Лучший брандмауэр для систем Linux 2018

Одной из наиболее эффективных мер безопасности, которую мы можем внедрить в любой организации, в том числе на личном уровне, является использование брандмауэра, который выполняет функцию мониторинга и контроля над тем, как сетевые пакеты входят и выходят из локальной сети.

Брандмауэр позволяет включать или отключать трафик через определенные порты, добавлять новые правила трафика и, таким образом, иметь гораздо более точный и прямой контроль над всей проблемой сети, которая является одной из самых деликатных с точки зрения безопасности.

Сегодня Solvetic проанализирует некоторые из лучших брандмауэров для Linux и, таким образом, найдет практическую альтернативу безопасности.

Iptables

Iptables - это инструмент командной строки, который часто используется для настройки и управления набором правил фильтрации пакетов в Linux 2.4.x и более поздних средах. Это один из наиболее часто используемых инструментов брандмауэра, который может фильтровать пакеты в сетевом стеке одного и того же ядра.

Пакет iptables также включает в себя ip6tables, с ip6tables мы можем настроить фильтр пакетов IPv6.

Некоторые из его основных функций

• Перечисляет содержимое набора правил фильтрации пакетов.

• Проверять только заголовки пакетов, что делает процесс более гибким

• Позволяет добавлять, удалять или изменять правила по мере необходимости в наборах правил фильтрации пакетов.

• Поддерживает резервное копирование и восстановление с файлами.

Iptables в Linux обрабатывает следующие файлы:

Это скрипт инициализации для запуска, остановки, перезапуска и сохранения правил

 /etc/init.d/iptables 

В этом файле хранятся наборы правил

 / etc / sysconfig / iptables 

Относится к бинарным файлам Iptables

 / sbin / iptables 

Настроить Iptables

IPCop Firewall

IPCop Firewall - это дистрибутив брандмауэра Linux, предназначенный для домашних пользователей и SOHO (небольших офисов). Веб-интерфейс IPCop очень прост в использовании и упрощает его использование. Вы можете настроить компьютер как защищенную VPN для обеспечения безопасной среды через Интернет. Он включает в себя часто используемую информацию, чтобы обеспечить пользователям удобство просмотра веб-страниц.

В рамках его основных характеристик мы имеем

• Он имеет веб-интерфейс с цветовой кодировкой, который позволяет нам отслеживать производительность графики для процессора, памяти и диска, а также производительность сети

• Автоматически просматривать и вращать записи

• Поддержка нескольких языков

• Обеспечивает стабильное и легко развертываемое безопасное обновление и добавляет текущие исправления уровня безопасности.

Там мы можем загрузить образ ISO или тип установки в качестве носителя USB. Это отличается от многих приложений брандмауэра, поскольку его можно установить как дистрибутив Linux. В этом случае мы выбираем ISO-образ и должны выполнить шаги мастера установки. Как только мы назначим все параметры, у нас будет доступ к IPCop:

Ваша загрузка доступна по следующей ссылке:

IPCop Firewall

Shorewall

Shorewall - это инструмент настройки шлюза или брандмауэра для GNU / Linux. С Shorewall у нас есть высокоуровневый инструмент для настройки сетевых фильтров, поскольку он позволяет нам определять требования к брандмауэру с помощью записей в наборе определенных файлов конфигурации.

Shorewall может читать файлы конфигурации, и с помощью утилит iptables, iptables-restore, ip и tc Shorewall может настроить Netfilter и сетевую подсистему Linux в соответствии с установленными требованиями. Shorewall может использоваться в выделенной системе межсетевого экрана, маршрутизации, многофункциональном сервере или в автономной системе GNU / Linux.

Shorewall не использует режим совместимости Netfilter ipchains и может использовать возможности отслеживания состояния подключения Netfilter.

