7 лучших файрволов c открытым исходным кодом для защиты вашей сети

Original author: Chandan Kumar
  • Translation
Статистика утечки данных показывает, что каждый день миллионы данных оказываются украденными или потерянными.



Насколько безопасна ваша сеть? Используете ли вы файрвол для защиты вашей сетевой инфраструктуры?

Ранее я писал об управляемых облачных файрволах и получил предложение написать о бесплатных файрволах или файрволах с открытым исходным кодом.

Вот, пожалуйста!



Следующие бесплатные файрволы отличаются от файрволов веб-приложений. Они служат для защиты инфраструктуры, а не кода или приложения.

1. pfSense


Это решение для обеспечения безопасности с открытым исходным кодом на основе ядра FreeBSD. pfSense – это один из ведущих сетевых файрволов с коммерческим уровнем функционала.

pfSense доступно как оборудование, виртуальное устройство и загружаемый исходник (общая версия).



Бесплатно вы получаете общую версию.

Мне нравится их исчерпывающая документация, хорошо понятная и простая в использовании. Вот некоторые из значимых упоминаемых особенностей pfSense:

  • файрвол — фильтрация IP/портов, ограничение соединений, работа на канальном уровне, нормализация пакетов;
  • таблица состояний — по умолчанию все правила находятся в отслеживаемом состоянии, множественные конфигураций подходят для обработки состояний;
  • серверная балансировка нагрузки — встроенный балансировщик нагрузки для ее распределения между несколькими серверами;
  • NAT (преобразование сетевых адресов) — переадресация портов, отражение;
  • HA (высокая доступность) — переход на вторичный сервер, если основной дал сбой;
  • мульти-WAN (глобальная компьютерная сеть) – использование более чем одного интернет-соединения;
  • VPN (виртуальная частная сеть) — поддержка IPsec и OpenVPN;
  • создание отчетов – сохранение информации об использованных ресурсах;
  • мониторинг – мониторинг в режиме реального времени;
  • динамический DNS – включено несколько DNS-клиентов;
  • поддержка DHCP Relay.

Больше функций, чем предоставляют некоторые коммерческие файрволы, вы получаете БЕСПЛАТНО.

Поразительно, не так ли?

Кроме того, у вас также есть возможность устанавливать пакеты всего одним щелчком мыши.

Например:

  • безопасность — stunner, snort, tinc, nmap, arpwatch;
  • мониторинг – iftop, ntopng, softflowd, urlsnarf, darkstat, mailreport;
  • создание сети — netio, nut, Avahi;
  • маршрутизация — frr, olsrd, routed, OpenBGPD;
  • обслуживание — iperf, widentd, syslog-ng, bind, acme, imspector, git, dns-server.

pfSense выглядит многообещающе и его стоит попробовать.

2. IPFire


IPFire основан на Netfilter и ему доверяют тысячи компаний по всему миру.



IPFire можно использовать как файрвол, прокси-сервер или VPN-шлюз — все зависит от того, как вы настроите его. Он обладает большой гибкостью в настройках.

IDS (система обнаружения вторжений) является встроенной, поэтому атаки обнаруживаются и предотвращаются с самого начала, а с помощью дополнения Guardian вы можете осуществлять автоматическую профилактику.

Вы сможете понять как работать с IPFire менее чем за 30 минут. Прочитать больше о его возможностях можно здесь.

3. OPNSense


OPNSense является ответвлением pfSense и m0n0wall. Графический интерфейс доступен на нескольких языках, таких как французский, китайский, японский, итальянский, русский и др.



OPNSense обладает многими серьезными уровнями безопасности и функциями файрвола, такими как IPSec, VPN, 2FA, QoS, IDPS, Netflow, Proxy, Webfilter и т.д.

Он совместим с 32-битной или 64-битной системной архитектурой и доступен для загрузки как ISO-образ и USB-установщик.

4. NG Firewall


NG Firewall от Untangle — это единая платформа, где вы можете получить все необходимое для защиты сети своей организации.



Он обладает красивой панелью инструментов, попробовать демо-версию можно здесь. Он работает как магазин приложений, где вы можете запускать или отключать отдельные приложения (модули) в соответствии со своими потребностями.

В бесплатной версии вы получаете доступ к самой платформе NG Firewall, бесплатные приложения и 14-дневную пробную версию платных функций.

5. Smoothwall


Smoothwall express — это бесплатное решение с простым веб-интерфейсом для настройки и управления файрволом.



Smoothwall express поддерживает LAN (локальную сеть), DMZ (демилитаризованную зону), внутренний и внешний сетевой файрвол, веб-прокси для ускорения, статистику трафика и др.
Выключение или перезагрузка возможны непосредственно через веб-интерфейс.

Примечание: Следующие две программы предназначены только для серверов Linux.

6. ufw


ufw (несложный файрвол) работает с Ubuntu. Для управления системой фильтрации пакетов ядра Linux (Netfilter) он использует интерфейс командной строки.

7. csf


csf (ConfigServer security) протестирован и поддерживается на следующих ОS и виртуальных серверах:

  • RHEL/CentOS
  • CloudLinux
  • Fedora
  • OpenSUSE
  • Debian
  • Ubuntu
  • Slackware
  • OpenVZ
  • KVM
  • VirtualBox
  • XEN
  • VMware
  • Virtuozzo
  • UML

csf — это файрвол с контролем состояния соединений, обнаружением входа в систему и обеспечением безопасности для серверов Linux.

