Många Linux-distros har standard brandväggar inbyggda i kärnan och kan konfigureras för att erbjuda utmärkt försvar mot nätverksintrång. Firewalld är till exempel standard brandväggsprogramvara för Fedora, Red Hat, CentOS distros, medan Debian och Ubuntu levereras med den okomplicerade brandväggen.
Det finns många open source-brandväggsprogram att välja mellan beroende på din expertisnivå, infrastrukturens storlek att skydda, användarvänlighet eller till och med om det finns ett grafiskt verktyg för brandväggen. Denna artikel kommer att lyfta fram Linux-brandväggsverktyg i ingen särskild ordning. Den bästa brandväggen varierar från en användare till en annan, beroende på dina krav. Att skapa ett elastiskt och säkert nätverk för att förhindra dataintrång kräver en omfattande uppsättning verktyg och konfigurationer.
Varför brandvägg?
En välkonfigurerad brandvägg är din dators eller nätverks första försvar mot nätverksintrång och kan förhindra dataförlust och intrång. En brandvägg är en uppsättning regler som reglerar förflyttning av datapaket in och ut ur ett skyddat nätverk. Du kanske vill veta i detalj vad som är en Linux-brandvägg, hur den fungerar och vad den gör för dig i vår detaljerade Linux-brandväggsartikel.
Öppna källkods brandväggsverktyg för dina Linux-system
nftables & iptables
nftables är en efterföljare till iptables och ingår i Netfilter Linux-kärnprojektet, vilket möjliggör brandvägg, nätverksadress och portöversättning och paketfiltrering.
iptables
Iptables är ett vanligt namn i brandväggsdomänen. Det är en brandväggsprogramvara som låter dig definiera regler. Den har en terminalbaserad implementering och erfarna Linux-serveradministratörer använder den eftersom den är effektiv och anpassningsbar. Ändå kan det också vara komplicerat att konfigurera för nybörjarsystemadministratörer. Uppgifter för datapaketfiltrering sker från systemkärnan. Funktionerna och attributen för iptables-brandväggen är som följer:
- Den har paketfilterregler som stöder innehållslistning.
- Implementerar en metod för inspektion av pakethuvud, vilket gör brandväggen bekvämt snabb.
- Med redigerbara paketfilterregler kan en användare lägga till, redigera eller ta bort en brandväggskonfigurationsregel.
- Du kan använda den för säkerhetskopiering och återställning av datafiler kopplade till brandväggens funktionalitet.
nftables
nftables är efterföljaren till iptables, och det möjliggör mer flexibilitet, skalbarhet och prestandapaketklassificering. nftables är ersättningen av iptables sedan 2014 och är tillgänglig för systemadministratör via kommandoradsverktyget nft. Iptables går dock inte någonstans snart eftersom de fortfarande används i stor utsträckning i iptables-skyddade nätverk. Nftables har lagt till ny funktionalitet och flexibilitet i Netfilter-paketet. Dess huvudfunktioner inkluderar:
- Det erbjuder en nätverksspecifik virtuell maskin via nft kommandoradsverktyg.
- Systemadministratörer kan uppnå hög prestanda genom kartor och sammanfogningar.
- Den har en mindre kärnkodbas med potential att låta paketet leverera nya funktioner genom att uppgradera kommandoradsverktyget för userpace utan att nödvändigtvis behöva uppgradera kärnan.
- Den har en enhetlig och konsekvent syntax för varje supportprotokollfamilj.
Firewalld & Okomplicerad brandvägg
Firewalld och Uncomplicated firewall (UFC) är användarvänliga brandväggsimplementeringar introducerade som Netfilter-tolkar på högre nivå. De är utformade för att lösa nätverkssäkerhetsproblem för fristående datorer.
Firewalld
Firewalld är en del av systemd-familjen och är standard brandväggshanteringsverktyget för RHEL, CentOS, Fedora, SUSE och OpenSUSE. Firewalld är en dynamiskt hanterad brandvägg med stöd för nätverks- eller brandväggzoner. Zoner gör det enkelt för användare att definiera tillitsnivåer för nätverksgränssnitt och anslutningar. Den har stöd för brandväggsinställningar för IPv4, IPv6, Ethernet-broar och IP-uppsättningar. Dess huvudsakliga funktioner och fördelar inkluderar:
- Den har ett komplett D-Bus API som gör det enkelt för applikationer, tjänster och användare att anpassa brandväggsinställningar.
