리눅스 방화벽

따라서 로컬 머신의 포트 80에 대한 요청은 이와 같이 보이는 로그인 DMESG를 생성합니다 (이 문서에 맞게 3으로 분할)

보안 – 방화벽

Linux 커널에는 다음에 포함됩니다 NetFilter 서버로 또는 서버로 향하는 네트워크 트래픽의 운명을 조작하거나 결정하는 데 사용되는 서브 시스템. 모든 최신 Linux 방화벽 솔루션 패킷 필터링 에이 시스템을 사용합니다.

커널의 패킷 필터링 시스템은 사용자 공간 인터페이스없이 관리자에게 거의 사용하지 않습니다. 이것은 iptables의 목적입니다. 패킷이 서버에 도달하면 iptables를 통해 사용자 공간에서 제공되는 규칙에 따라 수락, 조작 또는 거부를 위해 NetFilter 서브 시스템에 전달됩니다. 따라서 IPTABLES에 익숙한 경우 방화벽을 관리하는 데 필요한 모든 것이 있지만 작업을 단순화하기 위해 많은 Frontends를 사용할 수 있습니다.

UFW- 복잡하지 않은 방화벽

Ubuntu의 기본 방화벽 구성 도구는 UFW입니다. IPTables 방화벽 구성을 용이하게하기 위해 개발 된 UFW는 IPv4 또는 IPv6 호스트 기반 방화벽을 만드는 사용자 친화적 인 방법을 제공합니다.

기본적으로 UFW는 처음에는 비활성화되었습니다. UFW 맨 페이지에서 :

“UFW는 명령 인터페이스를 통해 완전한 방화벽 기능을 제공하기위한 것이 아니라 간단한 규칙을 추가하거나 제거하는 쉬운 방법을 제공합니다. 현재 주로 호스트 기반 방화벽에 사용됩니다.”

다음은 UFW 사용 방법의 몇 가지 예입니다

  • 먼저 UFW를 활성화해야합니다. 터미널 프롬프트에서 다음을 입력합니다

Sudo UFW 활성화

Sudo UFW 허용 22

Sudo UFW 삽입 1 80 허용

Sudo UFW는 22를 거부합니다

Sudo UFW DELETE DENY 22

Sudo UFW는 192의 프로토 TCP를 허용합니다.168.0.2 포트 22

Sudo UFW-Dry-Run 허용 HTTP

*필터 : UFW-USER 입력-[0 : 0] : UFW-USER 출력-[0 : 0] : UFW-USER-Forward- [0 : 0] : UFW-USER-LIMIT-[0 : 0] : UFW-USER-LIMIT-ENCCEPT- [0 : 0] ### TUPLE ## ####yearte tcp 80 ##.0.0.0/0 모든 0.0.0.0/0 -A UFW -USER 입력 -P TCP --DPORT 80 -J 수락 ### 엔드 규칙 ### -A UFW -USER 입력 -J return -A UFW -USER -Output -J Return -A UFW -USER -Forward -J Return -A UFW -USER -LIMIT -M LIMIT -LIMIT 3/MINTER -J LOG- LOG -ufW WW WW WW WW WW WW WW WW WW WW WW WW WOF WOF WOF WOF WOF SMET. It -j 거부 -A UFW -USER- limit -Accept -j 업데이트 된 커밋 규칙 수락

Sudo UFW 비활성화

Sudo UFW 상태

Sudo ufw 상태 Verbose

Sudo UFW 상태 번호

메모
열거 나 닫을 포트가 /etc /services에 정의 된 경우 번호 대신 포트 이름을 사용할 수 있습니다. 위의 예에서 22를 SSH로 바꾸십시오.

이것은 UFW 사용에 대한 빠른 소개입니다. 자세한 내용은 UFW Man 페이지를 참조하십시오.

UFW 응용 프로그램 통합

포트를 열 수있는 응용 프로그램에는 UFW 프로파일이 포함될 수 있으며, 응용 프로그램이 제대로 작동하는 데 필요한 포트를 자세히 설명합니다. 프로파일은/etc/ufw/응용 프로그램에 보관됩니다.D 및 기본 포트가 변경된 경우 편집 할 수 있습니다.

