导语:试想一下,当你深夜走在一条黑暗的小巷中,突然有人跳出来并强迫你交出护照、信用卡、钱包以及车钥匙等所有值钱物品,这是多么恐怖的一件事情。
简介
试想一下,当你深夜走在一条黑暗的小巷中,突然有人跳出来并强迫你交出护照、信用卡、钱包以及车钥匙等所有值钱物品,这是多么恐怖的一件事情。其实互联网的世界跟这种假设的情景很像,每个角落中都潜伏着不可预知的危险。只要你今天在线,你的上网行为就可能被潜在暗处的窃贼窥探,而这一切你都毫无察觉。
为了实现计算机安全,防火墙就扮演了这个可以保护你安全的“保镖”一角,时刻护你周全。大多数现代路由器中都内置了防火墙,虽然很有用但是却苦于难以配置。
幸运的是,市场上还有很多专门为Linux操作系统设计的免费防火墙发行版,这些防火墙的功能通常比路由器中内置的更为先进,可以最大限度地保障个人和商业网络安全。
在这篇文章中,我们将评估6款最受欢迎的免费防火墙发行版。在评估这些产品及其相对优点时,我们试图强调其功能性和易用性。如果您想查看所有可用的防火墙发行版,请随时访问DistroWatch网站,以获得更为全面的列表。
这些发行版可以安装到物理计算机中,或者如果你只有一台设备,也可以从虚拟机中运行。详情可以点击参阅在Windows中设置虚拟机的技术指南。
大多数发行版可以作为ISO文件下载,你也可以使用UNetbootin等程序将其复制到U盘中,然后进行启动。详细步骤参见指南。
6款最流行免费Linux防火墙发行版
1. ClearOS
ClearOS在本次评估报告中是迄今为止最流行的防火墙发行版。它是一款基于CentOS和Red Hat Enterprise Linux,主要面向中小企业和分布式环境而设计的网关和网络服务器。作为一款出色的软路由系统,ClearOS具备现有路由系统的大部分功能,如DHCP、端口转发、防火墙等。同时因为它基于Red Hat,能提供良好的功能扩展支持。
安装过程非常简单,大约需要10分钟即可完成。你可以选择在公共服务器或网关模式下启动,具体取决于你想要如何使用ClearOS。安装成功后,你需要重新启动,然后就可以获得访问和管理防火墙所需的所有信息。一切操作都非常简单,很显然,开发者想了很多办法让ClearOS尽可能的易于使用。
当你完成设置并访问基于Web的管理系统后,发行版将在你登录到Web界面时为你提供“入门”帮助,如此一来,不需要多长时间你就能很快地熟悉各种设置和功能。此外,设置防火墙规则也是非常快速简单的,其他配置也是如此。
ClearOS最大的优点是它的可用性,该产品不止有简洁的外观,它还提供大量的功能,不仅可以为你提供简单快捷的方法来管理防火墙,还可以为你的网络添加很多额外的服务。
总体而言,ClearOS是一款功能强大的防火墙发行版。因为它提供免费的“社区”以及“专业”的付费版本,非常适用于家庭和小型企业。
评价
评语:精心设计的发行版,易于使用,并可根据用户需要进行功能扩展;
ClearOS Community 7.2.0
网站: www.clearos.com/clearfoundation/software/clearos-7-community
评分: 9/10
2. IPCop
该发行版虽然完全独立于IPFire,但它也可以有效地使用颜色编码来代表不同的连接,绿色用于LAN,红色为互联网,橙色代表DMZ,蓝色表示无线客户端。
IPCop最初是Smoothwall的一个分支,然后由IPFire团队接手,但由于该防火墙很少更新,所以最新版本(2.1.9)还是在2015年2月发布的。
它的安装相对简单,但是还是存在一些通配符问题。虽然有些新手用户可能会为此感到困惑,但是接受默认选项并不会导致任何问题,除非你有非常特定的网络配置。IPCop的主要优点之一就是安装镜像非常小(大约60MB),并且可以复制到DVD或者闪存驱动器上。
IPCop 的界面非常友好,并且是基于任务的。和其他防火墙产品一样,IPCop Firewall位于用户工作区域和Internet连接之间,通过一些TCP/IP业务规则对各种信息进行监控和管理。通常情况下,用户对外界的访问,包括FTP、电子邮件等都不受影响。然而当一些陌生的业务试图进入用户环境时,IPCop会拒绝回应并记录,使得用户的操作不受影响。该防火墙还提供缓存代理,让你可在本地缓存频繁访问的页面。
