فایروال لینوکس

زمان تخمینی مطالعه: 19 دقیقه 

فایروال لینوکس فرآیند مدیریت امنیت را در سیستم‌های مبتنی بر لینوکس ساده می‌کنند. یک فایروال اختصاصی شبیه به دیواری میان سیستم شما و اینترنت قرار می‌گیرد و تمام ترافیک را قبل از رسیدن به شبکه داخلی ارزیابی و پالایش می‌کند. بنابراین از نظر مباحث امنیتی در اختیار داشتن یک دیوارآتش برای پیشگیری از نفوذ به سیستم‌ها و به ویژه سرورها ضروری است.

فایروال لینوکسی چیست

فایروال لینوکسی نرم‌افزاری است که بر روی سیستم‌عامل لینوکس نصب و تنظیم می‌شود و وظیفه مدیریت و کنترل ترافیک شبکه را در سطح سیستم عامل بر عهده دارد. فایروال لینوکسی به شما امکان می‌دهد قوانین و سیاست‌های دسترسی به شبکه را تعیین کنید و نظارت دقیقی بر میزان دسترسی ترافیک و ارتباطات ورودی و خروجی داشته باشید. فایروال لینوکسی می‌تواند به صورت سخت‌افزاری یا نرم‌افزاری پیاده‌سازی شود. در حالت سخت‌افزاری، یک دستگاه فیزیکی به عنوان فایروال استفاده می‌شود که به شبکه متصل شده و ترافیک را مدیریت می‌کند. در حالت نرم‌افزاری، فایروال به صورت یک برنامه نصب شده بر روی سیستم عامل لینوکس اجرا می‌شود و ترافیک شبکه را از طریق ساختارهای سیستمی مانند iptables یا nftables کنترل می‌کند. فایروال لینوکسی قابلیت‌ها و ویژگی‌های متنوعی دارند. اولین مورد فیلترینگ براساس آدرس IP و پورت‌ها است. فایروال لینوکسی به شما اجازه می‌دهد ترافیک را بر اساس آدرس IP و پورت‌ها محدود کنید و قوانین دسترسی را تنظیم کنید. مورد بعدی پشتیبانی از فناوری NAT سرنام (Network Address Translation) است. با استفاده از فایروال لینوکسی، می‌توانید ترافیک ورودی و خروجی را به آدرس‌های IP داخلی سیستم تغییر دهید. مورد بعد مدیریت ‌پهنای شبکه است. فایروال لینوکسی امکان مدیریت ‌پهنای شبکه را در محدوده‌های زمانی مشخص می‌کند و می‌تواند ترافیک را مطابق با نیازهای شبکه مدیریت کند. فایروال لینوکسی می‌تواند از شبکه در برابر حملات مختلف مثل DDoS، حملات اسکن پورت و حملات نفوذ محافظت کند.  فایروال لینوکسی قابلیت ثبت لاگ‌ها و رویدادهای شبکه را دارد که برای تجزیه و تحلیل و بررسی امنیت شبکه بسیار مفید است. برخی از فایروال‌های لینوکسی مثل OpenVPN یا StrongSwan امکاناتی برای ایجاد و مدیریت تونل‌های شبکه خصوصی مجازی فراهم می‌کنند.

دیوارهای آتش به چند نوع تقسیم می شوند؟

دیوارهای آتش (Firewalls) به عنوان ابزاری برای محافظت از شبکه‌ها و سیستم‌ها در برابر تهدیدات امنیتی به کار می‌روند. آن‌ها می‌توانند بر اساس عملکرد، سطح عملیاتی و معماری به نوع‌های مختلفی تقسیم شوند. برخی از انواع رایج دیوارهای آتش به شرح زیر هستند:

