Ограничительные и разрешающие политики брандмауэра
В дополнение к синтаксису, который вам нужно знать для управления брандмауэром, вам нужно будет определить задачи брандмауэра, чтобы решить, какая политика будет реализован. Существует две основные политики, определяющие поведение брандмауэра, и различные способы их реализации.
Когда вы добавляете правила для приема или отклонения определенных пакетов, источников, пунктов назначения, портов и т. Д., Правила будут определять, какие произойдет с трафиком или пакетами, которые не классифицируются в правилах вашего брандмауэра.
Чрезвычайно простой пример: когда вы определяете, занесите ли вы в белый или черный список IP xxxx, что произойдет с остальными ?.
Допустим, вы занесли в белый список трафик, поступающий с IP xxxx
разрешающая политика будет означать все IP-адреса, которые не xxxx может подключаться, поэтому yyyy или zzzz могут подключаться. ограничительная политика отклоняет весь трафик, поступающий с адресов, отличных от xxxx
Короче говоря, брандмауэр, согласно которому весь трафик или пакеты, не определенные в его правилах не разрешено проходить является ограничительным . Брандмауэр, в соответствии с которым разрешен весь трафик или пакеты, не определенные в его правилах, является permissive .
Политики могут быть разными для входящего и исходящего трафика, многие пользователи склонны использовать ограничительную политику для входящего трафика, сохраняя разрешающую политику для исходящего трафика, это зависит от использования защищенного устройства.
Iptables и UFW
В то время как Iptables — это интерфейс для пользователей для настройки ядра правила брандмауэра, UFW — это интерфейс для настройки Iptables, они не являются реальными конкурентами, дело в том, что UFW предоставил возможность быстро настроить индивидуальный брандмауэр без изучения недружественного синтаксиса, но некоторые правила не могут применяться через UFW, специальные правила для предотвращения конкретные атаки.
В этом руководстве будут показаны правила, которые я считаю одними из лучших практик брандмауэра, применяемых в основном, но не только с UFW.
Если у вас не установлен UFW, установите i t, запустив:
Начало работы с UFW:
Для начала давайте включим брандмауэр при запуске, запустив:
Примечание: при необходимости вы можете отключить брандмауэр, используя тот же синтаксис, заменив «enable» на «disable» (sudo ufw disable).
В любое время , вы сможете детально проверить статус брандмауэра, выполнив:
Как видно из выходных данных, политика по умолчанию для входящего трафика является ограничительной, в то время как для исходящего трафика политика разрешающая, столбец« отключено (маршрутизировано) »означает, что маршрутизация и пересылка отключены. .
Для большинства устройств я считаю ограничительную политику частью лучших практик брандмауэра для обеспечения безопасности, поэтому давайте начнем с отказа от всего трафика, кроме того, который мы определили как приемлемый, ограничительного брандмауэра:
Как видите, брандмауэр предупреждает нас об обновлении наших правил, чтобы избежать сбоев при обслуживании клиентов, подключающихся к нам. То же самое с Iptables можно сделать следующим образом:
Правило deny в UFW разорвет соединение без уведомления с другой стороны в соединении было отказано, если вы хотите, чтобы другая сторона знала, что соединение было отклонено, вы можете использовать правило « reject ».
Как только вы заблокировали весь входящий трафик независимо от каких-либо условий, давайте начнем устанавливать дискриминационные правила, чтобы принять то, что мы хотим, чтобы они были приняты конкретно, например , если мы настраиваем веб-сервер, и вы хотите принимать все петиции, поступающие на ваш веб-сервер, в порту 80 запустите:
Вы можете указать службу как по номеру порта, так и по имя, например, вы можете использовать prot 80, как указано выше, или имя http:
В дополнение к службе вы также можете определить источник, например, вы можете запретить или отклонить все входящие соединения, кроме IP-адреса источника.
Общие правила iptables t переведено в UFW:
Ограничить rate_limit с помощью UFW довольно просто, это позволяет нам предотвратить злоупотребления, ограничивая количество, которое может установить каждый хост, с UFW, ограничивающим скорость для ssh:
# ограничение sudo ufw ssh/tcp
Чтобы увидеть, как UFW упростил задачу, ниже у вас есть перевод приведенной выше инструкции UFW, чтобы указать то же самое:
-m latest —set — name DEFAULT —mask 255.255.255.0 —rsource
#sudo iptables -A ufw-user-input -p tcp -m tcp —dport 22 -m conntrack —ctstate NEW
-m недавний —update —seconds 30 —hitcount 6 —name DEFAULT —mask 255.255.255. 255
— rsource -j ufw-user-limit
# sudo iptables -A ufw-user-input -p tcp -m tcp —dport 22 -j ufw- user-limit-accept
Правила, написанные выше для UFW, будут следующими:
Надеюсь, вы нашли этот учебник в разделе «Рекомендации по установке брандмауэра Debian». полезно.
