✅ Cel mai bun firewall pentru sistemele Linux

Cuprins

Una dintre cele mai eficiente măsuri de securitate pe care le putem implementa în orice organizație, inclusiv la nivel personal, este utilizarea unui firewall care îndeplinește funcția de monitorizare și control al modului în care pachetele de rețea intră și ies din rețeaua locală.

Un firewall vă permite să activați sau să dezactivați traficul prin anumite porturi, să adăugați noi reguli de trafic și astfel să aveți un control mult mai precis și direct asupra întregii probleme de rețea, care este una dintre cele mai delicate la nivel de securitate.

Astăzi Solvetic va analiza unele dintre cele mai bune firewall-uri pentru Linux și va avea astfel o alternativă practică de securitate de implementat.

Iptables

Iptables este un instrument de linie de comandă care este utilizat frecvent pentru a configura și gestiona regulile de filtrare a pachetelor setate în Linux 2.4.x și în mediile ulterioare. Este unul dintre cele mai utilizate instrumente de firewall din ziua de azi și are capacitatea de a filtra pachetele din stiva de rețea din nucleul propriu-zis.

Pachetul iptables include și ip6tables, cu ip6tables putem configura filtrul de pachete IPv6.

Unele dintre caracteristicile sale principale sunt

Enumeră conținutul setului de reguli de filtrare a pachetelor

Inspectează doar antetele pachetelor, ceea ce face procesul mult mai agil

Vă permite să adăugați, să eliminați sau să modificați regulile după cum este necesar în seturile de reguli de filtrare a pachetelor

Suportă backup și restaurare cu fișiere.

Iptables pe Linux gestionează următoarele fișiere:

Este un script inițial pentru a porni, opri, reporni și salva reguli

 /etc/init.d/iptables

Acest fișier este locul în care sunt salvate seturile de reguli

 / etc / sysconfig / iptables

Se aplică binarelor Iptables

 / sbin / iptables

Firewall IPCop

IPCop Firewall este o distribuție de firewall Linux destinată utilizatorilor de acasă și SOHO (birou mic). Interfața web IPCop este foarte ușor de utilizat și ușor de utilizat. Puteți configura un computer ca un VPN sigur pentru a oferi un mediu sigur pe internet. Include informații utilizate frecvent pentru a oferi utilizatorilor o experiență mai bună de navigare pe web.

Printre caracteristicile sale principale le avem

Are o interfață web codificată prin culori, care ne permite să monitorizăm grafica de performanță pentru procesor, memorie și disc, precum și performanța rețelei.

Vizualizați și rotiți automat înregistrările

Suport pentru mai multe limbi

Oferă o actualizare securizată stabilă și ușor de implementat și adaugă patch-uri curente la nivel de securitate

Acolo putem descărca imaginea ISO sau tipul de instalare ca suport USB. Acest lucru este diferit de multe aplicații firewall, deoarece poate fi instalat ca distribuție Linux. În acest caz, selectăm imaginea ISO și trebuie să parcurgem pașii asistentului de instalare. Odată ce am atribuit toți parametrii, vom avea acces la IPCop:

Descărcarea acestuia este disponibilă la următorul link:

Shorewall

Shorewall este un instrument de configurare pentru gateway sau firewall pentru GNU / Linux. Cu Shorewall avem un instrument de nivel înalt pentru a configura filtrele de rețea, deoarece ne permite să definim cerințele firewall-ului prin intrări într-un set de fișiere de configurare definite.

Shorewall poate citi fișierele de configurare și cu ajutorul utilitarelor iptables, iptables-restore, ip și tc, Shorewall poate configura Netfilter și subsistemul de rețea Linux pentru a se potrivi cu cerințele menționate. Shorewall poate fi utilizat într-un sistem firewall dedicat, un router, un server multifuncțional sau un sistem GNU / Linux independent.

Shorewall nu folosește modul de compatibilitate ipchains al Netfilter și poate profita de capacitățile de urmărire a stării conexiunii Netfilter.

