26.08.2018 18:04
Mariakozlova 11 9000 Источник
Статистика утечки данных показывает, что каждый день миллионы данных оказываются украденными или потерянными.



Насколько безопасна ваша сеть? Используете ли вы файрвол для защиты вашей сетевой инфраструктуры?

Ранее я писал об управляемых облачных файрволах и получил предложение написать о бесплатных файрволах или файрволах с открытым исходным кодом.

Вот, пожалуйста!



Следующие бесплатные файрволы отличаются от файрволов веб-приложений. Они служат для защиты инфраструктуры, а не кода или приложения.

1. pfSense


Это решение для обеспечения безопасности с открытым исходным кодом на основе ядра FreeBSD. pfSense – это один из ведущих сетевых файрволов с коммерческим уровнем функционала.

pfSense доступно как оборудование, виртуальное устройство и загружаемый исходник (общая версия).



Бесплатно вы получаете общую версию.

Мне нравится их исчерпывающая документация, хорошо понятная и простая в использовании. Вот некоторые из значимых упоминаемых особенностей pfSense:

  • файрвол — фильтрация IP/портов, ограничение соединений, работа на канальном уровне, нормализация пакетов;
  • таблица состояний — по умолчанию все правила находятся в отслеживаемом состоянии, множественные конфигураций подходят для обработки состояний;
  • серверная балансировка нагрузки — встроенный балансировщик нагрузки для ее распределения между несколькими серверами;
  • NAT (преобразование сетевых адресов) — переадресация портов, отражение;
  • HA (высокая доступность) — переход на вторичный сервер, если основной дал сбой;
  • мульти-WAN (глобальная компьютерная сеть) – использование более чем одного интернет-соединения;
  • VPN (виртуальная частная сеть) — поддержка IPsec и OpenVPN;
  • создание отчетов – сохранение информации об использованных ресурсах;
  • мониторинг – мониторинг в режиме реального времени;
  • динамический DNS – включено несколько DNS-клиентов;
  • поддержка DHCP Relay.

Больше функций, чем предоставляют некоторые коммерческие файрволы, вы получаете БЕСПЛАТНО.

Поразительно, не так ли?

Кроме того, у вас также есть возможность устанавливать пакеты всего одним щелчком мыши.

Например:

  • безопасность — stunner, snort, tinc, nmap, arpwatch;
  • мониторинг – iftop, ntopng, softflowd, urlsnarf, darkstat, mailreport;
  • создание сети — netio, nut, Avahi;
  • маршрутизация — frr, olsrd, routed, OpenBGPD;
  • обслуживание — iperf, widentd, syslog-ng, bind, acme, imspector, git, dns-server.

pfSense выглядит многообещающе и его стоит попробовать.

2. IPFire


IPFire основан на Netfilter и ему доверяют тысячи компаний по всему миру.



IPFire можно использовать как файрвол, прокси-сервер или VPN-шлюз — все зависит от того, как вы настроите его. Он обладает большой гибкостью в настройках.

IDS (система обнаружения вторжений) является встроенной, поэтому атаки обнаруживаются и предотвращаются с самого начала, а с помощью дополнения Guardian вы можете осуществлять автоматическую профилактику.

Вы сможете понять как работать с IPFire менее чем за 30 минут. Прочитать больше о его возможностях можно здесь.

3. OPNSense


OPNSense является ответвлением pfSense и m0n0wall. Графический интерфейс доступен на нескольких языках, таких как французский, китайский, японский, итальянский, русский и др.



OPNSense обладает многими серьезными уровнями безопасности и функциями файрвола, такими как IPSec, VPN, 2FA, QoS, IDPS, Netflow, Proxy, Webfilter и т.д.

Он совместим с 32-битной или 64-битной системной архитектурой и доступен для загрузки как ISO-образ и USB-установщик.

4. NG Firewall


NG Firewall от Untangle — это единая платформа, где вы можете получить все необходимое для защиты сети своей организации.



Он обладает красивой панелью инструментов, попробовать демо-версию можно здесь. Он работает как магазин приложений, где вы можете запускать или отключать отдельные приложения (модули) в соответствии со своими потребностями.

В бесплатной версии вы получаете доступ к самой платформе NG Firewall, бесплатные приложения и 14-дневную пробную версию платных функций.

5. Smoothwall


Smoothwall express — это бесплатное решение с простым веб-интерфейсом для настройки и управления файрволом.



Smoothwall express поддерживает LAN (локальную сеть), DMZ (демилитаризованную зону), внутренний и внешний сетевой файрвол, веб-прокси для ускорения, статистику трафика и др.
Выключение или перезагрузка возможны непосредственно через веб-интерфейс.

Примечание: Следующие две программы предназначены только для серверов Linux.

6. ufw


ufw (несложный файрвол) работает с Ubuntu. Для управления системой фильтрации пакетов ядра Linux (Netfilter) он использует интерфейс командной строки.

