Mnoge Linux distribucije imaju zadani vatrozid ugrađen u jezgru i mogu se konfigurirati tako da nude izvrsnu obranu od upada u mrežu. Na primjer, Firewalld je zadani softver vatrozida za Fedora, Red Hat, CentOS distros, dok se Debian i Ubuntu isporučuju s nekompliciranim vatrozidom.
Postoji mnogo softvera za vatrozid otvorenog koda koje možete odabrati, ovisno o vašoj stručnosti, veličini infrastrukture koja se štiti, praktičnosti upotrebe ili čak postoji li grafički alat za vatrozid. Ovaj će članak istaknuti alate vatrozida za Linux bez određenog redoslijeda. Najbolji vatrozid razlikuje se od korisnika do korisnika, ovisno o vašim zahtjevima. Stvaranje elastične i sigurne mreže za sprečavanje povreda podataka zahtijeva sveobuhvatan set alata i konfiguracija.
Zašto Vatrozid?
Dobro konfigurirani vatrozid prva je linija obrane vašeg računala ili mreže od upada u mrežu i može spriječiti gubitak podataka i provale. Vatrozid je skup pravila koji regulira kretanje paketa podataka u i iz zaštićene mreže. Možda biste željeli detaljno znati što je Linux vatrozid, kako to radi i što čini za vas u našem detaljnom članku o Linux vatrozidu.
Alati vatrozida s otvorenim kodom za vaše Linux sustave
nftables & iptables
nftables je nasljednik iptables-a i dio je projekta jezgre Netfilter Linux, koji omogućava vatrozid, mrežne adrese i prijevod porta te filtriranje paketa.
iptable
Iptables je uobičajeno ime u domeni vatrozida. To je softver za vatrozid koji vam omogućuje definiranje skupova pravila. Ima implementaciju zasnovanu na terminalu, a iskusni administratori Linux poslužitelja koriste je jer je učinkovita i prilagodljiva. Ipak, također može biti složeno za konfiguriranje za administratore novaka. Zadaci filtriranja paketa podataka odvijaju se iz jezgre sustava. Značajke i atributi iptables vatrozida su kako slijedi:
- Sadrži skupove pravila filtra paketa koji podržavaju popis sadržaja.
- Primjenjuje pristup inspekcije zaglavlja paketa, što vatrozid čini prikladno brzim.
- Skupovi pravila filtriranja paketa koji se mogu uređivati omogućavaju korisniku dodavanje, uređivanje ili uklanjanje pravila konfiguracije vatrozida.
- Možete ga koristiti za sigurnosno kopiranje i obnavljanje podatkovne datoteke vezano uz funkcionalnost vatrozida.
nftables
nftables je nasljednik iptables-a i omogućuje veću fleksibilnost, skalabilnost i klasifikaciju paketa izvedbe. nftables zamjena je iptables od 2014. godine i dostupna je administratoru sustava putem alata za naredbenu liniju nft. Međutim, iptables ne idu nigdje uskoro jer se još uvijek široko koriste u mrežama zaštićenim iptablesom. Nftables je Netfilter paketu dodao novu funkcionalnost i fleksibilnost. Njegove glavne značajke uključuju:
- Nudi mrežni virtualni stroj putem nft alat naredbenog retka.
- Administratori sustava mogu postići visoke performanse pomoću karata i spajanja.
- Ima manju bazu jezgri jezgre s potencijalom da paketu može pružiti nove značajke nadogradnjom alata naredbenog retka korisničkog prostora bez nužne nadogradnje jezgre.
- Ima jedinstvenu i dosljednu sintaksu za svaku obitelj protokola podrške.
Vatrozid i nekomplicirani vatrozid
Vatrozid i nekomplicirani vatrozid (UFC) korisničke su implementacije vatrozida predstavljene kao višerazredni tumači Netfiltera. Dizajnirani su za rješavanje problema mrežne sigurnosti s kojima se suočavaju samostalna računala.
Vatrozid
Vatrozid je dio obitelji systemd i zadani je alat za upravljanje vatrozidom za RHEL, CentOS, Fedora, SUSE i OpenSUSE. Vatrozid je dinamički upravljani vatrozid s podrškom za mrežne ili vatrozidne zone. Zone olakšavaju korisnicima definiranje razina povjerenja mrežnih sučelja i veza. Ima podršku za postavke vatrozida za IPv4, IPv6, ethernet mostove i IP skupove. Njegove glavne značajke i prednosti uključuju:
- Ima cjelovit D-Bus API koji aplikacijama, uslugama i korisnicima olakšava prilagođavanje postavki vatrozida.