Packet Filtering Firewalls

این نوع دیوارهای آتش بر اساس آدرس IP، پورت و پروتکل (مانند TCP یا UDP) ترافیک را بررسی و تصمیم‌گیری می‌کنند. آن‌ها بر اساس قوانین دسترسی به بسته‌های شبکه، بسته‌های مجاز را اجازه می‌دهند و بسته‌های مشکوک یا غیرمجاز را مسدود می‌کنند. Packet Filtering Firewalls با تحلیل هدرهای بسته‌ها و مقایسه آن‌ها با قوانین تعریف شده، تصمیم‌گیری می‌کنند که آیا باید بسته رد شود یا به مقصد خود برسد. این قوانین می‌توانند مشخص کننده میزان دسترسی به یک پورت خاص یا آدرس IP خاص باشند. در Packet Filtering Firewalls، ترافیک شبکه به طور معمول در جدول‌هایی به نام جدول فیلترینگ (filtering table) دسته‌بندی می‌شود. هر جدول فیلترینگ شامل چندین زنجیره (chains) است که قوانین دسترسی را برای ترافیک تعیین می‌کنند. زنجیره‌ها به صورت متوالی از قوانین تشکیل شده‌اند و بسته‌های شبکه از ابتدای زنجیره شروع به بررسی می‌کنند. اگر یک قانون با بسته مطابقت کند، عملیات مشخصی اعمال می‌شود (مانند اجازه عبور، رد کردن یا مسدود کردن بسته). Packet Filtering Firewalls قابلیت‌های پایه‌ای را فراهم می‌کنند و به عنوان دیوارهای آتش لایه اول به محافظت از شبکه‌ها در برابر تهدیدات می‌پردازد. آنها می‌توانند بسته‌های مشکوک را مسدود کنند، حملات DDoS را کاهش دهند. با این حال، آن‌ها قابلیت‌های پیشرفته‌تری مانند شناسایی و جلوگیری از تهدیدات پیچیده‌تر را ندارند که در انواع دیگر دیوارهای آتش مانند Application Firewalls و Next-Generation Firewalls موجود است. از دیوارهای آتش این مدل باید به iptables و nftables اشاره کرد.

Stateful Firewalls

این نوع دیوارهای آتش قادرند وضعیت ارتباط بسته‌های شبکه را بررسی کنند و درخواست‌های مربوط به ارتباطات را بررسی کنند. آن‌ها حافظه‌ای به نام جدول وضعیت (State Table) دارند که جزئیات ارتباطات شبکه را ذخیره می‌کند.  دیوارهای آتش حالت‌دار در مقایسه با Packet Filtering Firewalls، قابلیت‌های پیشرفته‌تری را در ارتباط با مدیریت وضعیت ارتباط بسته‌های شبکه ارائه می‌دهند. آن‌ها قادرند وضعیت ارتباط بسته‌های شبکه را بررسی کنند و درخواست‌های مربوط به ارتباطات برگشتی را به درستی تصویب کنند. دیوارهای آتش Stateful با استفاده از جدول وضعیت (State Table)، جزئیات ارتباطات شبکه را ذخیره می‌کنند. این جدول شامل اطلاعاتی مانند آدرس‌های IP و پورت‌های منبع و مقصد، وضعیت ارتباط (مانند برقرار، قطع یا بسته شده)، وضعیت ترافیک و اطلاعات دیگر هستند. با استفاده از این اطلاعات، دیوارهای آتش Stateful قادرند به طور هوشمندانه ترافیک را بررسی کرده و تصمیم‌گیری کنند.

با توجه به اطلاعات موجود در جدول وضعیت، دیوارهای آتش Stateful می‌توانند بسته‌های ورودی را با بسته‌های خروجی مرتبط کنند و تشخیص دهند که یک بسته ورودی مربوط به یک کانال ارتباطی معتبر است یا خیر. این قابلیت به دیوارهای آتش امکان می‌دهد تا به صورت خودکار درخواست‌های مربوط به ارتباطات را تصویب کنند یا ترافیک ناخواسته را مسدود کنند. با استفاده از وضعیت ارتباط، دیوارهای آتش Stateful قادرند به صورت هوشمند ترافیک را مدیریت کنند و حفاظت از شبکه را افزایش دهند. آن‌ها قادر به شناسایی و جلوگیری از بروز حملاتی مثل SYN flood هستند که در آن حمله‌کننده سعی می‌کند تعداد زیادی اتصال SYN ایجاد کند و منابع سرور را برای اتصالات بعدی مصرف کند. با استفاده از جدول وضعیت، دیوارهای آتش Stateful قادر به شناسایی و جلوگیری از بروز حملاتی مانند پویش پورت (port scanning) هستند که در آن حمله‌کننده سعی می‌کند پورت‌های باز در یک سیستم را شناسایی کند و به دنبال ضعف‌های احتمالی برای نفوذ است. به طور کلی، دیوارهای آتش Stateful می‌توانند ارتباطات شبکه را به طور جامع و هوشمند مدیریت کنند و امنیت شبکه را افزایش دهند. با توجه به قابلیت‌های پیشرفته خود، آن‌ها قادر به تشخیص و جلوگیری از حملات مخرب هستند و کارایی بالاتری نسبت به دیوارهای آتش Packet Filtering دارند. از جمله این دیوارهای آتش باید به pfSense و Cisco ASA اشاره کرد.

