Firezone 项目正在开发一个 VPN 服务器,用于组织外部网络上的用户设备对内部隔离网络中的主机的访问。 该项目旨在实现高水平的保护并简化 VPN 部署过程。 该项目代码是用 Elixir 和 Ruby 编写的,并在 Apache 2.0 许可证下分发。
该项目由思科的一名安全自动化工程师开发,他试图创建一种解决方案,使主机配置工作自动化,并消除在组织对云 VPC 的安全访问时必须遇到的问题。 Firezone 可以被认为是 OpenVPN Access Server 的开源版本,构建在 WireGuard 而不是 OpenVPN 之上。
对于安装,为不同版本的 CentOS、Fedora、Ubuntu 和 Debian 提供了 rpm 和 deb 软件包,其安装不需要外部依赖项,因为所有必需的依赖项已使用 Chef Omnibus 工具包包含在内。 要工作,您只需要一个 Linux 内核不早于 4.19 的发行套件和一个带有 VPN WireGuard 的组装内核模块。 据作者介绍,启动和设置 VPN 服务器只需几分钟即可完成。 Web 界面组件在非特权用户下运行,并且只能通过 HTTPS 进行访问。
为了在 Firezone 中组织通信通道,使用了 WireGuard。 Firezone 还具有使用 nftables 的内置防火墙功能。 在目前的形式中,防火墙仅限于阻止发往内部或外部网络上的特定主机或子网的传出流量。 管理是通过 Web 界面或使用 firezone-ctl 实用程序在命令行模式下进行的。 Web 界面基于 Admin One Bulma。
目前,所有 Firezone 组件都在一台服务器上运行,但该项目最初的开发着眼于模块化,未来计划增加在不同主机之间分发 Web 界面、VPN 和防火墙组件的功能。 计划还包括 DNS 级广告拦截器集成、对主机和子网阻止列表的支持、LDAP/SSO 身份验证功能以及其他用户管理功能。
来源: opennet.ru