✅ Bästa brandväggen för Linux -system

Innehållsförteckning

En av de mest effektiva säkerhetsåtgärder som vi kan genomföra i alla organisationer, inklusive på personlig nivå, är användningen av en brandvägg som uppfyller funktionen att övervaka och kontrollera hur nätverkspaket kommer in och lämnar det lokala nätverket.

En brandvägg låter dig aktivera eller inaktivera trafik genom vissa portar, lägga till nya trafikregler och därmed ha en mycket mer exakt och direkt kontroll över hela nätverksfrågan, som är en av de mest känsliga på säkerhetsnivå.

Idag kommer Solvetic att analysera några av de bästa brandväggarna för Linux och därmed ha ett praktiskt säkerhetsalternativ att implementera.

Iptables

Iptables är ett kommandoradsverktyg som ofta används för att konfigurera och hantera paketfiltreringsregeln i Linux 2.4.x och senare miljöer. Det är ett av de mest använda brandväggsverktygen idag och har möjlighet att filtrera paket på nätverksstacken i själva kärnan.

Iptables -paketet innehåller också ip6tables, med ip6tables kan vi konfigurera IPv6 -paketfiltret.

Några av dess främsta funktioner är

Räknar upp innehållet i paketfilterregeluppsättningen

Det inspekterar bara pakethuvuden vilket gör processen mycket smidigare

Låter dig lägga till, ta bort eller ändra regler efter behov i paketfilterregeluppsättningar

Stöder säkerhetskopiering och återställning med filer.

Iptables på Linux hanterar följande filer:

Det är ett init -skript för att starta, stoppa, starta om och spara regler

 /etc/init.d/iptables

I den här filen sparas regeluppsättningarna

 / etc / sysconfig / iptables

Gäller Iptables -binärer

 / sbin / iptables

IPCop -brandvägg

IPCop Firewall är en Linux -brandväggsdistribution som riktar sig till hemma- och SOHO -användare (litet kontor) IPCop -webbgränssnittet är mycket användarvänligt och lätt att använda. Du kan konfigurera en dator som en säker VPN för att tillhandahålla en säker miljö över Internet. Den innehåller ofta använd information för att ge användare en bättre surfupplevelse.

Bland dess främsta egenskaper har vi

Den har ett färgkodat webbgränssnitt som gör att vi kan övervaka prestandagrafik för CPU, minne och disk samt nätverksprestanda.

Visa och rotera poster automatiskt

Stöd för flera språk

Ger en stabil och lättanvänd säker uppdatering och lägger till aktuella säkerhetsnivåuppdateringar

Där kan vi ladda ner ISO -bilden eller typen av installation som USB -medium. Detta skiljer sig från många brandväggsprogram eftersom det kan installeras som en Linux -distribution. I det här fallet väljer vi ISO -bilden och vi måste slutföra stegen i installationsguiden. När vi har tilldelat alla parametrar har vi tillgång till IPCop:

Nedladdningen är tillgänglig på följande länk:

Strandvägg

Shorewall är ett gateway- eller brandväggskonfigurationsverktyg för GNU / Linux. Med Shorewall har vi ett verktyg på hög nivå för att konfigurera nätverksfilter eftersom det tillåter oss att definiera brandväggskrav genom poster i en uppsättning definierade konfigurationsfiler.

Shorewall kan läsa konfigurationsfilerna och med hjälp av iptables, iptables-restore, ip och tc-verktyg kan Shorewall konfigurera Netfilter och Linux-nätverksundersystemet för att matcha de angivna kraven. Shorewall kan användas i ett dedikerat brandväggssystem, en router, en multifunktionsserver eller ett fristående GNU / Linux-system.

Shorewall använder inte Netfilters ipchains -kompatibilitetsläge och kan dra nytta av Netfilters möjligheter att spåra anslutningsstatus.

Dess främsta funktioner är

Använd Netfilters anslutningsspårningsfunktioner för statligt paketfiltrering

Stöder ett brett utbud av router-, brandväggs- och gateway -applikationer

Centraliserad brandväggshantering

GUI -gränssnitt med Webmin -kontrollpanel

Flera ISP -stöd

Stöder Masquerading och Port Forwarding

Stöder VPN

För installationen kommer vi att utföra följande:

 sudo apt-get installera strandmur

UFW - Okomplicerad brandvägg

UFW är för närvarande positionerat som en av de mest användbara, dynamiska och lättanvända brandväggarna i Linux -miljöer. UFW står för Uncomplicated Firewall, och det är ett program utvecklat för att hantera en netfilter -brandvägg. Det ger ett kommandoradsgränssnitt och är avsett att vara enkelt och lätt att använda, därav dess namn. ufw tillhandahåller en enkel ram för hantering av nätfilter, samt ger oss ett kommandoradsgränssnitt för att styra brandväggen från terminalen.

