2011-01-19 15:58:30 
阿炯
在网上搜集的一些关于软件路由(防火墙)的简介,坚信以后会有更多的软件路由系统,所以我的收集也是不会停止的。
----------------------------------
RouteOS
这个当然没的说,号称ISP级别的路由器。
这是一款基于Linux的商业路由器操作系统,功能强大,拥有几乎所有硬件路由具有的功能.并拥有策略路由功能,routeros要求相当简单:一台具有奔腾以上的CPU,64M内存的X86计算机就足够了(既然号称ISP级的路由器,对内存的要求是大了点).关键是对网卡的支持:Intel的8255X系列,3com的3c905系列,RealTek的8139系列,常见的网卡全可以(建议大家选用Intel82559网卡,速度和稳定性都很好.RealTek8139对CPU资源消耗较大,不适合大数据流量工作.3com就不要考虑了,官方文件说它不支持MTU1500,在特殊应用上可能有问题.具体的资料可云其官网查询).Intel的奔腾Ⅲ450,64M内存,Intel82559 100M 网卡,可以轻松的承担大约200用户的PPPOE拨号以及NAT(网络地址转换).唯一的缺点是该软件是收费的,试用时间只有24小时.不过还好,在这边”盗”还是比较发达的,可以解决这个问题.
据説2.8.26这个版本是比较稳定的,现在Routeros版本更新的太快。
在国内对它介绍比较好一点的论坛有:www.routerclub.com
----------------------------------
Freesco
该名字由来是FREE ciSCO的缩写,开发者希望Freesco能代替网络上的专用路由器.Freesco声称可以在386以上的PC机上顺畅运行,而且只需8MB以上的内存.它的用途和设计思路与嵌入式系统非常类似.和另外一个Linux路由器/防火墙软件——LRP相比,它们的工作原理基本一致,不同之处在于LRP的配置方法相对比较原始,每一步都需要命令行或修改配置文件来进行,而Freesco提供了交互式的选单向导配置程序,更易于操作.
目前Freesco的最新版本为0.3.2,基于Linux 2.0.38内核,比较烦的是需要用fdimage.exe在XP上写入软盘。
系统要求:
作为路由器的计算机需要具有386以上的CPU,8MB以上的内存,软驱,连接局域网的网卡和连接互联网的网络设备,该设备可以是连接ADSL的网卡,也可以是线缆调制解调器(Cable Modem)或普通的调制解调器.
Freesco对于CPU要求非常低,内存方面推荐使用32MB.Freesco支持的网卡类型很多,可以下载http://www.freesco.cc/descargas/ingles/Modules-03x.zip软件包查看.
官方主页:http://www.freesco.org/
自由下载http://www.freesco.cc/descargas/ingles/Freesco-032.zip
----------------------------------
M0N0
m0n0是基于freebsd而开发的软件路由器.由于freebsd有着比linux更高的稳定性,可靠性,所以用m0n0来做软件路由绝对是最好的选择.而且安装配置比coyote更简单,功能更强大!
这个介绍起来比较简单了,准确地说:配置简单,功能强大,运行稳定,转发速度惊人!有些人做过测试确实是转发速度和稳定性惊人。
感觉缺点就是一只也没搞出关於多WAN口的负载和策略,可能也是我没看明白説明吧!
官方主页: http://m0n0.ch/wall/
官方下载地址: http://m0n0.ch/wall/downloads.php
----------------------------------
Pfsense
其是一个FreeBSD下的免费开源的防火墙和路由器软件。2024年2月发现其已经在进行成熟的商业化运作,官方推荐云上或购买其硬件产品;不过有正式的镜像文件下载,源码放置于GitHub。
pfSense是源自于m0n0wall的操作系统。它使用的技术包括Packet Filter,FreeBSD 6.x(或DragonFly BSD,假如ALTQ和CARP完成了的话)的ALTQ(以出色地支持分组队列),集成的包管理系统(以为其环境扩展新的特性)。pfSense除了包含宽带路由器的基本功能外,还有以下的特点:
●基于稳定可靠的FreeBSD操作系统,能适应全天候运行的要求
●具有用户认证功能,使用Web网页的认证方式,配合RADIUS可以实现记费功能
●完善的防火墙、流量控制和数据包功能,保证了网络的安全,稳定和高速运行
●支持多条WAN线路和负载均衡功能,可大幅度提高网络出口带宽,在带宽拥塞时自动分配负载
●内置了IPsec 和PPTP VPN功能,实现不同分支机构的远程互联或远程用户安全地访问内部网
●支持802.1Q VLAN标准,可以通过软件模拟的方式使得普通网卡能识别802.1Q的标记,同时为多个VLAN的用户提供服务
●支持使用额外的软件包来扩展pfSense功能,为用户提供更多的功能(如FTP和透明代理)
●详细的日志功能,方便用户对网络出现的事件分析,统计和处理
●使用Web管理界面进行配置(支持SSL),支持远程管理和软件版本自动在线升级
最新版本:2.0
pfSense 2.0 基于 FreeBSD 8.1,主要改进包括:增强的 IP 别名、面板和部件、SMTP 和 growl 警报、新的流量取样、7层协议过滤、NAT 引擎和配置的改进、证书管理器、VPN改进、虚拟无线 AP 支持等等。
官方主站:http://www.pfsense.com/
----------------------------------
OPNsense
