10 полезных брандмауэров безопасности с открытым исходным кодом для систем Linux
Будучи администратором Nix более 5+ лет, я всегда отвечаю за управление безопасностью серверов Linux. Брандмауэры играют важную роль в обеспечении безопасности систем/сетей Linux. Он действует как охранник между внутренней и внешней сетью, контролируя и управляя входящим и исходящим сетевым трафиком на основе набора правил. Этот набор правил брандмауэра разрешает только законные соединения и блокирует те, которые не определены.
На рынке доступны для загрузки десятки приложений брандмауэра с открытым исходным кодом. В этой статье мы представили 10 самых популярных межсетевых экранов с открытым исходным кодом, которые могут быть очень полезны при выборе того, который соответствует вашим требованиям.
1. Иптаблес
Iptables/Netfilter — самый популярный межсетевой экран на основе командной строки. Это первая линия защиты сервера Linux. Многие системные администраторы используют его для тонкой настройки своих серверов. Он фильтрует пакеты в сетевом стеке внутри самого ядра. Более подробный обзор Iptables можно найти здесь.
Возможности IPtables
- В нем перечислено содержимое набора правил фильтрации пакетов.
- Это молниеносно, поскольку проверяет только заголовки пакетов.
- Вы можете добавлять/удалять/изменять правила в соответствии с вашими потребностями в наборах правил фильтрации пакетов.
- Перечисление/обнуление счетчиков каждого правила наборов правил фильтрации пакетов.
- Поддерживает резервное копирование и восстановление с файлами.
Домашняя страница IPtables
Базовое руководство по брандмауэру Linux IPTables
2. Межсетевой экран IPCop
IPCop — это дистрибутив брандмауэра Linux с открытым исходным кодом. Команда IPCop постоянно работает над тем, чтобы предоставить своим пользователям стабильную, более безопасную, удобную и легко настраиваемую систему управления брандмауэром. IPCop предоставляет хорошо продуманный веб-интерфейс для управления межсетевым экраном. Это очень полезно и хорошо для малого бизнеса и локальных ПК.
Вы можете настроить старый компьютер как безопасную VPN, чтобы обеспечить безопасную среду через Интернет. Он также сохраняет некоторую часто используемую информацию, чтобы обеспечить пользователям более удобный просмотр веб-страниц.
Возможности межсетевого экрана IPCop
- Его веб-интерфейс с цветовой кодировкой позволяет отслеживать производительность графики процессора, памяти и диска, а также пропускную способность сети.
- Он просматривает и автоматически вращает журналы.
- Поддержка Поддержка нескольких языков.
- Обеспечивает очень безопасное, стабильное и легко реализуемое обновление и добавление исправлений.
Домашняя страница IPCop
3. Береговая стена
Shorewall или Shoreline Firewall — еще один очень популярный межсетевой экран с открытым исходным кодом, специализирующийся на GNU/Linux. Он основан на системе Netfilter, встроенной в ядро Linux, которая также поддерживает IPV6.
Особенность береговой стены
- Использует средства отслеживания соединений Netfilter для фильтрации пакетов с учетом состояния.
- Поддерживает широкий спектр приложений маршрутизаторов/брандмауэров/шлюзов.
- Централизованное администрирование межсетевого экрана.
- Графический интерфейс с панелью управления Webmin.
- Поддержка нескольких интернет-провайдеров.
- Поддерживает маскировку и переадресацию портов.
- Поддерживает VPN
Домашняя страница Shorewall
Установка береговой стены
4. UFW – несложный брандмауэр
UFW — это инструмент брандмауэра по умолчанию для серверов Ubuntu. Он в основном предназначен для уменьшения сложности брандмауэра iptables и делает его более удобным для пользователя. Графический интерфейс пользователя ufw, GUFW также доступен для пользователей Ubuntu и Debian.
Особенности УФВ
- Поддерживает IPV6
- Расширенные возможности ведения журнала с возможностью включения/выключения
- Мониторинг состояния
- Расширяемая платформа
- Может быть интегрирован с приложениями
- Добавляйте/удаляйте/изменяйте правила в соответствии с вашими потребностями.
Домашняя страница UFW
Домашняя страница GUFW
Установка UFW
5. Вуурмуур
Vuurmuur — еще один мощный менеджер межсетевого экрана Linux, который создает правила iptables или управляет ими для вашего сервера или сети. В то же время он очень удобен в администрировании, для использования Vuurmuur не требуются предварительные знания iptables.
Особенности Вуурмуура
- Поддержка ИПВ6
- Формирование трафика
- Более продвинутые функции мониторинга
- Мониторинг соединения в реальном времени и использования полосы пропускания
- Легко настраивается с помощью NAT.
- Имеют функции защиты от спуфинга.
