✅ Bedste firewall til Linux -systemer

Indholdsfortegnelse

En af de mest effektive sikkerhedsforanstaltninger, som vi kan implementere i enhver organisation, herunder på personligt plan, er brugen af en firewall, der opfylder funktionen med at overvåge og kontrollere den måde, netværkspakker kommer ind og forlader det lokale netværk.

En firewall giver dig mulighed for at aktivere eller deaktivere trafik gennem bestemte havne, tilføje nye trafikregler og dermed have en meget mere præcis og direkte kontrol over hele netværksproblemet, som er et af de mest sarte på sikkerhedsniveau.

I dag vil Solvetic analysere nogle af de bedste firewalls til Linux og dermed have et praktisk sikkerhedsalternativ at implementere.

Iptables

Iptables er et kommandolinjeværktøj, der ofte bruges til at konfigurere og administrere pakkefiltreringsreglen, der er angivet i Linux 2.4.x og senere miljøer. Det er et af de mest brugte firewallværktøjer i dag og har evnen til at filtrere pakker på netværksstakken i selve kernen.

Pakken iptables indeholder også ip6tables, med ip6tables kan vi konfigurere IPv6 -pakkefilteret.

Nogle af dens hovedtræk er

Opregner indholdet i pakkefilter -regelsættet

Det inspicerer kun pakkeoverskrifterne, hvilket gør processen meget mere smidig

Giver dig mulighed for at tilføje, fjerne eller ændre regler efter behov i pakkefilter -regelsæt

Understøtter backup og gendannelse med filer.

Iptables på Linux håndterer følgende filer:

Det er et init -script til at starte, stoppe, genstarte og gemme regler

 /etc/init.d/iptables

Denne fil er, hvor regelsættene gemmes

 / etc / sysconfig / iptables

Gælder for Iptables -binarier

 / sbin / iptables

IPCop Firewall

IPCop Firewall er en Linux -firewall -distribution, der er rettet mod hjemmebrugere og SOHO -brugere (lille kontor). IPCop -webgrænsefladen er meget brugervenlig og let at bruge. Du kan konfigurere en computer som en sikker VPN til at give et sikkert miljø over internettet. Det indeholder ofte anvendte oplysninger for at give brugerne en bedre webbrowsingoplevelse.

Blandt dens vigtigste egenskaber har vi

Det har en farvekodet webgrænseflade, som giver os mulighed for at overvåge ydeevne grafik for CPU, hukommelse og disk samt netværksydelse.

Se og roter poster automatisk

Understøttelse af flere sprog

Giver en stabil og let implementerbar sikker opdatering og tilføjer aktuelle patches på sikkerhedsniveau

Der kan vi downloade ISO -billedet eller installationstypen som USB -medium. Dette adskiller sig fra mange firewall -applikationer, da det kan installeres som en Linux -distribution. I dette tilfælde vælger vi ISO -billedet, og vi skal fuldføre trinene i installationsguiden. Når vi har tildelt alle parametrene, har vi adgang til IPCop:

Dens download er tilgængelig på følgende link:

Shorewall

Shorewall er et gateway- eller firewall -konfigurationsværktøj til GNU / Linux. Med Shorewall har vi et værktøj på højt niveau til at konfigurere netværksfiltre, da det giver os mulighed for at definere firewallkrav gennem poster i et sæt definerede konfigurationsfiler.

Shorewall kan læse konfigurationsfilerne og ved hjælp af iptables, iptables-restore, ip og tc-værktøjer kan Shorewall konfigurere Netfilter og Linux-netværksundersystemet til at matche de angivne krav. Shorewall kan bruges i et dedikeret firewall-system, en router, en multifunktionsserver eller et selvstændigt GNU / Linux-system.

Shorewall bruger ikke Netfilters ipchains -kompatibilitetstilstand og kan drage fordel af Netfilters muligheder for sporing af forbindelsesstatus.

