5 Open Source Firewalls, die Sie über

Wissen

Obwohl pfSense und m0n0wall scheinen den Löwenanteil der Betrachtung in der Open-Source-Firewall / Router-Markt zu erhalten, mit pfSense Verdrängung m0n0wall in den letzten Jahren, gibt es mehrere ausgezeichnete Firewall / Router-Distributionen unter Linux und BSD erhältlich . Alle diese Projekte bauen auf ihren jeweiligen Betriebssystemen nativen Firewalls. Linux, zum Beispiel beinhaltet netfilter und iptables in ihre Kernel. OpenBSD, auf der anderen Seite nutzt PF (Packet Filter), die IPFilter als FreeBSD-Firewall standardmäßig im Jahr 2001 ersetzt, folgt eine (nicht vollständige) Liste von ein paar der Firewall / Router-Distributionen für Linux und BSD verfügbar, zusammen mit einigen ihrer Fähigkeiten

[1] Smoothwall

Das Smoothwall Open Source-Projekt wurde im Jahr 2000, um die Entwicklung und Pflege Smoothwall Express eingestellt. – eine kostenlose Firewall, die ihre eigenen Sicherheits- beinhaltet gehärtet GNU / Linux-Betriebssystem und eine einfach zu bedienende Web-Oberfläche. Smoothwall Server Edition war das erste Produkt von Smoothwall Ltd., am 2001.11.11 ins Leben gerufen. Es war im Wesentlichen Smoothwall GPL 0.9.9 mit Unterstützung der Firma zur Verfügung gestellt. Smoothwall Corporate Server 1.0 wurde am 2001.12.17, einen Closed-Source-Gabel von Smoothwall GPL 0.9.9SE freigegeben. Corporate Server enthalten zusätzliche Funktionen wie SCSI-Unterstützung, zusammen mit der Fähigkeit, um die Funktionalität durch Zusatzmodule erhöhen. Diese Module enthalten SmoothGuard (Content-Filter-Proxy), SmoothZone (multiple DMZ) und Smooth (VPN erweiterte Funktionen). Weitere Module mit der Zeit freigesetzt enthalten Module für Traffic Shaping, Anti-Virus und Anti-Spam.

Eine Variante des Corporate Server genannt Smoothnehmens Wächter veröffentlicht, die Integration einer Gabel DansGuardian als SmoothGuardian bekannt. Schule Wächter wurde als eine Variante der Unternehmens Wächter erstellt und fügte hinzu, Active Directory / LDAP-Authentifizierung unterstützt und Firewall-Funktionen in einem Paket speziell für den Einsatz in Schulen konzipiert. Dezember 2003 sah Ausgabe Smoothwall Express 2.0 und eine Reihe von umfassenden schriftlichen Dokumentation. Die Alpha-Version von Express 3 wurde im September 2005 veröffentlicht

Smoothwall wurde entwickelt, um effektiv auf älteren, billiger Hardware laufen; es wird auf jedem Pentium CPU zu betreiben und über, mit einer empfohlenen Minimum von 128 MB RAM. Zusätzlich gibt es eine 64-Bit-Build für Core 2-Systemen. Hier ist eine Liste der Features:

  • Firewalling:
    • Unterstützt LAN, DMZ, und drahtlose Netzwerke sowie externe
    • Externe Konnektivität über: Static Ethernet, Ethernet DHCP, PPPoE, PPPoA mit verschiedenen USB und PCI-DSL-Modems
    • Hafen nach vorne, DMZ Nadellöcher
    • Outbound-Filterung
    • Timed Zugang
    • Einfach zu Quality-of-Service (QoS), verwenden Sie
    • Traffic-Statistiken, einschließlich pro Schnittstelle und pro IP-Summen für Wochen und Monate
    • IDS via automatisch aktualisiert Snort-Regeln
    • UPnP-Unterstützung
    • Liste der bad IP adressiert an
  • Proxies zu blockieren:

    • Web-Proxy für beschleunigten Browsing
    • POP3-E-Mail-Proxy mit Anti-Virus
    • IM Proxy mit Echtzeit ein, siehst
  • UI:

    • Responsive Web-Schnittstelle mit AJAX-Techniken, um Informationen in Echtzeit zur Verfügung stellen
    • Echtzeit-Verkehrsgraphen
    • Alle Regeln haben eine optionale Kommentarfeld für Benutzerfreundlichkeit
    • Log Viewer für alle wichtigen Subsysteme und Firewall-Aktivität
  • Wartung:

