Linux系统中最实用的十大开源防火墙

如今,开源防火墙可谓数目繁多。本文将涉及十个适合企业需求的最实用的开源防火墙

1. Iptables

Iptables/Netfilter是基于防火墙的最流行的命令行。它是Linux服务器安全的头道防线。许多系统管理员用它来微调服务器。其作用是过滤内核中网络堆栈中的数据包,特性包括:列出数据包过滤规则集的内容;执行速度快,因为它仅检查数据包的头部;管理员可以根据需要,在数据包的过滤规则集中来增加、修改、删除规则;支持借助文件来备份和恢复


2. IPCop 防火墙

IPCop的设计界面非常友好,便于管理。它对于小型企业和本地PC非常实用。管理员可以将一台老PC配置为安全的VPN,使其提供安全的上网环境。此防火墙还可以保留常用的信息,可以为其用户提供更好的Web浏览体验。其彩色编码的Web界面可以使管理员监视CPU、内存、磁盘及网络吞吐量的性能,并支持多种语言,它可以提供非常安全并易实施的升级和附加补丁

该发行版完全独立于IPFire,它也使用颜色编码来代表不同的连接

绿色用于LAN,红色代表互联网,橙色代码DMZ,蓝色带来无线连接。

IPCop是Smoothwall的分支,然后由IPFire团队接手,但该防火墙很少更新,最近的更新是在2015年2月发布。

安装相对简单,但存在通配符问题,有些新手用户可能会感到困惑

不过接手默认选项并不会导致任何问题,除非你有非常特定的网络配置

IPCop的主要优点是安装镜像非常小,约为60MB,并可复制到DVD或者闪存驱动器。

IPCop的网络界面感觉笨重,我们的测试表明这并不只是心理感受,而是它反应很慢

然而,除了Smoothwall提供的实时图表,IPCop还提供有关LAN设置

防火墙本身运行的更多信息,包括当前打开的连接列表。

该防火墙还提供缓存代理,让你可在本地缓存频繁访问的页面。

IPCop作为防火墙是不错的工具,提供了有关网络流量的大量信息

但它可能不是最好看的发行版,它只是完成了它的本分工作。

评价:虽然这个防火墙看起来不太好,但它可有效保护你的网络

3.Shorewall

Shorewall建立在Linux内核中内建的Netfilter之上,并支持IPV6。其特性包括:使用Netfilter的连接跟踪工具进行状态包的过滤,支持多种路由器、防火墙和网关应用,集中化的防火墙管理,带有Webmin控制面板的GUI界面,多ISP支持,支持伪装和端口转发,支持 VPN

4. OPNsense

OPNsense是基于FreeBSD 10.1的易于使用的开源防火墙

显然,该项目的名称来源于“开放”和“意义”,代表“开源有意义”。OPNsense项目开始是作为更成熟防火墙pfSense的分支

该团队声称他们这样做部分是因为pfSense的许可证类型,部分是因为他们相信他们还可创建一个更安全的防火墙。

该防火墙现在仅与原始pfSense项目共享10%的代码。OPNsense提供每周安全更新,并可快速响应威胁

它包含很多高级功能,例如前向缓存代理和入侵检测,它还支持使用OpenVPN。

OPNsense包含非常丰富的GUI,使用Phalcon PHP编写,这非常吸引人

除了比pfSense的界面更好之外,OPNsense被创建部分是因为该团队感觉图形界面不应该有根访问

这可能带来安全问题。该GUI提供简单的搜索栏以及新的系统健康模块,该模块为交互式

当你在分析网络时提供可视化反馈。你还可以CSV格式导出数据以便进一步分析。

该防火墙使用内联入侵防御系统,这是一种强大的深度数据包检测

OPNsense可检测单个数据包或链接,并在必要时阻止它们。OPNsense还提供LibreSSL over OpenSSL。

评价:pfSense项目的优秀的分支,提供大量功能

5. Vuurmuur

Vuurmuur是另一个强大的的Linux防火墙管理器,它可以构建、管理服务器或网络的iptables规则。同时,Vuurmuur易于管理,并且不需要拥有iptables知识就可以使用Vuurmuur。其特性包括:支持IPV6、通信整形、高级监视特性、实时监视连接和带宽使用、可轻松地通过NAT进行配置、拥有反欺诈特性