Dens hovedtræk er

Brug Netfilters forbindelsessporingsfaciliteter til stateful pakkefiltrering

Understøtter en bred vifte af router-, firewall- og gateway -applikationer

Centraliseret firewallstyring

GUI -interface med Webmin kontrolpanel

Flere ISP support

Understøtter maskering og portvideresendelse

Understøtter VPN

Til installationen udfører vi følgende:

 sudo apt-get installer shorewall

UFW - Ukompliceret firewall

UFW er i øjeblikket placeret som en af de mest nyttige, dynamiske og brugervenlige firewalls i Linux -miljøer. UFW står for Uncomplicated Firewall, og det er et program udviklet til at styre en netfilter firewall. Det giver en kommandolinjegrænseflade og er beregnet til at være enkel og let at bruge, derfor navnet. ufw giver en enkel ramme til administration af netfilter, samt giver os en kommandolinjegrænseflade til at styre firewallen fra terminalen.

Blandt dens egenskaber finder vi

Kompatibel med IPV6

Udvidede logningsmuligheder med log ind og log ud

Overvågning af firewall -sundhed

Ramme, der kan udvides

Kan integreres med applikationer

Det giver mulighed for at tilføje, slette eller ændre regler i henhold til behovene.

Kommandoerne til dens brug er:

 sudo apt-get install ufw (Install UFW) sudo ufw status (Check UFW status) sudo ufw enable (Enable UFW) sudo ufw allow 2290: 2300 / tcp (Tilføj en ny regel)

Vuurmuur

Vuurmuur er en firewall -manager bygget oven på iptables i Linux -miljøer. Den har en enkel og brugervenlig konfiguration, som tillader enkle og komplekse konfigurationer. Konfigurationen kan konfigureres fuldstændigt via en Ncurses GUI, som tillader sikker fjernadministration via SSH eller på konsollen.

Vuurmuur understøtter trafikdannelse, har kraftfulde overvågningsfunktioner, der giver administratoren mulighed for at se logfiler, forbindelser og brug af båndbredde i realtid. Vuurmuur er open source -software og distribueres under betingelserne i GNU GPL

Blandt dens egenskaber finder vi

Kræver ikke omfattende viden om iptables

Har en menneskelæsbar regelsyntaks

Understøtter IPv6 (eksperimentel)

Inkluderer trafikudformning

Ncurses GUI, ingen X kræves

Videresendelsesprocessen er gjort meget enkel

Let at konfigurere med NAT

Inkluderer sikker standardpolitik

Fuldt håndterbar via ssh og fra konsollen (inklusive fra Windows ved hjælp af PuTTY)

Skriptbar til integration med andre værktøjer

Inkluderer anti-spoofing funktioner

Realtids visualisering

Se forbindelsen i realtid

Det har et revisionsspor: alle ændringer registreres

Log over nye forbindelser og dårlige pakker

Realtids trafikmængderegnskab

For installation af Vuurmuur i Ubuntu 17 skal vi tilføje følgende linje i filen /etc/apt/sources.list:

 deb ftp://ftp.vuurmuur.org/ubuntu/ lucid main

I tilfælde af brug af Debian indtaster vi følgende:

 deb ftp://ftp.vuurmuur.org/debian/ squeeze main

Senere vil vi udføre følgende kommandoer:

 sudo apt-get update (opdater pakker) sudo apt-get install libvuurmuur vuurmuur vuurmuur-conf (installer firewall)

Efter installationen kan vi bruge denne firewall til at oprette vores regler.

FORSTØRRE

pfSense

pfSense er en open source -netværksrouter / firewall -softwaredistribution, der er baseret på FreeBSD -operativsystemet. PfSense -softwaren bruges til at oprette dedikerede firewall / router -regler for et netværk og skiller sig ud ved sin pålidelighed og tilbyder flere funktioner, der hovedsageligt findes i kommercielle firewalls.

