众所周知,防火墙是企业安全的一个重要方面,如今大多数路由器都内置了一个,虽然有用但难于配置。但不少开源操作系统的Linux的发行版,可专门用作防火墙。通常具有比路由器上更高级的功能,并且可以让你更好地控制个人或企业网络的安全。
本文将介绍六种最流行的免费防火墙发行版。在考虑这些产品及其相对优点时,我会强调功能和易用性。这些发行版可以安装到物理的计算机,也可以只有一台设备,从虚拟机运行。大多数发行版都可以作为ISO文件下载。你可以使用UNetbootin等程序将它们复制到USB并启动。
ClearOS
ClearOS易于使用,针对用户友好的扩展,以满足你的需求。ClearOS是简洁的防火墙发行版。由于大多数防火墙发行版有墨守成规的极客编写,所以ClearOS的变化令人耳目一新。对于更高级的用户,ClearOS从命令行运行会非常顺手。
安装简单,大约需要10分钟完成。可以选择以公共服务器或网关模式启动,具体取决于希望如何使用ClearOS。完成后,重新启动,你将获得远程访问和管理新防火墙所需的所有信息。一切都很简单。
完成设置并访问基于Web的管理系统后,不需要花费很长时间熟悉ClearOS的各种设置和功能,因为一旦你登录Web界面,发行版就会提供“入门”帮助。与其他配置一样,设置防火墙规则快速而轻松。
ClearOS最相关的功能是它的可用性,但这个发行版不仅仅有平滑的外观,它还包含许多功能。它不仅为你提供了一种简单,干净的方式来管理防火墙,而且还可以为你的网络添加额外的服务。
总的来说,ClearOS是一个强大的发行版。由于它既有免费的“社区”版本,也有付费的“专业”版本,非常适合小型企业。
IPCop
该发行版虽然与IPFire完全分开,但使用类似于后者的有用的颜色方案,以表示不同的连接。绿色用于LAN,红色用于互联网,橙色用于DMZ,蓝色用于无线客户端。
IPCop最初是Smoothwall的一个分支,但IPCop的更新很少。最新版本(2.1.9)于2015年2月发布。
安装相对简单,但有一些通配符问题。虽然这些可能会困扰新手用户,但接受默认选项不会导致任何问题,除非你有非常特定的网络配置。IPCop的主要优点之一是安装镜像非常小(约60MB),可以复制到USB上。
IPCop的网络界面感觉很笨,但看个人感觉吧。除了Smoothwall提供的“实时”图表之外,IPCop还提供了有关LAN设置以及防火墙本身运行的更多信息,包括当前打开的连接列表。
防火墙还提供“缓存代理”,以便你可以在本地缓存经常访问的页面。IPCop作为防火墙做得很好,提供了大量有关网络流量的信息,虽然它可能不是世界上最漂亮的发行版,但它可以做到它的设计目的。
OPNsense
OPNsense是一款易于使用的基于FreeBSD 10.1的开源防火墙,可确保长期支持。OPNsense项目于2015年1月开始作为更成熟的防火墙pfSense的分支。该团队声称他们分支项目的原因部分是由于当时使用的许可证类型,部分是因为他们相信他们可以创建一个更安全的防火墙。
防火墙现在只与原始pfSense项目共享大约10%的代码。另请注意,在Reddit上,pfSense diehards和OPNsense支持者之间的分歧引起了很多争议。
OPNsense提供每周安全更新,因此可以快速响应威胁。它包含许多高级功能,你通常只能在商业防火墙中找到它们,例如正向缓存代理和入侵检测。它还支持使用OpenVPN。
OPNsense采用了Phalcon PHP编写的非常丰富的GUI,非常适合使用。除了比pfSense的界面更具吸引力之外,OPNsense的创建部分是由于团队认为图形界面不应具有root访问权限,因为这可能会导致安全问题。
GUI具有简单的搜索栏以及新的系统健康模块。此模块是交互式的,在分析网络时提供可视反馈。你现在还可以以CSV格式导出数据以进行进一步分析。
防火墙使用内联入侵防御系统。这是一种强大的深度包检测形式,OPNsense不仅可以阻止IP地址或端口,而且可以检查单个数据包或连接,并在必要时在它们到达发送方之前将其停止。 OPNsense还通过OpenSSL提供LibreSSL。