Application Firewalls

این نوع دیوارهای آتش در سطح بالاتر (لایه برنامه) از طریق بررسی و تحلیل بسته‌های شبکه، قادرند به شناسایی و جلوگیری از بروز تهدیدات و آسیب‌پذیری‌های مربوط به برنامه‌ها درون شبکه بپردازند. آن‌ها می‌توانند ترافیک را بررسی کرده و بر اساس قوانین و الگوریتم‌های خاص، بسته‌های مشکوک را مسدود کنند. آن‌ها به عنوان یک لایه اضافی عمل می‌کنند و قادرند به شکل پیشرفته‌تری، فرآیند ارزیابی ترافیک شبکه را انجام دهند. دیوارهای آتش Application براساس ترافیک برنامه‌ها و سرویس‌های شبکه، تصمیم‌گیری می‌کنند و قابلیت‌های پیشرفته‌تری را برای تشخیص و جلوگیری از حملات و تهدیدات برنامه‌های کاربردی ارائه می‌دهند. آن‌ها قادرند به شناسایی و کنترل ترافیک بر اساس قوانین و الگوهای برنامه‌های کاربردی خاص بپردازند. به طور کلی، دیوارهای آتش Application شامل مجموعه‌ای از قوانین و سیاست‌ها هستند که ترافیک ورودی و خروجی برنامه‌های کاربردی را بر اساس ویژگی‌های برنامه و پروتکل‌های آن بررسی می‌کنند. برخی از ویژگی‌ها که ممکن است توسط دیوارهای آتش Application مورد بررسی قرار بگیرند به شرح زیر هستند:

پورت‌ها و پروتکل‌ها: دیوارهای آتش Application قادرند بر اساس پورت‌ها و پروتکل‌های استفاده شده در برنامه‌ها، ترافیک را مدیریت کنند و به بسته‌های مجاز اجازه عبور داده و ترافیک ناخواسته را مسدود کنند.

تحلیل محتوا: آن‌ها قادرند به تجزیه و تحلیل محتوای داده‌های شبکه برای شناسایی الگوهای مشکوک و حملاتی مانند SQL Injection، Cross-Site Scripting (XSS) و تهدیدات دیگر بپردازند.

فیلترینگ URL و وب: دیوارهای آتش Application می‌توانند به صورت هوشمند لینک‌ها، آدرس‌های وب و درخواست‌های HTTP را بررسی کنند و به دنبال الگوهای مشکوک و تهدیدات امنیتی باشند.

شناسایی و جلوگیری از تهدیدات شبکه: آن‌ها می‌توانند به صورت هوشمند مانع بروز حملاتی مثل تلاش‌ها برای نفوذ، حملات DDoS و سایر تهدیدات شبکه شوند.

با توجه به قابلیت‌های پیشرفته‌ای که دیوارهای آتش Application دارند، آن‌ها قادر به بهبود امنیت شبکه و برنامه‌های کاربردی هستند. با تحلیل و بررسی ویژگی‌های برنامه و ترافیک آن، آن‌ها می‌توانند به صورت دقیق‌تر و هوشمندانه‌تر تهدیدات امنیتی را شناسایی و جلوگیری کنند. همچنین، با امکان اعمال سیاست‌های مشخص برای هر برنامه کاربردی، دیوارهای آتش نرم‌افزار به شما کمک می‌کنند تا تنظیمات امنیتی را مطابق با نیازها پیاده‌سازی کنید. از جمله دیوارهای آتش این حوزه باید به ModSecurity و Barracuda Web Application Firewall اشاره کرد.