Pfsense kan bundtes med mange tredjeparts gratis softwarepakker for yderligere funktionalitet.

Blandt dens egenskaber finder vi

Meget konfigurerbar og opdateret fra sin webbaserede grænseflade

Kan implementeres som perimeter firewall, router, DHCP og DNS -server

Kan konfigureres som et trådløst adgangspunkt og VPN -slutpunkt

Tilbyder trafikudformning og oplysninger i realtid om serveren

Indgående og udgående belastningsbalancering.

Der kan vi downloade indstillingen i henhold til den arkitektur, vi arbejder med. Når ISO -billedet er downloadet, fortsætter vi med at brænde det til en cd eller USB -medium og starte derfra. Vi vælger mulighed 1 eller 2, og efter indstilling af indstillingerne starter installationsprocessen.

ISO -billedet af pfSense er tilgængeligt på følgende link:

IPFire

IPFire er designet med forskellige parametre for modularitet og et højt fleksibilitetsniveau, så administratorer nemt kan implementere mange variationer af det, f.eks. En firewall, en proxyserver eller en VPN -gateway. Det modulære design af IPFire sikrer, at det fungerer nøjagtigt i henhold til din konfiguration. Ved at bruge IPFire får vi en enkel administration, og den kan opdateres via pakkelederen, hvilket gør vedligeholdelsen meget enklere.

IPFire -udviklere fokuserede på sikkerhed og udviklede det som en SPI (Stateful Packet Inspection) firewall. De vigtigste egenskaber ved IPFire er baseret på forskellige segmenter, såsom:

SikkerhedHovedformålet med IPFire er sikkerhed og har derfor evnen til at segmentere netværk baseret på deres respektive sikkerhedsniveauer og letter oprettelsen af brugerdefinerede politikker, der administrerer hvert segment.

Sikkerheden ved de modulære komponenter i IPFire er en af dine prioriteter. Opdateringer er digitalt signeret og krypteret, så de automatisk kan installeres af Pakfire (IPFire -pakkehåndteringssystemet). Fordi IPFire har en tendens til at oprette forbindelse direkte til internettet, er dette en sikkerhedsrisiko, da det kan være et primært mål for hackere og andre trusler. Pakfires simple pakkemanager hjælper administratorer med at stole på, at de kører de nyeste sikkerhedsopdateringer og fejlrettelser til alle komponenter, de bruger.

Med IPFire vil vi have et program, der beskytter os mod nul-dages udnyttelser ved at fjerne hele klasser af fejl og udnytte vektorer.

FirewallIPFire anvender en SPI (Stateful Packet Inspection) firewall, som er bygget oven på netfilter (Linux's pakkefiltreringsramme). I IPFire -installationsprocessen konfigureres netværket i forskellige separate segmenter, og hvert segment repræsenterer en gruppe computere, der har et fælles sikkerhedsniveau:

Segmenterne er:

Grønt: Grønt angiver et "sikkert" område. Det er her alle de faste kunder bliver. Det består generelt af et kablet lokalt netværk.

Rød: Rød angiver "fare" i internetforbindelsen. Intet fra netværket må passere gennem firewallen, medmindre vi som administratorer specifikt konfigurerer det.

Blå: Blå repræsenterer den "trådløse" del af det lokale netværk (dens farve blev valgt, fordi den er himmelens farve). Fordi det trådløse netværk har potentiale til brug af brugere, er det entydigt identificeret, og specifikke regler styrer klienter på det. Klienter på dette netværkssegment skal eksplicit godkendes, før de kan få adgang til netværket.

Orange: Orange er kendt som "demilitariseret zone" (DMZ). Alle servere, der er offentligt tilgængelige, er adskilt fra resten af netværket her for at begrænse sikkerhedsbrud.