IPCop作为防火墙是不错的工具,提供了大量有关网络流量的信息,虽然它可能不是世界上最好看的发行版,但是它完成设置任务的工作还是相当出色的。
评价
评语:虽然防火墙界面看起来不太好,但它可以有效地保护你的网络;
IPCop 2.1.9
网站: www.ipcop.org
评分: 8/10
3. OPNsense
OPNsense是基于FreeBSD 10.1的易于使用的开源防火墙,以确保长期支持。很显然,该项目的名称来源于“开放”和“意义”,代表“开源是有意义的”。
OPNsense项目于2015年1月开始成为更成熟防火墙pfSense的分支。该团队声称,进行该项目的部分原因是由于当时使用的pfSense许可证类型,部分原因是因为他们相信自己可以创建一个更安全的防火墙。该防火墙现在仅有原始pfSense项目10%左右的代码。还要注意的是,该fork 函数在Reddit上的pfSense顽固分子和OPNsense支持者之间产生了很大的争议。
OPNsense提供每周安全更新,以便能够快速响应威胁。它包含很多高级功能(通常只能在商业防火墙中找到),例如前向缓存代理和入侵检测。此外,它还支持使用OpenVPN。OPNsense包含非常丰富的GUI,使用Phalcon PHP编写,这是真正的使用乐趣。除了比pfSense的界面更具吸引力之外,OPNsense被创建部分是由于该团队感觉图形界面不应该有根访问,这可能带来安全问题。
该GUI具有简单的搜索栏以及新的系统运行状况模块,该模块是交互式的,并且可以在你分析网络时提供可视化反馈。你还可以以CSV格式导出数据以便进行进一步分析。
该防火墙使用内联入侵防御系统,这是一种强大的深度数据包检测形式,OPNsense不仅可以阻止IP地址或端口,还可以检测单个数据包或连接,并在必要时阻止它们。此外,OPNsense还通过OpenSSL提供LibreSSL。
评价
评语:原始pfSense项目优秀的、有安全思维的分支,提供了一系列功能。
OPNsense 17.1.1 (Eclectic Eagle)
评分: 8/10
4. IPFire
IPFire是专注于用户友好性和易于安装的Linux防火墙发行版,它支持很多有用的功能,例如入侵检测。IPFire通过使用构建在netfilter上的SPI(状态数据包检测)防火墙为用户提供严格的安全措施。
IPFire专门针对防火墙和网络新手而设计,且可以在几分钟内完成设置。安装过程将允许你把网络配置成不同的安全段,每个段都用颜色进行标记。绿色段代表连接到本地有线网络的所有正常客户端的安全区域,红色段则代表互联网。
没有流量可以从红色移动到其他任何段,除非你在防火墙中特别配置了这一点。默认设置主要针对一台设备有两个网络卡,只有绿色和红色段。但在设置过程中,你还可以为无线连接配置蓝色段,也可以为任何公共服务器设置橙色段。设置完成后,你可以通过直观的Web界面配置其他选项和插件。
IPFire的ISO镜像文件只有160MB大小,因此一旦刻录到DVD后,它就可以很容易加载到你计算机的内存中并从中开始运行。或者,你可以下载闪存镜像来将其安装到路由器,或者甚至ARM设备镜像,例如Raspberry Pi。IPFire项目正在大力推广“专属门户”,如果你想要向连接到你WiFi网络的用户显示登录或登陆页面,这是一个不错的选择。它还可防止恶意设备自动连接。
评价
评语:轻量级易于使用的防火墙,并提供一些超高级功能。
IPFire 2.19
评分: 9/10
5. pfSense
像OPNsense一样,pfSense是一个基于FreeBSD,专为防火墙和路由器功能定制的开源版本。它被安装在计算机上作为网络中的防火墙和路由器存在,并以可靠性著称,且提供往往只存在于昂贵商业防火墙才具有的特性。它可以通过WEB页面进行配置,升级和管理而不需要使用者具备FreeBSD底层知识。pfSense通常被部署作为边界防火墙,路由器,无线接入点,DHCP服务器,DNS服务器和VPN端点。