- Podrška za IPv4, IPv6, most i ipset.
- Podrška za IPv4 i IPv6 NAT.
- Podrška za zone vatrozida koje sadrže unaprijed definirane zone i usluge.
- Vremenska pravila vatrozida nude sustavu fleksibilnost razdvajanja trajnih i runtime konfiguracija, što omogućava obavljanje mrežnih testova i mrežnih procjena u stvarnom vremenu.
- Postavke možete konfigurirati pomoću naredbe terminala firewall-cmd i putem grafičkog alata za konfiguraciju.
Firewalld ima široku dostupnost, a može se instalirati i u drugu distribuciju poput Debiana i Ubuntua. Nakon instalacije morate omogućiti i aktivirati zaštitni zid prilikom pokretanja kako bi on bio učinkovit.
UFW - Nekomplicirani vatrozid
Ubuntu poslužitelji prema zadanim se postavkama isporučuju s nekompliciranim vatrozidom. Njegov je dizajnerski cilj bio razviti manje složen i user-friendly vatrozid od iptablea iz paketa Netfilter. Vatrozid također pakira GUI koji se naziva GUFW za korisnike Ubuntu-a i Debiana. Njegove značajke možemo sažeti na sljedeći način:
- Podržava IPV6
- Praćenje stanja
- Proširiv je i lako se može integrirati s drugim aplikacijama
- Možete dodati, ukloniti ili izmijeniti pravila vatrozida prema vašim željama
- Ima mogućnost uključivanja / isključivanja kao proširenje svojih mogućnosti bilježenja
pfSense
pfSense vatrozid ima prilagođenu jezgru koja se temelji na FreeBSD-u i sebe opisuje kao vatrogasnu zidu s otvorenim izvorom s najviše povjerenja. Pohvaljen je zbog svoje pouzdanosti i značajki na komercijalnoj razini. Konceptualizira filtriranje paketa Stateful. Dostupan je kao hardverski uređaj, virtualni uređaj i binarni zapis koji se može preuzeti za izdanje zajednice. Premium ili komercijalna verzija vatrozida dolazi s visokom cijenom. Njegove su glavne značajke sljedeće:
- Balansiranje tereta za dolazni i odlazni promet
- Pruža informacije o poslužitelju u stvarnom vremenu i pruža usluge oblikovanja prometa
- Njegova konfiguracija može omogućiti da funkcionira kao VPN krajnja točka i kao bežična pristupna točka
- Može se instalirati kao DHCP i DNS poslužitelj, vatrozid i kao usmjerivač
- Ima internetsko sučelje s kojeg se može nadograditi ili fleksibilno konfigurirati
- Nudi visoku dostupnost
- Možete ga koristiti na više internetskih veza.
IPFire
IPFire je jednostavan za upotrebu vatrozid otvorenog koda koji najbolje radi u postavkama ili okruženju za kućanstvo Small Office. To je vatreni zid izgrađen na vrhu Netfiltera. Izuzetno je fleksibilan i ima puno modularnih razmatranja u dizajnu. Može se koristiti kao vatrozid, VPN pristupnik ili proxy poslužitelj. Također se kvalificira kao SPI (Stateful Packet Inspection) vatrozid. Sažetak njegovih značajki su sljedeći:
- Filtriranje sadržaja
- Olakšavanje višestruke implementacije može biti kao VPN pristupnik, proxy poslužitelj ili vatrozid.
- Sadrži ugrađenu funkcionalnost IDS (sustav za otkrivanje upada) za otkrivanje i sprječavanje napada od prvog dana.
- Njegova se podrška širi na chatove, forume i Wiki.
- Pruža okruženje za virtualizaciju kroz podršku za hipervizore poput Xen, VMWare i KVM
- Podržava sigurnosnu konfiguraciju označenu bojom što je čini jednostavnom za upotrebu.
- Možete povećati njegove funkcionalnosti pomoću praktičnih dodataka poput Guardiana, koji mogu implementirati automatsku prevenciju.
OPNsense
OPNSense je vilica projekata otvorenog koda pfSense i m0n0wall. Pokreće ga HardenedBSD, koji je račvanje sigurnosno orijentiranog OS FreeBSD-a. Može se koristiti kao vatrozid i platforma za usmjeravanje. Usvojen je zbog sljedećeg;
- Može se koristiti za filtriranje prometa, oblikovanje prometa i prikazivanje zatvorenog portala.
- Ima sigurnosne i vatrozidne značajke poput IPSec, Netflow, Proxy, VPN, web filtar, itd.
- Koristi ugrađeni sustav za sprječavanje upada s dubinskim pregledom paketa za otkrivanje i sprječavanje upada u mrežu.