Я надеюсь, что вышеперечисленные бесплатные решения для файрвола помогут вам сэкономить деньги и защитить вашу инфраструктуру от взлома.


LOOKING.HOUSE — на проекте собрано более 150 точек looking glass в 40 странах. Можно быстро выполнить команды host, ping, traceroute и mtr.


Поиск VPS
57.64
Помогаем найти самый лучший виртуальный сервер
Share post

Comments 15

    +1
    ufw (несложный файрвол) работает с Ubuntu. Для управления системой фильтрации пакетов ядра Linux (Netfilter) он использует интерфейс командной строки.

    Есть и графическая оболочка: gufw.
      +1
      csf (ConfigServer security)

      Долго всматривался в скобки в поисках буквы "f" из аббревиатуры. Оказалось, полное название — ConfigServer Security & Firewall.

        0
        Добавил бы еще для информации такую вещь, как Firewall Builder.

        Позволяет написать правила в графическом интерфейсе, а потом экспортировать их в команды Cisco ASA\iptables\pfSense, etc.

        Я пробовал писать в нем iptables-правила для серверов, но ИМХО правила на выходе получались немного переусложненными, так что отказался. Но вдруг кому полезно будет :)
          0
          Использую pfsense уже более 5 лет. Радует стабильность работы, минимальное потребление ресурсов (на сеть из 20 машин может будет достаточно cpu уровня P4 и 256 мб ОЗУ). К огромному преимуществу (IMHO) стоит отметить его приспособленность к работе в качестве virtual appliance под Esxi. Встроенные обновления между давали сбой только единожды (года 4 назад), что даёт возможность обновлять его удалённо и поддерживать актуальность в части отсутствия выявленных уязвимостей. Активно использую OpenVPN который настраивается и устанавливается без каких-либо танцев с бубном. Ну и на закуску стоит отметить возможность гибкого шейпинга трафика.
          На итого: из коробки, без необходимости платить денежку можно получить МЭ коммерческого уровня с мощным функционалом.
          P.S. с относительно недавних версий pfsense обзовелся встроенным переводом gui на русский. Из плюсов при этом отмечу только возможность «комментировать» правила на русском языке.
            0
            Используем shorewall, все файлы настройки храним в гите, при git push, правила через git runner копируются на сервер.
              0

              А почему эти файрволлы лучшие? И чем, например, Smoothwall Express лучше бесплатного, но не-открытого Comodo кроме собственно, открытости кода? Его кто-то тестировал, исходники кто-то проверял?

                +2
                Firewall это, например, ipfilter, netfilter, ipfw, Pf, Cisco PIX и пр. — узкоспециализированный софт, предназначенный для ограничения сетевого взаимодействия. А то, о чем речь в статье, рекламного (по-сути) назначения — это WEB-панели к FreeBSD, и Linux.

                > Статистика утечки данных показывает, что каждый день миллионы данных оказываются украденными или потерянными.

                это вообще фейспалм и ржачь… Firewall'ы обычно не блокирует получение почты, IM-сообщений и всего такого прочего, в чем офисный планктон / домашний хомячок обычно привык жать на ссылку, не особо задумываясь об угрозе phishing'а, например. Firewall'ы, обычно, не блокирует открытие фишинговых сайтов, после такого клика; но без саспенса важность статьи может вызывать вопросы, и вот уже в шапке смесь «данных минздрава» с романами Стивена Кинга. Массовая культура во всей ее красе…
                  0

                  OpenWRT забыли, там тоже firewall есть, и на x86 можно установить…

                    0

                    Википедия, "List of router and firewall distributions"
                    https://en.wikipedia.org/wiki/List_of_router_and_firewall_distributions


                    Distrowatch.com, категория "firewall"
                    https://distrowatch.com/search.php?category=Firewall#distrosearch

                      0
                      Коллеги!
                      А что из этого _нормально_ работает как VM в Hyper-V? Очень хочется избавиться от FTMG.
                      А в гугле — тишина примерно с 2014 года.
                      То-ли в такой комбинации это никому не нужно, то-ли все в порядке, а у меня паранойя.
                        0
                        Очень хорошо работает pfSense если ему при установке скормить все нужные драйвера для Hyper-V, в противном случае могут теряться интерфейсы чуть ли не после каждой перезагрузки.
                          0
                          Отвечаю сам себе и всем.
                          Случилось чудо.
                          «Endian Firewall Community release 3.2.5» взлетел под Hyper-V.
                          Мне, разве что, не хватает «из коробки» еще одной зоны — для Очень Важных Бизнес Серверов.
                          0
                          что-то из этого поддерживает абстракции вида «security zone» и адрес-листы?
                          чтоб в самих правилах сетями и адресами не оперировать
                            0
                            У pfSense были листы, ЕМНИП. С другой стороны, зачем все это, если есть микротик.
                              0
                              нет секьюрити зон, нет иерархии адреслистов (нельза в адрес лист вложить другой адрес лист)

                          Only users with full accounts can post comments. Log in, please.