بهترین فایروال لینوکس؛ بررسی انواع فایروال لینوکس

امروزه انواع مختلفی از دیوارهای آتش برای سیستم عامل لینوکس طراحی شده‌اند که در این مقاله با بهترین فایروال‌های لینوکس که تا به حال عرضه شده آشنا می‌شویم و ویژگی‌های هر کدام از آن‌ها را بررسی می‌کنیم. برای آشنایی بیشتر با مفهوم فایروال می‌توانید مقاله firewall چیست را مطالعه کنید. با فالنیک همراه باشید.

خرید فایروال ؛ مشاوره رایگان و بهترین قیمت در فالنیک

• بهترین فایروال لینوکس را می‌شناسید؟
• فایروال pfsense
• فایروال firewalld
• فایروال iptables

یکی از ویژگی‌های شاخص سیستم عامل لینوکس امنیت آن است. از دسکتاپ گرفته تا سرور، لینوکس هر ابزاری که برای ایمن نگه داشتن سیستم عامل به آن نیاز دارید در اختیارتان قرار داده است. برخی از توزیع‌ها همچون کالی لینوکس به‌طور ویژه برای مباحث امنیتی مثل تست نفوذ، ارزیابی مکانیزم‌های امنیتی و … توسعه پیدا کرده‌اند. افرادی که سابقه کار با توزیع‌های مختلف لینوکس را دارند به خوبی از این نکته اطلاع دارند که برای مدت زمان مدیدی، امنیت لینوکس در دستان فایروال iptables بود. اگرچه iptables فوق‌العاده قدرتمند است، اما پیچیده است و کاربران تازه‌کار به سختی قادر به استفاده از آن هستند. طوری‌که ممکن است هفته‌ها یا ماه‌ها زمان نیاز داشته باشید تا بتوانید به راحتی از آن استفاده کنید. در ادامه با بهترین فایروال لینوکس آشنا می‌شویم.

بهترین فایروال لینوکس را می‌شناسید؟

دیوارهای آتش نقش مهمی در بهبود امنیت سیستم‌ عامل‌ها دارند. دیوارهای آتش با بازرسی بسته‌هایی که به سیستم عامل وارد یا از آن خارج می‌شوند مانع از آن می‌شوند تا بارداده‌های مخرب به راحتی به سیستم عامل‌های کاربران نفوذ کند. دیوارهای آتش برای بازرسی بسته‌های اطلاعاتی از خط‌مشی‌هایی که به‌نام Rule نامیده شده و توسط سرپرست شبکه تعیین شده یا از پیش تعریف شده‌اند، استفاده می‌کنند تا نظارت دقیقی بر سامانه‌های منفرد یا شبکه‌های ارتباطی به وجود آید.

این مجموعه قواعد و قانون‌ها تنها به بسته‌هایی که مجاز هستند و مورد مشکوکی در مورد آن‌ها وجود ندارد، اجازه ورود یا خروج به شبکه را می‌دهند و ترافیکی که مغایر با قواعد باشد را مسدود می‌کند. در شرایطی که طیف گسترده‌ای از دیوارهای آتش برای سیستم‌ عامل ویندوز ارائه شده، اما فایروال‌های قدرتمندی نیز برای سیستم عامل لینوکس ارائه شده‌اند که هر یک مزایای خاص خود را دارند. در این مقاله با تعدادی از بهترین فایروال‌های لینوکس آشنا می‌شویم.

فایروال pfsense

pfSense یک فایروال/روتر مبتنی بر FreeBSD است. نسخه منبع باز pfSense Community Edition (CE) و pfSense Plus قابلیت نصب روی یک کامپیوتر فیزیکی یا یک ماشین مجازی با هدف پیاده‌سازی یک فایروال/روتر اختصاصی برای یک شبکه را دارد. کاربران خانگی یا سرپرستان شبکه می‌توانند آن‌را از طریق یک رابط مبتنی بر وب پیکربندی کنند، خبر خوب این‌که برای مدیریت فایروال pfsense، به عنوان بهترین فایروال لینوکس نیازی به دانش عمیق در ارتباط با توزیع FreeBSD ندارید.

پروژه pfSense در سال 2004 به عنوان انشعابی از پروژه m0n0wall توسط کریس بوچلر و اسکات اولریچ پدید آمد و اولین انتشار رسمی آن در سال 2006 میلادی کلید خورد. فایروال pfsense از ابزار فیلترینگ بسته برای شناسایی موارد مشکوک استفاده می‌کند.

در فوریه 2021، به‌روزرسانی‌های کارآمدی برای pfSense CE 2.5.0 و pfSense Plus 21.02 ارائه شدند که شامل افزودن قابلیت‌های کاربردی به هسته WireGuard بود. از قابلیت‌های کاربردی ارائه شده به فایروال pfsense عبارتند از:

1. شکل‌دهی ترافیک
2. شبکه خصوصی مجازی با استفاده از IPsec یا PPTP
3. پورتال ایمن
4. فایروال دارای حالت
5. ترجمه آدرس شبکه (NAT)
6. پشتیبانی 802.1q برای پشتیبانی از شبکه محلی مجازی (VLAN)
7. سامانه نام دامنه پویا

فایروال pfsense را می‌توان روی سخت‌افزار مبتنی بر معماری پردازنده x86-64 نصب کرد. همچنین می‌توان آن‌را روی سخت‌افزارهای ایزوله شده با استفاده از Compact Flash یا کارت‌های SD درقالب یک ماشین مجازی نصب کرد.