其是一个开源易用,而且易于构建的基于 FreeBSD 的防火墙和路由平台。包括大多数商业防火墙的特性,提供功能完整却易用的 Web GUI 管理界面(采用Php开发)及详细的参考文档,采用BSD协议授权。于2014年开始作为pfSense和m0n0wall的分支版本,于2015年1月正式发布,是一个开源易用且易于构建的基于Hardened BSD的防火墙和路由平台。尽管该项目已经快速发展,但它仍然保留了m0n0wall和pfSense熟悉的方面,登录Web界面后可以自由地执行希望实现的任何配置,从防火墙、VPN、安全等,该项目的发展动力在于其对安全性和代码质量的高要求。它还有负载均衡和虚拟专用网络等功能,也可以通过插件添加更多功能。其核心功能:
流量整形器。
整个系统的双因子身份验证。
强制门户网站。
支持黑名单的转发缓存代理(透明)。
虚拟专用网络(IPsec,OpenVPN和传统L2TP、PPTP支持)。
高可用性和硬件故障转移(具有配置同步和同步状态表)。
入侵检测和预防。
内置报告和监控工具,包括RRD图。
Netflow导出器。
网络流量监控。
支持插件。
DNS服务和DNS转发与动态DNS。
DHCP服务和中继。
加密配置备份到Google云端硬盘。
状态检查防火墙。
对状态表进行粒度控制。
802.1Q VLAN支持。
官方主页:https://opnsense.org/
BSD Router Project
(BSDRP)路由器项目是一个可定制的 FreeBSD 发行版,主要提供 IP 路由服务,适合小型的 ISP。是一份嵌入式的免费且开源的路由操作系统,基于FreeBSD及Quagga(软件路由套件)和BIRD(这是为因特网协议分组进行路由的开源实现)。与其他的嵌入式网络工具不同,BSDRP只对网络分组的寻路转发,而不考虑高级防火墙技术等。额外的功能可通过FreeBSD的Ports集来添加到该操作系统中,在BSD协议下授权使用。
官方主页:http://bsdrp.net/
----------------------------------
ClarkConnect
(以下都简称CC)可以将一部普通的电脑变成一部具有完整功能的网络服务器/路由器.换句话说,它将你的局域网通过固定ip(动态分配的ip),Dsl或是cable连接到互联网.由于这个软件是基于Red Hat,所以还有数以千计的扩展软件包可以安装在你的服务器上.这个软件可以帮你安装并配置你的ClarkConnect server/gateway.
但是你需要具备下面的一些基本要求:
基本的网络知识和经验
Linux的基本入门知识
一条连接互联网的线路
一个小型局域网
官方网站:http://www.clarkconnect.org
----------------------------------
CoyoteLinux
配置简单的coyote linux,俗称”北美小银狼”这款路由软件免费的,不象BBIagent要叫389大洋,但是主要一点就是,它支持令牌回环.也就是俗称双通,实践证明它在发布网站和对游戏支持比BBIagent好,同时它还有下列功能:
1、支持DHCP连接方式;
2、支持静态IP地址连接方式;
3、支持Modem拨号方式;
4、支持ISDN;
5、支持PPPOE,也就是ADSL的连接方式;
6、程序内建DHCP服务器功能;
7、防火墙;
8、IP自动转发;
9、远程管理等等.
北美小银狼,只需一张软盘就可以做一台专业的路由器
官方主站:http://www.coyotelinux.com/
----------------------------------
Smoothwall And ipcop
感觉他们不管从核心还是在功能,使用方法上都很像.连安装都停像得所以仍一起记一下!只不过在这便好像IPCOP的外挂比较多一些.
Smoothwall实际上就是一个非常出名并且好用的Linux系统路由器软件,本身带的防火墙功能也是值得称赞,由于配置要求低,稳定,受到大家的一致好评.使用smoothwall为我们带来的稳定与安全的同时,还可以用这台电脑做一些其他的服务.
2.0普通版和3.0企业版.3.0已经出汉化补丁.3.0使用时需打11个补丁.已经有人为新手准备了回流补丁,只需用SSH上载解压即可.
IpCop让坏的数据包在IPcop面前消失,非常不错的.一眼就能看出来其主要功能是安全防火. 这个是在中国路由网上打得主题!
并且IPCop的外挂非常丰富,关於流量管理,限速等等..现在还有一群IPCop爱好者在编写外挂.有些linux基础对IPCop的使用会更得心应手.
Smoothwall:
官方主站: http://www.smoothwall.org/
IPCop:
官方主站: http://www.ipcop.org/
推荐几个国人对IPCop做的比较好的论坛:
www.routerclub.com
www.itusr.com
----------------------------------
Picobsd
如果你曾经设想有一个小的迷你系统,一个放在一个小小的的空间里的UNIX系统,那么,选PicoBSD就对啦.它是一个一张软盘大小的FreeBSD 3.0-current版本,并且根据不同的需求可以提供安全的拨号存取,小的无盘路由器甚至一个拨号服务器功能.所有的这些功能都是基于一个 1.44MB 软盘-不需要浪费您那宝贵的比如100MB硬盘空间.
PicoBSD它最少需要386SX CPU,8MB的RAM(不需要硬盘).
----------------------------------
Bbiagent
Bbiagent是宽带网络路由器(Router)软件,通过它可以将一部普通的个人电脑作为路由器使用,让局域网上的多部电脑能共享一条宽带线路访问互联网.它同时具有防火墙的功能,可以有效地防止黑客入侵局域网上的电脑进行破坏.
Bbiagent路由器软件支持PPPoE,PPTP,PPPoATM,PPP,DHCP或固定IP地址连网方式,可以通过宽带调制解调器连接到你的网络服务供应商.用它的网络地址转换功能,只要一个有效的IP地址,就可以让整个局域网上的电脑同时高速上网.它还内置DNS和DHCP服务器,避免局域网上的电脑上网时繁复的设置.
Bbiagent路由器软件只需要一片1.44MB的软盘,安装容易,使用简单,而且是免费的.
