Mange Linux-distroer har standard brannmurer innebygd i kjernen og kan konfigureres til å tilby utmerket forsvar mot nettverksinnbrudd. Firewalld er for eksempel standard brannmurprogramvare for Fedora, Red Hat, CentOS distros, mens Debian og Ubuntu leveres med den ukompliserte brannmuren.
Det er mange åpen kildekode-brannmurprogramvare å velge mellom, avhengig av kompetansenivå, størrelsen på infrastrukturen som skal beskyttes, brukervennlighet eller til og med om det er et grafisk verktøy for brannmuren. Denne artikkelen vil fremheve Linux-brannmurverktøy i ingen bestemt rekkefølge. Den beste brannmuren vil variere fra bruker til bruker, avhengig av dine behov. Å lage et elastisk og sikkert nettverk for å forhindre databrudd krever et omfattende sett med verktøy og konfigurasjoner.
Hvorfor brannmur?
En godt konfigurert brannmur er datamaskinens eller nettverkets første forsvarslinje mot nettverksinnbrudd og kan forhindre tap av data og brudd. En brannmur er et sett med regler som regulerer bevegelse av datapakker inn og ut av et beskyttet nettverk. Det kan være lurt å vite i detalj hva som er en Linux-brannmur, hvordan den fungerer, og hva den gjør for deg i vår detaljerte Linux-brannmur-artikkel.
Open Source-brannmurverktøy for Linux-systemene dine
nftables & iptables
nftables er en etterfølger av iptables og er en del av Netfilter Linux-kjerneprosjektet, som muliggjør brannmur, nettverksadresse og portoversettelse og pakkefiltrering.
iptables
Iptables er et vanlig navn i brannmurdomenet. Det er en brannmurprogramvare som lar deg definere regelsett. Den har en terminalbasert implementering, og erfarne Linux-serveradministratorer bruker den fordi den er effektiv og tilpassbar. Likevel kan det også være komplisert å konfigurere for nybegynnere. Datapakkefiltreringsoppgaver finner sted fra systemkjernen. Funksjonene og egenskapene til iptables-brannmuren er som følger:
- Den har pakkefilterregelsett som støtter innholdsoppføring.
- Implementerer en tilnærming til inspeksjon av pakkehode, noe som gjør brannmuren praktisk raskt.
- Med redigerbare regler for pakkerfilter kan en bruker legge til, redigere eller fjerne en brannmurkonfigurasjonsregel.
- Du kan bruke den til sikkerhetskopiering og gjenoppretting av datafiler knyttet til brannmurens funksjonalitet.
nftables
nftables er etterfølgeren til iptables, og det gir mer fleksibilitet, skalerbarhet og klassifisering av ytelsespakker. nftables er erstatning for iptables siden 2014 og er tilgjengelig for systemadministrator gjennom kommandolinjeverktøyet nft. Imidlertid går iptables ikke hvor som helst snart, da det fortsatt er mye brukt i iptables-beskyttede nettverk. Nftables har lagt til ny funksjonalitet og fleksibilitet i Netfilter-pakken. Hovedtrekkene inkluderer:
- Det tilbyr en nettverksspesifikk virtuell maskin gjennom nft kommandolinjeverktøy.
- Systemadministratorer kan oppnå høy ytelse gjennom kart og sammenkoblinger.
- Den har en mindre kjernekodebase med potensial til å la pakken levere nye funksjoner gjennom oppgradering av kommandolinjeverktøyet for brukerområdet uten nødvendigvis å måtte oppgradere kjernen.
- Den har en enhetlig og konsistent syntaks for hver støtteprotokollfamilie.
Brannmur og ukomplisert brannmur
Firewalld og Ucomplicated firewall (UFC) er brukervennlige brannmurimplementeringer introdusert som Netfilter-tolker på høyere nivå. De er designet for å løse nettverkssikkerhetsproblemer som frittstående datamaskiner står overfor.
Firewalld
Firewalld er en del av systemd-familien og er standard verktøy for brannmuradministrasjon for RHEL, CentOS, Fedora, SUSE og OpenSUSE. Firewalld er en dynamisk administrert brannmur med støtte for nettverks- eller brannmursoner. Soner gjør det enkelt for brukere å definere tillitsnivåer for nettverksgrensesnitt og tilkoblinger. Den har støtte for brannmurinnstillinger for IPv4, IPv6, Ethernet-broer og IP-sett. Hovedtrekkene og fordelene inkluderer:
- Den har et komplett D-Bus API som gjør det enkelt for applikasjoner, tjenester og brukere å tilpasse brannmurinnstillinger.