Bland dess egenskaper hittar vi

Kompatibel med IPV6

Utökade loggningsalternativ med in- och utloggning

Brandväggens hälsoövervakning

Utdragbar ram

Kan integreras med applikationer

Det gör det möjligt att lägga till, ta bort eller ändra regler enligt behoven.

Kommandona för dess användning är:

 sudo apt-get install ufw (Install UFW) sudo ufw status (Kontrollera UFW-status) sudo ufw aktivera (Aktivera UFW) sudo ufw tillåt 2290: 2300 / tcp (Lägg till en ny regel)

Vuurmuur

Vuurmuur är en brandväggshanterare byggd ovanpå iptables i Linux -miljöer. Den har en enkel och lättanvänd konfiguration som tillåter enkla och komplexa konfigurationer. Konfigurationen kan konfigureras fullt ut via ett Ncurses GUI, vilket möjliggör säker fjärradministration via SSH eller på konsolen.

Vuurmuur stöder trafikformning, har kraftfulla övervakningsfunktioner som gör att administratören kan se loggar, anslutningar och bandbreddsanvändning i realtid. Vuurmuur är programvara med öppen källkod och distribueras enligt villkoren i GNU GPL

Bland dess egenskaper hittar vi

Kräver ingen omfattande kunskap om iptables

Har mänskligt läsbar regelsyntax

Stöder IPv6 (experimentell)

Inkluderar trafikformning

Ncurses GUI, inget X krävs

Vidarebefordringsprocessen är mycket enkel

Lätt att konfigurera med NAT

Inkluderar säker standardpolicy

Fullt hanterbar via ssh och från konsolen (inklusive från Windows med PuTTY)

Skriptbart för integration med andra verktyg

Inkluderar anti-spoofing-funktioner

Realtidsvisualisering

Visa anslutningen i realtid

Den har ett granskningsspår: alla ändringar registreras

Logg över nya anslutningar och dåliga paket

Trafikvolymredovisning i realtid

För installation av Vuurmuur i Ubuntu 17 måste vi lägga till följande rad i filen /etc/apt/sources.list:

 deb ftp://ftp.vuurmuur.org/ubuntu/ lucid main

Om vi använder Debian anger vi följande:

 deb ftp://ftp.vuurmuur.org/debian/ squeeze main

Senare kommer vi att utföra följande kommandon:

 sudo apt-get update (Uppdatera paket) sudo apt-get install libvuurmuur vuurmuur vuurmuur-conf (Installera brandvägg)

Efter installationen kan vi använda denna brandvägg för att skapa våra regler.

FÖRSTORA

pfSense

pfSense är en öppen källkod nätverksrouter / brandväggsprogramvara som är baserad på FreeBSD -operativsystemet. PfSense -programvaran används för att skapa dedikerade brandväggs- / routerregler för ett nätverk och sticker ut för sin tillförlitlighet och erbjuder flera funktioner som främst finns i kommersiella brandväggar.

Pfsense kan buntas ihop med många programvarupaket från tredje part för ytterligare funktioner.

Bland dess egenskaper hittar vi

Mycket konfigurerbar och uppdaterad från sitt webbaserade gränssnitt

Kan distribueras som omkrets brandvägg, router, DHCP och DNS -server

Kan konfigureras som en trådlös åtkomstpunkt och VPN -slutpunkt

Erbjuder trafikformning och realtidsinformation om servern

In- och utgående lastbalansering.

Där kan vi ladda ner alternativet enligt den arkitektur vi arbetar med. När ISO -bilden har laddats ner fortsätter vi att bränna den till en CD eller USB -medium och starta därifrån. Vi väljer alternativ 1 eller 2 och efter att ha ställt in inställningarna startar installationsprocessen.

ISO -bilden av pfSense är tillgänglig på följande länk:

IPFire

IPFire har utformats med olika parametrar för modularitet och en hög flexibilitet som gör att administratörer enkelt kan implementera många varianter av det, till exempel en brandvägg, en proxyserver eller en VPN -gateway. Den modulära designen av IPFire säkerställer att den fungerar exakt enligt din konfiguration. Genom att använda IPFire kommer vi att ha en enkel hantering och den kan uppdateras via pakethanteraren, vilket gör underhållet mycket enklare.

IPFire -utvecklare fokuserade på säkerhet och utvecklade den som en SPI -brandvägg (Stateful Packet Inspection). De viktigaste egenskaperna hos IPFire är baserade på olika segment som:

säkerhetHuvudmålet med IPFire är säkerhet och har därför förmågan att segmentera nätverk baserat på deras respektive säkerhetsnivåer och underlättar skapandet av anpassade policyer som hanterar varje segment.

