5 защитни стени с отворен код, за които трябва да знаете

5

Въпреки факта, че pfSense и m0n0wall изглежда получават лъвския дял от разглеждането на пазара на защитни стени / рутери с отворен код, като през последните години pfSense оформя m0n0wall, има няколко отлични дистрибуции на защитна стена / рутер, които могат да се получат както под Linux, така и чрез BSD. Всички тези проекти се основават на съответните им операционни системи. Linux например включва netfilter и iptables в своето ядро. OpenBSD, от друга страна, използва PF (Packet Filter), който замени IPFilter като защитна стена по подразбиране на FreeBSD през 2001 г. По-долу е (неизчерпателен) списък на няколко от дистрибуциите на защитна стена / рутер, налични за Linux и BSD, заедно с някои от техните възможности.

[1] Smoothwall

Проектът с отворен код Smoothwall е създаден през 2000 г. с цел да разработи и поддържа Smoothwall Express – безплатна защитна стена, която включва собствена закалена със сигурност GNU / Linux операционна система и лесен за използване уеб интерфейс. SmoothWall Server Edition е първоначалният продукт на SmoothWall Ltd., стартиран на 11-11-2001. По същество това беше SmoothWall GPL 0.9.9 с подкрепата, предоставена от компанията. SmoothWall Corporate Server 1.0 беше пуснат на 12-17-2001, вилка с затворен код на SmoothWall GPL 0.9.9SE. Корпоративният сървър включва допълнителни функции като SCSI поддръжка, заедно с възможността за увеличаване на функционалността чрез допълнителни модули. Тези модули включват SmoothGuard (прокси за филтриране на съдържание), SmoothZone (множество DMZ) и SmoothTunnel (разширени VPN функции). Допълнителни модули, пуснати с течение на времето, включват модули за оформяне на трафика, анти-вируси и анти-спам.

Пуснат е вариант на корпоративен сървър, наречен SmoothWall Corporate Guardian, интегриращ вилица на DansGuardian, известна като SmoothGuardian. School Guardian е създаден като вариант на Corporate Guardian, добавяйки поддръжка за удостоверяване Active Directory / LDAP и функции на защитна стена в пакет, създаден специално за използване в училищата. През декември 2003 г. излезе гладката стена Express 2.0 и набор от изчерпателна писмена документация. Алфа версията на Express 3 е пусната през септември 2005 г.

Smoothwall е проектиран да работи ефективно на по-стар, по-евтин хардуер; той ще работи на всеки процесор от клас Pentium и по-нови, с препоръчителен минимум 128 MB RAM. Освен това има 64-битова компилация за Core 2 системи. Ето списък с функции:

  • Защитна стена:
    • Поддържа LAN, DMZ и безжични мрежи, както и външни
    • Външна свързаност чрез: статичен Ethernet, DHCP Ethernet, PPPoE, PPPoA с помощта на различни USB и PCI DSL модеми
    • Порт напред, DMZ отвори
    • Изходящо филтриране
    • Ограничен достъп
    • Лесно за използване качество на услугата (QoS)
    • Статистика на трафика, включително за интерфейс и за IP общо за седмици и месеци
    • IDS чрез автоматично актуализирани правила за Snort
    • UPnP поддръжка
    • Списък с лоши IP адреси, които се блокират
  • Прокси:

    • Уеб прокси за ускорено сърфиране
    • POP3 имейл прокси с Антивирус
    • IM прокси с разглеждане на журнали в реално време
  • Потребителски интерфейс:

    • Отзивчив уеб интерфейс, използващ AJAX техники за предоставяне на информация в реално време
    • Графики на трафика в реално време
    • Всички правила имат незадължително поле за коментар за по-лесно използване
    • Влезте в зрителите за всички основни подсистеми и активност на защитната стена
  • Поддръжка:

    • Конфигурация за архивиране
    • Лесно прилагане с едно щракване на всички чакащи актуализации
    • Изключване и рестартиране за потребителския интерфейс
  • Други:

    • Услуга за време за мрежа
    • Разработете Smoothwall сами, като използвате самохостиращите компилации “Devel”

[2] IPCop

Защитена защитна стена, създадена в рамката на Linux netfilter, която първоначално е била разклонение на защитната стена на SmoothWall Linux, IPCop е дистрибуция на Linux, която има за цел да осигури лесен за управление уред за защитна стена, базиран на хардуер на компютъра. Версия 1.4.0 беше въведена през 2004 г. въз основа на LFS разпространението и ядрото 2.4, а текущият стабилен клон е 2.0.X, издаден през 2011 г. IPCop v. 2.0 включва някои значителни подобрения над 1.4, включително следното:

  • Въз основа на Linux ядрото 2.6.32
  • Нова хардуерна поддръжка, включително платформи Cobalt, SPARC и PPC
  • Нов инсталатор, който ви позволява да инсталирате на флаш или твърди дискове и да избирате интерфейсни карти и да ги присвоявате на определени мрежи
  • Достъпът до всички страници на уеб интерфейса вече е защитен с парола
  • Нов потребителски интерфейс, включително нова страница за планиране, повече страници в менюто за състояние, актуализирана прокси страница, опростена страница на DHCP сървъра и преработено меню на защитната стена
  • Включването на поддръжка на OpenVPN за виртуални частни мрежи, като заместител на IPsec

IPCop v. 2.1 включва корекции на програмни грешки и редица допълнителни подобрения, включително използването на ядрото на Linux 3.0.41 и услугата за филтриране на URL адреси. Освен това има много добавки, които могат да се получат, като усъвършенствана QoS (оформяне на трафика), проверка на вируси по имейл, преглед на трафика, разширени интерфейси за управление на проксито и много други.