Der kan vi downloade ISO -billedet af IPFire, da det håndteres som en uafhængig distribution og når boot er konfigureret. Vi skal vælge standardindstillingen, og vi vil følge trinene i guiden. Når vi er installeret, kan vi få adgang via internettet med følgende syntaks:

 http: // IP -adresse: 444

FORSTØRRE

IPFire kan downloades på følgende link:

SmoothWall & SmoothWall Express

SmoothWall er en open source Linux -firewall med en meget konfigurerbar webgrænseflade. Dens webbaserede grænseflade er kendt som WAM (Web Access Manager) SmoothWall tilbydes som en Linux-distribution designet til at blive brugt som en open source-firewall, og dens design er fokuseret på at lette dens konfigurationsbrug, SmoothWall konfigureres via en GUI baseret på wdb , og kræver lidt eller ingen Linux -viden for at installere og bruge.

Blandt dens vigtigste egenskaber finder vi

Understøtter LAN, DMZ og trådløse netværk, ud over eksternt

Filtrering i realtid af indhold

HTTPS -filtrering

Support proxyer

Visning af logfiler og overvågning af firewallaktivitet

Håndtering af trafikstatistik efter IP, interface og forespørgsel

Let at sikkerhedskopiere og gendanne.

Når ISO er downloadet, starter vi fra det, og vi vil se følgende:

Der vælger vi den mest passende mulighed, og vi vil følge trinene i installationsguiden. Ligesom IPFire giver SmoothWall os mulighed for at konfigurere netværkssegmenter til at øge sikkerhedsniveauet. Vi konfigurerer brugerens adgangskoder. På denne måde installeres denne applikation, og vi kan få adgang til den via webgrænsefladen til dens administration:

FORSTØRRE

SmoothWall tilbyder os en gratis version kaldet SmoothWall Express, som kan downloades på følgende link:

ConfigServer Security Firewall (CSF)

Det er blevet udviklet som en meget alsidig tværplatform og firewall, der er baseret på konceptet Stateful Packet Inspection (SPI) firewall. Det understøtter næsten alle virtualiseringsmiljøer som Virtuozzo, OpenVZ, VMware, XEN, KVM og Virtualbox.

CSF kan installeres på følgende operativsystemer

RedHat Enterprise v5 til v7

CentOS v5 til v7

CloudLinux v5 til v7

Fedora v20 til v26

OpenSUSE v10, v11, v12

Debian v3.1 - v9

Ubuntu v6 til v15

Slackware v12

Blandt dens mange egenskaber finder vi

Direkte iptables SPI firewall script

Den har en Daemon-proces, der kontrollerer for login-godkendelsesfejl for: Courier imap, Dovecot, uw-imap, Kerio, openSSH, cPanel, WHM, Webmail (kun cPanel-servere), Pure-ftpd, vsftpd, Proftpd, sider, der er adgangskodebeskyttet ( htpasswd), mod_security -fejl (v1 og v2) og Exim SMTP AUTH.

Regelmæssigt udtryk matchning

POP3 / IMAP loginsporing for at håndhæve timelogins

SSH login notifikation

SU -loginbesked

Overdreven blokering af forbindelsen

Brugergrænsefladeintegration til cPanel, DirectAdmin og Webmin

Nem opgradering mellem versioner fra cPanel / WHM, DirectAdmin eller Webmin

Nem opgradering mellem shell -versioner

Forkonfigureret til at fungere på en cPanel -server med alle standard cPanel -porte åbne

Forkonfigureret til at fungere på en DirectAdmin -server med alle standard DirectAdmin -porte åbne

Autokonfigurer SSH -porten, hvis den ikke er standard i installationen

Blokerer trafik på ubrugte server -IP -adresser - Hjælper med at reducere risikoen for serveren

Advarsler, når slutbruger-scripts sender for mange e-mails pr. Time for at identificere spam-scripts

Mistænkelige procesrapporter - Rapporter om potentielle sårbarheder, der kører på serveren

Overdreven rapportering af brugerprocesser

Bloker trafik på en række bloklister, herunder DShield Block List og Spamhaus DROP List

BOGON pakkebeskyttelse

Forkonfigurerede indstillinger for lav, medium eller høj firewall -sikkerhed (kun cPanel -servere)

IDS (Intrusion Detection System), hvor den sidste detektionslinje advarer dig om ændringer i system- og applikationsbinarierne

SYN Flood Protection og mange flere.