Его основные особенности

• Используйте средства отслеживания соединений Netfilter для фильтрации пакетов состояния

• Поддерживает широкий спектр приложений маршрутизатора, межсетевого экрана и шлюза

• Централизованное администрирование брандмауэра

• GUI интерфейс с панелью управления Webmin

• ISP множественная поддержка

• Поддерживает маскарадинг и переадресацию портов

• Поддержка VPN

Для его установки мы выполним следующее:

 sudo apt-get установить shorewall 

$config[ads_text5] not found

UFW - несложный брандмауэр

UFW в настоящее время позиционирует себя как один из самых полезных, динамичных и простых в использовании межсетевых экранов в средах Linux. UFW расшифровывается как несложный брандмауэр и представляет собой программу, разработанную для управления брандмауэром сетевого фильтра. Он предоставляет интерфейс командной строки и призван быть простым и легким в использовании, отсюда и его название. ufw предоставляет простую структуру для управления сетевым фильтром, а также предоставляет нам интерфейс командной строки для управления брандмауэром из терминала.

$config[ads_text5] not found

В пределах его характеристик мы находим

• IPV6 совместимый

• Расширенные возможности регистрации с подключением и отключением

• Мониторинг состояния брандмауэра

• Расширяемая рама

• Может быть интегрирован с приложениями

• Это позволяет добавлять, удалять или изменять правила в соответствии с потребностями.

Команды для использования:

 sudo apt-get install ufw (установить UFW) статус sudo ufw (проверить состояние UFW) sudo ufw enable (включить UFW) sudo ufw allow 2290: 2300 / tcp (добавить новое правило) 

Настроить UFW

$config[ads_text6] not found

Vuurmuur

Vuurmuur - администратор брандмауэра, созданный на основе iptables в среде Linux. Он имеет простую и удобную конфигурацию, которая допускает простые и сложные конфигурации. Конфигурация может быть полностью настроена через графический интерфейс Ncurses, который обеспечивает безопасное удаленное администрирование через SSH или в консоли.

$config[ads_text5] not found

Vuurmuur поддерживает формирование трафика, имеет мощные функции мониторинга, которые позволяют администратору просматривать журналы, соединения и использование полосы пропускания в режиме реального времени. Vuurmuur является программным обеспечением с открытым исходным кодом и распространяется в соответствии с условиями GNU GPL.

В пределах его характеристик мы находим

• Не требует обширных знаний iptables

• Он имеет читабельный синтаксис правил

• Поддержка IPv6 (экспериментальная)

• Включает моделирование трафика

• Ncurses GUI, X не требуется

• Процесс перенаправления портов становится очень простым

• Легко настроить с помощью NAT

• Включает политику безопасности по умолчанию

• Полностью управляемый через ssh и из консоли (в том числе из Windows, используя PuTTY)

• Скрипт для интеграции с другими инструментами

• Включает антиспуфинговые функции

• Отображение в реальном времени

• Отображение соединения в реальном времени

• Аккаунт с журналом аудита: все изменения записываются

• Регистрация новых подключений и плохих пакетов

• Учет объема трафика в реальном времени

Для установки Vuurmuur в Ubuntu 17 мы должны добавить следующую строку в файл /etc/apt/sources.list:

 deb ftp://ftp.vuurmuur.org/ubuntu/ lucid main 

В случае использования Debian мы введем следующее:

 deb ftp://ftp.vuurmuur.org/debian/ squeeze main 

Позже мы выполним следующие команды:

 sudo apt-get update (пакеты обновления) sudo apt-get install libvuurmuur vuurmuur vuurmuur-conf (установить брандмауэр) 

После установки мы можем использовать этот брандмауэр для создания наших правил.

pfSense

$config[ads_text5] not found

pfSense - это дистрибутив программного обеспечения сетевого брандмауэра / маршрутизатора с открытым исходным кодом, основанный на операционной системе FreeBSD. Программное обеспечение pfSense используется для создания правил брандмауэра / маршрутизатора, предназначенных для сети, и отличается своей надежностью и предлагает множество функций, в основном используемых в коммерческих брандмауэрах.

Pfsense может быть включен во многие бесплатные сторонние программные пакеты для дополнительной функциональности.

