega uporabnika. Običajni uporabniki bi morda raje imeli sistem s spletnim vmesnikom ali grafičnim uporabniškim vmesnikom, medtem ko bi izkušeni uporabnik Linuxa lahko delal z orodji požarnega zidu prek ukazne vrstice.