这个防火墙发行版可运行在各种硬件中,但目前仅支持x86架构。其网站提供一个方便的硬件指南让你可选择兼容的设备。安装过程从命令行完成,但非常简单,你可选择从CD或者USB驱动器启动。设置助手将在安装过程中要求你分配接口,而不是在启动到web界面后。你可使用自动检测功能来确定哪个网卡是哪一个。
该防火墙有少量内置功能,例如多WAN、动态DNS、硬件故障转移和不同的身份验证方法。与IPFire不同,pfSense具有一个强制门户功能,所有DNS查询都可以解析为单个IP地址,例如公共WiFI热点的登录页面。
该发行版具有非常干净的界面,且易于使用。由于它是基于BSD,所使用的一些术语很令人困惑,但也并不需要花费很长时间就能掌握。
如果不是因为缺乏非防火墙相关(non-firewall-related)的额外功能,pfSense可能会成为功能最强大的防火墙发行版。如果你只想要一个简单的防火墙,选择pfSense就不会出错,但如果你想要更多超出基本功能的东西,你可能需要考虑其他防火墙。
评价
评语:最完整的的防火墙发行版,但它不附带任何非防火墙的附加功能。
pfSense 2.3.3
网站: www.pfsense.org
评分: 7/10
6. Smoothwall Express
Smoothwall Express可能是最知名的防火墙发行版。为了测试这一点,我们对20个Linux技术宅进行了调查,要求他们说出一款防火墙发行版,结果有19个人都回答了Smoothwall。
Smoothwall Express的安装是基于文本,但你不需要熟悉Linux控制台,一切都相当简单。你可能更喜欢下载或者打印安装指南以指导你完成设置过程。为了做到这一点,你需要创建一个my.smoothwall配置文件。
它提供三种安装选项:标准、开发者和Express。开发者选项适合那些想要编写Smoothwall项目的人。Express则是一款精简版的Smoothwall,可以确保与较旧硬件的最大兼容性。除非你有这非常特定的网络配置,否则你通常可以接受默认选项。
基于web的控制面板简单易懂,Smoothwall Express并没有提供太多额外功能,但它允许你设置单独的账户来控制主连接,如果你使用拨号以及其缓存Web代理服务,则特别有用。
Smoothwall Express的优点之一是在运行内部DNS时提供简单性——添加新的主机名只需几秒钟。分配静态IP和启用远程访问也只需要几次鼠标点击即可完成。测试期间,我们注意到的唯一问题是,分配静态DHCP租用分配需要你点击添加,然后单击保存,这并不是特别明显,但你必须执行第二个步骤。
评价
评语:这是一款易于使用、功能强大的防火墙,但它缺乏一些较高级的功能。
Smoothwall Express 3.1 (Standard)
评分: 8/10
最终判决
选择合适的防火墙发行版很大程度上是取决于你的具体需求。但无论如何,部署一款防火墙都是最基本的常识,因为现在互联网充斥着大量的危险。也就是说,除了基本保护之外,防火墙还可以为你提供一些额外的功能来帮助你保障网络安全。
如果你想寻求一款提供基本功能的防火墙,我想这里的每一款发行版都可以做的很好,甚至有一些表现的更突出。
IPFire具有最简单的安装过程;Smoothwall Express可以为你提供最专业的商业级解决方案;pfSense具有最小的空间占用量,尽管它只能在x86架构上运行;其他各款的优点上面都有所提及,在此不再一一重复。那么如果让你评选出最终的优胜者,你会如何选择?
最终胜出者
对于我们而言,如果技术无法完全发挥功效就是一种浪费。这就是我们为什么更喜欢虚拟化的原因,防火墙可作为虚拟服务器运行在用于网页浏览的同一硬件上。
虽然ClearOS仍然是最强大的防火墙,但其虚拟化并不像其他防火墙发行版(例如IPFire)那么容易。此外,IPFire还可以通过其自己的附加服务Pakfire实现简单的自定义,这意味它在这方面胜过ClearOS,获得了我们的金牌。
不过,Smoothwall Express也很值得一提,它是唯一在安装后继续保持运行又不会为你带来太多信息提示和干扰的防火墙。如果你想要进行特殊设置,设置操作也非常简单。