Principalele sale caracteristici sunt

Utilizați facilitățile de urmărire a conexiunilor Netfilter pentru filtrarea stării de pachete

Suportă o gamă largă de aplicații pentru router, firewall și gateway

Management centralizat al paravanului de protecție

Interfață GUI cu panoul de control Webmin

Suport ISP multiplu

Suportă Masquerading și Port Forwarding

Suportă VPN

Pentru instalarea sa vom executa următoarele:

 sudo apt-get install shorewall

UFW - Firewall necomplicat

UFW este poziționat în prezent ca unul dintre cele mai utile, dinamice și mai simple firewall-uri în mediile Linux. UFW înseamnă Uncomplicated Firewall și este un program dezvoltat pentru a gestiona un firewall netfilter. Oferă o interfață de linie de comandă și este destinat să fie simplu și ușor de utilizat, de unde și numele său. ufw oferă un cadru simplu pentru gestionarea netfilterului, precum și furnizarea unei interfețe de linie de comandă pentru a controla firewall-ul de la terminal.

Printre caracteristicile sale găsim

Compatibil cu IPV6

Opțiuni extinse de conectare cu logare și deconectare

Monitorizarea stării firewall-ului

Cadru extensibil

Poate fi integrat cu aplicații

Permite adăugarea, ștergerea sau modificarea regulilor în funcție de necesități.

Comenzile pentru utilizarea sa sunt:

 sudo apt-get install ufw (Install UFW) sudo ufw status (Verificați starea UFW) sudo ufw enable (Enable UFW) sudo ufw allow 2290: 2300 / tcp (Adăugați o nouă regulă)

Vuurmuur

Vuurmuur este un manager de firewall construit pe iptables în mediile Linux. Are o configurație simplă și ușor de utilizat, care permite configurații simple și complexe. Configurarea poate fi complet configurată printr-o interfață grafică Ncurses, care permite administrarea la distanță securizată prin SSH sau la consolă.

Vuurmuur acceptă modelarea traficului, are funcții de monitorizare puternice care permit administratorului să vizualizeze jurnalele, conexiunile și utilizarea lățimii de bandă în timp real. Vuurmuur este un software open source și este distribuit în condițiile GNU GPL

Printre caracteristicile sale găsim

Nu necesită cunoștințe extinse despre iptables

Are o sintaxă de regulă lizibilă de om

Suportă IPv6 (experimental)

Include modelarea traficului

Ncurses GUI, nu este necesar X.

Procesul de portforwarding se face foarte simplu

Ușor de configurat cu NAT

Include o politică implicită securizată

Complet gestionabil prin ssh și de pe consolă (inclusiv din Windows folosind PuTTY)

Scriptabil pentru integrare cu alte instrumente

Include caracteristici anti-spoofing

Vizualizare în timp real

Vizualizarea conexiunii în timp real

Are o pistă de audit: toate modificările sunt înregistrate

Jurnal de conexiuni noi și pachete defecte

Contabilitatea volumului traficului în timp real

Pentru instalarea Vuurmuur în Ubuntu 17 trebuie să adăugăm următoarea linie în fișierul /etc/apt/sources.list:

 deb ftp://ftp.vuurmuur.org/ubuntu/ lucid main

În cazul utilizării Debian vom introduce următoarele:

 deb ftp://ftp.vuurmuur.org/debian/ squeeze main

Mai târziu vom executa următoarele comenzi:

 sudo apt-get update (Actualizare pachete) sudo apt-get install libvuurmuur vuurmuur vuurmuur-conf (Install firewall)

Odată instalat, putem folosi acest firewall pentru a crea regulile noastre.

MARI

pfSense

pfSense este un distribuitor de software de rețea / firewall de rețea open source care se bazează pe sistemul de operare FreeBSD. Software-ul pfSense este folosit pentru a crea reguli dedicate firewall / router pentru o rețea și se remarcă prin fiabilitatea sa și oferă multiple caracteristici găsite în principal în firewall-urile comerciale.

