Daudziem Linux distros kodolā ir iebūvēti noklusējuma ugunsmūri, un tos var konfigurēt, lai piedāvātu lielisku aizsardzību pret tīkla ielaušanos. Piemēram, Firewalld ir noklusējuma ugunsmūra programmatūra Fedora, Red Hat, CentOS distros, savukārt Debian un Ubuntu tiek piegādāti ar Nekomplicēto ugunsmūri.
Ir daudz atvērtā koda ugunsmūra programmatūras, no kurām izvēlēties atkarībā no kompetences līmeņa, aizsargājamās infrastruktūras lieluma, lietošanas ērtuma vai pat no tā, vai ugunsmūrim ir grafisks rīks. Šajā rakstā Linux ugunsmūra rīki tiks izcelti īpašā secībā. Labākais ugunsmūris katram lietotājam būs atšķirīgs, atkarībā no jūsu prasībām. Lai izveidotu elastīgu un drošu tīklu, lai novērstu datu pārkāpumus, nepieciešams visaptverošs rīku un konfigurāciju kopums.
Kāpēc Firewall?
Labi konfigurēts ugunsmūris ir jūsu datora vai tīkla pirmā aizsardzības līnija pret ielaušanos tīklā un var novērst datu zudumu un pārkāpumus. Ugunsmūris ir noteikumu kopums, kas regulē datu pakešu pārvietošanos aizsargātā tīklā un ārpus tā. Iespējams, vēlēsities detalizēti uzzināt, kas ir Linux ugunsmūris, kā tas darbojas un ko tas dara jūsu labā, mūsu detalizētajā Linux ugunsmūra rakstā.
Atvērtā koda ugunsmūra rīki jūsu Linux sistēmām
nftables un iptables
nftables ir iptables pēctecis un ir daļa no Netfilter Linux kodola projekta, ļaujot veikt ugunsmūri, tīkla adreses un portu tulkošanu un pakešu filtrēšanu.
iptables
Iptables ir parasts nosaukums ugunsmūra domēnā. Tā ir ugunsmūra programmatūra, kas ļauj definēt likumu kopas. Tam ir uz terminālu balstīta ieviešana, un pieredzējuši Linux serveru administratori to izmanto, jo tā ir efektīva un pielāgojama. Joprojām var būt sarežģīti konfigurēt iesācēju sistēmas administratorus. Datu pakešu filtrēšanas uzdevumi notiek no sistēmas kodola. Iptables ugunsmūra funkcijas un atribūti ir šādi:
- Tam ir pakešu filtru kārtulas, kas atbalsta satura sarakstu.
- Īsteno pakešu galvenes pārbaudes pieeju, kas padara ugunsmūri ērti ātru.
- Rediģējami pakešu filtru kārtulas ļauj lietotājam pievienot, rediģēt vai noņemt ugunsmūra konfigurācijas kārtulu.
- To var izmantot datu faila dublēšanai un atjaunošanai, kas saistīta ar ugunsmūra funkcionalitāti.
nftable
nftables ir iptables pēctecis, un tas ļauj lielāku elastību, mērogojamību un veiktspējas pakešu klasifikāciju. nftables ir iptables aizstāšana kopš 2014. gada, un tā ir pieejama sistēmas administratoram, izmantojot komandrindas rīku nft. Tomēr iptables drīz vairs nekur netiks, jo tos joprojām plaši izmanto tīklos, kurus aizsargā iptables. Nftables ir pievienojis jaunu funkcionalitāti un elastību Netfilter pakotnei. Tās galvenās iezīmes ir:
- Tas piedāvā tīklam raksturīgu virtuālo mašīnu, izmantojot nft komandrindas rīks.
- Sistēmas administratori var sasniegt augstu veiktspēju, izmantojot kartes un savienojumus.
- Tam ir mazāka kodola koda bāze, kas ļauj pakotnei piegādāt jaunas funkcijas, jauninot lietotāju telpas komandrindas rīku, obligāti nav jāatjaunina kodols.
