【51CTO.com 独家特稿】中小企业可以不必花费大量的金钱去购买专业级防火墙。近几年来,有些专业人士发现,有些自称固若金汤的硬件防火墙功能并非如此神奇,而其价格却高得惊人。由于一些中小企业没有足够的安全专业人士,再加上有些厂商的“忽悠”,使不少单位花了不少冤枉钱却未见安全状况的明显改观。因此,笔者认为有必要谈谈如何采用开源软件将普通的电脑改造成为一台不错的专业级路由器/防火墙设备。
IPCop
网址: [url]http://www.ipcop.org/index.php[/url]
就其核心来说,此软件实质上是一个防火墙设备。应当说,它是一个可担当硬件防火墙功能的Linux发行版本,从而可保护用户的网络免受外部的甚至内部的威胁。它可通过光盘、闪盘、HTTP/FTP网络来安装,而且安装过程简易且直观。
推荐最好的四款Linux/BSD防火墙_第1张图片 
图1
此软件还拥有多语言支持功能,而且这个小型的Linux发行版本几乎可运行在多种平台,可以说是这是一款久经考验的防火墙产品。
此外,此软件拥有大量的插件。笔者最喜欢的是Banish和Copfilter这两个插件,这二者可用于实时地过滤恶意软件和病毒。
比方说,Banish可利用下面的IPtables chains来创建IPtables日志和丢弃语句:
CUSTOMINPUT
CUSTOMFORWARD
CUSTOMOUTPUT
推荐最好的四款Linux/BSD防火墙_第2张图片 
图2
而Copfilter是一个很神奇的开源项目,它将IPCop的性能扩展到了应用层,这使它极大地增强了IPCop的功能,如:
POP3/SMTP扫描器可扫描进入或转出的电子邮件,HTTP扫描利用HAVP,它可保障Web通信的安全,还可通过代理来过滤或清除cookies、广告、其它的垃圾信息。最大的特色为反病毒扫描,通过ClamAV或F-Prot来扫描通信查找恶意软件。不过,F-Prot是一款商业产品,用户必须获得许可证才能使用它。
反垃圾邮件功能主要通过Spam Assassin、Razor、DCC来形成高效的反垃圾邮件防御阵线。此外,进程监视值得一提,通过Monit用户可以监视所有的进程,并在需要时可以重新启动之。
M0n0wall
网址: [url]http://m0n0.ch/wall/[/url]
IPCop确实非同凡响,但出色的还有BSD下的轻量级产品。如M0n0wall这款小巧玲珑的软件,仅有12MB,非常便于携带和安装。其设计目的便是为了取代那些昂贵的防火墙设备,它主要工作在嵌入式设备上,当然也可用于老式的X86系列计算机上,将老电脑变成一台出色的路由器。
推荐最好的四款Linux/BSD防火墙_第3张图片 
图3
作为一款BSD的优良产品,其功能当然不在话下。虽然它可工作在老式的PC机上(如奔腾处理器的计算机),但对资深管理员来说,它在嵌入式系统上更能发挥其优势。因此,对于那些Windows的忠诚用户来说,要将计算机转变为一台很酷的防火墙设备,它并不是一个十分理想的选择。
pfSense
网址: [url]http://www.pfsense.com/[/url]
前些日子51CTO发布的《pfSense:开源防火墙打造固若金汤网络》对此软件的安装和使用进行了介绍。对那些想把老PC机变为防火墙设备的用户来说,pfsense应当是最好的选择。其最著名的特性包括:
冗余性,通过构建一个失效转移组,即使由于某种原因导致接口发生离线故障,网络仍能保持可靠使用。
负载平衡:它可在WAN连接或多个服务器之间提供转入和转出的平衡,这依赖于通信所经过的路径。
强制网络入口:强迫用户进行身份验证或简单地将其转到所需要的地方。
推荐最好的四款Linux/BSD防火墙_第4张图片 
图4
对于欲加强其防火墙安装配置的用户来说,笔者强烈推荐使用pfSense这个好东东。
SmoothWall
网址: [url]http://www.smoothwall.org/[/url]
管理员们可以使用SmoothWall来保护网络,对于渴忘自已构建防火墙设备的安全管理员来说,如小型企业的管理员,可借助此软件将一台老PC来构建一台功能强大的防火墙设备。况且,SmoothWall提供了令人愉悦的安装过程。安装完成后,管理员可以设置其防火墙设置,可以配置QoS、Web过滤器、反垃圾保护,并可管理进入的及转出的IM通信消息。
SmoothWall的内容过滤能力非常强大。如果您以前从没有试着将一台老PC转变为一台防火墙设备,那么笔者强烈建议您试一试。况且,SmoothWall还提供了对企业级的支持。
推荐最好的四款Linux/BSD防火墙_第5张图片 
图5
对于以上产品,笔者首推IPCop,它可将普通的PC变成功能颇强的防火墙。但其它几款产品也无不令人心动。不妨下载并安装一个试试。