Paquet : apf-firewall (9.7+rev1-5.1)

système de pare-feu à base d'iptables

Advanced Policy Firewall (APF) est un parefeu à base d'iptables (netfilter) conçu pour répondre à l'essentiel des besoins actuels des serveurs Internet et particulièrement à ceux des installations personnalisées à base de système Linux. La configuration d'APF se fait à travers un fichier de configuration très bien commenté et fournit à l'utilisateur une procédure facile à suivre, du début jusqu'à la fin du fichier de configuration. La gestion d'AFP au jour le jour se fait en console à l'aide de la commande « apf », laquelle inclut des informations détaillées sur son utilisation ainsi que toutes les fonctionalités souhaitables pour des solutions aussi bien usuelles qu'avancées.

Détail des caractéristiques :

 - le fichier de configuration est très bien commenté et détaillé ;
 - le filtrage granulaire du réseau entrant et sortant ;
 - le filtrage des utilisateurs en sortie est à base d'« user id » ;
 - le filtrage du réseau basé sur les applications ;
 - une règle basée sur la confiance avec une syntaxe optionnelle évoluée ;
 - un système global de partage où les règles peuvent être téléchargées à
    partir d'un serveur de gestion centralisé ;
 - le blocage des adresses (RAB), avec la dernière génération de prévention
    des intrusions en ligne ;
 - un mode test permettant d'essayer les nouvelles configurations et
    fonctionnalités ;
 - une caractéristique de chargement rapide permettant de traiter plus de
    mille règles à la seconde ;
 - les interfaces d'entrée et de sortie sont indépendamment paramétrables ;
 - des options de paramétrage multiples (drop, reject, prohibit) des
    systèmes de filtrage (port TCP/UDP et ICMP) ;
 - des politiques configurables pour chaque IP sur le système avec des
    variables pratiques pour importer les réglages ;
 - la limitation du taux de transfert des paquets pour prévenir les
    abus sur le protocole le plus largement pollué, icmp ;
 - des règles de pré et post routage pour une performance de réseau optimale ;
 - la gestion de la liste de blocage de dshield.org pour bannir les réseaux
    présentant une activité suspecte ;
 - la gestion de la spamhaus Don't Route Or Peer List pour bannir les blocs
    IP des « hijacked zombie » connus ;
 - toutes les interfaces additionnelles peuvent être configurées comme des
    pare-feux (non vérifiés) ou vérifiés (pas pare-feux) ;
 - vérification intelligente des routes pour éviter les erreurs de
    configuration embarrassantes ;
 - les interfaces additionnelles peuvent avoir leur propre politique de
    pare-feux ;
 - un blocage des attaques de type UDP fragmenté, «port zero floods»,
    « stuffed routing », « arp poisoning » et davantage ;
 - des configurations types d'options de service  pour définir la priorité
    entre les différents sortes de trafic réseau ;
 - un paramétrage par défaut intelligent au plus proche des configurations
    des serveurs usuels ;
 - une configuration dynamique des résolveurs DNS locaux des serveurs dans le
    parefeu ;
 - un filtrage optionnel des applications de P2P courantes ;
 - un filtrage optionnel de l'espace des IP privées et réservées.

Étiquettes: Administration système: Outil de configuration, Mis en œuvre en: sh, bash, ksh, tcsh et autres interpréteurs de commandes, Interface utilisateur: interface::commandline, network::firewall, Protocole réseau: IP, Rôle: Programme, Champ d'application: scope::utility, security::firewall, But: Configuration

Cette page est uniquement disponible dans les langues suivantes (Comment configurer la langue par défaut du document) :