- Tam ir vienota un konsekventa sintakse katrai atbalsta protokolu saimei.
Ugunsmūris un nekomplicēts ugunsmūris
Ugunsmūris un nesarežģīts ugunsmūris (UFC) ir lietotājam draudzīgas ugunsmūra ieviešanas iespējas, kas tiek ieviestas kā augstāka līmeņa Netfilter tulki. Tie ir paredzēti, lai atrisinātu tīkla drošības problēmas, ar kurām saskaras atsevišķi datori.
Ugunsmūris
Firewalld ir daļa no systemd saimes un ir noklusējuma ugunsmūra pārvaldības rīks RHEL, CentOS, Fedora, SUSE un OpenSUSE. Firewalld ir dinamiski pārvaldīts ugunsmūris, kas atbalsta tīkla vai ugunsmūra zonas. Zonas ļauj lietotājiem viegli noteikt tīkla saskarņu un savienojumu uzticamības līmeni. Tam ir ugunsmūra iestatījumu atbalsts IPv4, IPv6, Ethernet tiltiem un IP kopām. Tās galvenās iezīmes un priekšrocības ir:
- Tam ir pilnīga D-Bus API, kas lietojumprogrammām, pakalpojumiem un lietotājiem vienkāršo ugunsmūra iestatījumu pielāgošanu.
- IPv4, IPv6, tilta un ipset atbalsts.
- IPv4 un IPv6 NAT atbalsts.
- Atbalsts ugunsmūra zonām, kurās ir iepriekš noteiktas zonas un pakalpojumi.
- Laika ugunsmūra noteikumi piedāvā sistēmas administratoriem elastību atdalīt pastāvīgās un izpildlaika konfigurācijas, ļaujot reāllaikā veikt tīkla testus un tīkla novērtējumus.
- Iestatījumus var konfigurēt, izmantojot ugunsmūra cmd terminal komandu un izmantojot grafisko konfigurācijas rīku.
Firewalld ir plaša pieejamība, un to var instalēt arī citos izplatījumos, piemēram, Debian un Ubuntu. Pēc instalēšanas palaišanas laikā jāaktivizē un jāaktivizē firewalld, lai tā būtu efektīva.
UFW - nekomplicēts ugunsmūris
Pēc noklusējuma Ubuntu serveri tiek piegādāti ar nesarežģītu ugunsmūri. Tās dizaina mērķis bija izstrādāt mazāk sarežģītu un lietotājam draudzīgu ugunsmūri nekā Netfilter pakotnes iptables. Ugunsmūris arī iesaiņo GUI ar nosaukumu GUFW Ubuntu un Debian lietotājiem. Mēs varam apkopot tā funkcijas šādi:
- Atbalsta IPV6
- Statusa uzraudzība
- Tas ir paplašināms un to var viegli integrēt citās lietojumprogrammās
- Jūs varat pievienot, noņemt vai modificēt ugunsmūra kārtulas pēc savas izvēles
- Ir ieslēgšanas / izslēgšanas iespēja kā tā reģistrēšanas iespēju paplašinājums
pfSense
pfSense ugunsmūrim ir pielāgots kodols, kura pamatā ir FreeBSD, un tas sevi raksturo kā uzticamāko atvērtā koda ugunsmūri. Tas ir slavēts par tā uzticamību un komerciālā līmeņa funkcijām. Tas konceptualizē Stateful pakešu filtrēšanu. Tas ir pieejams kā aparatūras ierīce, virtuāla ierīce un kopienas izdevumam lejupielādējams binārs fails. Ugunsmūra augstākās vai komerciālās versijas komplektācijā ietilpst smaga cenu zīme. Tās galvenās iezīmes ir šādas:
- Slodzes līdzsvarošana ienākošajai un izejošajai satiksmei
- Nodrošina servera reāllaika informāciju un nodrošina satiksmes veidošanu
- Tā konfigurācija var likt tai darboties kā VPN galapunktam un kā bezvadu piekļuves punktam
- Tas ir izvietojams kā DHCP un DNS serveris, ugunsmūris un kā maršrutētājs
- Tam ir tīmekļa saskarne, no kuras to var uzlabot vai elastīgi konfigurēt
- Tā piedāvā augstu pieejamību
- To var izmantot vairāk nekā vienā interneta savienojumā.
