Daugelyje „Linux“ sričių numatytosios užkardos yra įmontuotos branduolyje ir gali būti sukonfigūruotos taip, kad užtikrintų puikią apsaugą nuo tinklo įsilaužimo. Pavyzdžiui, „Firewalld“ yra numatytoji „Fedora“, „Red Hat“, „CentOS“ sričių ugniasienės programinė įranga, o „Debian“ ir „Ubuntu“ siunčiamos su nesudėtinga užkarda.
Galima rinktis iš daugelio atvirojo kodo užkardos programinės įrangos, atsižvelgiant į jūsų kompetencijos lygį, apsaugomos infrastruktūros dydį, naudojimo patogumą ar net į tai, ar yra grafinis užkardos įrankis. Šiame straipsnyje „Linux“ užkardos įrankiai bus paryškinti jokia ypatinga tvarka. Geriausia ugniasienė priklausys nuo jūsų vartotojo, priklausomai nuo jūsų poreikių. Norėdami sukurti atsparų ir saugų tinklą, kad išvengtumėte duomenų pažeidimų, reikia išsamaus įrankių ir konfigūracijų rinkinio.
Kodėl ugniasienė?
Gerai sukonfigūruota užkarda yra pirmoji jūsų kompiuterio ar tinklo gynybos linija nuo įsibrovimo į tinklą ir gali užkirsti kelią duomenų praradimui ir pažeidimams. Ugniasienė yra taisyklių rinkinys, reguliuojantis duomenų paketų judėjimą saugomame tinkle ir iš jo. Galite išsamiai sužinoti, kas yra „Linux“ ugniasienė, kaip ji veikia ir ką ji daro jums, išsamiame „Linux“ užkardos straipsnyje.
„Linux“ sistemų atvirojo kodo užkardos įrankiai
„nftables“ ir „iptables“
„nftables“ yra „iptables“ tęsėjas ir yra „Netfilter Linux“ branduolio projekto dalis, leidžianti ugniasienę, tinklo adresų ir prievadų vertimą bei paketų filtravimą.
„iptables“
„Iptables“ yra įprastas vardas užkardos domene. Tai užkardos programinė įranga, leidžianti apibrėžti taisyklių rinkinius. Jame įdiegtas terminalas ir patyrę „Linux“ serverio administratoriai jį naudoja, nes jis yra efektyvus ir pritaikomas. Vis tiek tai gali būti sudėtinga konfigūruoti pradedantiesiems sistemos administratoriams. Duomenų paketų filtravimo užduotys vykdomos iš sistemos branduolio. „Iptables“ užkardos funkcijos ir atributai yra šie:
- Jame yra paketų filtrų taisyklių rinkiniai, palaikantys turinio sąrašą.
- Įgyvendina paketų antraščių tikrinimo metodą, kuris leidžia ugniasienę patogiai greitai.
- Redaguojami paketinių filtrų taisyklių rinkiniai leidžia vartotojui pridėti, redaguoti ar pašalinti užkardos konfigūracijos taisyklę.
- Jį galite naudoti duomenų failų atsarginėms kopijoms kurti ir atkurti, susietoms su užkardos funkcijomis.
nftable
„nftables“ yra „iptables“ įpėdiniai ir leidžia daugiau lankstumo, mastelio ir našumo paketų klasifikavimo. „nftables“ yra „iptables“ pakeitimas nuo 2014 m. ir yra prieinamas sistemos administratoriui per komandų eilutės įrankį „nft“. Tačiau „iptables“ niekur nedings, nes vis dar plačiai naudojami „iptables“ apsaugotuose tinkluose. „Nftables“ pridėjo naują „Netfilter“ paketo funkcionalumą ir lankstumą. Pagrindinės jo savybės:
- Jis siūlo konkretaus tinklo virtualią mašiną per nft komandinės eilutės įrankis.
- Sistemos administratoriai gali pasiekti aukštą našumą naudodami žemėlapius ir sujungimus.
