De 10 beste open source firewalls voor Linux

Veel Linux-distributies hebben standaard firewalls ingebouwd in de kernel en kunnen worden geconfigureerd om een uitstekende verdediging te bieden tegen netwerkintrusie. Firewalld is bijvoorbeeld de standaard firewallsoftware voor Fedora, Red Hat, CentOS-distributies, terwijl Debian en Ubuntu worden geleverd met de ongecompliceerde firewall.

Er zijn veel open-source firewallsoftware om uit te kiezen, afhankelijk van uw expertiseniveau, de grootte van de te beschermen infrastructuur, het gebruiksgemak of zelfs of er een grafische tool voor de firewall is. In dit artikel worden Linux-firewalltools in willekeurige volgorde uitgelicht. De beste firewall verschilt van gebruiker tot gebruiker, afhankelijk van uw vereisten. Het creëren van een veerkrachtig en veilig netwerk om datalekken te voorkomen vereist een uitgebreide set tools en configuraties.

Waarom Firewall??

Een goed geconfigureerde firewall is de eerste verdedigingslinie van uw computer of netwerk tegen netwerkinbraak en kan gegevensverlies en -inbreuken voorkomen. Een firewall is een set regels die de verplaatsing van datapakketten in en uit een beveiligd netwerk regelt. Misschien wilt u in detail weten wat een Linux Firewall is, hoe het werkt en wat het voor u doet in ons gedetailleerde Linux Firewall-artikel.

Open-source firewall-tools voor uw Linux-systemen

nftables & iptables

nftables is een opvolger van iptables en maakt deel uit van het Netfilter Linux-kernelproject, dat firewalling, het netwerkadres en poortvertaling en pakketfiltering mogelijk maakt.

iptables

Iptables is een veel voorkomende naam in het firewalldomein. Het is een firewall-software waarmee u regelsets kunt definiëren. Het heeft een op terminals gebaseerde implementatie en ervaren Linux-serverbeheerders gebruiken het omdat het effectief en aanpasbaar is. Toch kan het ook ingewikkeld zijn om te configureren voor beginnende systeembeheerders. Taken voor het filteren van gegevenspakketten vinden plaats vanuit de systeemkernel. De kenmerken en kenmerken van de iptables-firewall zijn als volgt:

Het heeft pakketfilterregelsets die inhoudslijsten ondersteunen.
Implementeert een pakketheader-inspectiebenadering, waardoor de firewall handig snel is.
Met bewerkbare pakketfilterregelsets kan een gebruiker een firewallconfiguratieregel toevoegen, bewerken of verwijderen.
U kunt het gebruiken voor back-up en herstel van gegevensbestanden, gekoppeld aan de functionaliteit van de firewall.

nftables

nftables is de opvolger van iptables en biedt meer flexibiliteit, schaalbaarheid en classificatie van prestatiepakketten. nftables is de vervanger van iptables sinds 2014 en is beschikbaar voor systeembeheerders via de nft-opdrachtregeltool. iptables gaat echter niet snel ergens heen, omdat het nog steeds veel wordt gebruikt in door iptables beveiligde netwerken. Nftables heeft nieuwe functionaliteit en flexibiliteit toegevoegd aan het Netfilter-pakket. De belangrijkste kenmerken zijn:

Het biedt een netwerkspecifieke virtuele machine via de nft opdrachtregelprogramma.
Systeembeheerders kunnen hoge prestaties behalen door middel van kaarten en aaneenschakelingen.
Het heeft een kleinere kernelcodebase met het potentieel om het pakket nieuwe functies te laten leveren door het upgraden van de opdrachtregeltool voor gebruikersruimte zonder noodzakelijkerwijs de kernel te hoeven upgraden.
Het heeft een uniforme en consistente syntaxis voor elke familie van ondersteuningsprotocollen.

Firewalld & ongecompliceerde firewall

Firewalld en ongecompliceerde firewall (UFC) zijn gebruiksvriendelijke firewall-implementaties die zijn geïntroduceerd als Netfilter-interpreters op een hoger niveau. Ze zijn ontworpen om netwerkbeveiligingsproblemen op te lossen waarmee zelfstandige computers worden geconfronteerd.

