Mange Linux-distroer har standard firewalls indbygget i kernen og kan konfigureres til at tilbyde fremragende forsvar mod netværksindbrud. Firewalld er for eksempel standard-firewallsoftwaren til Fedora, Red Hat, CentOS-distroer, mens Debian og Ubuntu leveres med den ukomplicerede firewall.
Der er mange open source-firewall-software at vælge imellem afhængigt af dit ekspertiseniveau, størrelsen på infrastrukturen, der skal beskyttes, brugervenligheden eller endda om der er et grafisk værktøj til firewallen. Denne artikel fremhæver Linux-firewallværktøjer i ingen bestemt rækkefølge. Den bedste firewall varierer fra bruger til bruger afhængigt af dine krav. Oprettelse af et elastisk og sikkert netværk for at forhindre databrud kræver et omfattende sæt værktøjer og konfigurationer.
Hvorfor Firewall?
En velkonfigureret firewall er din computers eller netværks første forsvarslinje mod netværksindbrud og kan forhindre datatab og brud. En firewall er et sæt regler, der regulerer flytning af datapakker ind og ud af et beskyttet netværk. Du vil måske vide detaljeret, hvad der er en Linux Firewall, hvordan den fungerer, og hvad den gør for dig i vores detaljerede Linux Firewall-artikel.
Open-Source Firewall-værktøjer til dine Linux-systemer
nftables & iptables
nftables er en efterfølger af iptables og er en del af Netfilter Linux-kerneprojektet, der muliggør firewalling, netværksadresse og portoversættelse og pakkefiltrering.
iptables
Iptables er et almindeligt navn i firewalldomænet. Det er en firewalling-software, der giver dig mulighed for at definere regelsæt. Det har en terminalbaseret implementering, og erfarne Linux-serveradministratorer bruger det, fordi det er effektivt og tilpasses. Alligevel kan det også være komplekst at konfigurere for nybegyndersystemadministratorer. Datapakkefiltreringsopgaver finder sted fra systemkernen. Iptables-firewallens funktioner og egenskaber er som følger:
- Det har pakkefilter-regelsæt, der understøtter indholdsliste.
- Implementerer en tilgang til inspektion af pakkehoved, hvilket gør firewallen bekvemt hurtig.
- Redigerbare pakkefilterregelsæt gør det muligt for en bruger at tilføje, redigere eller fjerne en firewallkonfigurationsregel.
- Du kan bruge den til sikkerhedskopiering og gendannelse af datafiler, der er knyttet til firewallens funktionalitet.
nftables
nftables er efterfølgeren til iptables, og det giver mere fleksibilitet, skalerbarhed og klassificering af præstationspakker. nftables er udskiftning af iptables siden 2014 og er tilgængelig for systemadministrator via kommandolinjeværktøjet nft. Imidlertid går iptables ikke overalt snart, da det stadig bruges i vid udstrækning i iptables-beskyttede netværk. Nftables har tilføjet ny funktionalitet og fleksibilitet til Netfilter-pakken. Dets vigtigste funktioner inkluderer:
- Det tilbyder en netværksspecifik virtuel maskine gennem nft kommandolinjeværktøj.
- Systemadministratorer kan opnå høj ydeevne gennem kort og sammenkædninger.
- Den har en mindre kernekodebase med potentiale til at give pakken mulighed for at levere nye funktioner gennem opgradering af kommandolinjeværktøjet for userpace uden nødvendigvis at skulle opgradere kernen.
- Det har en samlet og konsistent syntaks for hver supportprotokolfamilie.
Firewalld & ukompliceret firewall
Firewalld og ukompliceret firewall (UFC) er brugervenlige firewallimplementeringer introduceret som Netfilter-tolke på højere niveau. De er designet til at løse netværkssikkerhedsproblemer, som stand-alone computere står over for.
Firewalld
Firewalld er en del af systemd-familien og er standardværktøj til firewallhåndtering til RHEL, CentOS, Fedora, SUSE og OpenSUSE. Firewalld er en dynamisk styret firewall med understøttelse af netværk eller firewallzoner. Zoner gør det let for brugerne at definere tillidsniveauer for netværksgrænseflader og forbindelser. Den har understøttelse af firewallindstillinger til IPv4, IPv6, Ethernet-broer og IP-sæt. Dens vigtigste funktioner og fordele inkluderer:
- Det har en komplet D-Bus API, der gør det nemt for applikationer, tjenester og brugere at tilpasse firewallindstillinger.