- Stöd för IPv4, IPv6, bridge och ipset.
- IPv4 och IPv6 NAT-stöd.
- Stöd för brandväggszoner som har fördefinierade zoner och tjänster.
- Tidsbestämda brandväggsregler ger systemadministratörer flexibiliteten att separera permanenta och runtime-konfigurationer, vilket gör det möjligt att göra nätverkstester och nätverksutvärderingar i realtid.
- Du kan konfigurera inställningar med hjälp av kommandot brandvägg-cmd-terminal och via ett grafiskt konfigurationsverktyg.
Firewalld har en bred tillgänglighet och kan också installeras i annan distribution som Debian och Ubuntu. Efter installationen måste du aktivera och aktivera firewalld vid start för att den ska vara effektiv.
UFW - Okomplicerad brandvägg
Ubuntu-servrar levereras med den okomplicerade brandväggen som standard. Dess designmål var att utveckla en mindre komplex och användarvänlig brandvägg än iptables från Netfilter-paketet. Brandväggen paketerar också ett GUI som heter GUFW för användare av Ubuntu och Debian. Vi kan sammanfatta dess funktioner på följande sätt:
- Stöder IPV6
- Statusövervakning
- Det är utdragbart och kan enkelt integreras med andra applikationer
- Du kan lägga till, ta bort eller ändra brandväggsregler efter dina önskemål
- Har en på / av-anläggning som en förlängning av loggningsalternativen
pfSense
pfSense brandvägg har en anpassad kärna baserad på FreeBSD, och den beskriver sig själv som den mest betrodda öppen källkods brandväggen. Det har fått beröm för sin tillförlitlighet och funktioner på kommersiell nivå. Den konceptualiserar Stateful Packet-filtrering. Den finns som en hårdvaruenhet, virtuell apparat och en nedladdningsbar binär för community-utgåvan. Premium- eller kommersiell version av brandväggen levereras med en tung prislapp. Dess främsta funktioner är som följer:
- Lastbalansering för in- och utgående trafik
- Ger serverns realtidsinformation och tillgodoser trafikformning
- Dess konfiguration kan få den att fungera som en VPN-slutpunkt och som en trådlös åtkomstpunkt
- Den kan distribueras som en DHCP- och DNS-server, en brandvägg och som en router
- Den har ett webbaserat gränssnitt där det kan uppgraderas eller konfigureras flexibelt
- Det erbjuder hög tillgänglighet
- Du kan använda den på mer än en internetanslutning.
IPFire
IPFire är en lättanvänd brandvägg med öppen källkod som fungerar bäst i en Small Office Home-miljö eller miljö. Det är en statlig brandvägg byggd ovanpå Netfilter. Det är mycket flexibelt och med många modulära överväganden i sin design. Den kan användas som en brandvägg, VPN-gateway eller proxyserver. Det kvalificeras också som en SPI-brandvägg (Stateful Packet Inspection). En sammanfattning av dess funktioner är följande:
- Innehållsfiltrering
- Multidistribution kan vara som en VPN-gateway, en proxyserver eller en brandvägg.
- Den har en inbyggd IDS-funktion (intrångsdetektionssystem) för att upptäcka och förhindra attacker från dag ett.
- Dess stöd sträcker sig till chattar, forum och Wiki.
- Ger en virtualiseringsmiljö genom stöd för hypervisorer som Xen, VMWare och KVM
- Den stöder en färgkodad säkerhetskonfiguration som gör den användarvänlig.
- Du kan öka dess funktioner genom praktiska tillägg som Guardian, som kan implementera automatisk förebyggande.
OPNsense
OPNSense är en gaffel med pfSense och m0n0wall open source-projekt. Den drivs av HardenedBSD, som är en gaffel för det säkerhetsorienterade OS FreeBSD. Den kan användas som en brandvägg och routningsplattform. Det har antagits på grund av följande;
- Den kan användas för att filtrera trafik, forma trafik och visa en intern portal.
- Den har säkerhets- och brandväggsfunktioner som IPSec, Netflow, Proxy, VPN, webbfilter, etc.
- Det använder ett inbyggt system för förebyggande av intrång med djup paketinspektion för att upptäcka och förhindra nätverksintrång.