Firewalld

Firewalld maakt deel uit van de systemd-familie en is de standaardtool voor firewallbeheer voor RHEL, CentOS, Fedora, SUSE en OpenSUSE. Firewalld is een dynamisch beheerde firewall met ondersteuning voor netwerk- of firewallzones. Zones maken het gemakkelijk voor gebruikers om vertrouwensniveaus van netwerkinterfaces en verbindingen te definiëren. Het heeft ondersteuning voor firewallinstellingen voor IPv4, IPv6, ethernetbruggen en IP-sets. De belangrijkste kenmerken en voordelen zijn:

Het heeft een complete D-Bus API die het voor applicaties, services en gebruikers eenvoudig maakt om firewall-instellingen aan te passen.
IPv4, IPv6, bridge en ipset-ondersteuning.
IPv4- en IPv6 NAT-ondersteuning.
Ondersteuning voor firewallzones met vooraf gedefinieerde zones en services.
Getimede firewallregels bieden systeembeheerders de flexibiliteit om permanente en runtime-configuraties te scheiden, waardoor het mogelijk wordt netwerktests en netwerkevaluaties in realtime uit te voeren.
U kunt instellingen configureren met behulp van de opdracht firewall-cmd terminal en via een grafische configuratietool.

Firewalld heeft een brede beschikbaarheid en kan ook worden geïnstalleerd in andere distributies zoals Debian en Ubuntu. Na de installatie moet u firewalld tijdens het opstarten inschakelen en activeren om effectief te zijn.

UFW - Ongecompliceerde firewall

Ubuntu-servers worden standaard geleverd met de ongecompliceerde firewall. Het ontwerpdoel was om een minder complexe en gebruiksvriendelijke firewall te ontwikkelen dan de iptables uit het Netfilter-pakket. De firewall bevat ook een GUI genaamd GUFW voor gebruikers van Ubuntu en Debian. We kunnen de kenmerken ervan als volgt samenvatten:

Ondersteunt IPV6
Statusbewaking
Het is uitbreidbaar en kan eenvoudig worden geïntegreerd met andere applicaties
U kunt firewallregels naar uw voorkeur toevoegen, verwijderen of wijzigen
Heeft een aan/uit-voorziening als uitbreiding op de logmogelijkheden

pfSense

pfSense-firewall heeft een aangepaste kernel op basis van FreeBSD en beschrijft zichzelf als de meest vertrouwde open-source firewall. Het is geprezen om zijn betrouwbaarheid en functies op commercieel niveau. Het conceptualiseert Stateful Packet-filtering. Het is beschikbaar als hardwareapparaat, virtueel apparaat en als downloadbaar binair bestand voor de communityeditie. De premium of commerciële versie van de firewall heeft een zwaar prijskaartje. De belangrijkste kenmerken zijn als volgt:

Load balancing voor inkomend en uitgaand verkeer
Biedt realtime informatie van de server en is geschikt voor traffic shaping
Door de configuratie kan het functioneren als een VPN-eindpunt en als een draadloos toegangspunt
Het is inzetbaar als een DHCP- en DNS-server, een firewall en als een router
Het heeft een webgebaseerde interface van waaruit het kan worden geüpgraded of flexibel kan worden geconfigureerd
Het biedt een hoge beschikbaarheid
Je kunt het op meer dan één internetverbinding gebruiken.

IPFire

IPFire is een gebruiksvriendelijke open-source firewall die het beste werkt in een Small Office Home Office-omgeving of -omgeving. Het is een stateful firewall die bovenop Netfilter is gebouwd. Het is zeer flexibel en met veel modulaire overwegingen in het ontwerp. Het kan worden gebruikt als firewall, VPN-gateway of proxyserver. Het kwalificeert ook als een SPI (Stateful Packet Inspection) firewall. Een samenvatting van de functies is als volgt:

Inhoud filteren
Facilitering van meerdere implementaties kan zijn als een VPN-gateway, een proxyserver of een firewall.
Het beschikt over een ingebouwde IDS-functionaliteit (intrusion detection system) om aanvallen vanaf de eerste dag te detecteren en te voorkomen.
De ondersteuning strekt zich uit tot Chats, Forums en Wiki.
Biedt een virtualisatie-omgeving door middel van ondersteuning voor hypervisors zoals Xen, VMWare en KVM
Het ondersteunt een kleurgecodeerde beveiligingsconfiguratie waardoor het gebruiksvriendelijk is.
U kunt de functionaliteiten vergroten door handige add-ons zoals Guardian, die automatische preventie kan implementeren.

OPNsense

OPNSense is een afsplitsing van de open source-projecten pfSense en m0n0wall. Het wordt aangedreven door HardenedBSD, een afsplitsing van het op beveiliging gerichte besturingssysteem FreeBSD. Het kan worden gebruikt als een firewall en routeringsplatform. Het is aangenomen vanwege het volgende;

Het kan worden gebruikt voor het filteren van verkeer, het vormgeven van verkeer en het weergeven van een captive portal.
Het heeft beveiligings- en firewallfuncties zoals IPSec, Netflow, Proxy, VPN, webfilter, enz.
Het maakt gebruik van een inline inbraakpreventiesysteem met diepe pakketinspectie om netwerkinbraken te detecteren en te voorkomen.
Het biedt wekelijkse beveiligingsupdates.
Het beschikt over een webgebaseerde interface die beschikbaar is in meerdere talen, zoals Frans, Chinees, Russisch, enz.
Het is compatibel met 32-bits en 64-bits systeemarchitectuur.

