私はMichael Rashが書いた「Linuxファイアウォール:攻撃の検出と対応」という素晴らしい本を持っています。始める前にいくつかの質問があります。
私はエンタープライズクラスのiptablesファイアウォールを作成したいと思っています。それとも、Debian / linux OSサーバーをダウンロードし、単にIptablesをインストールしてブートプロビジョニングすることができますか?
nftablesはiptablesの新しく改良されたバージョンなので、同じ方法でインストールされるのだろうか? (nftablesに関する研究情報は見つかりませんでした)
ベストアンサー1
ファイアウォールの場合、ファイアウォールの配置場所、インターネット速度、必要なルールの数について心配します。必要なハードウェアの種類をほぼ決定します。より高いパフォーマンス/より速い速度を得るには、より良いネットワークカードが必要になることがあります。過去には最高級のIntel Proカードを使用していました。
ISP設定のルーター/ファイアウォールに関して、私はファイアウォール/請求の目的で実行されたISPにIPtablesを持つLinuxルーターを使用しました。後でそれをCisco ISPクラスルータに置き換え、ブロックする必要があるいくつかのポート(主にWindowsのデフォルトポート、SQLSERVERなど)をブロックするためのアクセスリストを作成し、顧客データを処理するためにNetflowをLinuxサーバーに送信し始めました。私たちの能力が成長し始めています。
ケーブル機器会社の場合は、DOCSISモデム構成にレイヤ2/3ファイアウォールルールを追加できます。これにより、アップストリーム帯域幅を大幅に節約できます。
オープンソースファイアウォールにはpfSenseをお勧めします。以前は、ISPの企業ネットワークを保護するためにこれを使用しており、これを使用してOS / X、Linux、およびWindows 7-10用のネイティブクライアントVPNを提供しています。また、フルフェールオーバーもサポートしているため、マスターサーバーに障害が発生した場合、スレーブサーバーは時間の経過とともに接続を維持し、すべてを復元します。 pfSenseはFreeBSD上で動作し、非常に柔軟なグラフィカル管理インターフェースを備えています。
Linuxのiptables / VPNに関して、私はDebianをファイアウォールとして使用し、VPN(strongswanを使用)を使用して特別なネットワークを保護するので、カーネルのコンパイルを台無しにする必要はありません。
Layer 7トラフィックシェーピングについては、しばらくの間Linuxで試してみましたが、それほど効率的ではなく、時間がかかるプロセスでした。我々は最終的にNetEnforcerトラフィックシェーパーを選択しました。