官方主页: http://www.bbiagent.net/gb/index.html
----------------------------------
Fli4L
因为要装DSL, 想共享上网, 因此想找个共享上网的方案. 专门设一台主机是最灵活的办法, 至于主机上安装什么系统的问题上, 一直决定不下来. 用WINDOS加WINROUTE之类的对硬件要求较高, 且不太稳定,
所以想用LINUX, 以前试过SECUREPOINT的免费软件, 只是它需要4G的硬盘, 我家里的老机子(P133,96MB,2G)不能装, 最后找到了叫Fli4L, 小又好的LINUX系统.
Fli4L是一个LINUX系统, 其功能相当于一个ISDN,DSL,ETHERNET路由器.
硬件要求: 486电脑,16兆内容内存, 一软盘驱动器, 如用于DSL或Ethernet两个网卡. (许多人家都有不用的老机子)可用来共享上网.
官方主页:http://www.Fli4L.de/e_index.htm
----------------------------------
Floppyfw
floppyfw是一个能存放在一张普通的软盘里的Linux 防火墙,并独立的在RAM内存中运行.使用它能启动计算机,利用ipchains过滤掉无用的IP包,还可以使用它来配置IP伪装(IP masquerade),监视端口,通过它可以使用主机对其他网络中的计算机进行远程控制.Floppyfw功能十分强大,但是它运行所需要的硬件环境却非常低,除了需要一张软盘之外,只要8MB的内存就足够了.
官方主站:http://www.zelow.no/floppyfw/
----------------------------------
海蜘蛛
武汉海蜘蛛网络科技有限公司,是一家专注于网络新技术研发及应用的高科技企业,是知名的专业的软路由提供商。自主开发出Hi-Spider Linux平台,并先后在路由系统、企业安全综合接入、企业融合办公、局域网安全存储等网络应用新领域提出富有竞争力解决方案和相关新产品,其主导产品 Hi-Spider Router是一款稳定、高性价比、广受欢迎的接入平台,广泛应用于企业、网吧、教育、小区宽带服务等各个行业领域,具有极大的市场潜力。 有多种版本可以选择:免费版、网吧版、企业版、ISP版。
特性
*支持光纤(静态/动态IP地址)、ADSL/PPPoE 等多种接入方式
*支持静态路由、智能动态路由
*支持策略路由、带宽叠加、多线路负载均衡
*支持路由冗余备份
*支持 SSL/PPTP/L2TP/IPsec VPN、支持 IPIP/GRE/SIT 隧道
*支持 VLAN 网络环境
*支持快速转发(小包优先),吞吐量最高可达 200Mbps,最多 210Kpps
*支持流量控制与 QoS (包括客户端)
*支持 UPnP、端口回流、DMZ 主机
*支持局域网 PPPoE 服务器、RADIUS 认证
*支持一个网卡绑定多个 IP 地址
*支持每个外网网卡拨多个 ADSL 帐号
*支持每个外网网卡绑定一个动态域名
*支持 DHCP 服务
*支持 PXE 无盘安装与启动
*支持基于 IP 地址/网段、协议和端口的数据包过滤
*支持基于站点、URL、关键字等应用层过滤
*支持网络时间同步
*支持 IP 和 MAC 绑定
*支持 DNS 代理/缓存
*支持动态域名解析
官方主页:http://www.hi-spider.com/
----------------------------------
Vyatta
这是一份完整的、即刻可用的、基于Debian的发行,它被设计为能将一套标准的x86硬件转换为企业级的路由器/防火墙。Vyatta包括对常用网络接口、工业标准路由协议和管理协议的支持。与先前的开源软件路由项目不同,所有的这些特性都可以通过单个的命令行接口(CLI)或是基于Web的图形用户界面来配置。Vyatta软件可以以自由社区版本获得,它也以捆绑软件订购的形式提供,这包含了维护、升级和技术支持。
相比IPCop,eBOX,SmoothWall,ClearOS等开源网关产品,Vyatta Core在性能设计上更加出色,包括路由协议,防火墙的包处理效率,这款产品是典型的网关产品,可以说很多性能指标超越Cisco的同类产品。VyOS是其被Brocade收购之后,基于vyatta所fork而来的软件路由器,目标是为开源社区继续提供像vyatta那样功能的软路由。VyOS可视为Vyatta的社区分支,Vyatta已于2013年终止。
功能
* BGP/OSPF/ RIP routing
* Stateful Firewall
* IPv4 / IPv6 routing & security
* IPSec VPN
* SSL OpenVPN
* Intrusion Prevention
* Web Filtering
* WAN Load Balancing
* QoS
* Virtual Firewall
----------------------------------
VyOS
虽然Brocade声称会一如继往地支持vyatta的开源社区,但从目前的情况来看这一呈承诺并不靠谙,所以有了VyOS项目。
2021年2月,再次回顾该项目主页时,发现vyos有再次重蹈vyatta的商业化之路,项目方将红帽的订阅服务学的有模有样。与RedHat掐死CentOS类似,对非付费的用户越来越不友好(只有滚动的版本可用或自行编译后自测),对该项目的未来不太看好,未来不排除深度商业化的可能。从v1.2.0开始,只有滚动发布版本可以公开使用,而LTS版本只能向订阅者提供。然而,这不仅仅意味着商业客户!