Endian

De Endian Firewall Community stelt een stateful firewall samen voor netwerkbeveiliging en pakketinspectie. Het kan een bare-metal hardware-apparaat transformeren in een krachtige beveiligingsoplossing die bestaat uit een gateway VPN, firewall, antivirus, proxy en inhoudsfiltering. De belangrijkste kenmerken zijn als volgt:

VPN-ondersteuning met IPSec
Realtime netwerkbewaking en logboekregistratie.
Bidirectionele firewall
Realtime rapportage van netwerkactiviteiten en resourcegebruik zoals bandbreedte, enz.
Biedt beveiliging van mailservers via Spam Auto-Learning, SMTP-proxy's, Greylisting en POP3-proxy's.
Biedt webserverbeveiliging via URL-blacklist, antivirus, HTTP- en FTP-proxy's.

Configuratieserverbeveiliging en firewall (CSF)

Config Server Security & Firewall (CSF) is een veelzijdige platformonafhankelijke software. Het conceptualiseert een stateful firewall, SPI (Stateful Packet Inspection), login-detectie en Linux-systeembeveiligingsoplossing. De firewall wordt ondersteund door talloze hosts zoals RHEL/CentOS, CloudLinux, Fedora, Debian, Ubuntu, OpenSUSE, Slackware en virtuele omgevingen zoals VMware, Virtuozzo, XEN, OpenVZ, Virtualbox en KVM. De belangrijkste kenmerken zijn:

Het heeft een eenvoudig SPI-firewallscript
IPv6-ondersteuning met ip6tables
Het heeft een geavanceerd inbraakdetectiesysteem en kan u waarschuwen voor wijzigingen in systeem- en toepassingsbinaire bestanden.
Kan een Linux-box beschermen tegen de ping of death en syn-flood-aanvallen
Eenvoudig te beheren en configureren
Kan werken met een geconfigureerd e-mailwaarschuwingssysteem om meldingen te verzenden over ongebruikelijke netwerkactiviteiten of gedetecteerde inbraken.
Het beschikt over een UI-integratie voor cPanel, DirectAdmin, CentOS Web Panel, enz.

Kustmuur

Shorewall is een open-source firewall en gateway-configuratietool voor de GNU/Linux-omgeving. De Linux-kernel staat bekend om zijn integratie met een Netfilter-systeem. Vanuit dit systeem wordt een basis gelegd voor het ontwikkelen of maken van deze firewall. De kenmerken ervan kunnen als volgt worden samengevat:

Ondersteunt VPN
Ondersteunt port forwarding en masquerading
Ondersteunt meerdere ISP
Een Webmin-configuratiescherm maakt deel uit van de GUI-interface
Gecentraliseerd firewallbeheer
Ondersteunt talrijke gateway-, router- en firewalltoepassingen.
Het beheert stateful pakketfiltering via Connection Tracking Facilities geleverd door Netfilter.

NG-firewall

NG Firewall maakt deel uit van het Untangle-platform, dat oplossingen biedt om uw netwerk te beschermen. Het ontwarren platform werkt als een app store om bepaalde modules in of uit te schakelen op basis van uw vereisten. De gratis versie van Untangle wordt geleverd met de NG Firewall en kan worden geïnstalleerd op een server, virtuele machine en cloud. Je kunt Untangle upgraden naar de betaalde versie om meer functies te ontgrendelen. Untangle levert de software ook in een op zichzelf staand hardwarepakket dat wordt geleverd met het vooraf geïnstalleerde softwarepakket.

Samenvatting

Een firewall houdt uw netwerk veilig, gezond en georganiseerd door middel van inbraakbeveiliging en de authenticatie- en autorisatieprotocollen die het instelt. Voordat u de firewallsoftware kiest die u wilt gebruiken, moet u rekening houden met de grootte van de netwerkinfrastructuur, de vereiste beveiligingslagen en het aantal netwerkapparaten dat u wilt beheren. De firewall-tool moet actief worden onderhouden met regelmatige beveiligingspatches en goed werken voor een typische gebruiker. Typische gebruikers geven misschien de voorkeur aan een systeem met een webinterface of GUI, terwijl een ervaren Linux-gebruiker misschien vertrouwd is met het werken met de firewall-tools via de opdrachtregel.