  • 프로필을 설치 한 응용 프로그램을 보려면 터미널에 다음을 입력하십시오

Sudo UFW 앱 목록

Sudo UFW는 삼바를 허용합니다

UFW는 192에서 허용합니다.168.0.모든 앱 삼바에 0/24

삼바와 192를 교체하십시오.168.0.사용중인 응용 프로그램 프로필과 네트워크의 IP 범위가있는 0/24.

메모 해당 정보가 프로필에 자세히 설명되어 있기 때문에 응용 프로그램의 프로토콜을 지정할 필요가 없습니다. 또한 앱 이름은 포트 번호를 대체합니다. 

Sudo UFW 앱 정보 삼바

네트워크 포트를 열어야하는 모든 응용 프로그램이 UFW 프로파일과 함께 제공되는 것은 아니지만 응용 프로그램을 프로파일 링하고 파일을 패키지에 포함시키려는 경우 LaunchPad의 패키지에 버그를 제출하십시오.

Ubuntu-bug nameofpackage

IP 가장로 가면

IP 가면의 목적은 네트워크에 비공개로 경주 할 수없는 IP 주소가있는 머신이 가면을 수행하는 기계를 통해 인터넷에 액세스 할 수 있도록하는 것입니다. 인터넷으로 향하는 개인 네트워크의 트래픽은 응답을 요청한 컴퓨터로 다시 실행할 수 있도록 조작해야합니다. 이렇게하려면 커널은 각 패킷의 소스 IP 주소를 수정하여 인터넷에서 불가능한 요청을 한 개인 IP 주소가 아닌 회신이 다시 라우팅되도록해야합니다. Linux는 Connection Tracking (Conntrack)을 사용하여 어떤 연결이 어떤 머신에 속한 지 추적하고 각 반환 패킷을 그에 따라 다시 경로화합니다. 따라서 개인 네트워크를 떠나는 트래픽은 Ubuntu 게이트웨이 시스템에서 시작된 것처럼 “가장 무도회”됩니다. 이 프로세스는 Microsoft 문서에서 인터넷 연결 공유라고합니다.

UFW 가장로 가면

IP 가장로 가면은 사용자 정의 UFW 규칙을 사용하여 달성 할 수 있습니다. UFW의 현재 백엔드는/etc/ufw/*에있는 규칙 파일이있는 iptables restore이기 때문에 가능합니다.규칙. 이 파일은 UFW없이 사용되는 레거시 iptables 규칙과 더 많은 네트워크 게이트웨이 또는 브리지 관련 규칙을 추가하기에 좋은 장소입니다.

규칙은 두 개의 다른 파일, UFW 명령 줄 규칙 이전에 실행 해야하는 규칙 및 실행되는 규칙으로 나뉩니다

리눅스 방화벽

따라서 로컬 머신의 포트 80에 대한 요청은 이와 같이 보이는 로그인 DMESG를 생성합니다 (이 문서에 맞게 3으로 분할)

보안 – 방화벽

Linux 커널에는 다음에 포함됩니다 NetFilter 서버로 또는 서버로 향하는 네트워크 트래픽의 운명을 조작하거나 결정하는 데 사용되는 서브 시스템. 모든 최신 Linux 방화벽 솔루션 패킷 필터링 에이 시스템을 사용합니다.

커널’S 패킷 필터링 시스템은 사용자 공간 인터페이스없이 관리자에게 거의 사용하지 않습니다. 이것은 iptables의 목적입니다. 패킷이 서버에 도달하면 iptables를 통해 사용자 공간에서 제공되는 규칙에 따라 수락, 조작 또는 거부를 위해 NetFilter 서브 시스템에 전달됩니다. 따라서 iptables는 방화벽을 관리하는 데 필요한 전부입니다’친숙하지만 작업을 단순화하기 위해 많은 정면 엔드를 사용할 수 있습니다.

UFW- 복잡하지 않은 방화벽

Ubuntu의 기본 방화벽 구성 도구는 UFW입니다. IPTables 방화벽 구성을 용이하게하기 위해 개발 된 UFW는 IPv4 또는 IPv6 호스트 기반 방화벽을 만드는 사용자 친화적 인 방법을 제공합니다.

기본적으로 UFW는 처음에는 비활성화되었습니다. UFW 맨 페이지에서 :

“UFW는 명령 인터페이스를 통해 완전한 방화벽 기능을 제공하기위한 것이 아니라 간단한 규칙을 추가하거나 제거하는 쉬운 방법을 제공합니다. 현재 주로 호스트 기반 방화벽에 사용됩니다.”