Pfsense poate fi inclus în pachete cu multe pachete software gratuite de la terți pentru funcționalități suplimentare.

Printre caracteristicile sale găsim

Foarte configurabil și actualizat din interfața sa web

Poate fi implementat ca firewall perimetral, router, DHCP și server DNS

Poate fi configurat ca punct de acces wireless și punct final VPN

Oferă conturarea traficului și informații în timp real despre server

Echilibrarea încărcării de intrare și ieșire.

Acolo putem descărca opțiunea în funcție de arhitectura cu care lucrăm. Odată ce imaginea ISO a fost descărcată, continuăm să o ardem pe un CD sau pe un suport USB și să pornim de acolo. Selectăm opțiunea 1 sau 2 și după setarea setărilor va începe procesul de instalare.

Imaginea ISO a pfSense este disponibilă la următorul link:

IPFire

IPFire a fost proiectat cu diverși parametri de modularitate și un nivel ridicat de flexibilitate, permițând administratorilor să implementeze cu ușurință multe variante ale acestuia, cum ar fi un firewall, un server proxy sau un gateway VPN. Designul modular al IPFire asigură funcționarea exactă în funcție de configurația dvs. Prin utilizarea IPFire vom avea o gestionare simplă și poate fi actualizată prin managerul de pachete, simplificând întreținerea acestuia.

Dezvoltatorii IPFire s-au concentrat pe securitate și l-au dezvoltat ca un firewall SPI (Stateful Packet Inspection). Principalele caracteristici ale IPFire se bazează pe diferite segmente, cum ar fi:

SecuritateObiectivul principal al IPFire este securitatea și, prin urmare, are capacitatea de a segmenta rețelele pe baza nivelurilor de securitate respective și facilitează crearea de politici personalizate care gestionează fiecare segment.

Siguranța componentelor modulare din IPFire este una dintre prioritățile dumneavoastră. Actualizările sunt semnate și criptate digital, astfel încât să poată fi instalate automat de Pakfire (sistemul de gestionare a pachetelor IPFire). Deoarece IPFire tinde să se conecteze direct la Internet, acesta este un risc de securitate, deoarece poate fi o țintă principală pentru hackeri și alte amenințări. Simplul manager de pachete Pakfire oferă administratorilor de ajutor să aibă încredere că rulează cele mai recente actualizări de securitate și remedieri de erori pentru toate componentele pe care le utilizează.

Cu IPFire vom avea o aplicație care ne protejează de exploatările de zi zero, eliminând clase întregi de erori și exploatând vectori.

Paravan de protecțieIPFire folosește un firewall SPI (Stateful Packet Inspection), care este construit deasupra netfilterului (cadrul de filtrare a pachetelor Linux). În procesul de instalare IPFire, rețeaua este configurată în diferite segmente separate și fiecare segment reprezintă un grup de computere care au un nivel comun de securitate:

Segmentele sunt:

Verde: Verde indică o zonă „sigură”. Aici stau toți clienții obișnuiți. În general, este alcătuit dintr-o rețea locală cu fir.

Roșu: Roșu indică „pericol” în conexiunea la Internet. Nimic din rețea nu este permis să treacă prin firewall decât dacă noi, ca administratori, îl configurăm în mod specific.

Albastru: Albastrul reprezintă partea „fără fir” a rețelei locale (culoarea sa a fost aleasă deoarece este culoarea cerului). Deoarece rețeaua wireless are potențialul de utilizare de către utilizatori, aceasta este identificată în mod unic și reguli specifice guvernează clienții pe aceasta. Clienții din acest segment de rețea trebuie să fie autorizați în mod explicit înainte de a putea accesa rețeaua.

Portocaliu: portocaliul este cunoscut sub numele de „zona demilitarizată” (DMZ). Toate serverele care sunt accesibile publicului sunt separate de restul rețelei aici pentru a limita încălcările de securitate.