Домашняя страница Вуурмуура
Флэш-демоверсии Вуурмуура
6. пфСенс
pfSense — еще один очень надежный межсетевой экран с открытым исходным кодом для серверов FreeBSD. Он основан на концепции фильтрации пакетов с отслеживанием состояния. Он предлагает широкий спектр функций, которые обычно доступны только в дорогих коммерческих межсетевых экранах.
Возможности pfsense
- Широкие возможности настройки и обновления веб-интерфейса.
- Может быть развернут в качестве межсетевого экрана по периметру, маршрутизатора, DHCP и DNS-сервера.
- Настроен как точка беспроводного доступа и конечная точка VPN.
- Формирование трафика и информация о сервере в реальном времени.
- Балансировка входящей и исходящей нагрузки.
Домашняя страница pfSense
7. IPFire
IPFire — это еще один межсетевой экран на базе Linux с открытым исходным кодом для сред малого офиса и домашнего офиса (SOHO). Его конструкция отличается модульностью и высокой гибкостью. Сообщество IPfire также позаботилось о безопасности и разработало его как брандмауэр Stateful Packet Inspection (SPI).
Возможности IPFire
- Может быть развернут в качестве межсетевого экрана, прокси-сервера или VPN-шлюза.
- Фильтрация контента
- Встроенная система обнаружения вторжений
- Поддержка через Wiki, форумы и чаты
- Поддержка гипервизоров, таких как KVM, VmWare и Xen для среды виртуализации.
Домашняя страница IPFire
8. SmoothWall и SmoothWall Express
SmoothWall — это межсетевой экран Linux с открытым исходным кодом и легко настраиваемым веб-интерфейсом. Его веб-интерфейс известен как WAM (менеджер веб-доступа). Свободно распространяемая версия SmoothWall известна как SmoothWall Express.
Особенности SmoothWall
- Поддерживает сети LAN, DMZ и беспроводные сети, а также внешние.
- Фильтрация контента в реальном времени
- HTTPS-фильтрация
- Поддержка прокси
- Просмотр журнала и мониторинг активности брандмауэра
- Управление статистикой трафика по IP, интерфейсу и посещению
- Средство резервного копирования и восстановления нравится.
Домашняя страница SmoothWall
9. Эндиан
Межсетевой экран Endian — это еще один межсетевой экран, основанный на концепции проверки пакетов с отслеживанием состояния, который можно развертывать в качестве маршрутизаторов, прокси-серверов и VPN-шлюзов с OpenVPN. Первоначально он был разработан на основе межсетевого экрана IPCop, который также является ответвлением Smoothwall.
Особенности Эндиана
- Двунаправленный межсетевой экран
- Snort Предотвращение вторжений
- Может защитить веб-сервер с помощью HTTP и FTP-прокси, антивируса и черного списка URL-адресов.
- Может защищать почтовые серверы с помощью прокси-серверов SMTP и POP3, автоматического обучения спаму и серых списков.
- VPN с IPSec
- Регистрация сетевого трафика в режиме реального времени
Домашняя страница с прямым порядком байтов
10. Брандмауэр безопасности ConfigServer
Последний, но не последний — безопасность и брандмауэр Configserver. Это кросс-платформенный и очень универсальный межсетевой экран, он также основан на концепции межсетевого экрана проверки пакетов с отслеживанием состояния (SPI). Он поддерживает практически все среды виртуализации, такие как Virtuozzo, OpenVZ, VMware, XEN, KVM и Virtualbox.
Особенности КСФ
- Его демон-процесс LFD (демон ошибок входа в систему) проверяет ошибки входа в систему на конфиденциальных серверах, таких как ssh, SMTP, Exim, Imap, Pure & ProFTP, vsftpd, Suhosin и mod_security.
- Можно настроить оповещения по электронной почте, чтобы уведомлять, если что-то пойдет не так, или обнаружить любое вторжение на ваш сервер.
- Можно легко интегрировать популярные панели управления веб-хостингом, такие как cPanel, DirectAdmin и Webmin.
- Уведомляет чрезмерного пользователя ресурса и подозрительный процесс по электронной почте.
- Усовершенствованная система обнаружения вторжений.
- Может защитить вашу Linux-систему с помощью таких атак, как Syn Flood и ping of Death.
- Проверяет на эксплойты
- Легко запустить/перезапустить/остановить и многое другое.
Домашняя страница CSF
Установка CSF
Помимо этих брандмауэров, в Интернете доступно множество других брандмауэров, таких как Sphirewall, Checkpoint, ClearOS, Monowall, для защиты вашего компьютера с Linux. Пожалуйста, сообщите миру, какой брандмауэр для вашего устройства Nix вам больше всего нравится, и оставьте свои ценные предложения и вопросы ниже в поле для комментариев. Скоро я приду с еще одной интересной статьей, а до тех пор будьте здоровы и оставайтесь на связи с linux-console.net.