다음은 UFW 사용 방법의 몇 가지 예입니다

    먼저 UFW를 활성화해야합니다. 터미널 프롬프트에서 다음을 입력합니다

Sudo UFW 활성화 

Sudo UFW 허용 22 

Sudo UFW 삽입 1 80 허용 

Sudo UFW는 22를 거부합니다 

Sudo UFW DELETE DENY 22 

Sudo UFW는 192의 프로토 TCP를 허용합니다.168.0.2 포트 22 

 Sudo UFW-Dry-Run 허용 HTTP 

*필터 : UFW-USER 입력-[0 : 0] : UFW-USER 출력-[0 : 0] : UFW-USER-Forward- [0 : 0] : UFW-USER-LIMIT-[0 : 0] : UFW-USER-LIMIT-ENCCEPT- [0 : 0] ### TUPLE ## ####yearte tcp 80 ##.0.0.0/0 모든 0.0.0.0/0 -A UFW -USER 입력 -P TCP --DPORT 80 -J 수락 ### 엔드 규칙 ### -A UFW -USER 입력 -J return -A UFW -USER -Output -J Return -A UFW -USER -Forward -J Return -A UFW -USER -LIMIT -M LIMIT -LIMIT 3/MINTER -J LOG- LOG -ufW WW WW WW WW WW WW WW WW WW WW WW WW WOF WOF WOF WOF WOF SMET. It -j 거부 -A UFW -USER- limit -Accept -j 업데이트 된 커밋 규칙 수락 

Sudo UFW 비활성화 

Sudo UFW 상태 

Sudo ufw 상태 Verbose 

Sudo UFW 상태 번호

메모

열거 나 닫을 포트가 /etc /services에 정의 된 경우 번호 대신 포트 이름을 사용할 수 있습니다. 위의 예에서는 교체하십시오 22 ~와 함께 SSH.

이것은 UFW 사용에 대한 빠른 소개입니다. 자세한 내용은 UFW Man 페이지를 참조하십시오.

UFW 응용 프로그램 통합

포트를 열 수있는 응용 프로그램에는 UFW 프로파일이 포함될 수 있으며, 응용 프로그램이 제대로 작동하는 데 필요한 포트를 자세히 설명합니다. 프로파일은/etc/ufw/응용 프로그램에 보관됩니다.D, 기본 포트가 변경된 경우 편집 할 수 있습니다.

    프로필을 설치 한 응용 프로그램을 보려면 터미널에 다음을 입력하십시오

Sudo UFW 앱 목록 

Sudo UFW는 삼바를 허용합니다 

UFW는 192에서 허용합니다.168.0.모든 앱 삼바에 0/24

바꾸다 삼바 그리고 192.168.0.0/24 사용중인 애플리케이션 프로필과 네트워크의 IP 범위를 사용하면.

메모 지정할 필요가 없습니다 규약 응용 프로그램의 경우 해당 정보가 프로필에 자세히 설명되어 있기 때문입니다. 또한 이름을 대체합니다 포트 숫자.

Sudo UFW 앱 정보 삼바

네트워크 포트를 열어야하는 모든 응용 프로그램이 UFW 프로파일과 함께 제공되는 것은 아니지만 응용 프로그램을 프로파일 링하고 파일을 패키지에 포함시키려는 경우 LaunchPad의 패키지에 버그를 제출하십시오.

Ubuntu-bug nameofpackage

IP 가장로 가면

IP 가면의 목적은 네트워크에 비공개로 경주 할 수없는 IP 주소가있는 머신이 가면을 수행하는 기계를 통해 인터넷에 액세스 할 수 있도록하는 것입니다. 인터넷으로 향하는 개인 네트워크의 트래픽은 응답을 요청한 컴퓨터로 다시 실행할 수 있도록 조작해야합니다. 이를 위해서는 커널이 수정해야합니다 원천 응답이 요청한 개인 IP 주소가 아닌 회신이 다시 라우팅되도록 각 패킷의 IP 주소는 인터넷에서 불가능합니다. Linux 사용 연결 추적 (Conntrack) 어떤 연결이 어떤 기계에 속한 지 추적하고 각 반환 패킷을 그에 따라 재배치하십시오. 따라서 개인 네트워크를 떠나는 트래픽이 있습니다 “가장 무도회” 우분투 게이트웨이 머신에서 시작되었습니다. 이 프로세스는 Microsoft 문서에서 인터넷 연결 공유라고합니다.