    • Backup-config
    • Einfache Ein-Klick-Anwendung aller ausstehenden Updates
    • Herunterfahren und Neustart für UI
  • Sonstiges:

    • Zeitdienst für Netzwerk
    • Smooth Entwickeln Sie sich mit dem Selbst Hosting „Devel“ baut

[2] IPCop

Eine Stateful-Firewall auf dem Linux-Netfilter Rahmen erstellt, war ursprünglich eine Gabel des Smoothwall Linux-Firewall ist IPCop eine Linux-Distribution, die eine einfach zu verwaltende Firewall-Appliance auf Basis von PC-Hardware bieten soll. Version 1.4.0 wurde im Jahr 2004 eingeführt wurde, auf der Grundlage der Arbeitskräfteerhebung Verteilung und einem 2.4-Kernel und die aktuellen stabilen Zweig 2.0.x 2011 IPCop v freigegeben 2.0 enthält einige deutliche Verbesserungen gegenüber 1.4, einschließlich der folgenden:. [1999003 ]

  • Auf der Grundlage von Linux-Kernel 2.6.32
  • Neue Hardware-Unterstützung, einschließlich Kobalt, SPARC und PPC Plattformen
  • Neue Installationsprogramm, das Sie auf Flash-Speicher oder Festplatten zu installieren und Schnittstellenkarten aus und weisen Sie auf bestimmte Netzwerke ermöglicht
  • Der Zugriff auf alle Web-Interface-Seiten ist jetzt passwortgeschützt
  • Eine neue Benutzeroberfläche, einschließlich einer neuen Scheduler Seite, mehrere Seiten auf dem Status-Menü, eine aktualisierte Proxy-Seite, vereinfachter DHCP-Server-Seite und eine überholte Firewall Menü
  • Die Einbeziehung der OpenVPN-Unterstützung für virtuelle private Netzwerke, als Ersatz für IPsec

IPCop v. 2.1 enthält Bugfixes und eine Reihe von weiteren Verbesserungen, unter anderem als mit dem Linux-Kernel 3.0.41 und URL-Filter-Service. Darüber hinaus gibt es viele Add-Ons erhältlich, wie fortschrittliche QoS (Traffic Shaping), E-Mail Virenprüfung, Verkehrsübersicht, erweiterten Schnittstellen zur Steuerung des Proxy, und viele mehr.

[3] IPFire [ 1999003]

IPFire ist eine kostenlose Linux-Distribution, die als Router und Firewall fungieren kann, und kann über ein Webinterface gepflegt werden. Die Verteilung bietet ausgewählte sever Dämonen und kann leicht zu einer SOHO-Server erweitert werden. Es bietet Corporate-Level-Netzwerkschutz und konzentriert sich auf die Sicherheit, Stabilität und Benutzerfreundlichkeit. Eine Vielzahl off Add-Ons installiert werden, um weitere Funktionen für die Basis-System hinzuzufügen.

IPFire beschäftigt Stateful Packet Inspection (SPI) Firewall, die auf der Oberseite der netfilter aufgebaut ist. Bei der Installation der IPfire wird das Netz in einzelne Segmente ausgebildet. Diese segmentierten Sicherheitsschema bedeutet, es ist ein Ort für jede Maschine im Netzwerk. Jedes Segment stellt eine Gruppe von Computern, die ein gemeinsames Sicherheitsniveau zu teilen. „Green“ steht für eine sichere Gegend. Hier werden alle Stammkunden befinden wird, und wird in der Regel von einem kabelgebundenen lokalen Netzwerk besteht. Clients auf Grün können Sie alle anderen Netzwerksegmenten ohne Einschränkung zugreifen. „Red“, dass eine Gefahr oder die Verbindung zu dem Internet. Nichts von Red darf die Firewall passieren, wenn nicht ausdrücklich vom Administrator konfiguriert. „Blue“ steht für die drahtlose Teil des lokalen Netzwerks. Da die Wireless-Netzwerk hat das Potenzial für Missbrauch ist es eindeutig identifiziert und spezifische Regeln gelten Clients auf sie. Clients in diesem Netzwerk-Segment muss explizit erlaubt, bevor sie auf das Netzwerk zugreifen werden. „Orange“ für die entmilitarisierte Zone (DMZ). Alle Server, die öffentlich zugänglich sind, werden von dem Rest des Netzes hier getrennt, um Sicherheitslücken zu begrenzen. Zusätzlich kann die Firewall verwendet, um ausgehende Internet-Zugang von jedem Segment zu steuern. Diese Funktion gibt den Netzwerkadministrator vollständige Kontrolle über ihr Netzwerk konfiguriert und gesichert.