7. csf


csf (ConfigServer security) протестирован и поддерживается на следующих ОS и виртуальных серверах:

  • RHEL/CentOS
  • CloudLinux
  • Fedora
  • OpenSUSE
  • Debian
  • Ubuntu
  • Slackware
  • OpenVZ
  • KVM
  • VirtualBox
  • XEN
  • VMware
  • Virtuozzo
  • UML

csf — это файрвол с контролем состояния соединений, обнаружением входа в систему и обеспечением безопасности для серверов Linux.

Я надеюсь, что вышеперечисленные бесплатные решения для файрвола помогут вам сэкономить деньги и защитить вашу инфраструктуру от взлома.


LOOKING.HOUSE — на проекте собрано более 150 точек looking glass в 40 странах. Можно быстро выполнить команды host, ping, traceroute и mtr.


Комментарии (11)


  1. AlexanderS
    26.08.2018 21:10
    #19035065

    ufw (несложный файрвол) работает с Ubuntu. Для управления системой фильтрации пакетов ядра Linux (Netfilter) он использует интерфейс командной строки.

    Есть и графическая оболочка: gufw.


  1. Chupaka
    26.08.2018 23:18
    #19035309

    csf (ConfigServer security)

    Долго всматривался в скобки в поисках буквы "f" из аббревиатуры. Оказалось, полное название — ConfigServer Security & Firewall.


  1. skymal4ik
    26.08.2018 23:27
    #19035329

    Добавил бы еще для информации такую вещь, как Firewall Builder.

    Позволяет написать правила в графическом интерфейсе, а потом экспортировать их в команды Cisco ASA\iptables\pfSense, etc.

    Я пробовал писать в нем iptables-правила для серверов, но ИМХО правила на выходе получались немного переусложненными, так что отказался. Но вдруг кому полезно будет :)


  1. DuH_Khv
    26.08.2018 23:31
    #19035341

    Использую pfsense уже более 5 лет. Радует стабильность работы, минимальное потребление ресурсов (на сеть из 20 машин может будет достаточно cpu уровня P4 и 256 мб ОЗУ). К огромному преимуществу (IMHO) стоит отметить его приспособленность к работе в качестве virtual appliance под Esxi. Встроенные обновления между давали сбой только единожды (года 4 назад), что даёт возможность обновлять его удалённо и поддерживать актуальность в части отсутствия выявленных уязвимостей. Активно использую OpenVPN который настраивается и устанавливается без каких-либо танцев с бубном. Ну и на закуску стоит отметить возможность гибкого шейпинга трафика.
    На итого: из коробки, без необходимости платить денежку можно получить МЭ коммерческого уровня с мощным функционалом.
    P.S. с относительно недавних версий pfsense обзовелся встроенным переводом gui на русский. Из плюсов при этом отмечу только возможность «комментировать» правила на русском языке.


  1. de1m
    27.08.2018 01:49
    #19035531

    Используем shorewall, все файлы настройки храним в гите, при git push, правила через git runner копируются на сервер.


  1. mSnus
    27.08.2018 02:41
    #19035567

    А почему эти файрволлы лучшие? И чем, например, Smoothwall Express лучше бесплатного, но не-открытого Comodo кроме собственно, открытости кода? Его кто-то тестировал, исходники кто-то проверял?


  1. poige
    27.08.2018 04:34
    #19035615
    +1

    Firewall это, например, ipfilter, netfilter, ipfw, Pf, Cisco PIX и пр. — узкоспециализированный софт, предназначенный для ограничения сетевого взаимодействия. А то, о чем речь в статье, рекламного (по-сути) назначения — это WEB-панели к FreeBSD, и Linux.

    > Статистика утечки данных показывает, что каждый день миллионы данных оказываются украденными или потерянными.

    это вообще фейспалм и ржачь… Firewall'ы обычно не блокирует получение почты, IM-сообщений и всего такого прочего, в чем офисный планктон / домашний хомячок обычно привык жать на ссылку, не особо задумываясь об угрозе phishing'а, например. Firewall'ы, обычно, не блокирует открытие фишинговых сайтов, после такого клика; но без саспенса важность статьи может вызывать вопросы, и вот уже в шапке смесь «данных минздрава» с романами Стивена Кинга. Массовая культура во всей ее красе…


  1. krpl
    27.08.2018 10:22
    #19036085

    OpenWRT забыли, там тоже firewall есть, и на x86 можно установить…


  1. reff
    27.08.2018 13:10
    #19036869

    Википедия, "List of router and firewall distributions"
    https://en.wikipedia.org/wiki/List_of_router_and_firewall_distributions


    Distrowatch.com, категория "firewall"
    https://distrowatch.com/search.php?category=Firewall#distrosearch


  1. toivo61
    28.08.2018 12:26
    #19040909

    Коллеги!
    А что из этого _нормально_ работает как VM в Hyper-V? Очень хочется избавиться от FTMG.
    А в гугле — тишина примерно с 2014 года.
    То-ли в такой комбинации это никому не нужно, то-ли все в порядке, а у меня паранойя.


  1. Ovsiannikov
    29.08.2018 09:47
    #19045015

    что-то из этого поддерживает абстракции вида «security zone» и адрес-листы?
    чтоб в самих правилах сетями и адресами не оперировать