Säkerheten för modulkomponenterna i IPFire är en av dina prioriteringar. Uppdateringar är digitalt signerade och krypterade så att de automatiskt kan installeras av Pakfire (IPFire -pakethanteringssystemet). Eftersom IPFire tenderar att ansluta direkt till Internet är detta en säkerhetsrisk eftersom det kan vara ett utmärkt mål för hackare och andra hot. Pakfires enkla pakethanterare hjälper administratörer att lita på att de kör de senaste säkerhetsuppdateringarna och buggfixarna för alla komponenter de använder.

Med IPFire kommer vi att ha en applikation som skyddar oss från nolldagars utnyttjanden genom att eliminera hela klasser av fel och utnyttja vektorer.

BrandväggIPFire använder en SPI (Stateful Packet Inspection) brandvägg, som är byggd ovanpå netfilter (Linuxs paketfiltreringsramverk). I IPFire -installationsprocessen konfigureras nätverket i olika separata segment och varje segment representerar en grupp datorer som har en gemensam säkerhetsnivå:

Segmenten är:

Grönt: Grönt indikerar ett "säkert" område. Det är här alla vanliga kunder bor. Det består vanligtvis av ett trådbundet lokalt nätverk.

Rött: Rött indikerar "fara" i internetanslutningen. Ingenting från nätverket får passera genom brandväggen om vi inte som administratörer specifikt konfigurerar den.

Blå: Blå representerar den "trådlösa" delen av det lokala nätverket (dess färg valdes eftersom det är himmelens färg). Eftersom det trådlösa nätverket har potential för användare, är det unikt identifierat och specifika regler styr klienter på det. Klienter på detta nätverkssegment måste uttryckligen godkännas innan de kan komma åt nätverket.

Orange: Orange kallas "demilitariserad zon" (DMZ). Alla servrar som är offentligt tillgängliga separeras från resten av nätverket här för att begränsa säkerhetsöverträdelser.

Där kan vi ladda ner ISO -bilden av IPFire eftersom den hanteras som en oberoende distribution och när starten är konfigurerad. Vi måste välja standardalternativet och vi kommer att följa stegen i guiden. Efter installationen kan vi komma åt via webben med följande syntax:

 http: // IP -adress: 444

FÖRSTORA

IPFire kan laddas ner på följande länk:

SmoothWall & SmoothWall Express

SmoothWall är en öppen källkod Linux -brandvägg med ett mycket konfigurerbart webbgränssnitt. Dess webbaserade gränssnitt är känt som WAM (Web Access Manager) SmoothWall erbjuds som en Linux-distribution utformad för att användas som en öppen källkod brandvägg och dess design är inriktad på att underlätta konfigurationsanvändningen, SmoothWall konfigureras via ett GUI baserat på wdb , och kräver liten eller ingen Linux -kunskap för att installera och använda.

Bland dess främsta egenskaper hittar vi

Stöder LAN, DMZ och trådlösa nätverk, förutom Extern

Realtidsfiltrering av innehåll

HTTPS -filtrering

Stöd fullmakter

Visa loggar och övervaka brandväggsaktivitet

Hantering av trafikstatistik med IP, gränssnitt och fråga

Enkel säkerhetskopiering och återställning.

När ISO -filen har laddats ner startar vi från den och vi kommer att se följande:

Där väljer vi det mest lämpliga alternativet och vi kommer att följa stegen i installationsguiden. Precis som IPFire tillåter SmoothWall oss att konfigurera nätverkssegment för att öka säkerhetsnivåerna. Vi kommer att konfigurera användarnas lösenord. På detta sätt kommer denna applikation att installeras och vi kommer att kunna komma åt den via webbgränssnittet för dess hantering:

FÖRSTORA

SmoothWall erbjuder oss en gratisversion som heter SmoothWall Express som kan laddas ner på följande länk:

ConfigServer Security Firewall (CSF)

Det har utvecklats som en mycket mångsidig plattform och brandvägg som bygger på konceptet Stateful Packet Inspection (SPI) brandvägg. Den stöder nästan alla virtualiseringsmiljöer som Virtuozzo, OpenVZ, VMware, XEN, KVM och Virtualbox.

CSF kan installeras på följande operativsystem

RedHat Enterprise v5 till v7

CentOS v5 till v7

CloudLinux v5 till v7

Fedora v20 till v26

OpenSUSE v10, v11, v12

Debian v3.1 - v9

Ubuntu v6 till v15

Slackware v12

Bland dess många egenskaper hittar vi

Direkt iptables SPI -brandväggskript

Den har en Daemon-process som söker efter inloggningsautentiseringsfel för: Courier imap, Dovecot, uw-imap, Kerio, openSSH, cPanel, WHM, Webmail (endast cPanel-servrar), Pure-ftpd, vsftpd, Proftpd, Sidor lösenordsskyddad webb ( htpasswd), mod_security -fel (v1 och v2) och Exim SMTP AUTH.

