众所周知, 防火墙是企业安全的一个重要方面, 如今大多数路由器都内置了一个, 虽然有用但难于配置. 但不少开源操作系统的 Linux 的发行版, 可专门用作防火墙. 通常具有比路由器上更高级的功能, 并且可以让你更好地控制个人或企业网络的安全.
本文将介绍六种最流行的免费防火墙发行版. 在考虑这些产品及其相对优点时, 我会强调功能和易用性. 这些发行版可以安装到物理的计算机, 也可以只有一台设备, 从虚拟机运行. 大多数发行版都可以作为 ISO 文件下载. 你可以使用 UNetbootin 等程序将它们复制到 USB 并启动.
ClearOS
ClearOS 易于使用, 针对用户友好的扩展, 以满足你的需求. ClearOS 是简洁的防火墙发行版. 由于大多数防火墙发行版有墨守成规的极客编写, 所以 ClearOS 的变化令人耳目一新. 对于更高级的用户, ClearOS 从命令行运行会非常顺手.
安装简单, 大约需要 10 分钟完成. 可以选择以公共服务器或网关模式启动, 具体取决于希望如何使用 ClearOS. 完成后, 重新启动, 你将获得远程访问和管理新防火墙所需的所有信息. 一切都很简单.
完成设置并访问基于 web 的管理系统后, 不需要花费很长时间熟悉 ClearOS 的各种设置和功能, 因为一旦你登录 Web 界面, 发行版就会提供 "入门" 帮助. 与其他配置一样, 设置防火墙规则快速而轻松.
ClearOS 最相关的功能是它的可用性, 但这个发行版不仅仅有平滑的外观, 它还包含许多功能. 它不仅为你提供了一种简单, 干净的方式来管理防火墙, 而且还可以为你的网络添加额外的服务.
总的来说, ClearOS 是一个强大的发行版. 由于它既有免费的 "社区" 版本, 也有付费的 "专业" 版本, 非常适合小型企业.
IPCop
该发行版虽然与 IPFire 完全分开, 但使用类似于后者的有用的颜色方案, 以表示不同的连接. 绿色用于 LAN, 红色用于互联网, 橙色用于 DMZ, 蓝色用于无线客户端.
IPCop 最初是 Smoothwall 的一个分支, 但 IPCop 的更新很少. 最新版本 (2.1.9) 于 2015 年 2 月发布.
安装相对简单, 但有一些通配符问题. 虽然这些可能会困扰新手用户, 但接受默认选项不会导致任何问题, 除非你有非常特定的网络配置. IPCop 的主要优点之一是安装镜像非常小(约 60MB), 可以复制到 USB 上.
IPCop 的网络界面感觉很笨, 但看个人感觉吧. 除了 Smoothwall 提供的 "实时" 图表之外, IPCop 还提供了有关 LAN 设置以及防火墙本身运行的更多信息, 包括当前打开的连接列表.
防火墙还提供 "缓存代理", 以便你可以在本地缓存经常访问的页面. IPCop 作为防火墙做得很好, 提供了大量有关网络流量的信息, 虽然它可能不是世界上最漂亮的发行版, 但它可以做到它的设计目的.
OPNsense
OPNsense 是一款易于使用的基于 FreeBSD 10.1 的开源防火墙, 可确保长期支持. OPNsense 项目于 2015 年 1 月开始作为更成熟的防火墙 pfSense 的分支. 该团队声称他们分支项目的原因部分是由于当时使用的许可证类型, 部分是因为他们相信他们可以创建一个更安全的防火墙.
防火墙现在只与原始 pfSense 项目共享大约 10% 的代码. 另请注意, 在 Reddit 上, pfSense diehards 和 OPNsense 支持者之间的分歧引起了很多争议.
OPNsense 提供每周安全更新, 因此可以快速响应威胁. 它包含许多高级功能, 你通常只能在商业防火墙中找到它们, 例如正向缓存代理和入侵检测. 它还支持使用 OpenVPN.
OPNsense 采用了 Phalcon PHP 编写的非常丰富的 GUI, 非常适合使用. 除了比 pfSense 的界面更具吸引力之外, OPNsense 的创建部分是由于团队认为图形界面不应具有 root 访问权限, 因为这可能会导致安全问题.
GUI 具有简单的搜索栏以及新的系统健康模块. 此模块是交互式的, 在分析网络时提供可视反馈. 你现在还可以以 CSV 格式导出数据以进行进一步分析.
防火墙使用内联入侵防御系统. 这是一种强大的深度包检测形式, OPNsense 不仅可以阻止 IP 地址或端口, 而且可以检查单个数据包或连接, 并在必要时在它们到达发送方之前将其停止. OPNsense 还通过 OpenSSL 提供 LibreSSL.