- IPv4-, IPv6-, bridge- og ipset-understøttelse.
- IPv4 og IPv6 NAT-understøttelse.
- Understøttelse af firewallzoner, der indeholder foruddefinerede zoner og tjenester.
- Tidsbestemte firewallregler giver systemadministratorer fleksibiliteten til at adskille permanente og runtime-konfigurationer, hvilket gør det muligt at udføre netværkstests og netværksevalueringer i realtid.
- Du kan konfigurere indstillinger ved hjælp af firewall-cmd-terminalkommandoen og gennem et grafisk konfigurationsværktøj.
Firewalld har en bred tilgængelighed og kan også installeres i anden distribution som Debian og Ubuntu. Efter installationen skal du aktivere og aktivere firewalld ved opstartstidspunktet for at den skal være effektiv.
UFW - Ukompliceret firewall
Ubuntu-servere leveres som standard med den ukomplicerede firewall. Dens designmål var at udvikle en mindre kompleks og brugervenlig firewall end iptables fra Netfilter-pakken. Firewall pakker også en GUI kaldet GUFW til Ubuntu- og Debian-brugere. Vi kan sammenfatte dets funktioner som følger:
- Understøtter IPV6
- Statusovervågning
- Den kan udvides og kan let integreres med andre applikationer
- Du kan tilføje, fjerne eller ændre firewallregler efter dine præferencer
- Har en tænd / sluk-facilitet som en udvidelse af dens logningsmuligheder
pfSense
pfSense-firewall har en brugerdefineret kerne baseret på FreeBSD, og den beskriver sig selv som den mest pålidelige open source-firewall. Det er blevet rost for dets pålidelighed og funktioner på kommercielt niveau. Den konceptualiserer Stateful Packet-filtrering. Den er tilgængelig som en hardwareenhed, et virtuelt apparat og en binær, der kan downloades til community-udgaven. Premium- eller kommercielversionen af firewallen leveres med en tung pris. Dens vigtigste funktioner er som følger:
- Belastningsafbalancering for indgående og udgående trafik
- Giver serverens information i realtid og henvender sig til trafikformning
- Dens konfiguration kan få det til at fungere som et VPN-slutpunkt og som et trådløst adgangspunkt
- Den kan implementeres som en DHCP- og DNS-server, en firewall og som en router
- Den har en webbaseret grænseflade, hvorfra den kan opgraderes eller konfigureres fleksibelt
- Det tilbyder høj tilgængelighed
- Du kan bruge den på mere end en internetforbindelse.
IPFire
IPFire er en brugervenlig open source-firewall, der fungerer bedst i et lille kontor hjemmekontor eller miljø. Det er en stateful firewall bygget oven på Netfilter. Det er meget fleksibelt og med mange modulære overvejelser i sit design. Det kan bruges som en firewall, VPN-gateway eller proxyserver. Det kvalificerer sig også som en SPI-firewall (Stateful Packet Inspection). Et resumé af dets funktioner er som følger:
- Indholdsfiltrering
- Mulighed for multi-implementering kan være som en VPN-gateway, en proxyserver eller en firewall.
- Den har en indbygget IDS (indtrængningsdetektionssystem) funktionalitet til at opdage og forhindre angreb fra dag et.
- Dens støtte strækker sig til chats, fora og wiki.
- Giver et virtualiseringsmiljø gennem sin understøttelse af hypervisorer som Xen, VMWare og KVM
- Den understøtter en farvekodet sikkerhedskonfiguration, der gør den brugervenlig.
- Du kan øge dens funktionaliteter gennem praktiske tilføjelser som Guardian, som kan implementere automatisk forebyggelse.
OPNsense
OPNSense er en fork af pfSense og m0n0wall open source-projekterne. Det er drevet af HardenedBSD, som er en fork af den sikkerhedsorienterede OS FreeBSD. Det kan bruges som en firewall og routingplatform. Det er blevet vedtaget på grund af følgende;
- Det kan bruges til at filtrere trafik, forme trafik og vise en intern portal.
- Det har sikkerheds- og firewallfunktioner som IPSec, Netflow, Proxy, VPN, Webfilter osv.