UFW 가장로 가면

IP 가장로 가면은 사용자 정의 UFW 규칙을 사용하여 달성 할 수 있습니다. UFW의 현재 백엔드는/etc/ufw/*에있는 규칙 파일이있는 iptables restore이기 때문에 가능합니다.규칙 . 이 파일은 UFW없이 사용되는 레거시 iptables 규칙과 더 많은 네트워크 게이트웨이 또는 브리지 관련 규칙을 추가하기에 좋은 장소입니다.

규칙은 두 개의 다른 파일, UFW 명령 줄 규칙 전에 실행 해야하는 규칙 및 UFW 명령 줄 규칙에 따라 실행되는 규칙으로 나뉩니다.

    먼저 UFW에서 패킷 전달을 활성화해야합니다. /etc/default/ufw에서 두 개의 구성 파일을 조정해야합니다 default_forward_policy 에게 “수용하다”:

default_forward_policy = "수락"

그런 다음/etc/ufw/sysctl을 편집하십시오.conf and thenment :

net/ipv4/ip_forward = 1

마찬가지로 IPv6 전달의 경우 :

net/ipv6/conf/default/forwarding = 1 

# NAT 테이블 규칙 *NAT : POSTROUTING HECCEPT [0 : 0] # ETH1에서 ETH0에서 전달 트래픽. -사후 포장 -S 192.168.0.0/24 -o eth0 -j masquerade # '커밋'라인을 삭제하지 마십시오. 또는 NAT 테이블 규칙은 처리되지 않습니다

의견은 엄격히 필요하지 않지만 구성을 문서화하는 것은 모범 사례로 간주됩니다. 또한, 어떤 것도 수정할 때 규칙 /etc /ufw의 파일,이 라인이 수정 된 각 테이블의 마지막 줄인지 확인하십시오

# '커밋'라인을 삭제하지 마십시오. 그렇지 않으면이 규칙이 처리되지 않습니다

각각 테이블 해당 저지르다 진술이 필요합니다. 이 예에서만 Nat 그리고 필터 테이블이 표시되지만 규칙을 추가 할 수도 있습니다 날것의 그리고 압착 롤러 테이블.

메모 위의 예에서는 바꾸십시오 ETH0, Eth1, 그리고 192.168.0.0/24 네트워크에 적합한 인터페이스 및 IP 범위를 사용.

sudo ufw disable && sudo ufw enable

IP 가장로 가면이 활성화되어야합니다. /etc/ufw/이전에 추가 전진 규칙을 추가 할 수도 있습니다.규칙 . 이러한 추가 규칙을 UFW-be-porward 체인.

가장 무도회

iptables는 가장 무도회를 가능하게하는 데 사용될 수 있습니다.

    UFW와 유사하게 첫 번째 단계는 /etc /sysctl을 편집하여 IPv4 패킷 전달을 활성화하는 것입니다.conf and tencment 다음 줄 :

그물.IPv4.ip_forward = 1

IPv6 전달을 활성화하려면 타의 추종을 불러 일으키려면 다음과 같습니다

그물.IPv6.콘크리트.기본.전달 = 1 

Sudo sysctl -p 

sudo iptables -t nat -a postrouting -s 192.168.0.0/16 -O PPP0 -J Masquerade

  • -t nat – 규칙은 Nat 테이블로 들어가는 것입니다
  • -포장-규칙은 포장 체인에 (-A) 추가되어야합니다
  • -S 192.168.0.0/16 – 규칙은 지정된 주소 공간에서 발생하는 트래픽에 적용됩니다
  • -o PPP0 – 규칙은 지정된 네트워크 장치를 통해 라우팅 될 예정인 트래픽에 적용됩니다
  • -J Masquerade -이 규칙과 일치하는 트래픽은 다음과 같습니다 “도약” (-j) 위에서 설명한대로 조작 할 가장 가장 무도회 목표에

Sudo iptables -A 포워드 -S 192.168.0.0/16 -o ppp0 -j 수용 sudo iptables -a 포워드 -d 192.168.0.0/16 -m state \ -상태 설정, 관련 -i ppp0 -j 수락 

iptables -t nat -a postrouting -s 192.168.0.0/16 -O PPP0 -J Masquerade

로그

방화벽 로그는 공격 인식, 방화벽 규칙 문제 해결 및 네트워크에서의 비정상적인 활동에 대한 알아 차리는 데 필수적입니다. 그러나 방화벽에 로깅 규칙을 포함해야하며, 해당 종료 규칙 (수락, 드롭 또는 거부와 같은 패킷의 운명을 결정하는 대상이있는 규칙).

