Firezone 專案正在開發一個 VPN 伺服器,用於組織外部網路上的使用者裝置對內部隔離網路中的主機的存取。 該專案旨在實現高水準的保護並簡化 VPN 部署流程。 這個專案程式碼是用 Elixir 和 Ruby 編寫的,並在 Apache 2.0 許可證下分發。
該專案由思科的安全自動化工程師開發,他試圖創建一種解決方案,使主機配置工作自動化,並消除在組織對雲端 VPC 的安全存取時必須遇到的問題。 Firezone 可以被認為是 OpenVPN Access Server 的開源版本,建構在 WireGuard 而不是 OpenVPN 之上。
對於安裝,為不同版本的 CentOS、Fedora、Ubuntu 和 Debian 提供了 rpm 和 deb 軟體包,其安裝不需要外部依賴項,因為使用 Chef Omnibus 工具包已包含所有必需的依賴項。 要工作,您只需要一個 Linux 核心不早於 4.19 的發行套件和一個帶有 VPN WireGuard 的組裝核心模組。 根據作者介紹,啟動和設定 VPN 伺服器只需幾分鐘即可完成。 Web 介面元件在非特權使用者下運行,並且只能透過 HTTPS 進行存取。
為了在 Firezone 中組織通訊通道,使用了 WireGuard。 Firezone 還具有使用 nftables 的內建防火牆功能。 在目前的形式中,防火牆僅限於阻止發送到內部或外部網路上的特定主機或子網路的傳出流量。 管理是透過 Web 介面或使用 firezone-ctl 實用程式在命令列模式下進行的。 Web 介面基於 Admin One Bulma。
目前,所有 Firezone 元件都在一台伺服器上運行,但該專案最初的開發著眼於模組化,未來計劃增加跨不同主機分發 Web 介面、VPN 和防火牆組件的功能。 計畫還包括 DNS 級廣告攔截器整合、主機和子網路封鎖清單的支援、LDAP/SSO 驗證功能以及其他使用者管理功能。
來源: opennet.ru