每个活跃的贡献者也有资格订阅。官方正在努力维护LTS发行版,准备与任何帮助推进项目的人分享这项工作的成果,无论他们是通过购买订阅、编写代码、编写文档、积极测试VyOS并提交良好的bug报告,还是传播信息来为项目提供资金支持。
----------------------------------
嵌入式Linux发行版-OpenWrt
它是一个框架,开发者不必麻烦的构建整个固件就能得到想要的应用程序;对于用户来说,这意味着完全定制的能力,与以往不同的方式使用设备。多用于无线路由场景。
官方主页:http://openwrt.org/
----------------------------------
全功能软件路由器-Zeroshell
一个微型的Linux发行版本,它功能强大,具有强大的router、radius、web门户、防火墙、VPN、Qos、 DHCP、DNS转发等功能,可以用来安装到服务器上为内网提供网络服务,而且安装和使用都很方便,有Live CD和Flash imgage文件用于安装,可以使用Web界面进行设置和管理。
2024年2月发现其主页已经失联。。
----------------------------------
防火墙和路由器-Devil-Linux
是一份特别的Linux发行,它用于防火墙和路由器场合。Devil-Linux的目标是拥有一份小巧、可定制的而且安全的发行版本。其将来会远远不只是一套普通的路由器,将提供很多其他的服务。
2024年2月发现其主页已经失联。。
----------------------------------
2024年3月站长FreeOA点评:
BSD与Linux阵营的比较,前者在此区域好很多,后者数量上较多,但品质欠佳;商业化上后者比前者更甚,但品控堪忧,或者说是吃相难看。
如果阁下有软路由的需求且经费受限时,还是选择基于BSD的吧,离开那个泥潭不好吗?
----------------------------------
许多计算机通过众多网络连接。监控所有流量并过滤掉好流量和坏流量至关重要,可利用一种称为防火墙的应用程序或服务来实现这一点。早期的防火墙是根据发送者的IP 地址、端口号、域名等过滤数据流量的必备软件。然而,较新的防火墙现在可以读取提供的数据并进行相应的过滤。需要适当的防火墙来控制此类服务器上的流量。市场上有许多提供此服务的提供商。一种是预先安装的,其他实用程序可以安装在您的系统/发行版上,而另一种则独立于所有预装的防火墙;这些防火墙以强化操作系统的形式出现,必须先安装它,然后才能提供 360 度的可视性和安全性。
应该在 Linux 中使用防火墙吗
在黑客拥有最先进技术的时代,你绝不能留下任何漏洞,无论多么小。Linux 服务器被广泛使用,因此使用防火墙来防止DDOS和 DOS 攻击就显得更加重要。因此,数据监控和过滤至关重要,如果受到攻击,防火墙可以减少服务器和机器的负载。它们会过滤掉不必要的数据包。新的防火墙可以改进数据过滤,机器学习模型可以教导系统随着时间的推移增加数据过滤。
黑客使用防火墙吗
黑客大多绕过防火墙而不是使用它。从黑客的角度来看,防火墙在任何攻击中都是无用的。但另一个角度来看,即使是黑客也必须保护自己的系统,为此其可能需要在系统上实施防火墙。这是针对黑帽黑客的,但道德黑客需要使用防火墙来保护他们的组织免受针对其服务器的恶意请求。无论黑客是道德的还是非道德的,都需要防火墙来防止他们或他们的组织受到黑客攻击。
网络安全中最强大的要素是什么
在实施网络安全之前,您必须了解网络元素,例如路由器、交换机、网桥等……
在所有能够提供网络安全的元素中,IPS是最强大的元素之一,并且配备在最前线的防火墙。 IPS 是网络安全中最重要的元素,因为它不仅监控所有进入服务器的恶意活动或请求,而且还会自动尝试缓解由于恶意请求而导致系统/网络中出现或可能出现的问题。以下是小结的“独眼情况”博客上常用 Linux 防火墙(或带有此功能特点)
OPNsense – 功能丰富、易于使用的防火墙,具有基于 Web 的界面和大量插件。
Shorewall – 灵活而强大的防火墙配置工具,适用于复杂的网络设置。
Iptables – 强大的命令行防火墙实用程序,用于管理 Linux 内核数据包过滤规则。
pfSense – 具有基于 Web 的界面,高度可定制的防火墙和路由平台。
Endian 防火墙——结合防火墙、防病毒和 VPN 功能的综合 UTM 解决方案。
Smoothwall Express – 用户友好的开源防火墙,具有直观的基于 Web 的管理。
Vuurmuur – 用于管理 Netfilter/iptables 并进行实时监控的图形前端。
IPCop 防火墙 – 易于使用的防火墙分布,针对小型和家庭办公网络。
ClearOS – 具有简单 Web 界面的统一威胁管理和网络网关解决方案。
OpenWRT – 多功能开源固件,提供高级防火墙和路由功能。
最佳 Linux 防火墙及其功能
| 2025 年最佳 Linux 防火墙 | 特征 | 独立功能 | 价格 | 免费试用/演示 |
|---|---|---|---|---|
| 1. OPNsense | 1.防火墙 2. MultiWan 3.虚拟专用网络 4.硬件故障保护 5.直观的用户界面 6.入侵检测与预防 7.双因素身份验证 | 1 . 高级防火墙配置 2 . 基于区域的配置 3 . 多个接口帮助 4 . 用途广泛 5 . 安装简便 | 免费开源软件 | 是的 |
| 2. Shorewall | 1. 高级防火墙配置 2. 基于区域的配置 3. 多个接口帮助 4. 用途广泛 5. 安装简便 | 灵活、强大的防火墙管理 | 免费开源软件 | 不 |
| 3. Iptable | 1. 易于访问 2. 快速 3. 用户定义链 4. 使用简单 5. 规则自定义 | 数据包过滤的命令行界面 | 免费,内置于 Linux | 不 |
| 4. pfSense | 1.负载均衡器 2.防火墙 3.硬件故障转移 4. Web 界面 5.轻松配置 6.流量整形器 | 全面的功能和定制选项 | 免费开源软件 | 是的 |