UFW를 사용하는 경우 터미널에 다음을 입력하여 로깅을 켜면 다음과 같습니다

Sudo UFW 로그 켜기

UFW에서 로그를 끄려면 간단히 교체하십시오 ~에 ~와 함께 끄다 위 명령에서.

UFW 대신 iptables를 사용하는 경우 다음을 입력하십시오

sudo iptables -a 입력 -m 상태 -상태 새로운 -p tcp --dport 80 \ -j log - -log -prefix "new_http_conn :"

따라서 로컬 머신의 포트 80에 대한 요청은 이와 같이 보이는 로그인 DMESG를 생성합니다 (이 문서에 맞게 3으로 분할)

[4304885.870000] new_http_conn : in = lo out = mac = 00 : 00 : 00 : 00 : 00 : 00 : 00 : 00 : 00 : 00 : 00 : 00 : 00 : 08 : 00 Src = 127.0.0.1 DST = 127.0.0.1 len = 60 TOS = 0x00 pre = 0x00 ttl = 64 df proto = tcp spt = 53981 dpt = 80 Window = 32767 res = 0x00 syn urgp = 0

위의 로그는/var/log/메시지,/var/log/syslog 및/var/log/kern에도 나타납니다.통나무 . 이 동작은 /etc /syslog를 편집하여 수정할 수 있습니다.Confloply 또는 ULOGD를 설치 및 구성하고 로그 대신 ULOG 대상 사용. ULOGD 데몬은 방화벽을 위해 특별히 커널에서 지침을 기록하고 원하는 파일 또는 PostgreSQL 또는 MySQL 데이터베이스에 로그인 할 수있는 사용자 공간 서버입니다. Logwatch, Fwanalog, Fwlogwatch 또는 Lire와 같은 로그 분석 도구를 사용하여 방화벽 로그를 단순화 할 수 있습니다.

다른 도구

iptables에 대한 친밀한 지식없이 완전한 방화벽을 건설하는 데 도움이되는 많은 도구가 있습니다. 일반 텍스트 구성 파일이있는 명령 줄 도구 :

  • Shorewall은 모든 네트워크의 고급 방화벽을 구성하는 데 도움이되는 매우 강력한 솔루션입니다.

참조

  • 우분투 방화벽 위키 페이지에는 UFW 개발에 대한 정보가 포함되어 있습니다.
  • 또한 UFW 설명서 페이지에는 매우 유용한 정보가 포함되어 있습니다. Man UFW .
  • iptables 사용에 대한 자세한 내용은 Packet Filtering-Howto를 참조하십시오.
  • Nat-Howto에는 가장 가면에 대한 자세한 내용이 포함되어 있습니다.
  • 우분투 위키의 iptables Howto는 훌륭한 자원입니다.

리눅스 방화벽

Linux의 방화벽이 불필요하다는 것은 종종 잘못 해석됩니다. 물론 Linux 시스템은 최대 보안을 제공하기 위해 세 심하게 만들어졌습니다. 예를 들어, 맬웨어 및 악성 코드의 설치를 방지하는 여러 수준의 승인이 있습니다. 기본적으로 Linux 시스템에는 개방형 포트가 없음 Windows와 달리 외부 장치 나 프로그램이 포트를 열지 않고도 장치에 액세스 할 수 없습니다. 또한 Linux 운영 체제가 가장 인기있는 OS라는 사실 때문에 Linux 용 바이러스 및 Malwares가 극히 드물다. 이것은 사이버 공격자들이 그것을 공격하는 것이 사실상 수익성이 없습니다.

그럼에도 불구하고 Linux 시스템을 노출시킬 수있는 주요 허점이 여전히 존재합니다. 또한 대부분의 Linux 사용자는 추가 보호가 필요하지 않다고 확신하기 때문에 공격이 시작되면 더 취약합니다. 이를 위해 필요한 보호를 제공 할 수있는 평판이 좋은 Linux 방화벽을 확보하는 것이 합리적입니다. 다음은 Linux 장치 용 방화벽 설치를 고려해야 할 네 가지 이유가 있습니다.