Mulighed 1 InstallationDownload .tgz -filen på følgende link:

Mulighed 2 InstallationEller kør følgende linjer:

 cd / usr / src / wget https://download.configserver.com/csf.tgz tar -xzf csf.tgz cd / usr / src / csf sh install.sh

ClearOS

ClearOS 7, Community Edition er et open source Linux -serveroperativsystem, der er designet til Linux -eksperter og hobbyfolk, der gør brug af open source og bidrager med forslag og nye ideer til et globalt brugersamfund.

Alle opdateringer, fejlrettelser, patches og sikkerhedsrettelser leveres gratis fra upstream -kilder. Funktionerne spænder over mere end 75 it -funktioner fra domænekontrol, netværk og båndbreddekontrol, beskeder og meget mere.

Da det er en Linux -distribution, vil vi downloade ISO -billedet og konfigurere boot på et USB- eller CD / DVD -medium. Vi kan se, at installationsmiljøet ligner Ubuntu. Vi følger trinene i installationsguiden:

Vi konfigurerer root -adgangskoden, og vi fortsætter med installationen. Når vi logger ind, ser vi følgende vindue, hvor vejledningen til adgang via internettet vil blive givet. Vi kan klikke på indstillingen Afslut til tekstkonsol for at få adgang til ClearOS -konsollen. Der kan vi udføre nogle af de tilgængelige handlinger:

ClearOS tilbyder flere produktmuligheder, men den gratis version er Community Edition, som er tilgængelig på følgende link:

OPNsense

OPNsense er en open source, let at bruge og let at bygge FreeBSD-baseret firewall og routingsplatform. OPNsense indeholder de fleste af de funktioner, der er tilgængelige i dyre kommercielle firewalls og indeholder et rigt funktionssæt fra kommercielle tilbud med fordelene ved åbne og verificerbare kilder.

OPNsense startede som en gaffel af pfSense® og m0n0wall i 2014 med sin første officielle udgivelse i januar 2015. OPNsense tilbyder ugentlige sikkerhedsopdateringer i små trin for at være et skridt foran nye trusler i dag. En fast frigivelsescyklus på 2 store udgivelser hvert år giver virksomheder mulighed for at planlægge forbedringer på sikkerhedsniveau.

Nogle af dets vigtigste egenskaber er:

Trafikform

Systemdækkende tofaktorautentificering

Captive portal

Forward Caching Proxy (gennemsigtig) med understøttelse af sortliste

Virtuelt privat netværk med IPsec, OpenVPN og ældre PPTP -understøttelse

Høj tilgængelighed og hardware -failover (med synkroniseret konfiguration og synkroniserede statustabeller)

Indtrængningsdetektion og forebyggelse

Integrerede rapporterings- og overvågningsværktøjer inklusive DRR -diagrammer

Netflow eksportør

Monitorering af netværksflow

Plugin support

DNS -server og DNS -router

DHCP -server og relæ

Dynamisk DNS

Krypteret konfigurationssikkerhedskopi til Google Drev

Sundhedsinspektion Firewall

Granulær kontrol over tilstandsbordet

802.1Q VLAN -understøttelse

Når ISO -billedet er downloadet, fortsætter vi med installationen. Under installationsprocessen er det nødvendigt at konfigurere netværksparametre, VLAN osv .:

Når denne proces er færdig, vil vi have adgang til via internettet og foretage de relevante justeringer på firewall -niveau.

FORSTØRRE