- Nudi tjedna sigurnosna ažuriranja.
- Sadrži internetsko sučelje dostupno na više jezika kao što su francuski, kineski, ruski itd.
- Kompatibilan je s 32-bitnom i 64-bitnom arhitekturom sustava.
Endian
Zajednica Endian Firewall konceptualizira vatrozid s statusom za zaštitu mreže i inspekciju paketa. Može transformirati hardverski uređaj od golog metala u moćno sigurnosno rješenje koje sadrži VPN mrežnog prolaza, vatrozid, antivirus, proxy i filtriranje sadržaja. Njegove su glavne značajke sljedeće:
- VPN podrška s IPSec
- Praćenje i bilježenje mreže u stvarnom vremenu.
- Dvosmjerni vatrozid
- Izvještavanje o mrežnim aktivnostima i korištenju resursa poput propusnosti itd. U stvarnom vremenu.
- Pruža sigurnost poslužitelja pošte putem automatskog učenja neželjene pošte, SMTP proxyja, sivog popisa i POP3 proxyja.
- Pruža sigurnost web poslužitelja putem crne liste URL-a, antivirusnih, HTTP i FTP proxyja.
Konfiguriranje sigurnosti poslužitelja i vatrozida (CSF)
Config Server Security & Firewall (CSF) svestrani je višeplatformski softver. Konceptualizira vatrozid sa statusom, SPI (Stateful Packet Inspection), otkrivanje prijave i sigurnosno rješenje Linux sustava. Vatrozid podržavaju brojni domaćini poput RHEL / CentOS, CloudLinux, Fedora, Debian, Ubuntu, OpenSUSE, Slackware i virtualna okruženja poput VMware, Virtuozzo, XEN, OpenVZ, Virtualbox i KVM. Njegove ključne značajke uključuju:
- Ima jednostavnu skriptu SPI vatrozida
- Podrška za IPv6 s ip6tables
- Ima napredni sustav za otkrivanje upada i može vas upozoriti na promjene u sustavu i binarnim datotekama aplikacija.
- Može zaštititi Linux kutiju od pinga smrti i syn poplavnih napada
- Jednostavno upravljanje i konfiguriranje
- Može raditi s konfiguriranim sustavom upozorenja e-poštom za slanje obavijesti o neobičnim mrežnim aktivnostima ili otkrivenim upadima.
- Sadrži integraciju korisničkog sučelja za cPanel, DirectAdmin, CentOS Web Panel, itd.
Shorewall
Shorewall je alat za konfiguriranje vatrozida i pristupnika otvorenog koda za GNU / Linux okruženje. Jezgra Linuxa poznata je po integraciji sa sustavom Netfilter. Iz ovog je sustava stvorena osnova za razvoj ili stvaranje ovog vatrozida. Njegove se značajke mogu sažeti kako slijedi:
- Podržava VPN
- Podržava prosljeđivanje i maskiranje luka
- Podržava više ISP-a
- Upravljačka ploča Webmin dio je njezina GUI sučelja
- Centralizirana administracija vatrozida
- Podržava brojne pristupnike, usmjerivače i programe vatrozida.
- Upravlja filtriranjem paketa sa statusom podataka putem Connection Tracking Facilities (Usluga praćenja veza) koje pruža Netfilter.
NG vatrozid
NG Firewall dio je platforme Untangle koja pruža rješenja za zaštitu vaše mreže. Platforma za raspetljavanje funkcionira poput trgovine aplikacija da omogući ili onemogući određene module na temelju vaših zahtjeva. Besplatna verzija Untangle dolazi s NG vatrozidom i može se instalirati na poslužitelj, virtualni stroj i oblak. Možete nadograditi Untangle na verziju koja se plaća da biste otključali više značajki. Untangle također pruža softver u samostalnom hardverskom paketu koji dolazi s unaprijed instaliranim softverskim paketom.
Rekapitulacija
Vatrozid održava vašu mrežu sigurnom, zdravom i organiziranom putem zaštite od provale i protokola provjere autentičnosti i autorizacije koje postavlja. Prije nego što odaberete softver vatrozida koji treba koristiti, trebali biste razmotriti veličinu mrežne infrastrukture, potrebne sigurnosne slojeve i broj mrežnih uređaja kojima želite upravljati. Alat vatrozida mora se aktivno održavati redovitim sigurnosnim zakrpama i dobro raditi za tipičnog korisnika. Tipični korisnici možda više vole sustav s web sučeljem ili GUI-jem, dok bi iskusni Linux korisnik mogao biti ugodan u radu s alatima vatrozida kroz naredbeni redak.