Linux系統(tǒng)中最實用的十大開源防火墻

如今，開源防火墻可謂數(shù)目繁多。本文將涉及十個適合企業(yè)需求的最實用的開源防火墻

1. Iptables

Iptables/Netfilter是基于防火墻的最流行的命令行。它是Linux服務器安全的頭道防線。許多系統(tǒng)管理員用它來微調(diào)服務器。其作用是過濾內(nèi)核中網(wǎng)絡堆棧中的數(shù)據(jù)包，特性包括：列出數(shù)據(jù)包過濾規(guī)則集的內(nèi)容;執(zhí)行速度快，因為它僅檢查數(shù)據(jù)包的頭部;管理員可以根據(jù)需要，在數(shù)據(jù)包的過濾規(guī)則集中來增加、修改、刪除規(guī)則;支持借助文件來備份和恢復

2. IPCop 防火墻

IPCop的設計界面非常友好，便于管理。它對于小型企業(yè)和本地PC非常實用。管理員可以將一臺老PC配置為安全的×××，使其提供安全的上網(wǎng)環(huán)境。此防火墻還可以保留常用的信息，可以為其用戶提供更好的Web瀏覽體驗。其彩色編碼的Web界面可以使管理員監(jiān)視CPU、內(nèi)存、磁盤及網(wǎng)絡吞吐量的性能，并支持多種語言，它可以提供非常安全并易實施的升級和附加補丁

該發(fā)行版完全獨立于IPFire，它也使用顏色編碼來代表不同的連接

綠色用于LAN，紅色代表互聯(lián)網(wǎng)，橙色代碼DMZ，藍色帶來無線連接。

IPCop是Smoothwall的分支，然后由IPFire團隊接手，但該防火墻很少更新，最近的更新是在2015年2月發(fā)布。

安裝相對簡單，但存在通配符問題，有些新手用戶可能會感到困惑

不過接手默認選項并不會導致任何問題，除非你有非常特定的網(wǎng)絡配置

IPCop的主要優(yōu)點是安裝鏡像非常小，約為60MB，并可復制到DVD或者閃存驅(qū)動器。

IPCop的網(wǎng)絡界面感覺笨重，我們的測試表明這并不只是心理感受，而是它反應很慢

然而，除了Smoothwall提供的實時圖表，IPCop還提供有關(guān)LAN設置

防火墻本身運行的更多信息，包括當前打開的連接列表。

該防火墻還提供緩存代理，讓你可在本地緩存頻繁訪問的頁面。

IPCop作為防火墻是不錯的工具，提供了有關(guān)網(wǎng)絡流量的大量信息

但它可能不是最好看的發(fā)行版，它只是完成了它的本分工作。

評價：雖然這個防火墻看起來不太好，但它可有效保護你的網(wǎng)絡

3.Shorewall

Shorewall建立在Linux內(nèi)核中內(nèi)建的Netfilter之上，并支持IPV6。其特性包括：使用Netfilter的連接跟蹤工具進行狀態(tài)包的過濾，支持多種路由器、防火墻和網(wǎng)關(guān)應用，集中化的防火墻管理，帶有Webmin控制面板的GUI界面，多ISP支持，支持偽裝和端口轉(zhuǎn)發(fā)，支持 ×××