- Jis turi mažesnę branduolio kodų bazę, leidžiančią paketui suteikti naujų funkcijų atnaujinant „userpace“ komandinės eilutės įrankį nebūtinai atnaujinant branduolį.
- Ji turi vieningą ir nuoseklią kiekvienos palaikymo protokolo šeimos sintaksę.
Ugniasienė ir nesudėtinga užkarda
Ugniasienė ir nesudėtinga užkarda (UFC) yra patogios vartotojui užkardos diegimo priemonės, pristatytos kaip aukštesnio lygio „Netfilter“ vertėjai. Jie skirti spręsti tinklo saugumo problemas, su kuriomis susiduria atskiri kompiuteriai.
Ugniasienė
„Firewalld“ yra „systemd“ šeimos dalis ir yra numatytasis „RHEL“, „CentOS“, „Fedora“, „SUSE“ ir „OpenSUSE“ užkardos valdymo įrankis. „Firewalld“ yra dinamiškai valdoma užkarda, palaikanti tinklo ar užkardos zonas. Zonos leidžia vartotojams lengvai nustatyti tinklo sąsajų ir ryšių pasitikėjimo lygį. Jis palaiko IPv4, IPv6, „Ethernet“ tiltų ir IP rinkinių užkardos nustatymus. Pagrindinės jo savybės ir privalumai:
- Jis turi išsamią „D-Bus“ API, kuri leidžia programoms, tarnyboms ir vartotojams lengvai pritaikyti užkardos parametrus.
- „IPv4“, „IPv6“, „Bridge“ ir „ipset“ palaikymas.
- „IPv4“ ir „IPv6 NAT“ palaikymas.
- Parama ugniasienės zonoms, kuriose yra iš anksto nustatytos zonos ir paslaugos.
- Laiko ugniasienės taisyklės suteikia sistemos administratoriams galimybę atskirti nuolatines ir vykdymo laiko konfigūracijas, todėl tinklo testus ir tinklo vertinimus galima atlikti realiuoju laiku.
- Nustatymus galite sukonfigūruoti naudodami užkardos cmd terminalo komandą ir naudodami grafinį konfigūravimo įrankį.
„Firewalld“ turi platų prieinamumą ir gali būti įdiegta kituose platinimo įrenginiuose, pvz., „Debian“ ir „Ubuntu“. Įdiegę turite įjungti ir įjungti „firewalld“ įkrovos metu, kad ji būtų efektyvi.
UFW - nesudėtinga užkarda
Pagal numatytuosius nustatymus „Ubuntu“ serveriai siunčiami su nesudėtinga užkarda. Jo projektavimo tikslas buvo sukurti mažiau sudėtingą ir patogią naudoti ugniasienę nei „Netfilter“ paketo „iptables“. Ugniasienė taip pat pakuoja GUI, vadinamą GUFW, skirtą „Ubuntu“ ir „Debian“ vartotojams. Jo ypatybes galime apibendrinti taip:
- Palaiko IPV6
- Būsenos stebėjimas
- Tai išplečiama ir lengvai integruojama su kitomis programomis
- Galite pridėti, pašalinti ar modifikuoti užkardos taisykles pagal savo pageidavimus
- Turi įjungimo / išjungimo galimybę kaip savo registravimo parinkčių išplėtimą
pfSense
„pfSense“ užkarda turi pasirinktinį branduolį, pagrįstą „FreeBSD“, ir apibūdina save kaip patikimiausią atvirojo kodo užkardą. Jis buvo įvertintas už patikimumą ir komercinio lygio funkcijas. Tai konceptualizuoja valstybinių paketų filtravimą. Jį galima įsigyti kaip aparatinį įrenginį, virtualų prietaisą ir atsisiųstą dvejetainį failą, skirtą bendruomenės leidimui. Aukščiausios ar komercinės versijos ugniasienė turi didelę kainą. Pagrindinės jo savybės yra šios:
- Apkrovos balansavimas atvykstančiam ir išvykstančiam srautui
- Pateikia serverio informaciją realiuoju laiku ir rūpinasi srauto formavimu
- Dėl jo konfigūracijos jis gali veikti kaip VPN galinis taškas ir kaip belaidis prieigos taškas
- Jį galima įdiegti kaip DHCP ir DNS serverį, ugniasienę ir kaip maršrutizatorių
- Jis turi internetinę sąsają, iš kurios ją galima atnaujinti arba lanksčiai sukonfigūruoti
- Jis siūlo aukštą prieinamumą
- Jį galite naudoti naudodami daugiau nei vieną interneto ryšį.