- Den erbjuder säkerhetsuppdateringar varje vecka.
- Den har ett webbaserat gränssnitt tillgängligt på flera språk som franska, kinesiska, ryska, etc.
- Den är kompatibel med 32-bitars och 64-bitars systemarkitektur.
Endian
Endian Firewall Community konceptualiserar en statlig brandvägg för nätverksskydd och paketinspektion. Det kan förvandla en hårdmetallapparat av metall till en kraftfull säkerhetslösning som består av en gateway VPN, brandvägg, antivirus, proxy och innehållsfiltrering. Dess främsta funktioner är som följer:
- VPN-stöd med IPSec
- Nätverksövervakning och loggning i realtid.
- Dubbelriktad brandvägg
- Realtidsrapportering av nätverksaktiviteter och resursanvändning som bandbredd osv.
- Ger e-postservrar säkerhet genom Spam Auto-Learning, SMTP-proxyservrar, Greylisting och POP3-proxyservrar.
- Ger webbserversäkerhet genom URL-svartlista, antivirus-, HTTP- och FTP-proxyservrar.
Config Server Security & Firewall (CSF)
Config Server Security & Firewall (CSF) är en mångsidig plattformsprogramvara. Den konceptualiserar en statlig brandvägg, SPI (Stateful Packet Inspection), inloggningsdetektering och Linux-säkerhetslösning. Brandväggen stöds av många värdar som RHEL / CentOS, CloudLinux, Fedora, Debian, Ubuntu, OpenSUSE, Slackware och virtuella miljöer som VMware, Virtuozzo, XEN, OpenVZ, Virtualbox och KVM. Dess viktigaste funktioner inkluderar:
- Den har ett enkelt SPI-brandväggsskript
- IPv6-stöd med ip6tables
- Den har ett avancerat system för upptäckt av intrång och kan varna dig för ändringar i system- och applikationsbinarier.
- Kan skydda en Linux-låda från dödens ping och syn översvämningsattacker
- Lätt att hantera och konfigurera
- Kan arbeta med ett konfigurerat e-postvarningssystem för att skicka meddelanden om ovanliga nätverksaktiviteter eller upptäckta intrång.
- Den har en UI-integration för cPanel, DirectAdmin, CentOS Web Panel, etc.
Shorewall
Shorewall är en open source-brandvägg och gateway-konfigurationsverktyg för GNU / Linux-miljön. Linux-kärnan är känd för sin integration med ett Netfilter-system. Det är från detta system som en grund ges för utveckling eller skapande av denna brandvägg. Dess funktioner kan sammanfattas enligt följande:
- Stöder VPN
- Stöder port vidarebefordran och maskering
- Stöder flera ISP
- En Webmin-kontrollpanel är en del av dess GUI-gränssnitt
- Centraliserad brandväggsadministration
- Stöder många gateway-, routers- och brandväggsprogram.
- Den hanterar stateful paketfiltrering genom Connection Tracking Facility som tillhandahålls av Netfilter.
NG brandvägg
NG Firewall är en del av Untangle-plattformen, som tillhandahåller lösningar för att skydda ditt nätverk. Untangle-plattformen fungerar som en appbutik för att aktivera eller inaktivera vissa moduler baserat på dina krav. Den fria versionen av Untangle levereras med NG Firewall och kan installeras på en server, virtuell maskin och moln. Du kan uppgradera Untangle till den betalda versionen för att låsa upp fler funktioner. Untangle tillhandahåller också programvaran i ett fristående hårdvarupaket som levereras med förinstallerat programvarupaket.
Sammanfattning
En brandvägg håller ditt nätverk säkert, hälsosamt och organiserat genom intrångsskydd och autentiserings- och auktoriseringsprotokoll som det sätter på plats. Innan du väljer den brandväggsprogramvara som ska användas bör du överväga nätverksinfrastrukturens storlek, säkerhetslager som krävs och antalet nätverksenheter du vill hantera. Brandväggsverktyget måste underhållas aktivt med vanliga säkerhetsuppdateringar och fungera bra för en typisk användare. Typiska användare kanske föredrar ett system med ett webbgränssnitt eller GUI, medan en Linux-upplevelse kan vara bekväm med att arbeta med brandväggsverktygen via kommandoraden.