Paljudel Linuxi distros on tuuma sisse ehitatud vaikimisi tulemüürid ja neid saab konfigureerida pakkuma võrgu sissetungimise eest suurepärast kaitset. Näiteks on Firewalld Fedora, Red Hat, CentOS distros vaikimisi tulemüüri tarkvara, samas kui Debian ja Ubuntu tarnivad komplitseerimata tulemüüri.
Seal on palju avatud lähtekoodiga tulemüüri tarkvara, mille vahel valida, sõltuvalt teie asjatundlikkuse tasemest, kaitstava infrastruktuuri suurusest, kasutusmugavusest või isegi sellest, kas tulemüüri jaoks on olemas graafiline tööriist. Selles artiklis tuuakse Linuxi tulemüüri tööriistad esile konkreetses järjekorras. Parim tulemüür varieerub kasutajalt sõltuvalt teie vajadustest. Elastse ja turvalise võrgu loomine andmerikkumiste vältimiseks nõuab põhjalikku tööriistade ja konfiguratsioonide komplekti.
Miks just tulemüür?
Hästi konfigureeritud tulemüür on teie arvuti või võrgu esimene kaitseliin võrgu sissetungimise vastu ning see võib ära hoida andmete kadumist ja rikkumisi. Tulemüür on reeglistik, mis reguleerib andmepakettide liikumist kaitstud võrku ja sealt välja. Võite üksikasjalikult teada saada, mis on Linuxi tulemüür, kuidas see töötab ja mida see teie jaoks teeb, meie üksikasjalikus Linuxi tulemüüri artiklis.
Avatud lähtekoodiga tulemüüri tööriistad teie Linuxi süsteemidele
nftable ja iptable
nftables on iptable'i järglane ja on osa Netfilter Linuxi kerneli projektist, võimaldades tulemüüri, võrguaadressi ja porditõlget ning pakettide filtreerimist.
iptables
Iptables on tulemüüri domeenis levinud nimi. See on tulemüüri tarkvara, mis võimaldab teil määratleda reeglistikke. Sellel on terminalipõhine rakendus ja kogenud Linuxi serveri administraatorid kasutavad seda, kuna see on tõhus ja kohandatav. Sellegipoolest võib algajate süsteemiadministraatorite jaoks seadistamine olla keeruline. Andmepakettide filtreerimise ülesanded toimuvad süsteemituumast. Iptablesi tulemüüri funktsioonid ja atribuudid on järgmised:
- Sellel on pakettfiltri reeglistikud, mis toetavad sisuloendit.
- Rakendab pakettipäiste kontrollimise lähenemisviisi, mis muudab tulemüüri mugavalt kiireks.
- Redigeeritavad pakettfiltri reeglistikud võimaldavad kasutajal tulemüüri konfiguratsioonireeglit lisada, muuta või eemaldada.
- Saate seda kasutada tulemüüri funktsioonidega seotud andmefailide varundamiseks ja taastamiseks.
nftable
nftables on iptable'i järeltulija ning see võimaldab suuremat paindlikkust, mastaapsust ja jõudluspakettide klassifikatsiooni. nftables asendab iptableid alates 2014. aastast ja on süsteemiadministraatorile saadaval käsurea tööriista nft kaudu. Siiski ei lähe iptables kuhugi, kuna iptablesiga kaitstud võrkudes kasutatakse seda endiselt laialdaselt. Nftables on lisanud Netfilter paketile uut funktsionaalsust ja paindlikkust. Selle peamised omadused on:
- See pakub võrguspetsiifilist virtuaalset masinat nft käsurea tööriist.
- Süsteemiadministraatorid saavad saavutada suurt jõudlust kaartide ja liitmike abil.
- Sellel on väiksem kerneli koodibaas, mis võimaldab paketil pakkuda uusi funktsioone läbi kasutajaruumi käsurea tööriista uuendamise, ilma et peaks tingimata kernelit uuendama.
- Sellel on iga tugiprotokolli perekonna jaoks ühtne ja ühtlane süntaks.
Tulemüür ja lihtne tulemüür
Tulemüür ja tüsistusteta tulemüür (UFC) on kasutajasõbralikud tulemüüri rakendused, mida tutvustatakse kõrgema taseme Netfilteri interpretaatoritena. Need on mõeldud eraldiseisvate arvutite võrguturbe probleemide lahendamiseks.
Tulemüür
Firewalld on osa systemd perekonnast ja on RHEL, CentOS, Fedora, SUSE ja OpenSUSE vaikimisi tulemüüri haldamise tööriist. Firewalld on dünaamiliselt hallatav tulemüür, mis toetab võrgu- või tulemüüri tsoone. Tsoonid muudavad kasutajate jaoks võrguliideste ja -ühenduste usaldustaseme määramise lihtsaks. Sellel on tulemüüri sätete tugi IPv4, IPv6, Ethernet-sildadele ja IP-komplektidele. Selle peamised omadused ja eelised on järgmised:
- Sellel on täielik D-Bus API, mis muudab rakenduste, teenuste ja kasutajate jaoks tulemüüri sätete kohandamise lihtsaks.