| 5. Endian | 1.免费开源软件解决方案 2.硬件解决方案 3.虚拟解决方案 4.功能强大且使用简单 5.邮件和网络安全 6.安全远程访问 | 集成安全和网络服务 | 提供免费社区版 | 是的 |
| 6. Smoothwall Express | 1. 稳定且安全的 Linux 防火墙发行版。 2. 为用户群开发 Linux 和开源运动。 3. 高度可配置的功能 4. 为用户群提供可靠的支持。 5. 为公众提供友好的讨论环境 6. 轻松访问以请求帮助。 | 具有强大的过滤功能,方便用户使用 | 免费开源软件 | 不 |
| 7.Vuurmuur | 1.无需了解 IP 表 2.支持 Ipv6 3. Ncurses GUI,无需 X。 4.简单的端口转发 5.更简单的 NAT 设置 6.安全的默认策略 | Iptables 管理的 GUI | 免费开源软件 | 不 |
| 8. IPCop | 1.安装和设置非常简单 2.入侵检测 3.自定义防火墙 4.内容过滤黑屏 5.带宽管理 6.域控制器 | 基本功能简单易用 | 免费开源软件 | 不 |
| 9. ClearOS | 1.安装和设置非常简单 2.入侵检测 3.自定义防火墙 4.内容过滤黑屏 5.带宽管理 6.域控制器 | 统一威胁管理系统 | 免费,订阅额外内容 | 是的 |
| 10. OpenWRT | 1. 可扩展性 2. 3千多个应用程序包标准化 3. 利用本机双栈连接 4. IPv4/IPv6 转换 5. 屏蔽路由器上的广告 6. 智能队列管理 | 带防火墙的可定制路由器固件 | 免费开源软件 | 不 |
1. OPNsense
年份:2014
地点:荷兰
开源且免费的 OPNsense 提供了与 Linux 系统保护的所有基本功能,其中的多 WAN 有助于平衡网络负载并支持故障转移。使用零层等插件让其设置非常简单。
完整的设置只需几分钟。此插件涵盖监控。OPNsense 防火墙使用通用地址冗余技术,提供顺畅的故障转移服务,并实现最大可用性。Free Range Router 提供可插入的 OSPF 和 BGP 功能。
它们拥有开源防火墙中最简单的用户界面和集成的搜索功能——具有访问控制和外部黑名单的综合网络代理,可过滤不良流量。其他解决方案包括防火墙别名和DNS黑名单。广告拦截变得简单!
为什么推荐它?
像 OPNsense 这样的防火墙可以通过 IP 地址、端口、协议等过滤和调节网络流量。
基于防火墙使用 NAT 将私有 IP 地址转换为公共 IP 地址,反之亦然。
支持 OpenVPN、IPsec 等。
可以使用 IDS/IPS 检测并阻止网络攻击。
网络过滤让管理员能够根据 Linux 防火墙上的类别、URL 或内容来管理网络流量。
监控网络流量、记录事件并生成报告。
QoS 让 Linux 防火墙管理员可以优先处理网络流量。
具有高可用性设置的基于 Linux 的防火墙可以在硬件或软件出现故障时提供冗余网络操作。
什么是好的?还有什么可以改进?
1.适当的文档 1.日志记录可以改进
2.设置简单 2.需要更多基于 shell 的配置,而不是基于命令 shell
3.易于扩展
4.易于实施
2. Shorewall
年份:2020
地点:美国波士顿
Shorewell 防火墙是一款适用于 Linux 的轻量级防火墙配置和流量管理实用程序。它可用作专用防火墙、多功能网关/路由器/服务器或独立的 GNU/Linux 系统。
其设计目标是将防火墙配置抽象到比普通表更高的层次。由于 Shorewall 不采用链式兼容模式,因此可以使用 Netfilter 的连接状态跟踪。
这种方法通过将接口划分为具有不同访问级别的区域,允许用户对连接到接口而不是地址的一组计算机进行操作。
Shorewall 网站上的双界面文档用于在领先网站上配置适用于 Linux 的 Shorewell 防火墙。在 Shorewall 中用户可以快速全面地部署区域策略。
为什么推荐它?
不使用复杂的配置词汇,Shorewall 简化了防火墙规则的定义和管理。
与 NAT 兼容,NAT 是一种将 IP 地址从私有领域转换为公共领域的协议。
通过 QoS 规则,它可以优先处理和调节网络流量。
可与多种 VPN 协议配合使用。
使用连接监控和状态检查来监控和控制所有网络连接。
记录防火墙和网络活动。
高级用户可以使用 Shorewall 的脚本和扩展来修改防火墙的行为。
管理员可以使用它来设置和管理 IPv6 防火墙规则。
将网络接口划分为逻辑区域,以方便段或接口级防火墙策略管理。
什么是好的?还有什么可以改进?
1.提供简单的配置语法。1.需要更好的支持系统
2 . 精确控制防火墙规则,并使其可配置。2.需要 GUI
3.提供详尽的网络流量日志记录,以便排除故障。
价格
可以从这里获得免费试用和个性化演示。
3. iptables
年份:1998
IPTables(Linux 防火墙)可用于个人计算或整个网络。使用它将定义一组规则来监控、允许或阻止传入或传出的网络数据包。其默认使用四种类型的表,这些表包含不同的链(总共 5 种类型):
1. 过滤
该表负责任何数据包的进入,并决定允许哪些数据包;该表使用这三个不同的链
输入——此链中的规则控制服务器接收的数据包。
输出——此链控制出站流量的数据包。
转发——这组规则控制通过服务器路由的数据包。
2. 网络地址转换(NAT)
当无法直接访问网络,需要 NAT(网络地址转换)时,将使用此表。当必须更改数据包的目标或来源时,将使用 NAT 表。
它包括以下链:
预路由——此链在服务器收到数据包后立即分配数据包。
输出
后路由——此链中的规则允许数据包离开输出链后进行更改。
3. Mangle
Mangle 表调整数据包的 IP 头属性。该表包含我们上面描述的所有以下链:
预路由
后布线
输出
输入
向前
4. RAW
raw 表包含我们之前提到的两个链:Raw 表用于免除数据包的连接跟踪。
预布线
输出
5. 安全性(可选)
某些版本的 Linux 还使用安全表来管理特殊访问规则。此表包括输入、输出和前向链,与过滤表非常相似。
为什么推荐它?