리눅스 방화벽

Linux 시스템을 위해 방화벽이 필요한 이유?

나. 추가 보호 계층

언급 한 바와 같이, Linux는 MALWARES 및 기타 보안 결함이 발생하기가 매우 어렵도록 만들어졌습니다. 기본적으로 자체 내 방화벽이 비활성화되어 있지만. 우선, 새로운 Linux 방화벽을 설치하기 전에 기본 방화벽이 이미 활성화되어 있는지 확인해야합니다. 대부분의 Linux 사용자는 기술에 정통하기 때문에 보안 요구에 맞게 방화벽 시스템을 쉽게 조작 할 수 있습니다. 타사 방화벽을 설치하여 추가 보호 계층을 추가하면 Linux 장치가 여러 계층의 보안이있어 해커와 Malwares가 더 어려워지면됩니다.

II. 맬웨어 방지

Linux의 Malwares는 극히 드 rare니다. 하지만 공격 할 때 피해는 극도로 크기입니다. 미안보다 안전하는 것이 좋습니다. 좋은 Linux 방화벽은 Linux 맬웨어와 바이러스와 싸우기 위해 세 심하게 만들어졌습니다. 일련의 규칙을 사용하면 개인 네트워크에서 전송되는 악성 코드를 식별합니다. 이제 Linux 시스템에는 기본적으로 열린 포트가 없으며 여러 수준의 승인이 있습니다. 그러나 열린 포트를 갖고 악의적 인 코드에 시스템 승인을 부여하는 것과 같은 작은 실수로 인해 취약 해집니다. 방화벽은 이러한 맬웨어가 처음부터 장치에 액세스하는 것을 방지합니다. 이런 식으로 열린 포트 나 승인에 관계없이 시스템에 들어가는 맬웨어는 없습니다.

III. 사이버 공격으로부터 보호

사이버 범죄자’ 주요 의제 나는 시스템으로부터 중요한 정보를 얻거나 피해자로부터 돈을 강탈하고 있습니다. Linux 사용자는 일반적으로 기술에 정통한 사람들이거나 대규모 조직입니다. 사이버 범죄자들이 성공하면 이익이 똑같이 커질 것이므로 사이버 범죄자들이 공격에 크게 투자하는 것이 합리적입니다. 따라서 Linux 시스템에서 수행 된 공격은 성공할 때 극도의 손실을 초래한다는 것을 의미합니다.

좋은 Linux 방화벽 소프트웨어는 그러한 공격이 발생하지 않도록 충분히 강해야합니다. 시스템에 액세스하는 모든 데이터 패킷을 면밀히 조사하고 악의적 인 데이터를 소외시키고 전송되는 것을 방지합니다. 이것은 특히 공격자가 시스템에 액세스하고 중요한 데이터를 전송하려고 할 때 특히 그렇습니다.

IV. 은둔

누구나 개인 정보를 중요하게 생각합니다. 리눅스 사용자. 그러나 그것이 그들이 공개 네트워크를 사용하는 경우에 들어갈 수 없다는 것을 의미하지는 않습니다. 이러한 공격은 Linux 시스템의 열린 포트에 크게 의존하지만, 발생하면 노출 될 수 있으며 일부 개인 파일 중 일부는 공개 도메인에 들어갈 수 있습니다. 더 나쁜 것은 온라인 활동을 추적 할 수 있으며 감시 할 수 있습니다. 우수한 Linux 방화벽을 갖는 것은 개인 정보를 평가하는 경우 최우선 과제가되어야합니다. 그리고 당신은해야합니다’그 기회를 잡을 수 있습니다.

Linux 용 Comodo 방화벽 소프트웨어

Comodo는 수십 년 동안 존재해온 주요 네트워크 보안 회사 중 하나입니다. 경험이 많은 IT 전문가 팀과 함께이 광범위한 경험은 기술적으로 정교한 개인에게도 높은 기능성과 유용성을 제공하는 Linux의 주요 방화벽 소프트웨어 중 하나를 제시 할 수있었습니다. AV-Test 2019의 최고 수상과 $ 29의 저렴한 요금으로.99, 당신은 100% 평결 100%로 최대 24/7의 최대 보호를 보장합니다.