فایروال firewalld

فایروالد یک فایروال مدیریت شده پویا با پشتیبانی از نواحی (Zones) در شبکه است تا سرپرستان شبکه بتوانند بدون مشکل به تعریف و پیاده‌سازی مناطق، کانال‌ها و رابط‌های ایمن بپردازند. دیوارآتش firewalld از تنظیمات هر دو پروتکل IPv4 و IPv6، بریج‌های اترنت و مجموعه‌های IP پشتیبانی می‌کند. علاوه بر این، رابطی در اختیار سرپرستان شبکه قرار می‌دهد تا سرویس‌ها یا برنامه‌‌های کاربردی را به شکل مستقیم به قواعد دیوارآتش اضافه کنند. از مزایای مهم استفاده از فایروال firewalld عبارت است از:

1. تغییرات را می‌توان بلافاصله در محیط زمان اجرا اعمال کرد و نیازی به راه‌اندازی مجدد سرویس نیست.
2. با رابط D-Bus فایروالد، تطبیق تنظیمات فایروال برای سرویس‌ها، برنامه‌ها و کاربران ساده می‌شود. برای این منظور رابط کاملی مبتنی بر ابزارهای firewall-cmd و firewall-config و firewall-applet را برای مدیریت ساده‌تر دیوارآتش ارائه می‌کند.
3. از مکانیزم ایزوله‌سازی پیکربندی زمان اجرا و دائمی به منظور انجام ارزیابی و تست زمان اجرا استفاده می‌کند که نقش مهمی در پیاده‌سازی یک محیط ایمن دارد. به‌طوری که تنظیمات پیکربندی زمان اجرا فقط تا بارگذاری مجدد سرویس یا راه‌اندازی دوباره سیستم اعتبار دارد.

با پیکربندی محیط زمان اجرا می‌توان تنظیماتی را به‌گونه‌ای پیاده‌سازی کرد تا برای مدت زمان محدودی فعال باشند. در چنین شرایطی اگر از پیکربندی زمان اجرا برای ارزیابی موارد مختلف استفاده شد و نتایج مدنظر به دست آمد، در ادامه می‌توان تنظیمات پیکربندی را در حالت پایدار ذخیره کرد. از جمله امکانات خوبی که دیوارآتش ارائه می‌دهد به موارد زیر باید اشاره کرد:

1. ارائه D-BUS API کامل
2. پشتیبانی از IPv4، IPv6، bridge و ipset
3. پشتیبانی از IPv4 و IPv6 NAT
4. پشتیبانی از نواحی دیوارآتش
5. لیست از پیش تعریف شده نواحی، سرویس‌ها و icmptypes
6. تعریف ساده، سرویس‌های مرتبط با پورت‌ها، پروتکل‌ها، پورت‌های منبع، ماژول‌ها (راهنماهای فیلتر شبکه) و مدیریت آدرس مقصد
7. ارائه قواعد زمان‌بندی شده
8. ارائه گزارش ساده از بسته‌های رد شده
9. توانایی ساخت فهرست سفید از برنامه‌هایی که دیوارآتش باید به ترافیک آن‌‌ها اجازه عبور دهد.
10. بارگذاری خودکار ماژول‌های هسته لینوکس
11. ادغام با Puppet
12. پشتیبانی از ابزار پیکربندی گرافیکی gtk3

فایروال iptables

فایروال iptables یکی از محبوب‌ترین فایروال‌های مخصوص لینوکس مبتنی بر خط فرمان است. همین مسئله باعث شده تا این دیوار آتش سرعت بالایی در بازرسی بسته‌ها داشته باشد. فایروال iptables را باید یکی از بهترین مکانیزم‌های امنیتی برای سرورهای لینوکسی توصیف کنیم.

iptables یک دیوارآتش یا به عبارت دقیق‌تر یک برنامه کاربردی فضای کاربر (user-space) است که به مدیر سیستم اجازه می‌دهد قواعد فیلتر بسته آی‌پی هسته لینوکس که به عنوان ماژول‌های Netfilter شناخته می‌شوند را پیکربندی کند. ماژول‌ها و برنامه‌های کرنل در پروتکل‌های مختلفی استفاده می‌شوند. iptables برای IPv4 و ip6tables برای IPv6 و arptables برای ARP و ebtables برای فریم‌های اترنت کاربرد دارد.     

برای آن‌که بتوانید بدون مشکل به پیکربندی iptables بپردازید، به مجوزهای سطح بالای مدیریتی نیاز دارید یعنی باید مجوز root داشته باشید، در غیر این صورت امکان پیکربندی دیوارآتش را ندارید. در اکثر سیستم‌های لینوکس، iptables در مسیر /usr/sbin/iptables نصب می‌شود و مستندات آن در صفحات man قرار می‌گیرند که می‌توان با استفاده از ابزار man iptables هنگام نصب آن‌ها را باز کرد. iptables جایگزین ipchains شده و در هسته اصلی لینوکس در نسخه 3.13 ادغام شده است.

ویژگی‌های شاخص فایروال iptables عبارتند از:

1. فهرست کردن مجموعه قوانین دیوارآتش
2. ارزیابی سریع بسته‌ها (تنها سرآیند بسته‌ها را بررسی می‌کند)
3. امکان ویرایش خط‌مشی‌ها مطابق با نیازهای کاری
4. پشتیبان‌گیری و بازیابی فایل‌ها و…