저는 Michael Rash가 쓴 "Linux 방화벽: 공격 감지 및 대응"이라는 훌륭한 책을 가지고 있습니다. 시작하기 전에 몇 가지 질문이 있습니다.
나는 엔터프라이즈급 iptables 방화벽을 만들고 싶고 책에서 말하는 것처럼 내 자신의 커널 컴파일을 해야 하는지 궁금합니다. 아니면 이제 Debian/linux OS 서버를 다운로드하고 간단히 Iptables를 설치하고 부팅 프로비저닝을 할 수 있습니까?
nftables는 iptables의 새롭고 향상된 버전이므로 동일한 방식으로 설치되는지 궁금합니다. (nftables에 대한 연구정보는 발견되지 않았습니다)
답변1
방화벽의 경우 방화벽 배치 위치, 인터넷 속도, 필요한 규칙 수에 대해 걱정합니다. 필요한 하드웨어 유형을 거의 결정합니다. 더 높은 성능/더 빠른 속도를 위해서는 더 나은 네트워크 카드가 필요할 수 있습니다. 과거에는 최고급 Intel Pro 카드를 사용했습니다.
ISP 설정의 라우터/방화벽과 관련하여 저는 방화벽/청구 목적으로 실행한 ISP에 IPtables가 있는 Linux 라우터를 사용했습니다. 나중에 이를 Cisco ISP 클래스 라우터로 교체하고, 차단해야 하는 몇 가지 포트(주로 Windows 기본 포트, SQLSERVER 등)를 차단하기 위해 액세스 목록을 만들고, 고객 데이터를 처리하기 위해 Netflow를 Linux 서버로 보내기 시작했습니다. 우리의 능력이 성장하기 시작하면서.
케이블 장비 회사인 경우 DOCSIS 모뎀 구성에 레이어 2/3 방화벽 규칙을 추가할 수 있습니다. 이렇게 하면 업스트림 대역폭을 많이 절약할 수 있습니다.
오픈소스 방화벽으로는 pfSense를 추천합니다. 과거에는 ISP의 기업 네트워크를 보호하는 데 이를 사용했으며 이제는 이를 사용하여 OS/X, Linux 및 Windows 7-10용 기본 클라이언트 VPN을 제공합니다. 또한 전체 장애 조치도 지원하므로 마스터 서버에 장애가 발생하면 슬레이브 서버는 시간이 지나도 연결을 유지하고 모든 것을 복원합니다. pfSense는 FreeBSD에서 실행되며 매우 유연한 그래픽 관리 인터페이스를 갖추고 있습니다.
Linux의 iptables/VPN과 관련하여 저는 Debian을 방화벽으로 사용하고 VPN(strongswan 사용)을 사용하여 특수 네트워크를 보호하므로 커널 컴파일을 망칠 필요가 없습니다.
Layer 7 트래픽 셰이핑에 관해서는 한동안 Linux에서 시도해 보았지만 그다지 효율적이지 않았고 시간이 많이 걸리는 프로세스였습니다. 우리는 궁극적으로 NetEnforcer 트래픽 셰이퍼를 선택했습니다.
답변2
nftables는 현재 iptables를 대체하기 위해 개발 중이며, 아직 많이 언급되지는 않았지만 지금은 "베타"라고 생각합니다. 그 일정에 대해서는 전혀 모르지만 여기에서 자세한 내용을 확인할 수 있습니다. http://netfilter.org/projects/nftables/
많은 Linux 배포판에는 이미 기본적으로 iptables가 활성화되어 있습니다. 컴파일하거나 시작 시 모듈을 로드합니다(가장 일반적임). 가장 쉬운 방법은 다음을 실행하는 것입니다.
lsmod | grep ip_tables
모듈이 로드되면 ip_tables를 표시하는 줄이 표시됩니다. 다음을 시도해 볼 수도 있습니다.
iptables -L
무엇이든 돌려받을 수 있는지 확인하세요. 기본적으로 대부분의 상자에는 빈 "체인"이 있습니다. 이는 기본적으로 모든 것이 허용됨을 의미합니다(기본 구성은 기본적으로 허용입니다).
답변3
나는 규칙을 직접 작성하는 것을 shorewall
선호합니다 iptables
. 와 같은 대안도 있습니다 firewalld
.
커널 컴파일과 관련하여 필요한 기능이 기본 커널에 있는지 아니면 모듈식 플러그인으로 제공되는지에 따라 달라집니다. 그렇지 않다면 직접 출시해야 합니다. 그러나 각 커널 패키지 업그레이드는 더 많은 작업을 의미하므로 실제로는 기업 친화적이지 않습니다.
댓글에서 ISP 수준의 패킷 필터링에 대해 질문하셨습니다. 사용하시면 좋을 것 같아요ipset
확장하다iptables
그러한 작업을 수행하기 위해 . 보호 측면에서는 수천 개의 컬렉션을 구축할 수 있습니다.수천) 규칙 세트를 통과하는 트래픽 흐름을 크게 늦추지 않고 실행할 수 있는 유사한 규칙입니다.
포괄적인 IDS/IPS에도 관심이 있으실 거라 생각합니다.