Next-Generation Firewalls (NGFW)

این نوع دیوارهای آتش قابلیت‌های پیشرفته‌تری را در ارتباط با ترافیک شبکه فراهم می‌کنند. آن‌ها علاوه بر قابلیت‌های معمول دیوارهای آتش، قابلیت‌هایی مانند شناسایی و جلوگیری از تهدیدات پیشرفته، شناسایی نفوذ، مسدودسازی URL های مخرب و محدودسازی مصرف پهنای باند را ارائه می‌کنند. NGFW ها به عنوان یک لایه امنیتی بر روی دیوارهای آتش Packet Filtering و Stateful عمل می‌کنند و قادرند به طور همزمان ترافیک شبکه را بررسی و کنترل کنند. از جمله قابلیت‌های برجسته NGFW ها می‌توان به موارد زیر اشاره کرد:

شناسایی و جلوگیری از تهدیدات برنامه‌های کاربردی: NGFW ها قادرند به تشخیص و جلوگیری از بروز حملات و تهدیدات مربوط به برنامه‌های کاربردی خاصی بپردازند. آن‌ها قادرند به تحلیل و بررسی محتوای بسته‌های شبکه، شناسایی الگوهای مشکوک و حملاتی مانند حملات SQL Injection، Cross-Site Scripting (XSS) و حملات اجرای کد راه دور (Remote Code Execution) بپردازند.

فیلترینگ وب و URL: این دیوارهای آتش می‌توانند تشخیص و کنترل دقیق بر روی لینک‌ها، آدرس‌های وب و درخواست‌های HTTP اعمال کنند. آن‌ها می‌توانند الگوهای مشکوک و تهدیدات امنیتی را شناسایی کرده و به صورت هوشمند اقدام به مسدود کردن دسترسی به سایت‌های خطرناک و غیرمجاز کنند.

شناسایی و جلوگیری از تهدیدات شبکه: NGFWها توانایی شناسایی بدافزارهای رایج، حملات روز صفر، حملات گذر از مکانیزم‌های IPS و سایر تهدیدات شبکه را دارند.

قابلیت ساخت شبکه خصوصی مجازی و تونل‌سازی: NGFW ها قابلیت‌هایی برای ساخت شبکه‌های خصوصی مجازی فراهم کنند و این امکان را به سازمان‌ها می‌دهند تا ارتباطات امن و رمزنگاری شده بین شعب و دفاتر مختلف را برقرار کنند.

مدیریت پهنای باند: NGFW ها قادرند به مدیریت پهنای باند و کنترل ترافیک شبکه بر اساس نیازهای سازمان بپردازند. آن‌ها می‌توانند سیاست‌ها و قوانین مختلف را بر اساس نوع ترافیک، پروتکل‌ها و نیازهای کاربردی تنظیم کنند تا منابع شبکه به شکل بهینه‌ای مورد استفاده قرار گیرند.

به طور کلی، دیوارهای آتش NGFW به دلیل دارا بودن ویژگی‌های پیشرفته‌تر، قادر به تشخیص و مقابله با تهدیدات متنوع و پیچیده‌تری هستند. آن‌ها ترافیک شبکه را به صورت هوشمندانه بررسی می‌کنند و از مکانیزم‌های متنوعی مانند تحلیل محتوا، شناسایی الگوها، جداکردن برنامه‌ها و قابلیت‌های دیگر استفاده می‌کنند تا امنیت شبکه را بهبود بخشند. با استفاده از دیوارهای آتش NGFW، سازمان‌ها می‌توانند برنامه‌های کاربردی خود را در برابر حملات و تهدیدات امنیتی محافظت کنند، کنترل دقیقی بر روی ترافیک شبکه داشته باشند و به صورت کلی امنیت شبکه خود را بهبود دهند.

Iptables

Iptables یکی از فایروال‌های قدیمی سیستم عامل لینوکس است. این ابزار برای مدیریت و کنترل ترافیک شبکه و تنظیم قوانین دسترسی در سطح بسته‌های شبکه استفاده می‌شود. Iptables قدرتمندترین ابزار فایروال در لینوکس است و قابلیت‌های متنوعی برای ارزیابی بسته‌ها و امنیت شبکه ارائه می‌دهد. Iptables از چهار جدول اصلی برای مدیریت ترافیک استفاده می‌کند:

جدول فیلتر (Filter Table): این جدول برای تصمیم‌گیری درباره ترافیک ورودی و خروجی استفاده می‌شود. با استفاده از قوانین iptables در این جدول، می‌توانید ترافیک را بر اساس آدرس IP، پورت و پروتکل‌های مختلف محدود کنید.

جدول NAT (Network Address Translation): این جدول برای مدیریت ترافیک NAT استفاده می‌شود، که شامل تغییر آدرس IP و پورت‌ها در بسته‌های شبکه است. با استفاده از این جدول، می‌توانید ترافیک شبکه را از آدرس IP و پورت‌های خارجی به آدرس IP و پورت‌های داخلی سیستم تغییر دهید.