6. pfSense

pfSense是另一个用于FreeBSD服务器的开源且可靠的防火墙,它建立在状态包过滤这个概念的基础上,并拥有许多仅在高昂的商业防火墙上才具备的特性。 它具有如下特性:易于通过Web界面进行配置和升级,可被部署为一个外围防火墙、DHCP和DNS服务器,可被部署为一个无线访问点和VPN终端,通信整形,及时获得服务器的实时信息,入站和出站的负载均衡

与OPNsense一样,pfSense是基于FreeBSD,专门用作防火墙和路由器。pfSense拥有很多忠实的用户,更新每季度发布一次。这个防火墙发行版可运行在各种硬件中,但目前只支持x86架构。其网站提供方便的硬件指南让你可选兼容的设备

安装过程从命令行完成,但非常简单,你可选择从CD或者USB驱动器启动。

设置助手将在安装过程中要求你分配接口,而不是在启动到web界面后。你可使用自动检测功能来确定哪个网卡

该防火墙有少量内置功能,例如多WAN、动态DNS、硬件故障转移和不同的身份验证方法。与IPFire不同,pfSense具有强制门户功能,所有DNS查询可解析到单个IP地址,例如公共WiFI热点的登录页面。

该发行版界面很简洁,易于使用,但它缺乏非防火墙相关的额外功能。如果你只想要一个简单的防火墙,选择pfSense不会出错,但如果你想要更多功能,你可能想要考虑其他防火墙。

评价:最完整的的防火墙发行版,但它不附带任何非防火墙的附加功能

7. IPFire

IPFire是适用于小型企业、家庭办公等的开源防火墙,它具有很强的模块化和灵活性。IPFire社区还关注安全性,并将IPFire作为一种状态包检测防火墙来开发。其特性包括:可部署为防火墙、代理服务器或VPN网关、内容过滤、内建的入侵检测系统、支持wiki、论坛等、支持虚拟化环境的 KVM、VmWare、Xen等虚拟机管理程序

IPFire是专注于用户友好性和轻松设置的Linux防火墙发行版,它支持很多有用的功能,例如入侵检测。

IPFire采用严格的安全做法,利用SPI(状态数据包检测)防火墙内置到netfilter之上。

IPFire专门针对防火墙和网络新手,并可在几分钟内完成设置。安装过程将允许你把网络配置成不同的安全段,每个段都用颜色标记。绿色段是代表连接到本地有线网络的所有正常客户端的安全区域,红色则表示互联网。

没有流量可从红色移动到其他段,除非你在防火墙中进行了特定配置。默认设置是一台设备有两个网络卡,只有绿色和红色段。但在设置过程中,你还可为无线连接配置蓝色段,以及为DMZ设置橙色。

在设置完成后,你可通过直观的Web界面配置其他选项和附加项。

IPFire的ISO镜像文件只有160MB大小,在刻录到DVD后,它很容易加载到你计算机的内存中并从那里开始运行。或者,你可以下载闪存镜像来安装到路由器,或者甚至ARM设备镜像,例如Raspberry Pi。

IPFire项目正处于“强制门户”众筹融资中,如果你想要向连接到你WiFi网络的人显示登录页面,这是不错的选择。它还可防止恶意设备自动连接。

评价:轻量级易于使用的防火墙,并提供一些超高级功能

8. SmoothWall 和SmoothWall Express

SmoothWall也是一个开源防火墙,它有一个称为WAM(WEB访问管理器)的易于配置的Web界面。自由发行的SmoothWall版本被称为SmoothWall Express。其特性包括:支持LAN、DMZ、无线网络、实时的内容过滤、HTTPS过滤、支持代理服务器、对每个IP、每个接口和访问的通信的统计进行管理,还有备份和恢复功能等

Smoothwall Express可能是最知名的防火墙发行版。

Smoothwall Express的安装是基于文本,但你不需要熟悉Linux控制台,一切都相当直观。你可能更喜欢下载或者打印安装指南以指导你完成设置过程。为了做到这一点,你需要创建一个my.smoothwall配置文件。

它提供三种安装选项:标准、开发者和Express。开发者选项适合那些想要编写Smoothwall项目的人。Express则是精简版,可确保与较旧硬件的最大兼容性。

