Linux系统中最实用的十大开源防火墙

如今，开源防火墙可谓数目繁多。本文将涉及十个适合企业需求的最实用的开源防火墙。

 

　　1. Iptables

 

　　Iptables/Netfilter是基于防火墙的最流行的命令行。它是Linux服务器安全的头道防线。许多系统管理员用它来微调服务器。其作 用是过 滤内核中网络堆栈中的数据包，特性包括：列出数据包过滤规则集的内容；执行速度快，因为它仅检查数据包的头部；管理员可以根据需要，在数据包的过滤规则集 中来增加、修改、删除规则；支持借助文件来备份和恢复。

 

　　2. IPCop 防火墙

 

　　　IPCop的设计界面非常友好，便于管理。它对于小型企业和本地PC非常实用。管理员可以将一台老PC配置为安全的VPN，使其提供安全的上网环 境。此防 火墙还可以保留常用的信息，可以为其用户提供更好的Web浏览体验。其彩色编码的Web界面可以使管理员监视CPU、内存、磁盘及网络吞吐量的性能，并支 持多种语言，它可以提供非常安全并易实施的升级和附加补丁。

 

　　3．Shorewall

 

　　Shorewall建立在Linux内核中内建的Netfilter之上，并支持IPV6。其特性包括：使用Netfilter的连接跟踪工具进行 状态包 的过滤，支持多种路由器、防火墙和网关应用，集中化的防火墙管理，带有Webmin控制面板的GUI界面，多ISP支持，支持伪装和端口转发，支持 VPN。

 

　　4. UFW – Uncomplicated Firewall

 

　　UFW是Ubuntu服务器版本的默认防火墙，其基本设计目的是为了减少iptables防火墙的复杂性，增加对用户的友好性。Ubuntu和 Debian用户还可以使用UFW防火墙的图形用户界面。UFW防火墙支持IPV6、扩展日志、状态监视和扩展框架，并可以与应用程序相集成，还可以根据 用户需要增加、清除、修改防火墙规则。

 

　　5. Vuurmuur

 

　　Vuurmuur是另一个强大的的Linux防火墙管理器，它可以构建、管理服务器或网络的iptables规则。同时，Vuurmuur易于管 理，并且 不需要拥有iptables知识就可以使用Vuurmuur。其特性包括：支持IPV6、通信整形、高级监视特性、实时监视连接和带宽使用、可轻松地通过 NAT进行配置、拥有反欺诈特性。

 

　　6. pfSense

 

　　pfSense是另一个用于FreeBSD服务器的开源且可靠的防火墙，它建立在状态包过滤这个概念的基础上，并拥有许多仅在高昂的商业防火墙上才 具备的 特性。 它具有如下特性：易于通过Web界面进行配置和升级，可被部署为一个外围防火墙、DHCP和DNS服务器，可被部署为一个无线访问点和VPN终端，通信整 形，及时获得服务器的实时信息，入站和出站的负载均衡。

 

　　7. IPFire

 

　　IPFire是适用于小型企业、家庭办公等的开源防火墙，它具有很强的模块化和灵活性。IPFire社区还关注安全性，并将IPFire作为一种状 态包检 测防火墙来开发。其特性包括：可部署为防火墙、代理服务器或VPN网关、内容过滤、内建的入侵检测系统、支持wiki、论坛等、支持虚拟化环境的KVM、 VmWare、Xen等虚拟机管理程序。

 

　　8. SmoothWall 和SmoothWall Express

 

　　SmoothWall也是一个开源防火墙，它有一个称为WAM（WEB访问管理器）的易于配置的Web界面。自由发行的SmoothWall版本被 称为 SmoothWall Express。其特性包括：支持LAN、DMZ、无线网络、实时的内容过滤、HTTPS过滤、支持代理服务器、对每个IP、每个接口和访问的通信的统计 进行管理，还有备份和恢复功能等。

 

　　9. Endian

 

　　Endian是另一个基于状态包检测概念的防火墙，管理员可以将它部署为路由器、代理服务器和网关VPN，它由IPCop防火墙发展而来，具备如下 特性： 双向防火墙、Snort入侵防御、可通过HTTP和FTP代理服务器、反病毒和URL黑名单来保障Web服务器的安全、IPSec支持的VPN、实时的网 络通信日志。

 

　　10．ConfigServer Security Firewall

 

　　这是一个跨平台的多用途防火墙，也是基于状态包检测的概念。它几乎支持所有的虚拟化环境，如Virtuozzo、OpenVZ、 Vmware、XEN、KVM、 Virtualbox等。其特性包括：登录失效守护进程可以检查敏感服务器的登录失败，如它可以检查ssh、SMTP、Exim、Imap、Pure & ProFTP、vsftpd、Subosin及mod_security的失败；它可以配置电子邮件的警告，告知是否发生了异常，或检测服务器上的任何种 类的入侵；它可以轻松地与流行的web主机控制面板（cPanel、DirectAdmin、Webmin）相集成；通过电子邮件警告过度使用资源的用户 和可疑的进程；高级入侵检测系统；借助Syn Flood和死亡之ping来保护linux服务器;可以检查漏洞利用等。