4. OPNsense

OPNsense是基于FreeBSD 10.1的易于使用的開源防火墻

顯然，該項目的名稱來源于“開放”和“意義”，代表“開源有意義”。OPNsense項目開始是作為更成熟防火墻pfSense的分支

該團隊聲稱他們這樣做部分是因為pfSense的許可證類型，部分是因為他們相信他們還可創(chuàng)建一個更安全的防火墻。

該防火墻現(xiàn)在僅與原始pfSense項目共享10%的代碼。OPNsense提供每周安全更新，并可快速響應威脅

它包含很多高級功能，例如前向緩存代理和***檢測，它還支持使用Open×××。

OPNsense包含非常豐富的GUI，使用Phalcon PHP編寫，這非常吸引人

除了比pfSense的界面更好之外，OPNsense被創(chuàng)建部分是因為該團隊感覺圖形界面不應該有根訪問

這可能帶來安全問題。該GUI提供簡單的搜索欄以及新的系統(tǒng)健康模塊，該模塊為交互式

當你在分析網(wǎng)絡時提供可視化反饋。你還可以CSV格式導出數(shù)據(jù)以便進一步分析。

該防火墻使用內(nèi)聯(lián)***防御系統(tǒng)，這是一種強大的深度數(shù)據(jù)包檢測

OPNsense可檢測單個數(shù)據(jù)包或鏈接，并在必要時阻止它們。OPNsense還提供LibreSSL over OpenSSL。

評價：pfSense項目的優(yōu)秀的分支，提供大量功能

5. Vuurmuur

Vuurmuur是另一個強大的的Linux防火墻管理器，它可以構(gòu)建、管理服務器或網(wǎng)絡的iptables規(guī)則。同時，Vuurmuur易于管理，并且不需要擁有iptables知識就可以使用Vuurmuur。其特性包括：支持IPV6、通信×××、高級監(jiān)視特性、實時監(jiān)視連接和帶寬使用、可輕松地通過NAT進行配置、擁有反欺詐特性

6. pfSense

pfSense是另一個用于FreeBSD服務器的開源且可靠的防火墻，它建立在狀態(tài)包過濾這個概念的基礎上，并擁有許多僅在高昂的商業(yè)防火墻上才具備的特性。 它具有如下特性：易于通過Web界面進行配置和升級，可被部署為一個外圍防火墻、DHCP和DNS服務器，可被部署為一個無線訪問點和×××終端，通信×××，及時獲得服務器的實時信息，入站和出站的負載均衡

與OPNsense一樣，pfSense是基于FreeBSD，專門用作防火墻和路由器。pfSense擁有很多忠實的用戶，更新每季度發(fā)布一次。這個防火墻發(fā)行版可運行在各種硬件中，但目前只支持x86架構(gòu)。其網(wǎng)站提供方便的硬件指南讓你可選兼容的設備

安裝過程從命令行完成，但非常簡單，你可選擇從CD或者USB驅(qū)動器啟動。

設置助手將在安裝過程中要求你分配接口，而不是在啟動到web界面后。你可使用自動檢測功能來確定哪個網(wǎng)卡。

該防火墻有少量內(nèi)置功能，例如多WAN、動態(tài)DNS、硬件故障轉(zhuǎn)移和不同的身份驗證方法。與IPFire不同，pfSense具有強制門戶功能，所有DNS查詢可解析到單個IP地址，例如公共WiFI熱點的登錄頁面。

該發(fā)行版界面很簡潔，易于使用，但它缺乏非防火墻相關(guān)的額外功能。如果你只想要一個簡單的防火墻，選擇pfSense不會出錯，但如果你想要更多功能，你可能想要考慮其他防火墻。

評價：最完整的的防火墻發(fā)行版，但它不附帶任何非防火墻的附加功能

7. IPFire

IPFire是適用于小型企業(yè)、家庭辦公等的開源防火墻，它具有很強的模塊化和靈活性。IPFire社區(qū)還關(guān)注安全性，并將IPFire作為一種狀態(tài)包檢測防火墻來開發(fā)。其特性包括：可部署為防火墻、代理服務器或×××網(wǎng)關(guān)、內(nèi)容過濾、內(nèi)建的***檢測系統(tǒng)、支持wiki、論壇等、支持虛擬化環(huán)境的 KVM、VmWare、Xen等虛擬機管理程序

IPFire是專注于用戶友好性和輕松設置的Linux防火墻發(fā)行版，它支持很多有用的功能，例如***檢測。

IPFire采用嚴格的安全做法，利用SPI(狀態(tài)數(shù)據(jù)包檢測)防火墻內(nèi)置到netfilter之上。

IPFire專門針對防火墻和網(wǎng)絡新手，并可在幾分鐘內(nèi)完成設置。安裝過程將允許你把網(wǎng)絡配置成不同的安全段，每個段都用顏色標記。綠色段是代表連接到本地有線網(wǎng)絡的所有正常客戶端的安全區(qū)域，紅色則表示互聯(lián)網(wǎng)。

沒有流量可從紅色移動到其他段，除非你在防火墻中進行了特定配置。默認設置是一臺設備有兩個網(wǎng)絡卡，只有綠色和紅色段。但在設置過程中，你還可為無線連接配置藍色段，以及為DMZ設置橙色。

在設置完成后，你可通過直觀的Web界面配置其他選項和附加項。

IPFire的ISO鏡像文件只有160MB大小，在刻錄到DVD后，它很容易加載到你計算機的內(nèi)存中并從那里開始運行?；蛘?，你可以下載閃存鏡像來安裝到路由器，或者甚至ARM設備鏡像，例如Raspberry Pi。