IPFire
IPFire ir viegli lietojams atvērtā koda ugunsmūris, kas vislabāk darbojas Small Office Home Office iestatījumos vai vidē. Tas ir valstisks ugunsmūris, kas uzbūvēts virs Netfilter. Tas ir ļoti elastīgs un tā dizainā ir daudz moduļu apsvērumu. To var izmantot kā ugunsmūri, VPN vārteju vai starpniekserveri. Tas arī kvalificējas kā SPI (Stateful Packet Inspection) ugunsmūris. Tās iezīmju kopsavilkums ir šāds:
- Satura filtrēšana
- Vairāku izvietojumu atvieglošana var būt kā VPN vārteja, starpniekserveris vai ugunsmūris.
- Tajā ir iebūvēta IDS (ielaušanās atklāšanas sistēma) funkcionalitāte uzbrukumu noteikšanai un novēršanai no pirmās dienas.
- Tā atbalsts attiecas arī uz tērzēšanu, forumiem un Wiki.
- Nodrošina virtualizācijas vidi, atbalstot tādus hipervizorus kā Xen, VMWare un KVM
- Tas atbalsta ar krāsu kodētu drošības konfigurāciju, kas padara to lietotājam draudzīgu.
- Varat palielināt tā funkcionalitāti, izmantojot tādus parocīgus papildinājumus kā Guardian, kas var ieviest automātisko profilaksi.
OPNsense
OPNSense ir pfSense un m0n0wall atvērtā pirmkoda projektu dakša. To darbina HardenedBSD, kas ir uz drošību vērstas OS FreeBSD dakša. To var izmantot kā ugunsmūri un maršrutēšanas platformu. Tas ir pieņemts šādu iemeslu dēļ;
- To var izmantot datplūsmas filtrēšanai, trafika formēšanai un neformālā portāla parādīšanai.
- Tam ir drošības un ugunsmūra funkcijas, piemēram, IPSec, Netflow, Proxy, VPN, Web filtrs utt.
- Lai atklātu un novērstu tīkla ielaušanos, tā izmanto iebūvētu ielaušanās novēršanas sistēmu ar dziļu pakešu pārbaudi.
- Tas piedāvā iknedēļas drošības atjauninājumus.
- Tam ir tīmekļa saskarne, kas pieejama vairākās valodās, piemēram, franču, ķīniešu, krievu utt.
- Tas ir saderīgs ar 32 bitu un 64 bitu sistēmas arhitektūru.
Endians
Endian Firewall Community konceptualizē valsts ugunsmūri tīkla aizsardzībai un pakešu pārbaudei. Tas var pārveidot neapbruņotu metāla aparatūru par spēcīgu drošības risinājumu, kas ietver vārtejas VPN, ugunsmūri, antivīrusu, starpniekserveri un satura filtrēšanu. Tās galvenās iezīmes ir šādas:
- VPN atbalsts ar IPSec
- Reālā laika tīkla uzraudzība un reģistrēšana.
- Divvirzienu ugunsmūris
- Reāllaika pārskati par tīkla darbībām un resursu izmantošanu, piemēram, joslas platumu utt.
- Nodrošina pasta serveru drošību, izmantojot Spam Auto-Learning, SMTP starpniekserverus, Greylisting un POP3 starpniekserverus.
- Nodrošina tīmekļa servera drošību, izmantojot URL melno sarakstu, antivīrusu, HTTP un FTP starpniekserverus.