В пределах его характеристик мы находим

• Настраивается и обновляется благодаря веб-интерфейсу

• Он может быть развернут как межсетевой экран периметра, маршрутизатор, DHCP-сервер и DNS

• Может быть настроен как точка беспроводного доступа и конечная точка VPN

• Предлагает формирование трафика и информацию о сервере в режиме реального времени

• Балансировка нагрузки входящих и исходящих.

Там мы можем скачать опцию в соответствии с архитектурой, над которой мы работаем. Как только ISO-образ был загружен, мы приступаем к его записи на CD или USB-носитель и загрузке оттуда. Выберите опцию 1 или 2, и после установки параметров начнется процесс установки.

ISO-образ pfSense доступен по следующей ссылке:

pfSense

Настроить pfsense

IPFire

IPFire был разработан с различными параметрами модульности и высокой степенью гибкости, что позволяет администраторам легко реализовывать многие его варианты, такие как брандмауэр, прокси-сервер или шлюз VPN. Модульная конструкция IPFire гарантирует, что его работа точно соответствует его конфигурации. При использовании IPFire у нас будет простое управление, и его можно будет обновлять через менеджер пакетов, что значительно упростит его обслуживание.

$config[ads_text6] not found

Разработчики IPFire сосредоточились на безопасности и разработали ее как брандмауэр SPI (Stateful Packet Inspection). Основные функции IPFire основаны на различных сегментах, таких как:

безопасность

Основной целью IPFire является безопасность, и поэтому он имеет возможность сегментировать сети на основе их соответствующих уровней безопасности и облегчает создание пользовательских политик, которые управляют каждым сегментом.

Безопасность модульных компонентов в IPFire является одним из их приоритетов. Обновления имеют цифровую подпись и зашифрованы, поэтому они могут быть автоматически установлены Pakfire (система управления пакетами IPFire). Поскольку IPFire обычно подключается напрямую к Интернету, это представляет угрозу безопасности, поскольку может быть основной целью для хакеров и других угроз. Простой менеджер пакетов Pakfire дает администраторам уверенность в том, что они используют последние обновления безопасности и исправления ошибок для всех компонентов, которые они используют.

С IPFire у нас будет приложение, которое защищает нас от ферм нулевого дня, устраняя целые классы ошибок и эксплуатируя векторы.

брандмауэр

IPFire использует межсетевой экран SPI (Stateful Packet Inspection), который был построен на netfilter (инфраструктура фильтрации пакетов Linux). В процессе установки IPFire сеть настраивается в разных отдельных сегментах, и каждый сегмент представляет группу компьютеров с общим уровнем безопасности:

Сегменты:

• Зеленый: зеленый указывает на «безопасную» область. Это где все постоянные клиенты остаются. Обычно он состоит из проводной локальной сети.

• Красный: красный указывает на «опасность» в интернет-соединении. Ни одна сеть не может проходить через брандмауэр, если мы не настроим ее специально как администраторы.

• Синий: синий представляет «беспроводную» часть локальной сети (ее цвет был выбран, потому что это цвет неба). Поскольку беспроводная сеть имеет потенциал для использования пользователями, она однозначно идентифицируется, и в ней действуют конкретные правила для клиентов. Клиенты в этом сегменте сети должны быть явно авторизованы, прежде чем они смогут получить доступ к сети.

• Апельсин: Апельсин известен как «демилитаризованная зона» (DMZ). Все серверы, которые являются общедоступными, отделены от остальной части сети здесь для ограничения нарушений безопасности.