- IPv4, IPv6, silla ja ipseti tugi.
- IPv4 ja IPv6 NAT tugi.
- Ettemääratud tsoone ja teenuseid pakkuva tulemüüri tsoonide tugi.
- Ajastatud tulemüüri reeglid pakuvad süsteemiadministraatoritele paindlikkust püsivate ja käituskonfiguratsioonide eraldamiseks, võimaldades võrguteste ja võrgu hindamisi teha reaalajas.
- Seadistusi saate konfigureerida tulemüüri-cmd terminali käsu abil ja graafilise seadistustööriista kaudu.
Firewalldil on lai kättesaadavus ja seda saab installida ka teistesse levititesse nagu Debian ja Ubuntu. Pärast installimist peate käivitamise ajal lubama ja aktiveerima tulemüüri, et see oleks tõhus.
UFW - lihtne tulemüür
Ubuntu serverid tarnitakse vaikimisi lihtsa tulemüüriga. Selle disaini eesmärk oli välja töötada vähem keeruline ja kasutajasõbralik tulemüür kui Netfilter paketi iptables. Tulemüür pakendab Ubuntu ja Debiani kasutajatele ka GUI-nimelist GUI-d. Selle funktsioonid võime kokku võtta järgmiselt:
- Toetab IPV6
- Oleku jälgimine
- See on laiendatav ja seda saab hõlpsasti teiste rakendustega integreerida
- Saate oma tulemustele lisada, eemaldada või muuta tulemüüri reegleid
- Logimisvalikute laienduseks on sisse- ja väljalülitamise võimalus
pfSense
pfSense'i tulemüüril on FreeBSD-l põhinev kohandatud tuum ja see kirjeldab ennast kui kõige usaldusväärsemat avatud lähtekoodiga tulemüüri. Seda on kiidetud töökindluse ja kaubandusliku taseme omaduste eest. See kontseptualiseerib olekupakettide filtreerimise. See on saadaval riistvaraseadme, virtuaalse seadme ja kogukonnaversiooni allalaaditava binaarvariandina. Tulemüüri premium- või kommertsversioonil on raske hinnasilt. Selle peamised omadused on järgmised:
- Koormuse tasakaalustamine sissetuleva ja väljamineva liikluse jaoks
- Pakub serveri reaalajas teavet ja näeb ette liikluse kujundamist
- Selle konfiguratsioon võib panna selle toimima VPN-i lõpp-punktina ja traadita pöörduspunktina
- See on juurutatav DHCP- ja DNS-serverina, tulemüürina ja ruuterina
- Sellel on veebipõhine liides, kust seda saab uuendada või paindlikult konfigureerida
- See pakub kõrget kättesaadavust
- Saate seda kasutada mitmel Interneti-ühendusel.
IPFire
IPFire on hõlpsasti kasutatav avatud lähtekoodiga tulemüür, mis töötab kõige paremini Small Office'i kodukontori seadetes või keskkonnas. See on Netfilteri peale ehitatud olekuline tulemüür. See on väga paindlik ja selle kujunduses on palju modulaarseid kaalutlusi. Seda saab kasutada tulemüüri, VPN-i lüüsi või puhverserverina. See kvalifitseerub ka SPI (Stateful Packet Inspection) tulemüüriks. Selle funktsioonide kokkuvõte on järgmine:
- Sisu filtreerimine
- Mitme juurutamise hõlbustamine võib toimuda VPN-i lüüsi, puhverserveri või tulemüürina.
- Sellel on sisseehitatud IDS (sissetungimise tuvastamise süsteem) funktsioon rünnakute avastamiseks ja ärahoidmiseks esimesest päevast.
- Selle tugi laieneb vestlustele, foorumitele ja Wikile.
- Pakub virtualiseerimiskeskkonda, toetades hüpervisoreid nagu Xen, VMWare ja KVM
- See toetab värvikoodiga turvakonfiguratsiooni, mis muudab selle kasutajasõbralikuks.
- Selle funktsionaalsust saate suurendada selliste käepäraste lisandmoodulite abil nagu Guardian, mis võimaldab rakendada automaatset ennetustööd.
OPNsense
OPNSense on avatud lähtekoodiga projektide pfSense ja m0n0wall kahvlid. Selle jõuallikaks on HardenedBSD, mis on turvakeskse OS FreeBSD kahvliharud. Seda saab kasutada tulemüüri ja marsruutimisplatvormina. See on vastu võetud järgmise tõttu;
- Seda saab kasutada liikluse filtreerimiseks, liikluse kujundamiseks ja hõivatud portaali kuvamiseks.
- Sellel on turva- ja tulemüüri funktsioonid, nagu IPSec, Netflow, Proxy, VPN, veebifilter jne.
- See kasutab võrgu sissetungide avastamiseks ja ennetamiseks sisseehitatud sissetungi vältimise süsteemi koos pakettide sügava kontrolliga.