Konfigurēt servera drošību un ugunsmūri (CSF)
Config Server Security & Firewall (CSF) ir daudzpusīga starpplatformu programmatūra. Tas konceptualizē valstisku ugunsmūri, SPI (Stateful Packet Inspection), pieteikšanās noteikšanu un Linux sistēmu drošības risinājumu. Ugunsmūri atbalsta daudzi resursdatori, piemēram, RHEL / CentOS, CloudLinux, Fedora, Debian, Ubuntu, OpenSUSE, Slackware un virtuālās vides, piemēram, VMware, Virtuozzo, XEN, OpenVZ, Virtualbox un KVM. Tās galvenās iezīmes ir:
- Tam ir vienkāršs SPI ugunsmūra skripts
- IPv6 atbalsts ar ip6tables
- Tam ir uzlabota ielaušanās noteikšanas sistēma, un tā var brīdināt par izmaiņām sistēmas un lietojumprogrammu bināros failos.
- Var pasargāt Linux lodziņu no nāves un sinhronu plūdu uzbrukumiem
- Viegli pārvaldīt un konfigurēt
- Var strādāt ar konfigurētu e-pasta brīdināšanas sistēmu, lai nosūtītu paziņojumus par neparastām tīkla darbībām vai atklātiem ielaušanās gadījumiem.
- Tajā ir lietotāja interfeisa integrācija cPanel, DirectAdmin, CentOS Web panel utt.
Krasta siena
Shorewall ir atvērtā koda ugunsmūra un vārtejas konfigurēšanas rīks GNU / Linux videi. Linux kodols ir pazīstams ar savu integrāciju ar Netfilter sistēmu. Tieši no šīs sistēmas tiek nodrošināts pamats šī ugunsmūra izstrādei vai izveidei. Tās funkcijas var apkopot šādi:
- Atbalsta VPN
- Atbalsta ostu pārsūtīšanu un maskēšanu
- Atbalsta vairākus ISP
- Webmin vadības panelis ir daļa no tā GUI saskarnes
- Centralizēta ugunsmūra administrēšana
- Atbalsta daudzas vārtejas, maršrutētājus un ugunsmūra lietojumprogrammas.
- Tas pārvalda valstisku pakešu filtrēšanu, izmantojot savienojuma izsekošanas iespējas, ko nodrošina Netfilter.
NG ugunsmūris
NG Firewall ir daļa no platformas Untangle, kas piedāvā risinājumus jūsu tīkla aizsardzībai. Atvienošanas platforma darbojas kā lietotņu veikals, lai iespējotu vai atspējotu noteiktus moduļus, pamatojoties uz jūsu prasībām. Untangle bezmaksas versija nāk ar NG ugunsmūri, un to var instalēt serverī, virtuālajā mašīnā un mākonī. Lai atbloķētu citas funkcijas, varat jaunināt atvienošanu uz apmaksātu versiju. Untangle nodrošina programmatūru arī atsevišķā aparatūras paketē, kas komplektā ar iepriekš instalētu programmatūras pakotni.
Atkārtoti
Ugunsmūris nodrošina jūsu tīkla drošību, veselību un sakārtotību, izmantojot aizsardzību pret ielaušanos un autentifikācijas un autorizācijas protokoliem, kurus tā ievieš. Pirms izvēlaties lietojamo ugunsmūra programmatūru, jāņem vērā tīkla infrastruktūras lielums, nepieciešamie drošības slāņi un pārvaldāmo tīkla ierīču skaits. Ugunsmūra rīks ir aktīvi jāuztur, izmantojot regulārus drošības ielāpus, un tas labi darbojas tipiskam lietotājam. Parasti lietotāji var dot priekšroku sistēmai ar tīmekļa saskarni vai GUI, savukārt Linux lietotāja pieredze varētu būt ērta darbā ar ugunsmūra rīkiem, izmantojot komandrindu.