Там мы можем загрузить ISO-образ IPFire, поскольку он обрабатывается как независимый дистрибутив и после настройки загрузки. Мы должны выбрать опцию по умолчанию и следовать инструкциям мастера. После установки мы можем получить доступ через Интернет со следующим синтаксисом:

 http: // IP_адрес: 444 

IPFire можно скачать по следующей ссылке:

IPFire

SmoothWall & SmoothWall Express

SmoothWall - это брандмауэр Linux с открытым исходным кодом и настраиваемым веб-интерфейсом. Его веб-интерфейс известен как WAM (Web Access Manager). SmoothWall предлагается в качестве дистрибутива Linux, предназначенного для использования в качестве брандмауэра с открытым исходным кодом, а его дизайн ориентирован на облегчение использования его конфигурации. SmoothWall настраивается через Графический интерфейс основан на wdb, и для его установки и использования требуются минимальные знания Linux.

Среди его основных особенностей мы находим

• Поддерживает LAN, DMZ и беспроводные сети, в дополнение к внешним

• Фильтрация контента в реальном времени

• HTTPS-фильтрация

• Поддержка прокси

• Отображение журнала и монитор активности брандмауэра

• Управление статистикой трафика по IP, интерфейсу и запросу

• Простое резервное копирование и восстановление.

После загрузки ISO мы начнем с него и увидим следующее:

Там мы выбираем наиболее подходящий вариант и следуем инструкциям мастера установки. Как и IPFire, SmoothWall позволяет нам настраивать сегменты сети для повышения уровня безопасности. Мы настроим пароли пользователей. Таким образом, это приложение будет установлено, и мы сможем получить к нему доступ через веб-интерфейс для управления им:

SmoothWall предлагает нам бесплатную версию SmoothWall Express, которую можно скачать по следующей ссылке:

SmoothWall Express

ConfigServer Security Firewall (CSF)

Он был разработан как кроссплатформенный и очень универсальный межсетевой экран, основанный на концепции межсетевого экрана с проверкой состояния пакетов (SPI). Он поддерживает практически все среды виртуализации, такие как Virtuozzo, OpenVZ, VMware, XEN, KVM и Virtualbox.

CSF может быть установлен в следующих операционных системах

$config[ads_text5] not found

• RedHat Enterprise v5 до v7

• CentOS v5 до v7

• CloudLinux v5 до v7

• Fedora v20 до v26

• OpenSUSE v10, v11, v12

• Debian v3.1 - v9

• Ubuntu v6 до v15

• Slackware v12

В его многочисленных функциях мы находим

• SPI прямой скрипт брандмауэра iptables

• В нем есть процесс Daemon, который проверяет ошибки аутентификации при входе в систему: Coup imap, Dovecot, uw-imap, Kerio, openSSH, cPanel, WHM, веб-почта (только для серверов cPanel), Pure-ftpd, vsftpd, Proftpd, Pages Web-защита, защищенная паролем (htpasswd), mod_security (v1 и v2) и ошибки Exim SMTP AUTH.

• Соответствующие регулярные выражения

• Отслеживание входа в POP3 / IMAP для усиления почасового входа

• SSH логин уведомления

• SU входное уведомление

• Чрезмерная блокировка соединения

• Интеграция пользовательского интерфейса для cPanel, DirectAdmin и Webmin

• Простое обновление между версиями cPanel / WHM, DirectAdmin или Webmin

• Простое обновление между версиями оболочки

• Предварительно настроен для работы на сервере cPanel со всеми открытыми стандартными портами cPanel

• Предварительно настроен для работы на сервере DirectAdmin со всеми открытыми стандартными портами DirectAdmin.

• Автоматическая настройка порта SSH, если он не является стандартным при установке

• Блокировка трафика на неиспользуемых IP-адресах сервера: помогает снизить риск для сервера

• Оповещение, когда скрипты конечного пользователя отправляют чрезмерное количество писем в час, чтобы идентифицировать скрипты спама

• Отчеты о подозрительных процессах: отчеты о потенциальных уязвимостях, запущенных на сервере

• Чрезмерные отчеты о пользовательских процессах

• Блокируйте трафик в различных списках блокировки, включая черный список DShield и список DROP Spamhaus

• Защита пакетов BOGON

• Предварительно сконфигурированные конфигурации для низкого, среднего или высокого уровня безопасности брандмауэра (только для серверов cPanel)

• IDS (система обнаружения вторжений), где последняя строка обнаружения предупреждает вас об изменениях в системе и двоичных файлах приложений

• SYN Защита от наводнений и многое другое.

