IPtables安裝問題
我有一本很棒的書,名叫“Linux 防火牆:攻擊檢測和響應”,作者是 Michael Rash。在開始之前,我有幾個問題。
我想製作一個企業級 iptables 防火牆,想知道我是否需要像書中所說的那樣進行自己的核心編譯,或者現在只需下載 Debian/linux 作業系統伺服器並將 Iptables 安裝到它上面並開始就可以了配置?
我想知道,既然 nftables 是 iptables 的更新改進版本,它的安裝方式是否相同?(沒有找到關於 nftables 的研究資料)
至於防火牆,我會擔心它們的放置位置、您的網際網路速度以及您需要對它們設置多少規則。他們幾乎可以決定您需要哪種硬體。請注意,為了獲得更高的性能/更高的速度,您可能需要更好的 NIC 卡。過去,我使用頂級 Intel Pro 卡。
關於 ISP 設置中的路由器/防火牆,我曾經在我執行的 ISP 上擁有一個帶有 IPtables 的 Linux 路由器,用於防火牆/計費。隨著時間的推移,我用 Cisco ISP 級路由器替換了它,創建了訪問列表來阻止我需要切斷的幾個埠(主要是 Windows 預設埠、SQLSERVER 等等),並開始將 netflow 發送到 Linux 伺服器來處理客戶數據計算我們的容量何時開始增長。
請注意,如果您是有線設備,則可以將 2/3 層防火牆規則添加到 DOCSIS 調製解調器配置中。通過這種方式,您可以節省大量的上行頻寬。
至於開源防火牆,我推薦 pfSense。我過去用它來保護 ISP 的公司網路,現在用它們為 OS/X、Linux 和 Windows 7-10 提供本地客戶端 VPN。它們還支持完全故障轉移,如果主伺服器發生故障,從伺服器會隨著時間的推移保持連接狀態,並接管一切。pfSense 執行在 FreeBSD 之上,具有非常靈活的圖形管理界面。
關於 Linux 中的 iptables/VPN,我使用 Debian 作為防火牆和 VPN(使用 strongswan)來保護特殊網路,並且沒有必要弄亂核心編譯。
至於第 7 層流量整形,我們嘗試用 Linux 做了一段時間,但效率不是很高,而且是一個耗時的過程。我們最終選擇了 NetEnforcer 流量整形器。