[3] IPFire

IPFire е безплатна дистрибуция на Linux, която може да действа като рутер и защитна стена и може да се поддържа чрез уеб интерфейс. Дистрибуцията предлага избрани демони на sever и може лесно да бъде разширена до SOHO сървър. Той предлага мрежова защита на корпоративно ниво и се фокусира върху сигурността, стабилността и лекотата на използване. Могат да се инсталират различни добавки, за да се добавят повече функции към основната система.

IPFire използва защитна стена Stateful Packet Inspection (SPI), която е изградена върху netfilter. По време на инсталирането на IPFire мрежата се конфигурира на отделни сегменти. Тази сегментирана схема за сигурност означава, че има място за всяка машина в мрежата. Всеки сегмент представлява група компютри, които споделят общо ниво на защита. “Зелено” представлява безопасна зона. Тук ще пребивават всички редовни клиенти и обикновено се състои от жична локална мрежа. Клиентите на Green могат да имат достъп до всички други мрежови сегменти без ограничения. “Червено” показва опасност или връзка с Интернет. Нищо от Red не може да преминава през защитната стена, освен ако не е конфигуриран специално от администратора. „Синьо“ представлява безжичната част на локалната мрежа. Тъй като безжичната мрежа има потенциал за злоупотреба, тя е уникално идентифицирана и специфични правила управляват клиентите в нея. Клиентите в този мрежов сегмент трябва да бъдат изрично разрешени, преди да имат достъп до мрежата. “Orange” представлява демилитаризираната зона (DMZ). Всички сървъри, които са публично достъпни, са отделени от останалата част от мрежата тук, за да се ограничат нарушенията на сигурността. Освен това защитната стена може да се използва за контрол на изходящия интернет достъп от всеки сегмент. Тази функция дава на мрежовия администратор пълен контрол върху начина, по който тяхната мрежа е конфигурирана и защитена.

Една от уникалните характеристики на IPFire е степента, в която той включва откриване и предотвратяване на проникване. IPFire включва Snort, безплатната система за откриване на мрежови прониквания (NIDS), която анализира мрежовия трафик. Ако се случи нещо ненормално, то ще регистрира събитието. IPFire ви позволява да видите тези събития в уеб интерфейса. За автоматично предотвратяване IPFire има добавка, наречена Guardian, която може да се инсталира по желание.

IPFIre предлага много драйвери от предния край за виртуализация с висока производителност и може да се изпълнява на няколко платформи за виртуализация, включително KVM, VMware, Xen и други. Винаги обаче има възможност сигурността на контейнера на VM да бъде заобиколена по някакъв начин и хакер да получи достъп извън VPN. Следователно не се препоръчва използването на IPFire като виртуална машина в среда на производствено ниво.

В допълнение към тези функции, IPFire включва всички функции, които очаквате да видите в защитна стена / рутер, включително защитна стена с състояние, уеб прокси, поддръжка за виртуални частни мрежи (VPN), използващи IPSec и OpenVPN, и оформяне на трафика.

Тъй като IPFire е базиран на скорошна версия на ядрото на Linux, той поддържа голяма част от най-новия хардуер, като 10 Gbit мрежови карти и разнообразен безжичен хардуер. Минималните системни изисквания са:

  • Intel Pentium I (i586)
  • 128 MB RAM
  • 2 GB място на твърдия диск

Някои добавки имат допълнителни изисквания за гладко изпълнение. В система, която отговаря на хардуерните изисквания, IPFire е в състояние да обслужва стотици клиенти едновременно.

[4] Шоруол

Shorewall е инструмент за защитна стена с отворен код за Linux. За разлика от другите защитни стени / рутери, споменати в тази статия, Shorewall няма графичен потребителски интерфейс. Вместо това Shorewall се конфигурира чрез група конфигурационни файлове с обикновен текст, въпреки че модулът Webmin се предлага отделно.

Тъй като Shorewall по същество е интерфейс към netfilter и iptables, е налична обичайната функционалност на защитната стена. Той е в състояние да извършва преобразуване на мрежови адреси (NAT), пренасочване на портове, регистриране, маршрутизиране, оформяне на трафика и виртуални интерфейси. С Shorewall е лесно да настроите различни зони, всяка с различни правила, което улеснява, например, облекчени правила във вътрешната мрежа на компанията, като същевременно ограничава трафика, идващ за Интернет.

Докато Shorewall някога е използвал интерфейс на компилатор, базиран на черупка, от версия 4, той също използва интерфейс, базиран на Perl. Поддръжката на IPv6 адрес стартира с версия 4.4.3. Най-новата стабилна версия е 4.5.18.

[5] pfSense

pfSense е дистрибуция на защитна стена / рутер с отворен код, базирана на FreeBSD като разклонение на проекта m0n0wall. Това е защитна стена, включваща голяма част от функционалността на m0n0wall, като пренасочване на NAT / портове, VPN, оформяне на трафика и портал. Той също така надхвърля m0n0wall, предлагайки много усъвършенствани функции, като балансиране на натоварването и срив, възможност за приемане само на трафик от определени операционни системи, лесно подправяне на MAC адреси и VPN, използвайки протоколите OpenVPN и L2TP. За разлика от m0n0wall, при който фокусът е повече върху вградената употреба, фокусът на pfSense е върху пълната инсталация на компютър. Въпреки това се предоставя версия, насочена към вградена употреба.

About the author

By user

Recent Posts

Recent Comments

Archives

Categories

Meta