IPFire
IPFire是一个Linux防火墙发行版,专注于用户友好性和轻松设置,不会影响你的安全性,支持一些有用的功能,如入侵检测。IPFire采用基于netfilter构建的SPI(状态包检测)防火墙,采取严肃的安全措施。
IPFire专为不熟悉防火墙和网络的人士而设计,可在几分钟内完成设置。安装过程允许你将网络配置为不同的安全段,每个段都采用颜色编码。绿色部分是一个安全区域,代表连接到本地有线网络的所有普通客户端。红色部分代表互联网。
没有流量可以从红色传递到任何其他段,除非你在防火墙中专门配置了它。默认设置适用于具有两个仅具有红色和绿色段的网卡的设备。但是,在设置过程中,还可以为任何公共服务器实现无线连接的蓝色段和称为DMZ的橙色段。
设置完成后,可以通过直观的Web界面配置其他选项和附加组件。
IPFire的ISO镜像大小仅为171MB,或者,你可以下载闪存镜像以将其安装到路由器,甚至可以下载用于ARM设备(如Raspberry Pi)的镜像。
pfSense
与OPNsense一样,pfSense基于FreeBSD,专门设计用作防火墙和路由器。正如我们已经提到的,这两个项目之间的分歧是有争议的,pfSense仍然有许多忠实的用户。更新每季度发布一次。
此发行版在一系列硬件上运行,但目前仅支持x86架构。该网站有一个方便的硬件指南,允许你选择兼容的设备。
安装是从命令行完成的,但它非常简单。可以选择从CD或USB驱动器启动。安装助手会要求在安装期间分配接口,而不是在启动到Web界面后分配接口。可以使用自动检测功能来确定哪个网卡是哪个。
防火墙具有少量内置功能,例如多WAN,动态DNS,硬件故障转移和不同的身份验证方法。与IPFire不同,pfSense已经具有强制门户功能,可以将所有DNS查询解析为单个IP地址,例如公共Wi-Fi热点的登录页面。
这个发行版具有干净的界面,使用起来非常流畅。再一次,因为它基于BSD,所使用的一些术语令人困惑,但不需要花费很长时间才能掌握。
pfSense可能是功能最丰富的防火墙发行版,但由于缺少与防火墙无关的额外功能而导致发生故障。如果你刚刚使用简单的防火墙,那么选择pfSense就不会出错,但如果需要超出该基本功能的任何东西,可能需要考虑其他发行版之一。
Smoothwall Express
Smoothwall Express可能是最著名的防火墙发行版。Smoothwall Express的安装是基于文本的,但不需要熟悉Linux控制台,这一切都非常简单。可能更愿意下载或打印出安装指南,以指导你完成设置过程。为此,需要创建一个my.smoothwall配置文件。
有三种安装选项:Standard,Developer和Express。开发人员专为那些真正想要编写Smoothwall项目编码的人保留。Express是Smoothwall的精简版本,可确保与旧硬件的最大兼容性。
除非你具有非常特定的网络配置,否则通常可以接受默认选项。基于Web的控制面板简单易懂。Smoothwall Express不提供额外功能,但允许你使用单独的帐户来控制主连接,这在你使用拨号以及缓存Web代理服务时尤其有用。
Smoothwall Express的一个好处是它在运行内部DNS时提供的简单性,添加新主机名只需几秒钟。只需点击几下鼠标,即可完成分配静态IP和启用远程访问。
结语
选择正确的防火墙发行版在很大程度上取决于具体要求,但无论它们是什么,如果考虑到互联网上存在的大量危险,防火墙只是常识问题。也就是说,除了基本保护之外,一旦安装了防火墙,就可以有一些额外的功能来衡量。
如果你正在使用基本的防火墙,那么这里的所有发行版都会做得很好,有些表现优于其他发行版。如果你没有追求太复杂的话,那么IPCop和Smoothwall Express是很好的选择。如果需要商业级解决方案,可以选择Smoothwall的付费版本。
如果想要占用空间小或者在嵌入式设备上运行,pfSense是不错的选择,尽管它只能在x86架构上运行。对于其他类型的硬件,请考虑IPFire。
网友评论