جدول Mangle: این جدول برای اعمال تغییرات و تغییر بسته‌های شبکه استفاده می‌شود. به عنوان مثال، می‌توانید توسط این جدول، مقدار TTL بسته‌ها را تغییر دهید یا ویژگی‌های دیگری را تغییر دهید.

جدول خام/ردیابی (Raw Table): این جدول برای تصمیم‌گیری درباره بسته‌های شبکه قبل از اعمال قوانین سایر جداول استفاده می‌شود. این جدول معمولا برای اعمال قوانین خاصی استفاده می‌شود که به صورت مستقیم بر روی بسته‌ها تاثیر می‌گذارند.

با استفاده از iptables، می‌توانید قوانین مختلفی برای مدیریت شبکه تعریف کنید. این قوانین می‌توانند شامل مسدود کردن یا اجازه دادن به ترافیک بر اساس آدرس IP و پورت، ایجاد قوانین NAT، تنظیم حملات DDoS و اعمال محدودیت بر ‌پهنای باند شبکه و موارد مشابه باشد. لازم به توضیح است که Iptables یک ابزار پیچیده است و نیاز به دانش و تجربه لازم در تنظیمات و استفاده از آن دارد.

UFW (Uncomplicated Firewall)

UFW سرنام  (Uncomplicated Firewall)یکی دیگر از فایروال‌های نرم‌افزاری است که در سیستم عامل لینوکس استفاده می‌شود. UFW به عنوان یک واسط کاربری ساده‌تر و سطح بالا برای iptables عمل می‌کند و به کاربرانی که دانش کمی در تنظیم و پیکربندی فایروال دارند، کمک می‌کند یک راهکار دفاعی قدرتمند برای سیستم عامل‌های لینوکسی تعیین کنند. از طریق UFW می‌توان قوانین آسان‌تری برای مدیریت ترافیک شبکه تعریف کرد. UFW از دستورات سطح بالا مانند قوانین ساده‌تر برای مدیریت فایروال بهره می‌برد و به کاربران امکان می‌دهد با استفاده از دستورات ساده و قابل فهم، قوانین دسترسی و فیلترینگ ترافیک را تعیین کنند. با استفاده از UFW، می‌توانید به سادگی قوانین دسترسی و فیلترینگ ترافیک را تنظیم کنید. به عنوان مثال، می‌توانید ترافیک را بر اساس آدرس IP، پورت و پروتکل‌های مختلف محدود کنید و یا اجازه دسترسی به سرویس‌های خاص را بدهید. همچنین، UFW امکاناتی مانند محدود کردن تعداد تلاش‌های ورود ناموفق (برای جلوگیری از حملات Brute Force) و فعال‌سازی یا غیرفعال‌سازی فایروال را نیز فراهم می‌کند. برای استفاده از UFW، می‌توانید دستورات ساده‌ای مانند “ufw allow” و “ufw deny” را استفاده کنید تا قوانین دسترسی را تعیین کنید و با دستور “ufw enable” فایروال را فعال کنید. همچنین، می‌توانید با استفاده از دستور “ufw status” وضعیت فعلی فایروال را بررسی کنید. به طور کلی، UFW یک ابزار محبوب است و برای کاربرانی که تمایل به استفاده از یک فایروال کارآمد دارند، اجازه می‌دهد با حداقل دانش فنی از آن استفاده کنند.

firewalld

Firewalld فایروالی است که برای مدیریت بسته‌ها در سیستم‌های لینوکسی استفاده می‌شود. Firewalld به عنوان یک جایگزین برای iptables طراحی شده است و قابلیت‌های پیشرفته‌تری را در مدیریت فایروال فراهم می‌کند. عملکرد Firewalld بر اساس مفهوم “Zone” است که هر منطقه (Zone) شامل یک محیط شبکه مشخص است که قوانین دسترسی خاص خود را دارد. به طور مثال، منطقه‌هایی مانند Public، Internal و DMZ را می‌توان در نظر گرفت. هر منطقه میزان اعتماد و میزان امنیت متفاوتی دارد و قوانین دسترسی به شبکه را می‌توان بر اساس آن تعیین کرد. Firewalld از یک رابط کاربری و همچنین یک رابط گرافیکی به نام “firewall-config” برای مدیریت و پیکربندی فایروال استفاده می‌کند. با استفاده از این ابزار، می‌توانید قوانین دسترسی به شبکه را تعریف کنید، منطقه‌ها را تغییر دهید، سرویس‌های خاص را در مناطق تعیین شده فعال یا غیرفعال کنید و قوانین NAT و مسدودسازی را تنظیم کنید.