Linux는 방화벽이 필요합니까? 방화벽 -CMD로 Linux 방화벽을 구성하는 방법

브라이언 아바타

Linux는 다른 운영 체제보다 더 안전합니다. 그러나 이것이 Linux를 사용하는 동안 안티 바이러스 또는 방화벽이 필요하지 않은 유일한 이유는 아닙니다.

리눅스는 무적이 아닙니다. 사실, 그것은 Linux 사용자를 곤경에 빠뜨리는 가장 일반적인 사이버 보안 신화 중 하나입니다. 이 믿음은 당신의 경비를 쉽게 내려 놓을 수있게 해주고, 당신의 경비원이 무너지면, 당신은 빨판을 펀치 할 가능성이 가장 높습니다. 그러나 Linux에 보안 구멍이 있다고해서 안티 바이러스 백신 또는 방화벽 소프트웨어가 필요하다는 의미는 아닙니다. Linux 시스템을 설치하는 동안 귀하의 보안 설정 선택에 대해 자세히 설명했지만 지금까지는 기억하지 못할 수도 있습니다. 이 기사에서는 방화벽 -CMD 명령으로 방화벽 구성에 대해 이야기합니다.

방화벽이란 무엇입니까??

방화벽은 네트워크 보안의 핵심 측면이므로 Sysadmin은 작동 방식을 이해해야합니다. 방화벽을 이해하면 어떤 트래픽을 출입 할 것인지에 대한 정보에 근거한 결정을 내려 네트워크를 안전하게 유지할 수 있습니다. 방화벽은 단순히 인터넷에서 컴퓨터에 들어올 수있는 네트워크 패킷을 결정하고 컴퓨터를 인터넷으로 남겨 둘 수있는 필터입니다. 주로 들어오는 연결을 허용 및/또는 허용하는 데 사용됩니다. 나가는 연결은 거의 필터링되지 않습니다. 간단히 말해서, 그것은 당신의 컴퓨터와 외부 세계 사이의 일종의 벽입니다.

Linux에는 방화벽이 필요합니까??

이것은 거의 항상 질문입니다. Linux 사용자의 99%가 Linux가 기본적으로 안전하다고 생각합니다. 기본적으로 거의 모든 Linux 배포판에는 방화벽이 없습니다. 더 정확하게 말하면 휴면 방화벽이 있습니다. Linux 커널에는 내장 방화벽이 포함되어 있기 때문에 이론적으로 모든 Linux 배포에는 하나가 포함되지만 구성되거나 활성화되지 않습니다. 그러나 활성 방화벽이 없어도 Linux는 여전히 안전합니다. Ubuntu 및 Linux Mint를 포함한 대부분의 분배에는 기본적으로 열린 포트가 없으므로 외부인이 시스템에 액세스 할 수 없습니다. 그럼에도 불구하고, 나는 당신이 방화벽을 활성화 할 것을 촉구합니다. 미안보다 안전한 것이 바람직합니다. 방화벽 -CMD를 사용하여 Linux 방화벽을 구성하는 방법에 대해 자세히 설명합니다.

iptables 란 무엇입니까??

iPtables는 정책 체인을 사용하여 트래픽을 허용하거나 차단하는 명령 줄 방화벽 도구입니다. 연결이 시스템에서 스스로를 설정하려고 시도하면 iPtables는 일치에 대한 규칙 목록을 검색합니다. 하나를 발견 할 수 없다면 기본 조치로 돌아갑니다. iptables는 일반적으로 각 Linux 배포에 거의 포함됩니다. iPtables는 입력, 전방 및 출력의 3 가지 다른 체인을 사용하는 경향이 있습니다. 이를 통해 네트워크의 다른 기계에 대해 다른 규칙 세트를 만들 수 있지만 Firewall-CMD를 사용하여 더 쉽게 만들 수 없습니다!

방화벽 -CMD 및 방화구는 무엇입니까??

Firewall-CMD는 Linux 커널의 NetFilter 프레임 워크와 통신하는 Firewalld 데몬의 명령 줄 인터페이스입니다. 이 스택은 중소 기업에서 일반적으로 발견되는 임베디드 모뎀에서 찾을 수 없지만 SystemD를 지원하는 모든 Linux 배포에 사용할 수 있습니다. Firewalld. IPv4 및 IPv6 방화벽 설정뿐만 아니라 이더넷 브리지 및 IP 세트를 지원합니다. 런타임 및 영구 구성 선택이 구분됩니다. 또한 서비스 또는 프로그램이 방화벽 규칙을 쉽게 추가 할 수있는 인터페이스를 제공합니다.

