Linux系統中最實用的十大開源防火牆

 　　如今，開源防火牆可謂數目繁多。本文將涉及十個適合企業需求的最實用的開源防火牆。

　　1. Iptables

　　Iptables/Netfilter是基於防火牆的最流行的命令列。它是Linux伺服器安全的頭道防線。許多系統管理員用它來微調伺服器。其作用是過濾核心中網路堆棧中的資料包，特性包括：列出資料包過濾規則集的內容;執行速度快，因為它僅檢查資料包的頭部;管理員可以根據需要，在資料包的過濾規則集中來增加、修改、刪除規則;支援藉助檔案來備份和恢複。

　　2. IPCop 防火牆

　　IPCop的設計介面非常友好，便於管理。它對於小型企業和本地PC非常實用。管理員可以將一台老PC配置為安全的VPN，使其提供安全的上網環境。此防火牆還可以保留常用的資訊，可以為其使用者提供更好的Web瀏覽體驗。其彩色編碼的Web介面可以使管理員監視CPU、記憶體、磁碟及網路輸送量的效能，並支援多種語言，它可以提供非常安全並易實施的升級和附加補丁。

　　3.Shorewall

　　Shorewall建立在Linux核心中內建的Netfilter之上，並支援IPV6。其特性包括：使用Netfilter的串連跟蹤工具進行狀態包的過濾，支援多種路由器、防火牆和網關應用，集中化的防火牆管理，帶有Webmin控制台的GUI介面，多ISP支援，支援偽裝和連接埠轉寄，支援VPN。

　　4. UFW – Uncomplicated Firewall

　　UFW是Ubuntu伺服器版本的預設防火牆，其基本設計目的是為了減少iptables防火牆的複雜性，增加對使用者的友好性。Ubuntu和Debian使用者還可以使用UFW防火牆的圖形化使用者介面。UFW防火牆支援IPV6、擴充日誌、狀態監視和擴充架構，並可以與應用程式相整合，還可以根據使用者需要增加、清除、修改防火牆規則。

　　5. Vuurmuur

　　Vuurmuur是另一個強大的的Linux防火牆管理器，它可以構建、管理伺服器或網路的iptables規則。同時，Vuurmuur易於管理，並且不需要擁有iptables知識就可以使用Vuurmuur。其特性包括：支援IPV6、通訊整形、進階監視特性、即時監視串連和頻寬使用、可輕鬆地通過NAT進行配置、擁有反欺詐特性。

　　6. pfSense

　　pfSense是另一個用於FreeBSD伺服器的開源且可靠的防火牆，它建立在狀態包過濾這個概念的基礎上，並擁有許多僅在高昂的商業防火牆上才具備的特性。它具有如下特性：易於通過Web介面進行配置和升級，可被部署為一個外圍防火牆、DHCP和DNS伺服器，可被部署為一個無線訪問點和VPN終端，通訊整形，及時獲得伺服器的即時資訊，入站和出站的負載平衡。

　　7. IPFire

　　IPFire是適用於小型企業、家庭辦公等的開源防火牆，它具有很強的模組化和靈活性。IPFire社區還關注安全性，並將IPFire作為一種狀態包檢測防火牆來開發。其特性包括：可部署為防火牆、Proxy 伺服器或VPN網關、內容過濾、內建的入侵偵測系統、支援wiki、論壇等、支援虛擬化環境的KVM、VmWare、Xen等虛擬機器管理程式。

　　8. SmoothWall 和SmoothWall Express

　　SmoothWall也是一個開源防火牆，它有一個稱為WAM(WEB訪問管理器)的易於配置的Web介面。自由發行的SmoothWall版本被稱為SmoothWall Express。其特性包括：支援LAN、DMZ、無線網路、即時的內容過濾、HTTPS過濾、支援Proxy 伺服器、對每個IP、每個介面和訪問的通訊的統計進行管理，還有備份和恢複功能等。

　　9. Endian

　　Endian是另一個基於狀態包檢測概念的防火牆，管理員可以將它部署為路由器、Proxy 伺服器和網關VPN，它由IPCop防火牆發展而來，具備如下特性：雙向防火牆、Snort入侵防禦、可通過HTTP和FTPProxy 伺服器、反病毒和URL黑名單來保障Web伺服器的安全、IPSec支援的VPN、即時的網路通訊日誌。

　　10.ConfigServer Security Firewall

　　這是一個跨平台的多用途防火牆，也是基於狀態包檢測的概念。它幾乎支援所有的虛擬化環境，如Virtuozzo、OpenVZ、 Vmware、XEN、KVM、 Virtualbox等。其特性包括：登入失效守護進程可以檢查敏感伺服器的登入失敗，如它可以檢查ssh、SMTP、Exim、Imap、Pure & ProFTP、vsftpd、Subosin及mod_security的失敗;它可以配置電子郵件的警告，告知是否發生了異常，或檢測伺服器上的任何種類的入侵;它可以輕鬆地與流行的web主機控制台(cPanel、DirectAdmin、Webmin)相整合;通過電子郵件警告過度使用資源的使用者和可疑的進程;進階入侵偵測系統;藉助Syn Flood和死亡之ping來保護linux伺服器;可以檢查漏洞利用等