- See pakub iganädalasi turvavärskendusi.
- Sellel on veebipõhine liides, mis on saadaval mitmes keeles, näiteks prantsuse, hiina, vene jne.
- See ühildub 32- ja 64-bitise süsteemi arhitektuuriga.
Endian
Endiani tulemüüri kogukond kontseptualiseerib võrgu kaitseks ja pakettide kontrollimiseks olekulise tulemüüri. See suudab muuta paljast metallist riistvara võimsaks turbelahenduseks, mis sisaldab lüüsi VPN-i, tulemüüri, viirusetõrjet, puhverserverit ja sisu filtreerimist. Selle peamised omadused on järgmised:
- VPN-i tugi IPSec-iga
- Reaalajas võrgu jälgimine ja logimine.
- Kahesuunaline tulemüür
- Reaalajas aruandlus võrgutegevustest ja ressursside kasutamisest, näiteks ribalaius jne.
- Pakub meiliserverite turvalisust rämpsposti automaatse õppimise, SMTP-puhverserverite, hallide nimekirjade ja POP3-puhverserverite kaudu.
- Pakub veebiserveri turvalisust URL-i musta nimekirja, viirusetõrje, HTTP ja FTP puhverserverite kaudu.
Serveri turvalisuse ja tulemüüri (CSF) seadistamine
Config Server Security & Firewall (CSF) on mitmekülgne platvormidevaheline tarkvara. See kontseptualiseerib riikliku tulemüüri, SPI (Stateful Packet Inspection), sisselogimistuvastuse ja Linuxi süsteemide turbelahenduse. Tulemüüri toetavad arvukad hostid nagu RHEL / CentOS, CloudLinux, Fedora, Debian, Ubuntu, OpenSUSE, Slackware ja virtuaalsed keskkonnad nagu VMware, Virtuozzo, XEN, OpenVZ, Virtualbox ja KVM. Selle põhijooned on järgmised:
- Sellel on sirgjooneline SPI tulemüüri skript
- IPv6 tugi ip6tabelitega
- Sellel on täiustatud sissetungimise tuvastamise süsteem ja see võib teid hoiatada süsteemi ja rakenduste kahendfailide muudatuste eest.
- Oskab kaitsta Linuxi kasti surma pinge ja üleujutuste rünnakute eest
- Lihtne hallata ja konfigureerida
- Saab töötada konfigureeritud e-posti hoiatussüsteemiga, et saata teateid ebatavaliste võrgutegevuste või tuvastatud sissetungide kohta.
- See sisaldab kasutajaliidese integreerimist cPaneli, DirectAdmini, CentOS-i veebipaneeli jne jaoks.
Kaldasein
Shorewall on avatud lähtekoodiga tulemüüri ja lüüsi konfigureerimise tööriist GNU / Linuxi keskkonnale. Linuxi tuum on tuntud oma integreerimise tõttu Netfilteri süsteemiga. Sellest süsteemist on antud alus selle tulemüüri arendamiseks või loomiseks. Selle omadused võib kokku võtta järgmiselt:
- Toetab VPN-i
- Toetab sadama edastamist ja maskeerimist
- Toetab mitut ISP-d
- Webmini juhtpaneel on osa selle GUI-liidestest
- Tsentraliseeritud tulemüüri haldus
- Toetab arvukalt lüüsi, ruutereid ja tulemüüri rakendusi.
- See haldab olekupõhist pakettide filtreerimist läbi Netfilteri pakutavate ühenduse jälgimise võimaluste.
NG tulemüür
NG tulemüür on osa Untangle platvormist, mis pakub lahendusi teie võrgu kaitsmiseks. Lahti harutamise platvorm toimib nagu rakenduste pood, et lubada või keelata teatud mooduleid vastavalt teie vajadustele. Untangle'i tasuta versioon on varustatud NG tulemüüriga ja selle saab installida serverisse, virtuaalsesse masinasse ja pilve. Täiendavate funktsioonide avamiseks saate Untangle'i tasulisele versioonile üle viia. Untangle pakub tarkvara ka eraldiseisvas riistvarapaketis, mis on tarkvarapaketiga eelinstallitud.
Kokkuvõte
Tulemüür hoiab teie võrku turvalisena, tervena ja korrastatuna sissetungikaitse ning selle poolt kasutusele võetud autentimis- ja autoriseerimisprotokollide kaudu. Enne kasutatava tulemüüri tarkvara valimist peaksite arvestama võrguinfrastruktuuri suuruse, vajalike turbekihtide ja hallatavate võrguseadmete arvuga. Tulemüürivahendit tuleb regulaarselt turvapaikadega aktiivselt hooldada ja see peab tavalisele kasutajale hästi sobima. Tüüpilised kasutajad võivad eelistada veebiliidese või graafilise kasutajaliidese süsteemi, samas kui Linuxi kasutajale võib olla mugav töötada tulemüüri tööriistadega käsurea kaudu.