私はMichael Rashが書いた「Linuxファイアウォール:攻撃の検出と対応」という素晴らしい本を持っています。始める前にいくつかの質問があります。
私はエンタープライズクラスのiptablesファイアウォールを作成したいと思っています。それとも、Debian / linux OSサーバーをダウンロードし、単にIptablesをインストールしてブートプロビジョニングすることができますか?
nftablesはiptablesの新しく改良されたバージョンなので、同じ方法でインストールされるのだろうか? (nftablesに関する研究情報は見つかりませんでした)
答え1
ファイアウォールの場合、ファイアウォールの配置場所、インターネット速度、必要なルールの数について心配します。必要なハードウェアの種類をほぼ決定します。より高いパフォーマンス/より速い速度を得るには、より良いネットワークカードが必要になることがあります。過去には最高級のIntel Proカードを使用していました。
ISP設定のルーター/ファイアウォールに関して、私はファイアウォール/請求の目的で実行されたISPにIPtablesを持つLinuxルーターを使用しました。後でそれをCisco ISPクラスルータに置き換え、ブロックする必要があるいくつかのポート(主にWindowsのデフォルトポート、SQLSERVERなど)をブロックするためのアクセスリストを作成し、顧客データを処理するためにNetflowをLinuxサーバーに送信し始めました。私たちの能力が成長し始めています。
ケーブル機器会社の場合は、DOCSISモデム構成にレイヤ2/3ファイアウォールルールを追加できます。これにより、アップストリーム帯域幅を大幅に節約できます。
オープンソースファイアウォールにはpfSenseをお勧めします。以前は、ISPの企業ネットワークを保護するためにこれを使用しており、これを使用してOS / X、Linux、およびWindows 7-10用のネイティブクライアントVPNを提供しています。また、フルフェールオーバーもサポートしているため、マスターサーバーに障害が発生した場合、スレーブサーバーは時間の経過とともに接続を維持し、すべてを復元します。 pfSenseはFreeBSD上で動作し、非常に柔軟なグラフィカル管理インターフェースを備えています。
Linuxのiptables / VPNに関して、私はDebianをファイアウォールとして使用し、VPN(strongswanを使用)を使用して特別なネットワークを保護するので、カーネルのコンパイルを台無しにする必要はありません。
Layer 7トラフィックシェーピングについては、しばらくの間Linuxで試してみましたが、それほど効率的ではなく、時間がかかるプロセスでした。我々は最終的にNetEnforcerトラフィックシェーパーを選択しました。
答え2
nftablesは現在iptablesを置き換えるために開発中で、まだあまり言及されていませんが、今は「ベータ」だと思います。そのスケジュールについてはまったくわかりませんが、ここで詳細を確認できます。 http://netfilter.org/projects/nftables/
多くのLinuxディストリビューションでは既にデフォルトでiptablesが有効になっています。コンパイルまたは起動時にモジュールをロードします(最も一般的です)。最も簡単な方法は、次を実行することです。
lsmod | grep ip_tables
モジュールがロードされると、ip_tablesを示す行が表示されます。次のことを試すこともできます。
iptables -L
何でも返すことができることを確認してください。デフォルトでは、ほとんどのボックスには空の「チェーン」があります。これは基本的にすべてが許可されていることを意味します(デフォルト設定はデフォルトで許可されています)。
答え3
私はルールを直接書くことをshorewall
好みますiptables
。のような選択肢もありますfirewalld
。
カーネルのコンパイルに関して必要な機能がデフォルトのカーネルにあるのか、それともモジュラープラグインとして提供されるのかによって異なります。そうでない場合は、直接リリースする必要があります。しかし、各カーネルパッケージのアップグレードはより多くの作業を意味するので、実際には企業に優しいものではありません。
コメントでISPレベルのパケットフィルタリングについて質問しました。使えばいいと思います。ipset
拡大するiptables
そのようなタスクを実行するために。保護の面では、何千ものコレクションを構築できます。数千)ルールセットを通過するトラフィックフローを大幅に遅くせずに実行できる同様のルール。
包括的なIDS/IPSにも興味があると思います。