Restriktiv vs tillatt brannmurpolitikk
I tillegg til syntaks du trenger å kjenne for å administrere en brannmur, må du definere brannmurens oppgaver for å bestemme hvilken policy som skal implementeres. Det er to hovedpolitikker som definerer en brannmuratferd, og forskjellige måter å implementere dem.
Når du legger til regler for å godta eller nekte spesifikke pakker, kilder, destinasjoner, porter osv. Reglene vil avgjøre hva som vil skje med trafikken eller pakkene som ikke er klassifisert innenfor brannmurreglene dine.
Et ekstremt enkelt eksempel vil være: når du definerer om du hvitelisten eller svartelisten IP X.x.x.x, hva skjer med resten?.
La oss si at du hvitelistens trafikk kommer fra IP X.x.x.x.
EN tillatt policy vil bety alle IP -adresser som ikke er x.x.x.x kan koble til, derfor y.y.y.y eller z.z.z.Z kan koble til. EN restriktiv Policy nekter all trafikk fra adresser som ikke er x.x.x.x.
Kort sagt, en brannmur som all trafikk eller pakker som ikke er definert blant reglene, ikke har lov til å bestå restriktiv. En brannmur som all trafikk eller pakker som ikke er definert blant reglene er tillatt er tillatt.
Retningslinjer kan være forskjellig for innkommende og utgående trafikk, mange brukere trenden for å bruke en restriktiv policy for innkommende trafikk som holder en tillatt policy for utgående trafikk, dette varierer avhengig av bruken av den beskyttede enheten.
Iptables og UFW
Selv om iptables er en frontend for brukere for å konfigurere reglene for kjernebrannmuren, er UFW en frontend for å konfigurere iptables, de er ikke faktiske konkurrenter, faktum er at UFW brakte muligheten til å raskt sette opp en tilpasset brannmur uten å lære uvennlig syntaks, men noen regler kan kan ikke brukes gjennom UFW, spesifikke regler for å forhindre spesifikke angrep.
Denne opplæringen vil vise regler jeg vurderer blant de beste brannmurpraksisene som er brukt hovedsakelig, men ikke bare med UFW.
Hvis du ikke har installert UFW, installerer du den ved å kjøre:
# Apt Installer UFW
Komme i gang med UFW:
For å begynne, la oss aktivere brannmuren ved oppstarten ved å løpe:
# sudo ufw aktiver
Merk: Om nødvendig kan du deaktivere brannmuren ved å bruke den samme syntaksen som erstatter “Aktiver” for “Deaktiver” (SUDO UFW deaktiverer).
Når som helst vil du kunne sjekke brannmurstatusen med verbositet ved å løpe:
# sudo ufw status verbose
Som du kan se i utdata.
For de fleste av enheter anser jeg at en restriktiv policy er en del av den beste brannmurpraksisen for sikkerhet, og lar oss derfor begynne med å nekte all trafikk bortsett fra den vi definerte som akseptabel, en restriktiv brannmur:
# sudo ufw standard nekt innkommende
Som du kan se brannmuren advarer oss om å oppdatere våre regler for å unngå feil når du betjener klienter som kobler til oss. Måten å gjøre det samme med iptables kan være:
# iptables -a inngang -j dråpe
De benekte Regel om UFW vil slippe forbindelsen uten å informere den andre siden tilkoblingen ble nektet, hvis du vil at den andre siden skal vite at forbindelsen ble nektet, kan du bruke regelen "avvise”I stedet.
# sudo ufw standard avvise innkommende
Når du blokkerte all innkommende trafikk uavhengig av enhver betingelse, kan vi starte diskriminerende regler for å godta det vi ønsker å bli akseptert spesifikt, for eksempel hvis vi setter opp en webserver og du vil godta alle begjæringer som kommer til webserveren din, i Port 80, løp:
# sudo ufw tillater 80
Du kan spesifisere en tjeneste både etter portnummer eller navn, for eksempel kan du bruke PROT 80 som ovenfor eller navnet HTTP:
I tillegg til en tjeneste kan du også definere en kilde, for eksempel kan du benekte eller avvise alle innkommende tilkoblinger bortsett fra en kilde -IP.
# sudo ufw tillater fra
Vanlige Iptables -regler oversatt til UFW:
Å begrense rate_limit med UFW er ganske enkelt, dette lar oss forhindre misbruk ved å begrense antallet hver vert kan etablere, med UFW som begrenser hastigheten for SSH ville være:
# Sudo UFW -grense fra hvilken som helst port 22
# sudo ufw grense ssh/tcp
For å se hvordan UFW gjorde oppgaven enkel under har du en oversettelse av UFW -instruksjonen ovenfor for å instruere det samme:
# sudo iptables -a ufw -bruker -input -p tcp -m tcp - -dport 22 -m conntrack - -ctstate ny
-m Nylig -Sett -Navn Standard -Mask 255.255.255.0 -RSource
#sudo iptables -a UFW -bruker -input -P TCP -M TCP - -DPORT 22 -M ConnTrack - -Ctstate Ny
-m Nylig -Update -sekunder 30 -HitCount 6 -Navn Standard -Mask 255.255.255.255
--rsource -j ufw-bruker-begrensning
# sudo iptables -a ufw-bruker-input -p tcp -m tcp--dport 22 -j ufw-bruker-limit-accept
Reglene skrevet over med UFW ville være:
Jeg håper du fant denne opplæringen om Debian Firewall Setup Best Practices for Security Nyttig.