IPFire項目正處于“強制門戶”眾籌融資中，如果你想要向連接到你WiFi網(wǎng)絡的人顯示登錄頁面，這是不錯的選擇。它還可防止惡意設備自動連接。

評價：輕量級易于使用的防火墻，并提供一些超高級功能

8. SmoothWall 和SmoothWall Express

SmoothWall也是一個開源防火墻，它有一個稱為WAM(WEB訪問管理器)的易于配置的Web界面。自由發(fā)行的SmoothWall版本被稱為SmoothWall Express。其特性包括：支持LAN、DMZ、無線網(wǎng)絡、實時的內(nèi)容過濾、HTTPS過濾、支持代理服務器、對每個IP、每個接口和訪問的通信的統(tǒng)計進行管理，還有備份和恢復功能等

Smoothwall Express可能是最知名的防火墻發(fā)行版。

Smoothwall Express的安裝是基于文本，但你不需要熟悉Linux控制臺，一切都相當直觀。你可能更喜歡下載或者打印安裝指南以指導你完成設置過程。為了做到這一點，你需要創(chuàng)建一個my.smoothwall配置文件。

它提供三種安裝選項：標準、開發(fā)者和Express。開發(fā)者選項適合那些想要編寫Smoothwall項目的人。Express則是精簡版，可確保與較舊硬件的最大兼容性。

除非你有這非常特定的網(wǎng)絡配置，否則你通?？山邮苣J選項。

基于web的控制面板簡單易懂，Smoothwall Express沒有提供很多額外功能，但它允許你設置單獨賬戶來控制主連接，如果你在使用撥號，這特別有用。

Smoothwall Express的優(yōu)點之一是在運行內(nèi)部DNS時提供簡單性--添加新的主機名只需幾秒鐘。分配靜態(tài)IP和啟用遠程訪問也只需要幾次鼠標點擊即可完成。

我們在測試中注意到的唯一問題是，分配靜態(tài)DHCP租用分配需要你點擊添加，然后單擊保存，這并不是特別明顯，但你必須執(zhí)行第二個步驟。

評價：這是一款易于使用的強大的防火墻，但它缺乏一些較高級的功能。

9. Endian

Endian是另一個基于狀態(tài)包檢測概念的防火墻，管理員可以將它部署為路由器、代理服務器和網(wǎng)關(guān)×××，它由IPCop防火墻發(fā)展而來，具備如下特性：雙向防火墻、Snort***防御、可通過HTTP和FTP代理服務器、反病毒和URL黑名單來保障Web服務器的安全、IPSec支持的×××、實時的網(wǎng)絡通信日志

10.ConfigServer Security Firewall

這是一個跨平臺的多用途防火墻，也是基于狀態(tài)包檢測的概念。它幾乎支持所有的虛擬化環(huán)境，如Virtuozzo、OpenVZ、 Vmware、XEN、KVM、 Virtualbox等。其特性包括：登錄失效守護進程可以檢查敏感服務器的登錄失敗，如它可以檢查ssh、SMTP、Exim、Imap、Pure & ProFTP、vsftpd、Subosin及mod_security的失敗;它可以配置電子郵件的警告，告知是否發(fā)生了異常，或檢測服務器上的任何種類的***;它可以輕松地與流行的web主機控制面板(cPanel、DirectAdmin、Webmin)相集成;通過電子郵件警告過度使用資源的用戶和可疑的進程;高級***檢測系統(tǒng);借助Syn Flood和死亡之ping來保護linux服務器;可以檢查漏洞利用等

最終總結(jié)

在很大程度上，選擇合適的防火墻主要取決于你的具體需求，但無論怎樣，你都應該部署防火墻保護，畢竟現(xiàn)在互聯(lián)網(wǎng)充斥著各種危險。這就是說，除了基本保護，防火墻最好可提供一些額外的功能以加強保護。

對于我們來說，如果某個技術(shù)無法完全發(fā)揮其作用則是一種浪費。這就是我們?yōu)槭裁锤矚g虛擬化的原因，防火墻可作為虛擬服務器運行。

雖然ClearOS仍然是最強大的防火墻，但其虛擬化并不像其他防火墻(例如IPFire)那么容易。并且，IPFire可通過其自己的附加服務Pakfire實現(xiàn)簡單的自定義，這意味它在這方面勝過ClearOS。

然而，Smoothwall Express也很不錯，它是唯一在安裝后繼續(xù)運行而沒有很多提示和干擾的防火墻。