„IPFire“
„IPFire“ yra lengvai naudojama atvirojo kodo užkarda, kuri geriausiai veikia „Small Office Home Office“ aplinkoje ar aplinkoje. Tai būsena užkarda, pastatyta ant „Netfilter“. Jis yra labai lankstus ir turi daugybę modulinių aspektų. Jis gali būti naudojamas kaip ugniasienė, VPN šliuzas ar tarpinis serveris. Ji taip pat kvalifikuojama kaip SPI (Stateful Packet Inspection) užkarda. Jo savybių santrauka yra tokia:
- Turinio filtravimas
- Daugybinio diegimo palengvinimas gali būti VPN šliuzas, tarpinis serveris arba užkarda.
- Jame įdiegta IDS (įsibrovimo aptikimo sistema) funkcija, skirta aptikti ir užkirsti kelią atakoms nuo pat pirmos dienos.
- Jo palaikymas apima pokalbius, forumus ir „Wiki“.
- Teikia virtualizacijos aplinką palaikydamas hipervizorius, tokius kaip „Xen“, „VMWare“ ir KVM
- Jis palaiko spalvų koduotą saugos konfigūraciją, todėl ji yra patogi vartotojui.
- Galite padidinti jo funkcionalumą naudodami tokius patogius priedus kaip „Guardian“, kurie gali įgyvendinti automatinę prevenciją.
OPNsense
„OPNSense“ yra „pfSense“ ir „m0n0wall“ atvirojo kodo projektų šakutė. Jį maitina „HardenedBSD“, kuris yra į saugumą orientuotos OS „FreeBSD“ šakutė. Jis gali būti naudojamas kaip užkarda ir nukreipimo platforma. Jis buvo priimtas dėl šių priežasčių:
- Jis gali būti naudojamas srautui filtruoti, srautui formuoti ir užfiksuotam portalui rodyti.
- Jis turi saugumo ir užkardos funkcijas, tokias kaip IPSec, Netflow, Proxy, VPN, žiniatinklio filtras ir kt.
- Ji aptinka ir užkerta kelią tinklo įsilaužimams, naudojant integruotą įsibrovimų prevencijos sistemą su giliu paketų patikrinimu.
- Siūlomi savaitiniai saugos atnaujinimai.
- Jame yra žiniatinklio sąsaja, prieinama keliomis kalbomis, pavyzdžiui, prancūzų, kinų, rusų ir kt.
- Tai suderinama su 32 bitų ir 64 bitų sistemos architektūra.
Endianas
„Endian Firewall Community“ konceptualizuoja būseną turinčią užkardą tinklo apsaugai ir paketų tikrinimui. Tai gali paversti plika metalo aparatinę įrangą galingu saugos sprendimu, kurį sudaro šliuzo VPN, užkarda, antivirusinė programa, tarpinis serveris ir turinio filtravimas. Pagrindinės jo savybės yra šios:
- VPT palaikymas naudojant „IPSec“
- Realaus laiko tinklo stebėjimas ir registravimas.
- Dvikryptė užkarda
- Tinklo veiklos ir išteklių, pvz., Pralaidumo ir pan., Ataskaitų teikimas realiuoju laiku.
- Teikia pašto serverių saugą per automatinį šlamšto mokymą, SMTP tarpinius serverius, „Greylisting“ ir POP3 tarpinius serverius.
- Teikia žiniatinklio serverio saugumą naudodamas URL juodąjį sąrašą, antivirusinę programą, HTTP ir FTP tarpinius serverius.