یکی از ویژگی‌های برجسته Firewalld قابلیت “Runtime” است که به شما اجازه می‌دهد تغییراتی را در فایروال اعمال کنید بدون نیاز به توقف سرویس فایروال. این قابلیت به شما امکان می‌دهد تغییرات را در زمان اجرا اعمال کنید و تاثیر آن را به شکل لحظه‌ای دریافت کنید بدون آن‌که اختلال در ترافیک شبکه را تجربه کنید.

از آن‌جایی که Firewalld بر اساس iptables ساخته شده است، شما می‌توانید به شکل مستقیم iptables را در سیستم خود داشته باشید. با این حال، استفاده از Firewalld به عنوان یک لایه میانی میان شما و iptables می‌تواند مدیریت فایروال را ساده‌تر و قابل فهم‌تر کند، به خصوص برای کاربرانی که با iptables آشنایی زیادی ندارند.

Shorewall

Shorewall یک فایروال نرم‌افزاری مبتنی بر لینوکس است که برای مدیریت و پیکربندی فایروال در سیستم‌های عامل لینوکس استفاده می‌شود. Shorewall بر اساس Netfilter (زیرساخت فنی iptables) ساخته شده است و به عنوان یک واسط کاربری سطح بالا برای iptables عمل می‌کند. با استفاده از Shorewall، می‌توانید قوانین دسترسی و فیلترینگ ترافیک را به صورت قابل فهم و ساده تعریف کنید. Shorewall در واقع یک سیستم قوانین پیشرفته است که از طریق فایل‌های پیکربندی قابل خواندن توسط انسان، قوانین دسترسی را تعیین می‌کند. این نرم‌افزار به شما اجازه می‌دهد قوانین شبکه را بر اساس IP آدرس، پورت، پروتکل، زمان و سایر ویژگی‌ها تعریف کنید.

Shorewall دارای یک ساختار سلسله مراتبی است که شامل منابع (Interfaces)، مناطق (Zones) و قوانین (Rules) می‌شود. شما منابع را تعریف می‌کنید که شامل رابط‌های شبکه سیستم (مانند eth0، eth1، wlan0 و غیره) هستند. سپس، مناطق را تعریف می‌کنید که شامل محیط‌های شبکه مختلف می‌شوند (مانند internal،  external، dmz و غیره). در نهایت، با استفاده از قوانین، مشخص می‌کنید که کدام منطقه به کدام منبع دسترسی دارد و چه قوانین دسترسی و فیلترینگی برای ترافیک تعریف می‌شود.

Shorewall از مزایایی مانند پشتیبانی از تنظیمات پیشرفته (مانند NAT، توزیع بار، قابلیت‌های VPN و غیره) و قابلیت اجرای آزمایشی قوانین (به عنوان یک حالت “try-before-you-fly”) برخوردار است. همچنین، Shorewall ابزارهای مفیدی را برای مانیتورینگ، گزارش‌دهی و اشکال‌زدایی ارائه می‌دهد تا به شما در مدیریت و نظارت بر فایروال کمک کند. میزان پیچیدگی پیکربندی Shorewall به مراتب کمتر از iptables است، زیرا از فایل‌های پیکربندی خوانا برای تعریف قوانین استفاده می‌کند. با این حال، آشنایی با مفاهیم شبکه و مفاهیم پیکربندی فایروال لازم است تا بتوانید Shorewall را به طور ککامل و صحیح پیکربندی کنید.

nftables

nftables یک سیستم فایروال جدید برای سیستم‌های عامل لینوکس است که به‌عنوان جایگزینی برای iptables طراحی شده است. این سیستم فایروال در هسته لینوکس از نسخه 3.13 به بعد معرفی شده است و قابلیت‌های پیشرفته‌تری را در مدیریت فایروال فراهم می‌کند. nftables از معماری جدیدی برخوردار است که توسط جامعه Netfilter توسعه یافته است. این معماری اجازه می‌دهد تا قوانین فایروال به صورت جدولی (tables) و قوانین دسترسی به شبکه را به صورت قابل فهم و انعطاف‌پذیر تعریف کنید. هر جدول شامل یک یا چند زنجیره (chains) است که قوانین دسترسی مشخصی را برای ترافیک تعیین می‌کنند. nftables از یک زبان قوانین ساده و قابل فهم برای تعریف قوانین استفاده می‌کند. این زبان قابلیت‌هایی مانند تطبیق بر اساس IP آدرس، پورت، پروتکل، زمان و ویژگی‌های دیگر را فراهم می‌کند. همچنین، nftables پشتیبانی از مفاهیمی مانند ترافیک شبکه بر اساس طبقه‌بندی (classification)، توزیع بار (load balancing)، ساخت لیست‌های سیاه (blacklisting) و دسته‌بندی ترافیک (traffic shaping) را دارد.