使用 iptables,管理员可以使用 IP 地址范围、端口、协议和数据包属性过滤网络流量。
支持网络地址转换,用于 IP 地址和端口的转换。
通过监视网络连接和执行规则来执行状态数据包检查。
监控连接被纳入 iptables 中。
让管理员监控防火墙和网络流量。
NAPT 是 iptables 的一项功能。她也被称为端口转发或目标 NAT。
iptables 的 QoS 功能允许网络管理员对特定流量进行优先排序。
什么是好的?还有什么可以改进?
1.价格低廉、性能不错的开源防火墙 1.可以通过不同的链来查看数据包
2.非常通用的命令行控制工具。2.难以管理高速率的小型 UDP 数据包
3.概念容易理解。
价格
可以从这里获得免费试用和个性化演示
4. pfSense
普富思
年份:2006
地点:美国德克萨斯州奥斯汀。
pfSense 防火墙是一个独立的操作系统,因此可以在系统(运行操作系统)上虚拟托管它,也可以将其安装在专用工作站上。它可能是功能最丰富的防火墙,但这使其难以使用。
虽然界面力求让操作简单易懂,但还是存在学习曲线。您可以根据需要从主页安装首选的 ISO 文件。然后,您将正确设置整个虚拟机或专用系统。
这将作为您操作该工具的控制中心。输入用户名 admin 和密码 pfSense,然后单击“登录”。首次使用此程序时,最好进行一些基本的调整和更改。
调整后的防火墙即可使用。还可以安装预先安装和修改的 VM,无需更改和配置它。如果您选择采用此策略,它已准备就绪。
为什么推荐它?
管理员可以在 pfSense 中构建和管理防火墙规则来规范网络流量并防止未经授权的访问。
网络地址转换让 pfSense 将私有 IP 地址转换为公共 IP 地址,反之亦然。
支持 IPsec、OpenVPN、L2TP 和 PPTP VPN。
Snort 和 Suricata 可以与 pfSense 集成以作为 IDS/IPS 运行。
管理员可以使用 QoS 规则来塑造和优先处理网络流量。
网络过滤让管理员可以使用 pfSense 管理和监控网络流量。
强制门户为访客网络访问提供用户验证。
什么是好的?还有什么可以改进?
1.基于 Web 的 GUI 简化了设置和管理。1.没有集中管理系统
2.用途广泛,可用作防火墙、路由器、VPN 网关等。2.早期配置困难
3.庞大而活跃的用户社区,拥有丰富的文档和支持
4.描述 支持定制功能的软件包和附加组件。
5. Endian
年份:2005
地点:意大利
Endian 防火墙是一套完整的统一威胁管理 (UTM) 解决方案,适用于您的 Linux 安全解决方案。它旨在成为最易于安装、配置和使用的安全产品。所有内容均已记录,以便阅读和理解每个步骤。
Endian UTM 将过滤介绍性电子邮件并提供在线安全保护,以帮助保护您的家庭网络。Edian Linux 防火墙的专业版提供实时网络和电子邮件过滤功能,具有高级内容安全 (ACS),由 CYREN 和 Bitdefender 反恶意软件引擎提供支持。
Edina Linux 防火墙还包括一个 VPN,可帮助建立安全连接,同时保持身份隐藏。
它的专业版本提供了增强的可扩展性和功能,例如 Active Directory/LDAP 身份验证、双因素身份验证以及对移动平台的顶级支持(SSL、L2TP、XAuth)。
通过实时监控和报告,您将获得实时数据。要获得图表和详细历史数据视图等功能,您必须购买 Edian Linux 防火墙的专业版。
为什么推荐它?
强大的 Endian 防火墙引擎允许管理员构建和管理防火墙规则来控制进出系统的网络流量。
支持网络地址转换,将私有 IP 地址转换为公共 IP 地址。
VPN 功能可加密站点到站点和远程访问通信。
Snort 和 Suricata 是流行的 IDS/IPS 系统,与 I Endian 防火墙配合使用。
Web 过滤帮助 Endian 防火墙控制和监控网络流量。
保护电子邮件免受病毒和垃圾邮件的侵害。
管理员可以使用 QoS 规则对网络流量进行优先排序。
日志和监控工具分析网络流量和防火墙事件。
什么是好的?还有什么可以改进?
