Изучая различия между Advanced Firewall Policy (APF) и системой обнаружения грубой силы (BFD) и Fail2Ban, я не смог найти многого. Они используют разные методы, в то же время оба решения, по сути, делают одно и то же - они анализируют файлы журналов и на основе заранее определенных шаблонов блокируют вредоносные IP-адреса через iptables.
Тем не менее, существует множество руководств, в которых объясняется, как установить APF и Fail2Ban в одних и тех же системах, чтобы они не перекрывали записи друг друга в iptables. И вот я запутался: зачем устанавливать два межсетевых экрана, которые делают одно и то же? Или я что-то упускаю? Они дополняют друг друга? Кто-нибудь из них делает что-то, чего не делает другое решение?
Они могут дополнять друг друга, проверяя разные нарушения. Пока Fail2ban и Обнаружение грубой силы (BFD), по сути, имеет ту же цель, APF делает все остальное.
Брандмауэр с расширенной политикой (APF) контролирует содержимое подключений, а не файлы журнала. Политики с отслеживанием состояния на основе соединений проверяет соответствие пакетов протоколу подключения и политика, основанная на здравомыслии отбрасывает как известные шаблоны атак, так и искаженные пакеты, потенциально используемые для атак.
Fail2ban сканирует файлы журналов (например,
/var/log/apache/error_log) и блокирует IP-адреса, которые показывают вредоносные признаки - слишком много сбоев пароля, поиск эксплойтов и т. д. Обычно Fail2Ban затем используется для обновления правил брандмауэра, чтобы отклонить IP-адреса в течение определенного периода времени,