- Støtte for IPv4, IPv6, bridge og ipset.
- IPv4 og IPv6 NAT-støtte.
- Støtte for brannmursoner som har forhåndsdefinerte soner og tjenester.
- Tidsbestemte brannmurregler gir systemadministratorer fleksibilitet til å skille mellom permanente og kjøretidskonfigurasjoner, noe som gjør det mulig å gjøre nettverkstester og nettverksevalueringer i sanntid.
- Du kan konfigurere innstillinger ved hjelp av brannmuren-cmd terminalkommando og gjennom et grafisk konfigurasjonsverktøy.
Firewalld har bred tilgjengelighet og kan også installeres i annen distribusjon som Debian og Ubuntu. Etter installasjon må du aktivere og aktivere firewalld ved oppstart for at den skal være effektiv.
UFW - Ukomplisert brannmur
Ubuntu-servere leveres med den ukompliserte brannmuren som standard. Designmålet var å utvikle en mindre kompleks og brukervennlig brannmur enn iptables fra Netfilter-pakken. Brannmuren pakker også en GUI kalt GUFW for brukere av Ubuntu og Debian. Vi kan oppsummere funksjonene som følger:
- Støtter IPV6
- Statusovervåking
- Den kan utvides og kan enkelt integreres med andre applikasjoner
- Du kan legge til, fjerne eller endre brannmurregler etter eget ønske
- Har et av / på-anlegg som en utvidelse av loggingsalternativene
pfSense
pfSense-brannmur har en egendefinert kjerne basert på FreeBSD, og den beskriver seg selv som den mest pålitelige brannmuren med åpen kildekode. Det har blitt rost for påliteligheten og kommersielle funksjoner. Den konseptualiserer Stateful Packet-filtrering. Den er tilgjengelig som en maskinvareenhet, virtuelt apparat og en nedlastbar binær for community-utgaven. Premium eller kommersiell versjon av brannmuren kommer med en tung prislapp. De viktigste funksjonene er som følger:
- Lastbalansering for inn- og utgående trafikk
- Tilbyr serverens sanntidsinformasjon og henvender seg til trafikkforming
- Konfigurasjonen kan gjøre at den fungerer som et VPN-sluttpunkt og som et trådløst tilgangspunkt
- Den kan distribueres som en DHCP- og DNS-server, en brannmur og som en ruter
- Den har et nettbasert grensesnitt hvorfra det kan oppgraderes eller konfigureres fleksibelt
- Det tilbyr høy tilgjengelighet
- Du kan bruke den på mer enn én internettforbindelse.
IPFire
IPFire er en brukervennlig åpen kildekode-brannmur som fungerer best i et hjemmekontorinnstillinger eller miljø. Det er en stateful brannmur bygget på toppen av Netfilter. Det er svært fleksibelt og med mange modulære hensyn i utformingen. Den kan brukes som en brannmur, VPN-gateway eller proxy-server. Den kvalifiserer også som en SPI-brannmur (Stateful Packet Inspection). Et sammendrag av funksjonene er som følger:
- Innholdsfiltrering
- Fasilitering med flere distribusjoner kan være som en VPN-gateway, en proxy-server eller en brannmur.
- Den har en innebygd IDS (innbruddsdeteksjon) funksjonalitet for å oppdage og forhindre angrep fra første dag.
- Støtten strekker seg til samtaler, forum og wiki.
- Tilbyr et virtualiseringsmiljø gjennom støtte for hypervisorer som Xen, VMWare og KVM
- Den støtter en fargekodet sikkerhetskonfigurasjon som gjør den brukervennlig.
- Du kan øke funksjonaliteten gjennom praktiske tillegg som Guardian, som kan implementere automatisk forebygging.
OPNsense
OPNSense er en gaffel av pfSense og m0n0wall open source-prosjekter. Den drives av HardenedBSD, som er en gaffel av det sikkerhetsorienterte OS FreeBSD. Den kan brukes som en brannmur og ruteplattform. Det er blitt adoptert på grunn av følgende;
- Den kan brukes til å filtrere trafikk, forme trafikk og vise en intern portal.
- Den har sikkerhets- og brannmurfunksjoner som IPSec, Netflow, Proxy, VPN, Webfilter, etc.