Konfigūruoti serverio saugą ir ugniasienę (CSF)
„Config Server Security & Firewall“ (CSF) yra universali įvairių platformų programinė įranga. Jis konceptualizuoja būseną turinčią užkardą, SPI (Stateful Packet Inspection), prisijungimo aptikimą ir „Linux“ sistemų saugos sprendimą. Ugniasienę palaiko daugybė kompiuterių, tokių kaip RHEL / CentOS, CloudLinux, Fedora, Debian, Ubuntu, OpenSUSE, Slackware ir virtualios aplinkos, tokios kaip VMware, Virtuozzo, XEN, OpenVZ, Virtualbox ir KVM. Pagrindinės jo savybės:
- Jis turi paprastą SPI užkardos scenarijų
- „IPv6“ palaikymas su „ip6tables“
- Ji turi pažangią įsilaužimo aptikimo sistemą ir gali įspėti apie sistemos ir programų dvejetainių failų pakeitimus.
- Gali apsaugoti „Linux“ dėžę nuo mirties ir sinusų atakų
- Lengva valdyti ir konfigūruoti
- Gali dirbti su sukonfigūruota el. Pašto perspėjimo sistema, kad galėtų siųsti pranešimus apie neįprastą tinklo veiklą ar aptiktus įsibrovimus.
- Jame yra vartotojo sąsajos integracija, skirta „cPanel“, „DirectAdmin“, „CentOS Web Panel“ ir kt.
Kranto siena
„Shorewall“ yra atvirojo kodo užkardos ir šliuzų konfigūravimo įrankis, skirtas GNU / Linux aplinkai. „Linux“ branduolys yra žinomas dėl savo integracijos su „Netfilter“ sistema. Iš šios sistemos yra sukurtas pagrindas šios ugniasienės kūrimui ar sukūrimui. Jo ypatybes galima apibendrinti taip:
- Palaiko VPN
- Palaiko uosto ekspedijavimą ir maskavimą
- Palaiko kelis interneto paslaugų teikėjus
- „Webmin“ valdymo skydelis yra jo GUI sąsajos dalis
- Centralizuotas užkardos administravimas
- Palaiko daugybę šliuzų, maršrutizatorių ir užkardos programų.
- Jis valdo būsenos paketų filtravimą per „Netfilter“ teikiamas ryšio stebėjimo galimybes.
NG ugniasienė
„NG Firewall“ yra „Untangle“ platformos dalis, teikianti jūsų tinklo apsaugos sprendimus. Išpainiojimo platforma veikia kaip programų parduotuvė, kad įgalintumėte arba išjungtumėte tam tikrus modulius pagal jūsų reikalavimus. Nemokama „Untangle“ versija yra kartu su „Firewall“ ir gali būti įdiegta serveryje, virtualioje mašinoje ir debesyje. Norėdami atrakinti daugiau funkcijų, galite atnaujinti „Untangle“ į mokamą versiją. „Untangle“ taip pat pateikia programinę įrangą atskirame aparatūros pakete, kuris pateikiamas kartu su iš anksto įdiegtu programinės įrangos paketu.
Pakartoti
Ugniasienė palaiko jūsų tinklą saugų, sveiką ir sutvarkytą per apsaugą nuo įsilaužimo ir įdiegtų autentifikavimo bei prieigos teisių protokolų. Prieš pasirinkdami naudoti užkardos programinę įrangą, turėtumėte atsižvelgti į tinklo infrastruktūros dydį, reikalingus saugos sluoksnius ir norimų tvarkyti tinklo įrenginių skaičių. Ugniasienės įrankis turi būti aktyviai prižiūrimas naudojant įprastus saugos pleistrus ir gerai veikia tipiniam vartotojui. Įprasti vartotojai gali rinktis sistemą su žiniatinklio sąsaja arba GUI, o „Linux“ vartotojui gali būti patogu dirbti su užkardos įrankiais per komandinę eilutę.