Linux系統中最實用的十大開源防火牆

 　　如今，開源防火牆可謂數目繁多。本文將涉及十個適合企業需求的最實用的開源防火牆。

　　1. Iptables

　　Iptables/Netfilter是基於防火牆的最流行的命令行。它是Linux服務器安全的頭道防線。許多系統管理員用它來微調服務器。其作用是過濾內核中網絡堆棧中的數據包，特性包括：列出數據包過濾規則集的內容;執行速度快，因為它僅檢查數據包的頭部;管理員可以根據需要，在數據包的過濾規則集中來增加、修改、刪除規則;支持借助文件來備份和恢復。

　　2. IPCop 防火牆

　　IPCop的設計界面非常友好，便於管理。它對於小型企業和本地PC非常實用。管理員可以將一台老PC配置為安全的VPN，使其提供安全的上網環境。此防火牆還可以保留常用的信息，可以為其用戶提供更好的Web浏覽體驗。其彩色編碼的Web界面可以使管理員監視CPU、內存、磁盤及網絡吞吐量的性能，並支持多種語言，它可以提供非常安全並易實施的升級和附加補丁。

　　3.Shorewall

　　Shorewall建立在Linux內核中內建的Netfilter之上，並支持IPV6。其特性包括：使用Netfilter的連接跟蹤工具進行狀態包的過濾，支持多種路由器、防火牆和網關應用，集中化的防火牆管理，帶有Webmin控制面板的GUI界面，多ISP支持，支持偽裝和端口轉發，支持VPN。

　　4. UFW – Uncomplicated Firewall

　　UFW是Ubuntu服務器版本的默認防火牆，其基本設計目的是為了減少iptables防火牆的復雜性，增加對用戶的友好性。Ubuntu和Debian用戶還可以使用UFW防火牆的圖形用戶界面。UFW防火牆支持IPV6、擴展日志、狀態監視和擴展框架，並可以與應用程序相集成，還可以根據用戶需要增加、清除、修改防火牆規則。

　　5. Vuurmuur

　　Vuurmuur是另一個強大的的Linux防火牆管理器，它可以構建、管理服務器或網絡的iptables規則。同時，Vuurmuur易於管理，並且不需要擁有iptables知識就可以使用Vuurmuur。其特性包括：支持IPV6、通信整形、高級監視特性、實時監視連接和帶寬使用、可輕松地通過NAT進行配置、擁有反欺詐特性。

　　6. pfSense

　　pfSense是另一個用於FreeBSD服務器的開源且可靠的防火牆，它建立在狀態包過濾這個概念的基礎上，並擁有許多僅在高昂的商業防火牆上才具備的特性。它具有如下特性：易於通過Web界面進行配置和升級，可被部署為一個外圍防火牆、DHCP和DNS服務器，可被部署為一個無線訪問點和VPN終端，通信整形，及時獲得服務器的實時信息，入站和出站的負載均衡。

　　7. IPFire

　　IPFire是適用於小型企業、家庭辦公等的開源防火牆，它具有很強的模塊化和靈活性。IPFire社區還關注安全性，並將IPFire作為一種狀態包檢測防火牆來開發。其特性包括：可部署為防火牆、代理服務器或VPN網關、內容過濾、內建的入侵檢測系統、支持wiki、論壇等、支持虛擬化環境的KVM、VmWare、Xen等虛擬機管理程序。

　　8. SmoothWall 和SmoothWall Express

　　SmoothWall也是一個開源防火牆，它有一個稱為WAM(WEB訪問管理器)的易於配置的Web界面。自由發行的SmoothWall版本被稱為SmoothWall Express。其特性包括：支持LAN、DMZ、無線網絡、實時的內容過濾、HTTPS過濾、支持代理服務器、對每個IP、每個接口和訪問的通信的統計進行管理，還有備份和恢復功能等。

　　9. Endian

　　Endian是另一個基於狀態包檢測概念的防火牆，管理員可以將它部署為路由器、代理服務器和網關VPN，它由IPCop防火牆發展而來，具備如下特性：雙向防火牆、Snort入侵防御、可通過HTTP和FTP代理服務器、反病毒和URL黑名單來保障Web服務器的安全、IPSec支持的VPN、實時的網絡通信日志。

　　10.ConfigServer Security Firewall

　　這是一個跨平台的多用途防火牆，也是基於狀態包檢測的概念。它幾乎支持所有的虛擬化環境，如Virtuozzo、OpenVZ、 Vmware、XEN、KVM、 Virtualbox等。其特性包括：登錄失效守護進程可以檢查敏感服務器的登錄失敗，如它可以檢查ssh、SMTP、Exim、Imap、Pure & ProFTP、vsftpd、Subosin及mod_security的失敗;它可以配置電子郵件的警告，告知是否發生了異常，或檢測服務器上的任何種類的入侵;它可以輕松地與流行的web主機控制面板(cPanel、DirectAdmin、Webmin)相集成;通過電子郵件警告過度使用資源的用戶和可疑的進程;高級入侵檢測系統;借助Syn Flood和死亡之ping來保護linux服務器;可以檢查漏洞利用等