1.可用的集成选项不多 1.可用的集成选项不多
2.可靠且快速的解决方案 2.支持文档较少
3.执行速度非常快
4.网络接口的命名令人印象深刻
6. Smoothwall Express
年份:2000
地点:雅福特,在 北卡罗来纳州夏洛特设有美国办事处
Smoothwall Express 是由 Smoothwall 开源项目团队开发的一款网络 Linux 防火墙。它是一款免费的防火墙,具有安全强化的 GNU/Linux 操作系统和用户友好的 Web 界面。
这款防火墙专为家庭用户和小型企业而设计。尽管是免费的,但 Smooth Wall Express Linux 防火墙采用了与其他商业解决方案相同的研究和功能,因此是一款可靠的解决方案。
这款 Linux 防火墙可以替代 EFW,因为它需要虚拟化 shell 或硬件环境。Smooth Wall 还为多个行业(包括教育、公共部门和商业用例)提供经过微调的企业解决方案。
由于提供了文档,安装也相当简单,如果您遇到困难,可以向大型社区寻求帮助。SmoothWall 在安装过程中会重新格式化硬盘,不允许您存储任何数据或创建自定义分区。
您必须选择要使用的网络接口:以太网、ISDN 或 USB ADSL。Smoothwall Ltd 的安全产品面向商业客户,并包含支持包。Smoothwall Express 是一款免费的开源防火墙,适用于小型和家庭办公室客户。
为什么推荐它?
强大的防火墙引擎让管理员可以设置和管理防火墙规则来限制网络流量。
支持 VPN,实现安全远程访问和站点到站点的连接。
通过网页内容过滤来控制和监控网页流量。
与 Snort 和 Suricata 配合使用,它们是开源 IDS/IPS 系统。
让管理人员可以根据 QoS 对网络流量进行优先排序。
具备带宽监控跟踪网络消耗和流量趋势。
DHCP 和 DNS 简化了其中的网络部署和管理。
什么是好的?还有什么可以改进?
1 . 低端维护。1 . 不支持SSD。
2.通常免费,对于小型企业来说具有成本效益。2.不具备 IT 知识的用户可能难以进行配置。
3.拥有活跃的用户社区,提供支持和附加组件。
7. Vuurmuur
Vuurmuur Linux 防火墙是一款基于 iptables 的强大防火墙管理软件,其配置过程简单易学,但也可以进行复杂的设置。使用 Ncurses GUI 进行设置可通过 SSH 或 PUTTY shell 进行安全管理。
这样可以从任何系统轻松控制和管理防火墙。Vuurmuur 提供流量整形(数据包整形)和广泛的监控设施,让管理员可以实时查看日志、连接和带宽利用率。
Vuurmuur Linux 防火墙是 GNU GPL 授权的开源软件。查看功能和屏幕截图。基于 Linux 的 IPCop 防火墙保护网络。该架构专注于在易受攻击的区域运行更多防火墙代码。
Sendmail 和 FTP 守护进程请求也受到监控。工具安装的冗长说明包括更新的设置和其他参数。在使用 PXE 启动进行设置时,您必须从 CDROM、软盘、USB 密钥或网络启动。
它可精细控制多方面网络流量安装的功能。IPCop 2.1.9 于 2019-02-23 发布,是最新稳定版本。
IPCop v2 硬件要求包括486 CPU、512 MiB 磁盘空间、64 MiB RAM、2 或 1 个网卡、模拟调制解调器、ISDN 卡、GSM、UMTS 和互联网连接。家庭和 SOHO 用户是其目标用户。
为什么推荐它?
简单的界面使 Vuurmuur 的防火墙规则生成和管理变得简单。
网络地址转换让 Vuurmuur 将私有 IP 地址转换为公共 IP 地址。
让管理人员根据不同因素控制网络流量。
跟踪网络连接与记录防火墙和网络事件。
让防火墙通过应用程序级网关理解和处理应用层网络协议。
让管理员指定目标 NAT(端口转发)。
什么是好的?还有什么可以改进?
1.通过安全编程保护计算机/网络。1.老式PC只能从CDROM启动,而网络启动则需要带有启动ROM的网卡。
2.其网页界面非常人性化,使用非常方便。2.用户创建的规则需要更长时间才能配置,因为默认情况下不会添加任何规则。
3 . 用户社区及发展带来的好处。
4.自动化和脚本化防火墙规则。
8. IPCop 防火墙
年份:2001
地点:卡纳塔克邦班加罗尔
基于 Linux 的 IPCop 防火墙可保护网络。该架构专注于在易受攻击的区域运行更多防火墙代码。Sendmail 和 FTP 守护进程请求也受到监控。工具安装的详细说明包括更新的设置和其他参数。
在使用 PXE 启动进行设置时,必须从 CDROM、软盘、USB 密钥或网络启动。它可以精细地控制多方面网络流量安装的功能。IPCop v2.1.9 于 2019-02-23 发布,是最新稳定版本。
IPCop v2 硬件要求包括486 CPU、512 MiB 磁盘空间、64 MiB RAM、2 或 1 个网卡、模拟调制解调器、ISDN 卡、GSM、UMTS 和互联网连接。目标用户是家庭和 SOHO 用户。
为什么推荐它?
先进的 IPCop 防火墙引擎允许管理员建立和维护防火墙规则来控制进出系统的网络流量。
支持 NAT,因此您可以快速将私有 IP 转换为公共 IP,反之亦然。
原生支持 IPsec 和 OpenVPN。
具备开源 IDS/IPS,可与 Snort 配合使用。
网络代理和内容筛选简化了网络流量管理。
QoS 规则可以使用 IPCop 防火墙对网络流量进行优先排序。
过 DHCP、DNS 和带宽监控简化了网络部署和维护。
什么是好的?还有什么可以改进?