방화벽 -CMD로 방화벽 구성

Linux 배포에 따라 Firewall-CMD 명령이 이미 설치되어 있거나 없을 수도 있습니다. 운영 방화벽이 없으면 방화벽 -CMD는 제어 할 것이 없으므로 첫 번째 단계는 방화벽이 실행 중인지 확인하는 것입니다

$ sudo systemctl anable -now firewalld

지대는 방화벽 -CMD의 사전 설정으로 사용되며, 선택할 수있는 합리적인 옵션을 제공합니다. 이렇게하면 처음부터 방화벽을 설계하지 않아도됩니다. 영역은 네트워크 인터페이스에 할당됩니다. 구역을 확인하려면 아래 명령을 실행하십시오

새 구역을 만들고 싶다면 명령을 사용합니다

$ Sudo Firewall-CMD-New-Zone [Zonename]-Permanent

또한 다음 명령을 사용하여 어떤 포트 및 서비스가 허용되는지 확인할 수 있습니다

어떤 영역이 활성화되어 있는지 확인하려면 명령을 실행하십시오

$ Sudo Firewall-CMD-Get-Active-Zones

서비스를 추가하고 해당 서비스에 대한 연결을 허용하려면 다음과 같이 –add-service 인수를 사용합니다

$ Sudo Firewall-CMD -Add-Service http -permanent

위의 명령을 통해 HTTP 서비스는 기본 영역에서 실행할 수 있습니다. 영역을 지정하려면 다음을 실행할 수 있습니다

$ sudo firewall-cmd -zone = public -add-service http-permanent

위의 명령은 영역에 대한 HTTP 트래픽을 허용합니다 “공공의”. 서비스를 제거하고 연결을 차단하려면 다음과 같이 제거하십시오

$ Sudo Firewall-CMD-Remove-Service http-Permanent
$ Sudo Firewall-CMD-Reload

방화벽 -CMD를 사용하여 방화벽을 변경할 때마다 모든 설정을 다시로드해야합니다. 그렇지 않으면 변경 사항이 적용되지 않습니다. 추가 인수를 확인하려면 Firewall-CMD 명령을 실행할 수 있습니다.

리눅스 방화벽왜 방화 및 방화벽 -CMD?

자신의 서비스 정의, ICMP 차단 및 허용 가능한 수신 트래픽 소스 지정과 같은 방화벽 -CMD로 더 많은 작업을 수행 할 수 있습니다. 엔터프라이즈 수준의 보안에 지나치게 제안되지는 않았지만 Firewall-CMD는 여전히 빠른 수준의 보안이 필요한 일일 사용자 및 기업을위한 우수하고 실행 가능한 솔루션입니다. Linux Security를 ​​처음 접한다면 Firewall-CMD는 Ipchains 및 iptables를 시작하는 훌륭한 방법입니다. Firewall-CMD는 이미 Ipchains를 알고 있다면 기본 방화벽을 신속하게 설정할 수 있습니다. 또한 런타임 환경은 쉽게 수정 가능합니다. 데몬이나 서비스를 다시 시작할 필요가 없습니다. 방화구 D-BUS 인터페이스 덕분에 서비스, 프로그램 및 사용자가 방화벽 설정을 수정하는 것이 간단합니다. 런타임 분리 및 영구 구성으로 인해 런타임 테스트 및 평가를 허용하므로 관리자에게 유용합니다.

마지막 생각들

방화벽이 필요한 유일한 시간은 대부분의 시간에 시스템에서 어떤 종류의 서버 애플리케이션을 실행하는 경우입니다. 이 경우 방화벽은 들어오는 연결을 특정 포트로 제한하여 적절한 서버 애플리케이션과 만 상호 작용할 수 있는지 확인합니다. 다시 한 번 Linux 시스템에서 방화벽을 활성화하지 않아도됩니다. 우리가 말하는 것은 보안 증가를 위해 방화벽 -CMD를 사용하여 방화벽을 구현하는 것에 대해 생각해야한다는 것입니다!