Acolo putem descărca imaginea ISO a IPFire, deoarece este tratată ca o distribuție independentă și odată ce boot-ul este configurat. Trebuie să selectăm opțiunea implicită și vom urma pașii vrăjitorului. Odată instalat putem accesa prin web cu următoarea sintaxă:

 http: // IP_address: 444

MARI

IPFire poate fi descărcat de la următorul link:

SmoothWall & SmoothWall Express

SmoothWall este un firewall Linux open source cu o interfață web extrem de configurabilă. Interfața sa bazată pe web este cunoscută sub numele de WAM (Web Access Manager). , și necesită puține sau deloc cunoștințe de Linux pentru instalare și utilizare.

Printre caracteristicile sale principale găsim

Suportă rețelele LAN, DMZ și wireless, pe lângă cele externe

Filtrarea conținutului în timp real

Filtrare HTTPS

Suport proxy

Vizualizarea jurnalelor și monitorizarea activității firewall-ului

Gestionarea statisticilor de trafic prin IP, interfață și interogare

Ușurința de backup și restaurare.

Odată ce ISO este descărcat, pornim de la acesta și vom vedea următoarele:

Acolo selectăm cea mai potrivită opțiune și vom urma pașii asistentului de instalare. La fel ca IPFire, SmoothWall ne permite să configurăm segmente de rețea pentru a crește nivelurile de securitate. Vom configura parolele utilizatorilor. În acest fel, această aplicație va fi instalată și o vom putea accesa prin interfața web pentru gestionarea acesteia:

MARI

SmoothWall ne oferă o versiune gratuită numită SmoothWall Express care poate fi descărcată de la următorul link:

Firewall de securitate ConfigServer (CSF)

A fost dezvoltat ca o platformă transversală și firewall foarte versatil, care se bazează pe conceptul de firewall Stateful Packet Inspection (SPI). Suportă aproape toate mediile de virtualizare precum Virtuozzo, OpenVZ, VMware, XEN, KVM și Virtualbox.

CSF poate fi instalat pe următoarele sisteme de operare

RedHat Enterprise v5 la v7

CentOS v5 la v7

CloudLinux v5 la v7

Fedora v20 la v26

OpenSUSE v10, v11, v12

Debian v3.1 - v9

Ubuntu v6 la v15

Slackware v12

Printre numeroasele sale caracteristici le găsim

Script direct firewall SPI iptables

Are un proces Daemon care verifică erorile de autentificare autentificare pentru: Courier imap, Dovecot, uw-imap, Kerio, openSSH, cPanel, WHM, Webmail (numai servere cPanel), Pure-ftpd, vsftpd, Proftpd, Pagini protejate prin parolă web ( htpasswd), erori mod_security (v1 și v2) și Exim SMTP AUTH.

Potrivirea expresiei regulate

Urmărirea conectării POP3 / IMAP pentru a impune conectările orare

Notificare de conectare SSH

Notificare de autentificare SU

Blocarea excesivă a conexiunii

Integrarea interfeței utilizator pentru cPanel, DirectAdmin și Webmin

Actualizare ușoară între versiunile de la cPanel / WHM, DirectAdmin sau Webmin

Actualizare ușoară între versiunile shell

Preconfigurat pentru a funcționa pe un server cPanel cu toate porturile cPanel standard deschise

Preconfigurat pentru a funcționa pe un server DirectAdmin cu toate porturile standard DirectAdmin deschise

Autoconfigurați portul SSH dacă nu este standard în instalare

Blochează traficul pe adresele IP ale serverului neutilizat - Ajută la reducerea riscului pentru server

Avertizează când scripturile utilizatorului final trimit e-mailuri excesive pe oră pentru a identifica scripturile de spam

Rapoarte de proces suspecte - Rapoarte de vulnerabilități potențiale care rulează pe server

Raportarea excesivă a proceselor utilizatorilor

Blocați traficul pe o varietate de liste de blocuri, inclusiv DShield Block List și Spamhaus DROP List

Protecția pachetului BOGON

Setări preconfigurate pentru securitate firewall scăzută, medie sau ridicată (numai servere cPanel)

IDS (Intrusion Detection System) în care ultima linie de detectare vă avertizează asupra modificărilor sistemului și a aplicațiilor binare

Protecție împotriva inundațiilor SYN și multe altele.