- Den bruker et innebygd forebyggingssystem med dyp pakkeinspeksjon for å oppdage og forhindre nettverksinntrenging.
- Det tilbyr ukentlige sikkerhetsoppdateringer.
- Den har et nettbasert grensesnitt tilgjengelig på flere språk som fransk, kinesisk, russisk osv.
- Den er kompatibel med 32-biters og 64-biters systemarkitektur.
Endian
Endian Firewall Community konseptualiserer en stateful brannmur for nettverksbeskyttelse og pakkeinspeksjon. Det kan forvandle et metall-maskinvare til en kraftig sikkerhetsløsning som består av en gateway VPN, brannmur, antivirus, proxy og innholdsfiltrering. De viktigste funksjonene er som følger:
- VPN-støtte med IPSec
- Sanntids nettverksovervåking og logging.
- Toveis brannmur
- Sanntidsrapportering av nettverksaktiviteter og ressursbruk som båndbredde osv.
- Gir e-postservers sikkerhet gjennom Spam Auto-Learning, SMTP-fullmakter, Greylisting og POP3-fullmakter.
- Tilbyr webserversikkerhet gjennom URL-svarteliste, antivirus, HTTP og FTP-proxyer.
Config Server Security & Firewall (CSF)
Config Server Security & Firewall (CSF) er en allsidig programvare på tvers av plattformer. Den konseptualiserer en stateful firewall, SPI (Stateful Packet Inspection), påloggingsdeteksjon og Linux-systemsikkerhetsløsning. Brannmuren støttes av mange verter som RHEL / CentOS, CloudLinux, Fedora, Debian, Ubuntu, OpenSUSE, Slackware og virtuelle miljøer som VMware, Virtuozzo, XEN, OpenVZ, Virtualbox og KVM. Hovedtrekkene inkluderer:
- Den har et greit SPI-brannmurskript
- IPv6-støtte med ip6tables
- Den har et avansert inntrengingsdeteksjonssystem og kan varsle deg om endringer i system- og applikasjonsbinarier.
- Kan skjerme en Linux-boks fra dødsfallet og syn flomangrep
- Enkel å administrere og konfigurere
- Kan jobbe med et konfigurert e-postvarslingssystem for å sende varsler om uvanlige nettverksaktiviteter eller oppdagede innbrudd.
- Den har en UI-integrasjon for cPanel, DirectAdmin, CentOS Web Panel, etc.
Strandvegg
Shorewall er en åpen kildekode-brannmur og gateway-konfigurasjonsverktøy for GNU / Linux-miljøet. Linux-kjernen er kjent for integrering med et Netfilter-system. Det er fra dette systemet det er grunnlag for utvikling eller opprettelse av denne brannmuren. Funksjonene kan oppsummeres som følger:
- Støtter VPN
- Støtter portoverføring og maskering
- Støtter flere Internett-leverandører
- Et Webmin Kontrollpanel er en del av GUI-grensesnittet
- Sentralisert brannmuradministrasjon
- Støtter mange gateway-, rutere- og brannmurapplikasjoner.
- Den styrer stateful pakkefiltrering gjennom Connection Tracking Facilities levert av Netfilter.
NG-brannmur
NG Firewall er en del av Untangle-plattformen, som gir løsninger for å beskytte nettverket ditt. Untangle-plattformen fungerer som en appbutikk for å aktivere eller deaktivere bestemte moduler basert på dine krav. Den gratis versjonen av Untangle kommer med NG-brannmuren og kan installeres på en server, virtuell maskin og sky. Du kan oppgradere Untangle til den betalte versjonen for å låse opp flere funksjoner. Untangle leverer også programvaren i en frittstående maskinvarepakke som følger med programvarepakken forhåndsinstallert.
oppsummering
En brannmur holder nettverket ditt sikkert, sunt og organisert gjennom inntrengingsbeskyttelse og autentiserings- og autorisasjonsprotokollene det setter på plass. Før du velger brannmurprogramvaren du skal bruke, bør du vurdere nettverksinfrastrukturens størrelse, nødvendige sikkerhetslag og antall nettverksenheter du vil administrere. Brannmurverktøyet må vedlikeholdes aktivt med vanlige sikkerhetsoppdateringer og fungere bra for en typisk bruker. Typiske brukere foretrekker kanskje et system med et webgrensesnitt eller GUI, mens en Linux-brukeropplevelse kan være komfortabel med å jobbe med brannmurverktøyene gjennom kommandolinjen.