- Det bruger et indbygget system til forebyggelse af indtrængen med dyb pakkeinspektion til at opdage og forhindre netværksindbrud.
- Det tilbyder ugentlige sikkerhedsopdateringer.
- Den har en webbaseret grænseflade tilgængelig på flere sprog som fransk, kinesisk, russisk osv.
- Det er kompatibelt med 32-bit og 64-bit systemarkitektur.
Endian
Endian Firewall Community konceptiserer en stateful firewall til netværksbeskyttelse og pakkeinspektion. Det kan omdanne et metal-hardware til bare metal til en kraftfuld sikkerhedsløsning, der omfatter en gateway VPN, firewall, antivirus, proxy og indholdsfiltrering. Dens vigtigste funktioner er som følger:
- VPN-support med IPSec
- Netværksovervågning og -logning i realtid.
- Tovejs firewall
- Realtidsrapportering af netværksaktiviteter og ressourceforbrug som båndbredde osv.
- Giver mailserveres sikkerhed gennem Spam Auto-Learning, SMTP-proxyer, Greylisting og POP3-proxyer.
- Giver webserver sikkerhed gennem URL-sortliste, antivirus, HTTP og FTP-proxyer.
Config Server Security & Firewall (CSF)
Config Server Security & Firewall (CSF) er en alsidig software på tværs af platforme. Den konceptualiserer en stateful firewall, SPI (Stateful Packet Inspection), login detektion og Linux systems sikkerhedsløsning. Firewall understøttes af adskillige værter som RHEL / CentOS, CloudLinux, Fedora, Debian, Ubuntu, OpenSUSE, Slackware og virtuelle miljøer som VMware, Virtuozzo, XEN, OpenVZ, Virtualbox og KVM. Dens nøglefunktioner inkluderer:
- Det har et ligetil SPI-firewall-script
- IPv6-understøttelse med ip6tables
- Det har et avanceret system til påvisning af indtrængen og kan advare dig om ændringer i system- og applikationsbinarier.
- Kan beskytte en Linux-boks fra dødsfaldet og syn-oversvømmelsesangreb
- Let at administrere og konfigurere
- Kan arbejde med et konfigureret e-mail-alarmsystem til at sende underretninger om usædvanlige netværksaktiviteter eller registrerede indtrængen.
- Den har en UI-integration til cPanel, DirectAdmin, CentOS Web Panel osv.
Shorewall
Shorewall er et open source-firewall- og gateway-konfigurationsværktøj til GNU / Linux-miljøet. Linux-kernen er kendt for sin integration med et Netfilter-system. Det er fra dette system, der tilvejebringes et grundlag for udvikling eller oprettelse af denne firewall. Dens funktioner kan opsummeres som følger:
- Understøtter VPN
- Understøtter portvideresendelse og maskering
- Understøtter flere internetudbydere
- Et Webmin-kontrolpanel er en del af dets GUI-interface
- Centraliseret firewalladministration
- Understøtter adskillige gateway-, routere- og firewall-applikationer.
- Det styrer stateful pakkefiltrering gennem Connection Tracking faciliteter leveret af Netfilter.
NG Firewall
NG Firewall er en del af Untangle-platformen, som giver løsninger til at beskytte dit netværk. Untangle-platformen fungerer som en appbutik for at aktivere eller deaktivere bestemte moduler baseret på dine krav. Den gratis version af Untangle leveres med NG Firewall og kan installeres på en server, virtuel maskine og cloud. Du kan opgradere Untangle til den betalte version for at låse op for flere funktioner. Untangle leverer også softwaren i en enkeltstående hardwarepakke, der leveres med den forudinstallerede softwarepakke.
Resumé
En firewall holder dit netværk sikkert, sundt og organiseret gennem indtrængningsbeskyttelse og de godkendelses- og autorisationsprotokoller, det indfører. Inden du vælger den firewallsoftware, der skal bruges, skal du overveje netværksinfrastrukturens størrelse, krævede sikkerhedslag og antallet af netværksenheder, du vil administrere. Firewall-værktøjet skal vedligeholdes aktivt med regelmæssige sikkerhedsrettelser og fungerer godt for en typisk bruger. Typiske brugere foretrækker muligvis et system med en webgrænseflade eller GUI, mens en Linux-brugeroplevelse måske er fortrolig med at arbejde med firewallværktøjerne gennem kommandolinjen.