除非你有这非常特定的网络配置,否则你通常可接受默认选项。

基于web的控制面板简单易懂,Smoothwall Express没有提供很多额外功能,但它允许你设置单独账户来控制主连接,如果你在使用拨号,这特别有用。

Smoothwall Express的优点之一是在运行内部DNS时提供简单性--添加新的主机名只需几秒钟。分配静态IP和启用远程访问也只需要几次鼠标点击即可完成。

我们在测试中注意到的唯一问题是,分配静态DHCP租用分配需要你点击添加,然后单击保存,这并不是特别明显,但你必须执行第二个步骤。

评价:这是一款易于使用的强大的防火墙,但它缺乏一些较高级的功能。

9. Endian

Endian是另一个基于状态包检测概念的防火墙,管理员可以将它部署为路由器、代理服务器和网关VPN,它由IPCop防火墙发展而来,具备如下特性:双向防火墙、Snort入侵防御、可通过HTTP和FTP代理服务器、反病毒和URL黑名单来保障Web服务器的安全、IPSec支持的VPN、实时的网络通信日志

10.ConfigServer Security Firewall

这是一个跨平台的多用途防火墙,也是基于状态包检测的概念。它几乎支持所有的虚拟化环境,如Virtuozzo、OpenVZ、 Vmware、XEN、KVM、 Virtualbox等。其特性包括:登录失效守护进程可以检查敏感服务器的登录失败,如它可以检查ssh、SMTP、Exim、Imap、Pure & ProFTP、vsftpd、Subosin及mod_security的失败;它可以配置电子邮件的警告,告知是否发生了异常,或检测服务器上的任何种类的入侵;它可以轻松地与流行的web主机控制面板(cPanel、DirectAdmin、Webmin)相集成;通过电子邮件警告过度使用资源的用户和可疑的进程;高级入侵检测系统;借助Syn Flood和死亡之ping来保护linux服务器;可以检查漏洞利用等

最终总结

在很大程度上,选择合适的防火墙主要取决于你的具体需求,但无论怎样,你都应该部署防火墙保护,毕竟现在互联网充斥着各种危险。这就是说,除了基本保护,防火墙最好可提供一些额外的功能以加强保护。

对于我们来说,如果某个技术无法完全发挥其作用则是一种浪费。这就是我们为什么更喜欢虚拟化的原因,防火墙可作为虚拟服务器运行。

虽然ClearOS仍然是最强大的防火墙,但其虚拟化并不像其他防火墙(例如IPFire)那么容易。并且,IPFire可通过其自己的附加服务Pakfire实现简单的自定义,这意味它在这方面胜过ClearOS。

然而,Smoothwall Express也很不错,它是唯一在安装后继续运行而没有很多提示和干扰的防火墙。


时间: 2024-11-07 00:14:57

Linux系统中最实用的十大开源防火墙的相关文章

Linux系统中的硬件问题如何排查?(3)

Linux系统中的硬件问题如何排查?(3) 2013-03-27 10:32 核子可乐译 51CTO.com 字号:T | T 在Linux系统中,对于硬件故障问题的排查可能是计算机管理领域最棘手的工作,即使是经验相当丰富的用户有时也会遇上自己搞不定的状况,本文分享一些实用的技巧与处理方法,希望有助于读者朋友理解.查明并最终搞定硬件难题. AD:2014WOT全球软件技术峰会北京站 课程视频发布 Dmesg命令 另外一些颇具价值的信息被保存在内核缓冲区日志当中,我们通常可以利用dmesg命令来调

LINUX系统中动态链接库的创建与使用{补充}

大家都知道,在WINDOWS系统中有很多的动态链接库(以.DLL为后缀的文件,DLL即Dynamic Link Library).这种动态链接库,和静态函数库不同,它里面的函数并不是执行程序本身的一部分,而是根据执行程序需要按需装入,同时其执行代码可在多个执行程序间共享,节省了空间,提高了效率,具备很高的灵活性,得到越来越多程序员和用户的青睐.那么,在LINUX系统中有无这样的函数库呢? 答案是肯定的,LINUX的动态链接库不仅有,而且为数不少.在/lib目录下,就有许多以.so作后缀的文件,这