$config[ads_text5] not found

Вариант 1 Установка

Загрузите файл .tgz по следующей ссылке:

CSF

Вариант 2 Установка

Или выполните следующие строки:

 cd / usr / src / wget https://download.configserver.com/csf.tgz tar -xzf csf.tgz cd / usr / src / csf sh install.sh 

ClearOS

ClearOS 7, Community Edition - серверная операционная система Linux с открытым исходным кодом, предназначенная для экспертов и энтузиастов Linux, которые используют открытый исходный код и вносят свой вклад в глобальное сообщество пользователей с предложениями и новыми идеями.

Все обновления, исправления ошибок, исправления и исправления безопасности предоставляются бесплатно по возрастанию. Эти функции охватывают более 75 ИТ-функций: управление доменом, управление сетью и пропускной способностью, обмен сообщениями и многое другое.

Поскольку это дистрибутив Linux, мы загрузим ISO-образ и настроим загрузку на USB-носитель или CD / DVD. Мы видим, что его среда установки похожа на Ubuntu. Мы будем следовать инструкциям мастера установки:

Мы устанавливаем пароль root и продолжим установку. Как только мы войдем в систему, мы увидим следующее окно, в котором инструкции по доступу будут предоставляться через Интернет. Мы можем нажать на опцию «Exit to Text Console», чтобы получить доступ к консоли ClearOS. Там мы можем выполнить некоторые из доступных действий:

ClearOS предлагает несколько вариантов продукта, но бесплатной версией является Community Edition, которая доступна по следующей ссылке:

ClearOS

OPNsense

OPNsense - это брандмауэр и платформа маршрутизации, основанная на открытом исходном коде FreeBSD, простая в использовании и простая в сборке. OPNsense включает в себя большинство функций, доступных в дорогих коммерческих брандмауэрах, и включает в себя широкий набор функций коммерческих предложений с преимуществами открытых и проверяемых источников.

$config[ads_text5] not found

OPNsense был запущен как ответвление pfSense® и m0n0wall в 2014 году, а его первый официальный запуск состоялся в январе 2015 года. OPNsense предлагает еженедельные обновления для системы безопасности с небольшими приращениями, чтобы быть на шаг впереди новых возникающих угроз сегодня. Фиксированный цикл запуска из 2 основных запусков каждый год дает компаниям возможность планировать улучшения на уровне безопасности.

Некоторые из его основных функций:

• Формирователь трафика

• Двухфакторная аутентификация во всей системе

• Пленный портал

• Forward Caching Proxy (прозрачный) с поддержкой черного списка

• Виртуальная частная сеть с IPsec, OpenVPN и устаревшей поддержкой PPTP

• Высокая доступность и отказоустойчивость оборудования (с синхронизацией конфигурации и синхронизированных таблиц состояния)

• Обнаружение и предотвращение вторжений

• Интегрированные инструменты отчетности и мониторинга, включая диаграммы RRD

• Netflow Exporter

• Мониторинг сетевого потока

• Поддержка дополнений

• DNS-сервер и DNS-маршрутизатор

• DHCP-сервер и реле

• Динамический DNS

• Зашифрованная резервная копия конфигурации на Google Диске

• Межсетевой экран государственной инспекции

• Детальный контроль над таблицей состояния

• Поддержка 802.1Q VLAN

$config[ads_text5] not found

Как только ISO-образ был загружен, мы приступаем к установке. В процессе установки необходимо будет настроить параметры сети, VLAN и т. Д.

После завершения этого процесса мы сможем получить доступ через Интернет и выполнить соответствующие настройки на уровне брандмауэра.

Ваша загрузка доступна по следующей ссылке:

OPNsense

С помощью этих параметров брандмауэра мы можем поддерживать наилучшие уровни безопасности в наших дистрибутивах Linux.