Firezone, một tùy chọn tuyệt vời để tạo VPN dựa trên WireGuard

Nếu bạn muốn tạo một máy chủ VPN, hãy để tôi nói với bạn rằng có một lựa chọn tuyệt vời mà từ đó bạn có thể hỗ trợ bản thân để đạt được sứ mệnh của mình và đó là dự án Firezone đang phát triển một máy chủ VPN pĐể tổ chức quyền truy cập vào các máy chủ trên một mạng nội bộ được cách ly với các thiết bị của người dùng nằm trên các mạng bên ngoài.

Dự án nhằm đạt được mức độ bảo mật cao và đơn giản hóa quy trình triển khai VPN.

Giới thiệu về Firezone

Dự án đang được phát triển bởi Kỹ sư tự động hóa bảo mật của Cisco, người đã cố gắng tạo ra một giải pháp tự động hóa hoạt động với cấu hình máy chủ lưu trữ và loại bỏ những rắc rối mà họ phải đối mặt khi tổ chức truy cập an toàn vào VPC trên đám mây.

Khu lửa hoạt động như một giao diện cho cả mô-đun hạt nhân WireGuard đối với netfilter của hệ thống con hạt nhân. Tạo giao diện WireGuard (được gọi là wg-firezone theo mặc định) và bảng netfilter và thêm các tuyến thích hợp vào bảng định tuyến. Các chương trình khác sửa đổi bảng định tuyến Linux hoặc tường lửa netfilter có thể cản trở hoạt động của Firezone.

Firezone có thể được coi là một đối tác mã nguồn mở với Máy chủ truy cập OpenVPN, được xây dựng trên WireGuard thay vì OpenVPN.

WireGuard được sử dụng để tổ chức các kênh liên lạc trong Firezone. Firezone cũng có chức năng tường lửa tích hợp sử dụng nftable.

Ở dạng hiện tại, tường lửa bị giới hạn bằng cách chặn lưu lượng ra ngoài đến các máy chủ hoặc mạng con cụ thể Trong các mạng nội bộ hoặc bên ngoài, điều này là do Firezone là phần mềm beta, hiện tại việc sử dụng nó chỉ được khuyến nghị bằng cách hạn chế quyền truy cập của mạng vào giao diện người dùng web để tránh lộ nó ra Internet công cộng.

Firezone yêu cầu chứng chỉ SSL hợp lệ và bản ghi DNS phù hợp để chạy trong quá trình sản xuất. Bản ghi này có thể được tạo và quản lý bằng công cụ Let's Encrypt để tạo chứng chỉ SSL miễn phí.

Về phía quản trị, nó được đề cập rằng điều này được thực hiện thông qua giao diện web hoặc ở chế độ dòng lệnh bằng tiện ích firezone-ctl. Giao diện web được xây dựng trên nền tảng của Admin One Bulma.

Hiện nay, tất cả các thành phần Firezone chạy trên cùng một máy chủ, Nhưng ban đầu dự án được phát triển dựa trên mô-đun, và trong tương lai, dự án sẽ bổ sung thêm khả năng phân phối các thành phần cho giao diện web, VPN và tường lửa trên các máy chủ khác nhau.

Các kế hoạch cũng đề cập đến việc tích hợp trình chặn quảng cáo dựa trên DNS, hỗ trợ danh sách khối máy chủ và mạng con, khả năng xác thực qua LDAP / SSO và khả năng quản lý người dùng bổ sung.

Trong số các tính năng được đề cập của Firezone:

  • Nhanh chóng: sử dụng WireGuard để nhanh hơn 3-4 lần so với OpenVPN.
  • Không có phụ thuộc: tất cả các phụ thuộc được nhóm lại nhờ Chef Omnibus.
  • Đơn giản: mất vài phút để thiết lập. Quản lý thông qua một API CLI đơn giản.
  • An toàn: hoạt động mà không có đặc quyền. Đã áp dụng HTTPS.
  • Cookie được mã hóa.
  • Tường lửa bao gồm - Sử dụng Linux nftables để chặn lưu lượng gửi đi không mong muốn.

Để cài đặt, các gói rpm và deb được cung cấp cho các phiên bản khác nhau của CentOS, Fedora, Ubuntu và Debian, mà việc cài đặt không yêu cầu phụ thuộc bên ngoài, vì tất cả các phụ thuộc cần thiết đã được bao gồm bằng cách sử dụng bộ công cụ Chef Omnibus.

Làm việc, bạn chỉ cần bản phân phối Linux có nhân Linux không sớm hơn 4.19 và mô-đun nhân được biên dịch bằng WireGuard VPN. Theo tác giả, việc khởi động và cấu hình một máy chủ VPN có thể được thực hiện chỉ trong vài phút. Các thành phần của giao diện web chạy dưới quyền người dùng không có đặc quyền và chỉ có thể truy cập qua HTTPS.

Firezone bao gồm một gói Linux có thể phân phối duy nhất mà bạn có thể cài đặt và quản lý. Mã dự án được viết bằng Elixir và Ruby, và được phân phối theo giấy phép Apache 2.0.

Cuối cùng nếu bạn muốn biết thêm về nó hoặc bạn muốn làm theo hướng dẫn cài đặt, bạn có thể làm điều đó từ liên kết sau.


Nội dung bài viết tuân thủ các nguyên tắc của chúng tôi về đạo đức biên tập. Để báo lỗi, hãy nhấp vào đây.

Hãy là người đầu tiên nhận xét

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.