La nuova versione del firewall PFS di tipo open source mette a disposizione la maggior parte delle funzioni che si ritrovano nei firewall in vendita a pagamento, e in più ne offre di ulteriori.
Ognuna delle funzioni può essere gestita attraverso l’interfaccia web, il che vuol dire che non c’è bisogno di usare la riga di comando.
La tabella di stato
La state table, vale a dire la tabella di stato, offre informazioni a proposito delle connessioni aperte. Per default ogni regola è stateful: si tratta, infatti, di uno status firewall.
La nuova versione di PFS dispone di parecchie funzioni che le permettono di compiere un controllo preciso della tabella di stato, della quale è possibile regolare le dimensioni. Di base, la state table cambia a seconda della Ram che c’è nel sistema; tuttavia in caso di necessità è possibile aumentare la sua dimensione. Ogni stato occupa più o meno 1 KB di Ram, un aspetto che deve essere tenuto in considerazione nel momento in cui la memoria viene dimensionata. Il firewall propone varie opzioni per gestire lo stato. Con Synproxy state, per esempio, i proxy avviano le connessioni TCP al fine di supportare i server da spoofed TCP SYN floods.
Il controllo degli accessi alla rete
La nuova versione del firewall PFS è in grado di garantire standard di sicurezza molto elevati in virtù della sua capacità di monitorare i diversi accessi alla rete. In più, il firewall che viene creato ha la capacità di filtrare l’intero traffico che viene ricevuto da fuori da parte della rete.
Il firewall riesce a filtrare tutti i dati attraverso una policy, cioè un’operazione che può essere attivata tramite i criteri default-deny e default-allow.
Il primo consente l’accesso alla rete unicamente di quello che viene dichiarato come accettato; tutto il resto è destinato a essere respinto. È importante, però, che la dichiarazione sia totalmente esplicita.
Il secondo, invece, impedisce l’accesso alla rete di quello che è stato indicato come vietato. Come è facile intuire, il parametro default-deny è più sicuro del secondo, perché con il default-allow possono sempre entrare minacce sconosciute e che, quindi, non erano state esplicitamente indicate come vietate.
Il network address translation
La funzione in bridging è un’altra delle peculiarità che è opportuno mettere in risalto quando si parla della nuova versione del firewall PFS. Questo status firewall non solo presuppone un monitoraggio costante, ma è anche in grado di funzionare in maniera trasparente al layer 2.
Inoltre, è previsto un network address translation, mentre la funzione di high availability consente di installare in due device uguali due firewall differenti. In questo modo, i due firewall si possono duplicare, e l’uno potrebbe prendere il posto dell’altro nel caso in cui quest’ultimo dovesse essere danneggiato. In termini più semplici, qualora il primo firewall non dovesse funzionare, il secondo si attiverebbe in automatico. E questo accade senza che le connessioni della rete rischino di cadere.
Il load balancing è un’altra funzione molto preziosa, e consiste nel bilanciamento di varie operazioni che vengono smistate su server differenti. PFS, per altro, può essere utilizzato anche in qualità di url fixering, di web providing e di antivirus.
La ridondanza
L’hardware failover viene gestito dal protocollo CARP da OpenBSD; è possibile configurare due (o anche più di due) gruppi di firewall hardware come un insieme di failover.
Nel momento in cui un’interfaccia dovesse essere danneggiata sul dispositivo primario, o se per caso tale dispositivo dovesse andare offline, entrerebbe in gioco il secondo firewall. Il sistema comprende, poi, la sincronizzazione automatica fra i dispositivi.
La tabella di stato del firewall è uguale per tutti i firewall che fanno parte del failover, ed è questa la ragione per la quale, in caso di failover, non vengono compromesse le connessioni esistenti.
Le altre funzioni della nuova versione del firewall FPS
Sono tre le tipologie di connettività VPN a disposizione:
- PPTP Server
- IPsec
- OpenVPN
Quest’ultima è una soluzione SSL VPN tanto potente quanto flessibile, in grado di supportare un vasto assortimento di sistemi operativi client.
PPTP Server, invece, è installato sulla maggior parte dei sistemi operativi client, compresi quelli di Windows. Infine, IPsec garantisce la connettività con tutti i device che supportano questo tipo di standard. Vi si ricorre, fra l’altro, nelle configurazioni con altri device di tipo site to site. La soluzione viene implementata da diversi firewall commerciali, fra i quali Juniper e Cisco, ma anche da mOnOwall, che è un altro firewall open source come FPS.
La soluzione a portata di click…
Pensi di aver bisogno dei consigli di un team di professionisti per usare la nuova versione del firewall PFS? TNSolutions ha quel che fa per te, ed è pronta a mettere a disposizione l’esperienza e la competenza di specialisti del settore: contattaci per usufruire del nostro servizio di supporto in ambito informatico.
Se invece hai bisogno di acquistare materiale informatico (o prodotti di ogni tipo), consulta il vastissimo catalogo prodotti del nostro e-commerce initpc.com: iscriviti alla nostra newsletter per ricevere gratuitamente un codice sconto ogni mese!