Matchning med vanligt uttryck

POP3 / IMAP -inloggningsspårning för att genomdriva timliga inloggningar

SSH -inloggningsmeddelande

SU -inloggningsmeddelande

Överdriven blockering av anslutningen

Användargränssnittsintegration för cPanel, DirectAdmin och Webmin

Enkel uppgradering mellan versioner från cPanel / WHM, DirectAdmin eller Webmin

Enkel uppgradering mellan skalversioner

Förkonfigurerad för att fungera på en cPanel -server med alla vanliga cPanel -portar öppna

Förkonfigurerad för att fungera på en DirectAdmin -server med alla vanliga DirectAdmin -portar öppna

Autokonfigurera SSH -porten om den inte är standard i installationen

Blockerar trafik på oanvända server -IP -adresser - Hjälper till att minska risken för servern

Varningar när slutanvändarskript skickar för mycket mejl per timme för att identifiera skräppostskript

Misstänkta processrapporter - Rapporter om potentiella sårbarheter som körs på servern

Överdriven rapportering av användarprocesser

Blockera trafik på en mängd olika blocklistor inklusive DShield Block List och Spamhaus DROP List

BOGON -paketskydd

Förkonfigurerade inställningar för låg, medium eller hög brandväggssäkerhet (endast cPanel -servrar)

IDS (Intrusion Detection System) där den sista detektionsraden varnar dig för ändringar i system- och applikationsfilerna

SYN Flood Protection och många fler.

Alternativ 1 InstallationLadda ner .tgz -filen på följande länk:

Alternativ 2 InstallationEller kör följande rader:

 cd / usr / src / wget https://download.configserver.com/csf.tgz tar -xzf csf.tgz cd / usr / src / csf sh install.sh

ClearOS

ClearOS 7, Community Edition är ett Linux -operativsystem med öppen källkod som är utformat för Linux -experter och amatörer som använder öppen källkod och bidrar med förslag och nya idéer till ett globalt användarsamhälle.

Alla uppdateringar, buggfixar, patchar och säkerhetsåtgärder tillhandahålls gratis från uppströms källor. Funktionerna spänner över mer än 75 IT -funktioner från domänkontroll, nätverks- och bandbreddskontroll, meddelanden och mycket mer.

Eftersom det är en Linux -distribution kommer vi att ladda ner ISO -avbildningen och konfigurera starten på ett USB- eller CD / DVD -medium. Vi kan se att dess installationsmiljö liknar Ubuntu. Vi kommer att följa stegen i installationsguiden:

Vi konfigurerar rotlösenordet och vi fortsätter med installationen. När vi loggar in ser vi följande fönster där instruktionerna för åtkomst via webben kommer att ges. Vi kan klicka på alternativet Exit to Text Console för att komma åt ClearOS -konsolen. Där kan vi utföra några av de tillgängliga åtgärderna:

ClearOS erbjuder flera produktalternativ men gratisversionen är Community Edition som finns på följande länk:

OPNsense

OPNsense är en öppen källkod, enkel att använda och enkel att bygga FreeBSD-baserad brandvägg och routingsplattform. OPNsense innehåller de flesta funktioner som finns i dyra kommersiella brandväggar och innehåller en omfattande funktionsuppsättning från kommersiella erbjudanden med fördelarna med öppna och verifierbara källor.

OPNsense började som en gaffel av pfSense® och m0n0wall 2014, med sin första officiella version i januari 2015. OPNsense erbjuder veckovisa säkerhetsuppdateringar i små steg för att ligga steget före nya hot idag. En fast utgivningscykel med 2 stora utgåvor varje år ger företag möjlighet att planera för förbättringar på säkerhetsnivå.

Några av dess huvudsakliga egenskaper är:

Trafikformare

Systemövergripande tvåfaktorsautentisering

Captive portal

Forward Caching Proxy (transparent) med stöd för svartlista

Virtuellt privat nätverk med IPsec, OpenVPN och äldre PPTP -stöd

Hög tillgänglighet och maskinvarufelovering (med synkroniserad konfiguration och synkroniserade statustabeller)

Intrångsdetektering och förebyggande

Integrerade rapporterings- och övervakningsverktyg inklusive DRR -diagram

Netflow -exportör

Övervakning av nätverksflöde

Plugin -stöd

DNS -server och DNS -router

DHCP -server och relä

Dynamisk DNS

Krypterad konfigurationsbackup till Google Drive

Hälsokontroll brandvägg

Granulär kontroll över statstabellen

802.1Q VLAN -stöd

När ISO -bilden har laddats ner fortsätter vi med installationen. Under installationsprocessen kommer det att vara nödvändigt att konfigurera nätverksparametrar, VLAN, etc:

När denna process är klar kommer vi att kunna komma åt via webben och göra relevanta justeringar på brandväggsnivån.

FÖRSTORA