学习Linux系统中命令的简单方法

如果说如何快速学习.了解Linux的话,我的答案是学命令.背命令!为何呢?对于一名新手来说,去学习Linux的思想.了解Linux的架构.明白Linux中"一切皆文件"概念虽然说是没有错,是对的.但是个人认为去学习这些"高大上"的东西不是一时半会的事儿,它需要一定的时间和经验去沉淀才能掌握.那么如何最快速了解Linux并使用呢?我依然觉得学命令.背命令,掌握命令是比较笨但却是比较快的方式. 我开始学习Linux的时候,问了前辈:我入门Linux需要掌握哪些命令呢?前

Linux系统中“动态库”和“静态库”那点事儿 /etc/ld.so.conf 动态库的后缀为*.so 静态库的后缀为 libxxx.a ldconfig 目录名

Linux系统中“动态库”和“静态库”那点事儿 /etc/ld.so.conf  动态库的后缀为*.so  静态库的后缀为 libxxx.a   ldconfig   目录名 转载自:http://blog.chinaunix.net/uid-23069658-id-3142046.html 今天我们主要来说说Linux系统下基于动态库(.so)和静态(.a)的程序那些猫腻.在这之前,我们需要了解一下源代码到可执行程序之间到底发生了什么神奇而美妙的事情. 在Linux操作系统中,普遍使用ELF格

LINUX系统中动态链接库的创建与使用

大家都知道,在WINDOWS系统中有很多的动态链接库(以.DLL为后缀的文件,DLL即Dynamic Link Library).这种动态链接库,和静态函数库不同,它里面的函数并不是执行程序本身的一部分,而是根据执行程序需要按需装入,同时其执行代码可在多个执行程序间共享,节省了空间,提高了效率,具备很高的灵活性,得到越来越多程序员和用户的青睐.那么,在LINUX系统中有无这样的函数库呢? 答案是肯定的,LINUX的动态链接库不仅有,而且为数不少.在/lib目录下,就有许多以.so作后缀的文件,这

Linux系统中的硬件问题如何排查?(5)

Linux系统中的硬件问题如何排查?(5) 2013-03-27 10:32 核子可乐译 51CTO.com 字号:T | T 在Linux系统中,对于硬件故障问题的排查可能是计算机管理领域最棘手的工作,即使是经验相当丰富的用户有时也会遇上自己搞不定的状况,本文分享一些实用的技巧与处理方法,希望有助于读者朋友理解.查明并最终搞定硬件难题. AD:2014WOT全球软件技术峰会北京站 课程视频发布 实例汇总 有了前面提到的知识基础,现在我们该处理一些实例,在操作中学习并理解.当前我怀疑自己的英伟达

Linux系统中的硬件问题如何排查?(2)

Linux系统中的硬件问题如何排查?(2) 2013-03-27 10:32 核子可乐译 51CTO.com 字号:T | T 在Linux系统中,对于硬件故障问题的排查可能是计算机管理领域最棘手的工作,即使是经验相当丰富的用户有时也会遇上自己搞不定的状况,本文分享一些实用的技巧与处理方法,希望有助于读者朋友理解.查明并最终搞定硬件难题. AD:2014WOT全球软件技术峰会北京站 课程视频发布 硬件分析 由于在追踪硬件问题.尝试加以解决方面存在数以百计的处理方案,因此在实际操作中感到迷茫或是淹

Linux系统中的硬件问题如何排查?(4)

Linux系统中的硬件问题如何排查?(4) 2013-03-27 10:32 核子可乐译 51CTO.com 字号:T | T 在Linux系统中,对于硬件故障问题的排查可能是计算机管理领域最棘手的工作,即使是经验相当丰富的用户有时也会遇上自己搞不定的状况,本文分享一些实用的技巧与处理方法,希望有助于读者朋友理解.查明并最终搞定硬件难题. AD:2014WOT全球软件技术峰会北京站 课程视频发布 Lspci命令 要想对所有接入的硬件组件及其对应驱动程序进行扫描,这里还有一种更简单的方法.系统命令

Linux系统中“动态库”和“静态库”那点事儿【转】

转自:http://blog.chinaunix.net/uid-23069658-id-3142046.html 今天我们主要来说说Linux系统下基于动态库(.so)和静态(.a)的程序那些猫腻.在这之前,我们需要了解一下源代码到可执行程序之间到底发生了什么神奇而美妙的事情. 在Linux操作系统中,普遍使用ELF格式作为可执行程序或者程序生成过程中的中间格式.ELF(Executable and Linking Format,可执行连接格式)是UNIX系统实验室(USL)作为应用程序二进制