Opțiunea 1 InstalareDescărcați fișierul .tgz la următorul link:

Opțiunea 2 InstalareSau, rulați următoarele linii:

 cd / usr / src / wget https://download.configserver.com/csf.tgz tar -xzf csf.tgz cd / usr / src / csf sh install.sh

ClearOS

ClearOS 7, Community Edition este un sistem de operare open source Linux, care este conceput pentru experți și pasionați de Linux care folosesc open source și contribuie cu sugestii și idei noi la o comunitate globală de utilizatori.

Toate actualizările, remedierile de erori, corecțiile și remedierile de securitate sunt furnizate gratuit din surse din amonte. Funcțiile acoperă mai mult de 75 de funcții IT de la controlul domeniului, controlul rețelei și lățimii de bandă, mesagerie și multe altele.

Deoarece este o distribuție Linux, vom descărca imaginea ISO și vom configura boot-ul pe un suport USB sau CD / DVD. Putem vedea că mediul său de instalare este similar cu Ubuntu. Vom urma pașii asistentului de instalare:

Configurăm parola root și vom continua cu instalarea. Odată ce ne-am autentificat, vom vedea următoarea fereastră în care vor fi date instrucțiunile de acces prin web. Putem face clic pe opțiunea Exit to Text Console pentru a accesa consola ClearOS. Acolo putem efectua unele dintre acțiunile disponibile:

ClearOS oferă mai multe opțiuni de produse, dar versiunea gratuită este ediția comunitară, disponibilă la următorul link:

OPNsense

OPNsense este un firewall și o platformă de rutare bazată pe FreeBSD open source, ușor de utilizat și ușor de construit. OPNsense include majoritatea caracteristicilor disponibile în firewall-uri comerciale scumpe și include un set bogat de caracteristici din oferte comerciale cu avantajele surselor deschise și verificabile.

OPNsense a început ca o furcă a pfSense® și m0n0wall în 2014, cu prima sa lansare oficială în ianuarie 2015. OPNsense oferă actualizări de securitate săptămânale în mici pași pentru a rămâne cu un pas înaintea noilor amenințări emergente de astăzi. Un ciclu fix de versiuni de 2 versiuni majore în fiecare an oferă companiilor posibilitatea de a planifica îmbunătățiri la nivel de securitate.

Unele dintre principalele sale caracteristici sunt:

Formator de trafic

Autentificare cu doi factori la nivel de sistem

Portal captiv

Redirecționați Proxy Caching (transparent) cu suport pe lista neagră

Rețea privată virtuală cu IPsec, OpenVPN și suport PPTP vechi

Disponibilitate ridicată și Failover hardware (cu configurare sincronizată și tabele de stare sincronizate)

Detectarea și prevenirea intruziunilor

Instrumente integrate de raportare și monitorizare, inclusiv diagrame DRR

Exportator Netflow

Monitorizarea fluxului de rețea

Suport pentru plugin

Server DNS și router DNS

Server și releu DHCP

DNS dinamic

Copie de siguranță a configurației criptate pe Google Drive

Firewall de inspecție a sănătății

Control granular peste masa de stare

Suport VLAN 802.1Q

Odată ce imaginea ISO este descărcată, continuăm cu instalarea. În timpul procesului de instalare va fi necesar să configurați parametrii de rețea, VLAN etc.:

Odată ce acest proces este terminat, vom putea accesa prin web și vom face ajustările pertinente la nivel de firewall.

MARI