1.最新版本支持多种架构 1.通过安全编程保护计算机/网络。
2.拥有活跃的用户社区,提供支持和附加组件。2.软件可能过时且商业支持有限。
3.允许使用 Web 代理和 URL 过滤来控制互联网访问。
9. ClearOS
年份:2009
地点:威斯康星州密尔沃基
HPE 部署了 ClearOS,这是一个与 ClearCenter 合作开发的基于 Linux 的开源操作系统,旨在重新定义中小型企业。网关和网络是下一代小型企业服务器的一部分。基于 Web 的图形用户界面让用户可以选择程序和支持并为其付费。
它作为主机操作系统在服务器、网络设备和虚拟机上运行。可以下载 ClearOS 软件、获取 ClearBox 硬件或使用 ClearVM 进行虚拟化。HPE ProLiant ML110、ML30 和 DL20 服务器支持它。
其可配置、易于使用的软件平台可提高企业业绩并降低开支。HPE Intelligent Provisioning 允许在所有 300 系列及以下的 ProLiant 服务器上下载和安装。
它提供适用于移动、商业、家庭和分布式环境的各种订阅,以及适用于教育、非营利组织、商业和政府的 ClearOS 解决方案。ClearOS 5 和 6 以及最新的 ClearOS 7 具有不同的文档和支持。
为什么推荐它?
使用强大的防火墙引擎,ClearOS 管理员可以创建和管理防火墙规则来控制网络流量。
网络地址转换将私有 IP 地址转换为公共 IP 地址,反之亦然。
VPN 包括 PPTP、OpenVPN 和 IPsec。
支持开源 IDS/IPS,例如 Snort 和 Suricata。
会阻止危险网站并拦截击键。
支持 QoS 和带宽管理。
除了病毒和垃圾邮件之外,ClearOS 还可以禁用恶意网站和渗透攻击。
由于其动态 DNS 和 DHCP 服务,ClearOS 简化了网络管理。
具有良好的日志记录和报告功能。
什么是好的?还有什么可以改进?
1.将来的更新和补丁将免费提供。1.无法逐一复制 Microsoft Small Business Server 或 Windows Server 的功能。
2.推广应用程序和附加组件以扩展功能
3.在较旧的硬件上可能会占用大量资源,从而影响性能。
4.包括防病毒和网页内容过滤功能,保障互联网安全。
10. OpenWRT
年份:2004
OpenWrt 是一款 Linux 嵌入式操作系统,包含完全可写的文件系统和软件包管理。无需选择和配置应用程序,供应商可以使用软件包来让设备适应应用程序。
构建不使用固件的应用程序比使用库存固件效果更好。这可以使路由器成为家庭自动化的中心,并通过 ddns 脚本访问比供应商固件更多的 DDNS 提供商。Wi-Fi 已停用,默认安全安装没有弱密码或后门。
开发者和志愿者社区通过论坛、开发者社区和管理员邮件列表进行交流。它提供命令行 (SSH) 和基于 Web 的配置,让用户可以完全控制其路由器/设备。
使用 OpenWrt 镜像生成器创建自定义固件图像,例如预定义密码、WiFi 等。软件包将 WebUI 本地化为 20 多种语言。随着网络研究从实验发展到实用,OpenWrt 提供了生产质量代码。团队不断开发 fq_codel 和 cake 算法,以减少缓冲区膨胀、Wi-Fi 堆栈排队和延迟,并为具有多个路由器和 ISP 的家庭网络提供服务发现、前缀分配和零配置 IPv6/IPv4 路由。
v22.03.3 于 2023年1月9日发布,可根据 GPL 访问,无需订阅或许可。
为什么推荐它?
允许用户通过定制操作系统来完全控制设备。
支持各种嵌入式系统、无线路由器和接入点。
提供 IPv4 和 IPv6 路由、NAT、DHCP、DNS、VLAN、防火墙、QoS 和 VPN 服务。
支持 Wi-Fi、蓝牙和无线网状网络。
LuCI 网络界面使图形设备控制和配置更加容易。
优先考虑安全性,支持防火墙、端口转发、NAT 和 VPN。
支持 IPv6,即 IPv4 的后继者。
什么是好的?还有什么可以改进?
1.不像其他固件那样用户友好1.不像其他固件那样用户友好
2.软件组件始终保持更新。2.让程序运行起来需要更多时间
3.配置信息以纯文本文件形式记录,方便编辑和复制。
通过上文可以在工作场所实施的所有不同的 Linux 防火墙以及它们专门用于哪种工作。了解这些将有助于选择适合您的工作场所的防火墙。由于未来数据流动的速度将如此之快,使用防火墙监控和阻止恶意数据的情况将日益增多。要做到这一点,就必须知道市场上有哪些不同的防火墙,我希望通过这篇文章,你能获得这些信息,并帮助你根据自己的需求选择正确的选项。下面以BSD系的两大路由防火墙做一些简单的对比说明。
pfSense和OPNsense都是基于Freebsd的开源防火墙和路由器软件。它们都提供了类似的功能,如防火墙、VPN、负载均衡、DHCP、DNS、路由等。两者的区别主要在以下几个方面:
1.用户界面和易用性: pfSense的用户界面比较老式,但是非常稳定和易用;OPNsense则有一个更现代化的界面,也比较容易使用。
2.社区支持: pfSense的社区比OPNsense更大,因此更容易找到相关文档和教程;但OPNsense社区也在增长中,也有很多用户。
3.插件和扩展: pfSense的插件和扩展比OPNsense更多,因此能够支持更广泛的应用和场景;但OPNsense也有一些独特的插件和扩展,例如Tinc VPN和Wireguard VPN等。
4.安全性: OPNsense在安全性方面有一些优势,例如默认启用了DNS over TLS和HTTP Strict transport security (HSTS)等功能;同时,OPNsense也更加注重安全更新和修复漏洞。
它俩直接或间接地都是monwall的分支。pfSense是2004年monwall的一个分支(并于2006年正式发布),而OPNsense在2015年成为pfSense的一个分支。总的来说,它俩都是非常优秀的开源防火墙和路由器软件,选择哪一个取决于你的具体需求和偏好。
----------------------------------
本文源自:互联网