IPFire
IPFire 是一个 Linux 防火墙发行版, 专注于用户友好性和轻松设置, 不会影响你的安全性, 支持一些有用的功能, 如入侵检测. IPFire 采用基于 netfilter 构建的 SPI(状态包检测)防火墙, 采取严肃的安全措施.
IPFire 专为不熟悉防火墙和网络的人士而设计, 可在几分钟内完成设置. 安装过程允许你将网络配置为不同的安全段, 每个段都采用颜色编码. 绿色部分是一个安全区域, 代表连接到本地有线网络的所有普通客户端. 红色部分代表互联网.
没有流量可以从红色传递到任何其他段, 除非你在防火墙中专门配置了它. 默认设置适用于具有两个仅具有红色和绿色段的网卡的设备. 但是, 在设置过程中, 还可以为任何公共服务器实现无线连接的蓝色段和称为 DMZ 的橙色段.
设置完成后, 可以通过直观的 Web 界面配置其他选项和附加组件.
IPFire 的 ISO 镜像大小仅为 171MB, 或者, 你可以下载闪存镜像以将其安装到路由器, 甚至可以下载用于 ARM 设备 (如 Raspberry Pi) 的镜像.
pfSense
与 OPNsense 一样, pfSense 基于 FreeBSD, 专门设计用作防火墙和路由器. 正如我们已经提到的, 这两个项目之间的分歧是有争议的, pfSense 仍然有许多忠实的用户. 更新每季度发布一次.
此发行版在一系列硬件上运行, 但目前仅支持 x86 架构. 该网站有一个方便的硬件指南, 允许你选择兼容的设备.
安装是从命令行完成的, 但它非常简单. 可以选择从 CD 或 USB 驱动器启动. 安装助手会要求在安装期间分配接口, 而不是在启动到 Web 界面后分配接口. 可以使用自动检测功能来确定哪个网卡是哪个.
防火墙具有少量内置功能, 例如多 WAN, 动态 DNS, 硬件故障转移和不同的身份验证方法. 与 IPFire 不同, pfSense 已经具有强制门户功能, 可以将所有 DNS 查询解析为单个 IP 地址, 例如公共 Wi-Fi 热点的登录页面.
这个发行版具有干净的界面, 使用起来非常流畅. 再一次, 因为它基于 BSD, 所使用的一些术语令人困惑, 但不需要花费很长时间才能掌握.
pfSense 可能是功能最丰富的防火墙发行版, 但由于缺少与防火墙无关的额外功能而导致发生故障. 如果你刚刚使用简单的防火墙, 那么选择 pfSense 就不会出错, 但如果需要超出该基本功能的任何东西, 可能需要考虑其他发行版之一.
Smoothwall Express
Smoothwall Express 可能是最著名的防火墙发行版. Smoothwall Express 的安装是基于文本的, 但不需要熟悉 Linux 控制台, 这一切都非常简单. 可能更愿意下载或打印出安装指南, 以指导你完成设置过程. 为此, 需要创建一个 my.smoothwall 配置文件.
有三种安装选项: Standard,Developer 和 Express. 开发人员专为那些真正想要编写 Smoothwall 项目编码的人保留. Express 是 Smoothwall 的精简版本, 可确保与旧硬件的最大兼容性.
除非你具有非常特定的网络配置, 否则通常可以接受默认选项. 基于 Web 的控制面板简单易懂. Smoothwall Express 不提供额外功能, 但允许你使用单独的帐户来控制主连接, 这在你使用拨号以及缓存 Web 代理服务时尤其有用.
Smoothwall Express 的一个好处是它在运行内部 DNS 时提供的简单性, 添加新主机名只需几秒钟. 只需点击几下鼠标, 即可完成分配静态 IP 和启用远程访问.
结语
选择正确的防火墙发行版在很大程度上取决于具体要求, 但无论它们是什么, 如果考虑到互联网上存在的大量危险, 防火墙只是常识问题. 也就是说, 除了基本保护之外, 一旦安装了防火墙, 就可以有一些额外的功能来衡量.
如果你正在使用基本的防火墙, 那么这里的所有发行版都会做得很好, 有些表现优于其他发行版. 如果你没有追求太复杂的话, 那么 IPCop 和 Smoothwall Express 是很好的选择. 如果需要商业级解决方案, 可以选择 Smoothwall 的付费版本.
如果想要占用空间小或者在嵌入式设备上运行, pfSense 是不错的选择, 尽管它只能在 x86 架构上运行. 对于其他类型的硬件, 请考虑 IPFire.
来源: http://netsecurity.51cto.com/art/201808/581651.htm