Eines der einzigartigen Merkmale der IPFire ist das Ausmaß, in dem es integriert Intrusion Detection und Intrusion Prevention. IPFire integriert Snort, die kostenlose Netzwerk Intrusion Detection System (NIDS), der Netzwerkverkehr analysiert. Falls etwas Abnormales geschieht, wird es das Ereignisprotokoll. IPFire können Sie diese Ereignisse in der Web-Oberfläche zu sehen. Für die automatische Prävention, hat IPFire ein Add-on genannt Wächter, die optional installiert werden kann.

IPFire bringt viele Front-End-Treiber für High-Performance-Virtualisierung und gibt es an verschiedenen Virtualisierungsplattformen, darunter KVM, VMware ausgeführt werden, Xen und andere. Es besteht jedoch immer die Möglichkeit, dass die VM Containersicherheit in irgendeiner Weise umgangen werden und kann ein Hacker den Zugang über das VPN zu erhalten. Es wird daher nicht empfohlen, IPFire als virtuelle Maschine in einer Produktionsebene Umgebung verwenden.

Zusätzlich zu diesen Features IPFire beinhaltet alle Funktionen, die Sie erwarten, in einer Firewall / Router zu sehen, darunter eine Stateful Firewall, ein Web-Proxy-Unterstützung für Virtual Private Networks (VPNs) mit IPSec und OpenVPN und Traffic Shaping.

Seit IPFire auf einer neuere Version des Linux-Kernels, ein Großteil der neuesten Hardware, wie es unterstützt wie 10 Gbit-Netzwerkkarten und eine Vielzahl von Wireless-Hardware aus dem Kasten heraus. Mindestsystemanforderungen sind:

  • Intel Pentium I (i586)
  • 128 MB RAM
  • 2 GB Festplattenspeicher

Einige Add-ons haben zusätzliche Anforderungen reibungslos durchzuführen. Auf einem System, das die Anforderungen an die Hardware passt, ist IPFire in der Lage, Hunderte von Kunden gleichzeitig zu bedienen.

[4] Shorewall

Shorewall ist ein Open Source-Firewall-Tool für Linux. Anders als in diesem Artikel erwähnt die anderen Firewall / Router, hat Shorewall keine grafische Benutzeroberfläche. Stattdessen wird Shorewall durch eine Gruppe von Klartext-Konfigurationsdateien konfiguriert, obwohl ein Webmin-Modul ist separat erhältlich.

Seit Shorewall ist im Wesentlichen ein Frontend für netfilter und iptables, üblich Firewall-Funktionalität zur Verfügung. Es ist in der Lage, Network Address Translation (NAT), Port-Weiterleitung, Protokollierung, Routing, Traffic Shaping und virtuelle Schnittstellen zu tun. Mit Shorewall, ist es einfach, verschiedene Zonen mit jeweils unterschiedlichen Regeln, dass es leicht zu haben, zum Beispiel, entspannt Regeln einrichten auf dem Firmen-Intranet, während ein schärferes Vorgehen gegen Datenverkehr für das Internet.

Während Shorewall einst ein Shell-basierten Compiler-Frontend, seit der Version 4, verwendet es auch ein Perl-basiertes Frontend. IPv6-Adresse Unterstützung begann mit Version 4.4.3. Die jüngste stabile Version ist 4.5.18.

[5] pfSense

pfSense ist eine Open Source Firewall / Router-Distribution basiert auf FreeBSD als Gabel auf dem m0n0wall Projekt. Es ist eine Stateful-Firewall, die einen Großteil der Funktionalität von m0n0wall wie NAT / Port-Weiterleitung, VPNs, Traffic Shaping und Captive Portal enthält. Es geht auch über m0n0wall und bietet viele erweiterte Funktionen wie Lastausgleich und Failover, die Fähigkeit zu akzeptieren nur Datenverkehr von bestimmten Betriebssystemen, einfach MAC-Adresse Spoofing und VPN mit den OpenVPN und L2TP-Protokolle. Im Gegensatz zu m0n0wall, in dem der Fokus mehr auf Embedded Einsatz, steht im Mittelpunkt der pfSense auf volle PC-Installation. Dennoch wird eine Version zur Verfügung für Embedded Einsatz ausgerichtet.