نسخه جدید nftables در مقایسه با iptables، باعث بهبود عملکرد و سرعت پردازش ترافیک شبکه می‌شود. همچنین، قابلیت‌های امنیتی و پیشرفته‌تری برای مدیریت فایروال فراهم می‌کند. به عنوان مثال، nftables امکان تعریف قوانین با شرایط پیچیده مانند مجموعه‌های زیرشبکه (subnets)، ترافیک مشخص شده بر اساس شماره پورت، اطلاعات لایه 4 و 7 و غیره را فراهم می‌کند. از آن‌جایی که nftables به عنوان یک تکنولوژی جدید معرفی شده است، برخی توزیع‌های لینوکس شاید از iptables به عنوان فایروال پیش‌فرض خود استفاده می‌کنند. با این حال، بسیاری از توزیع‌ها اکنون nftables را به عنوان راهکار فایروال پیشرفته خود در نظر می‌گیرند و از آن برای مدیریت ترافیک شبکه استفاده می‌کنند.

IPFire

IPFire یک توزیع فایروال متن باز برای بستر لینوکس است که برای محافظت و امنیت شبکه‌ها طراحی شده است. این نرم‌افزار، به عنوان یک سیستم عامل شبکه مستقل عمل می‌کند و می‌تواند بر روی سخت‌افزارهای مختلف نصب شود. IPFire تمرکز خود را بر روی ارائه امنیت شبکه، مدیریت ترافیک، شبکه خصوصصی مجازی و قابلیت‌های دیگر مرتبط با شبکه قرار داده است. این دیوارآتش قابلیت‌هایی برای مدیریت ترافیک فراهم می‌کند تا بتوانید ترافیک شبکه را کنترل و بهینه‌سازی کنید. این فرآیند شامل قابلیت‌های مثل پیکربندی کیفیت خدمات QoS (Quality of Service)، محدودسازی پهنای باند، ترافیک شبکه، توزیع بار و مدیریت ترافیک وب است. دارای یک سیستم تشخیص تهدید مبتنی بر قوانین است که می‌تواند حملات شبکه را شناسایی کند و هشدار دهد. با استفاده از قوانین مختلف، IPFire می‌تواند به طور خودکار حملات را تشخیص داده و اقدامات لازم را برای محافظت از شبکه انجام دهد.

OPNSense

OPNSense یک فایروال و سیستم عامل متن باز برای محافظت و مدیریت شبکه‌ها است. این سیستم عامل بر پایه لینوکس استوار است و امکاناتی مانند فایروال، شبکه خصوصی مجازی، مدیریت ترافیک، تشخیص تهدید و ویژگی‌های امنیتی دیگر را فراهم می‌کند. OPNSense به عنوان یک سیستم عامل شبکه مستقل عمل می‌کند و قابلیت نصب بر روی سخت‌افزارهای مختلف را دارد. با استفاده از OPNSense، می‌توان شبکه‌های کوچک و بزرگ را مدیریت و امنیت آن‌ها را تضمین کرد. به علاوه، OPNSense یک سیستم متن باز است، به این معنی که کدهای منبع آن در دسترس عمومی قرار دارد و کاربران می‌توانند آن را بررسی و بهبود دهند.

موارد یاد شده تنها چند نمونه از فایروال‌های معروف لینوکس هستند و موارد دیگری نیز وجود دارند که می‌توانند براساس نیازها تعریف شوند. انتخاب فایروال صحیح بستگی به نیازها و محدودیت‌ها دارد. قبل از انتخاب یک فایروال، بهتر است نیازها و اهداف خود را مورد بررسی قرار دهید تا فایروال مناسبی را برای سیستم انتخاب کنید.

بخوانید: پروتکل اترنت چیست، چه ویژگی‌ها دارد؟