为您推荐最好的四款Linux/BSD防火墙

崔凯

　中小企业可以不必花费大量的金钱去购买专业级防火墙。近几年来，有些专业人士发现，有些自称固若金汤的硬件防火墙功能并非如此神奇，而其价格却高得惊人。由于一些中小企业没有足够的安全专业人士，再加上有些厂商的“忽悠”，使不少单位花了不少冤枉钱却未见安全状况的明显改观。因此，笔者认为有必要谈谈如何采用开源软件将普通的电脑改造成为一台不错的专业级路由器/防火墙设备。

　　IPCop

　　网址：http://www.ipcop.org/index.php

　　就其核心来说，此软件实质上是一个防火墙设备。应当说，它是一个可担当硬件防火墙功能的Linux发行版本，从而可保护用户的网络免受外部的甚至内部的威胁。它可通过光盘、闪盘、HTTP/FTP网络来安装，而且安装过程简易且直观。


图1

　　此软件还拥有多语言支持功能，而且这个小型的Linux发行版本几乎可运行在多种平台，可以说是这是一款久经考验的防火墙产品。

　　此外，此软件拥有大量的插件。笔者最喜欢的是Banish和Copfilter这两个插件，这二者可用于实时地过滤恶意软件和病毒。

　　比方说，Banish可利用下面的IPtables chains来创建IPtables日志和丢弃语句:

　　CUSTOMINPUT

　　CUSTOMFORWARD

　　CUSTOMOUTPUT


图2

　　而Copfilter是一个很神奇的开源项目,它将IPCop的性能扩展到了应用层，这使它极大地增强了IPCop的功能，如：

　　POP3/SMTP扫描器可扫描进入或转出的电子邮件，HTTP扫描利用HAVP，它可保障Web通信的安全，还可通过代理来过滤或清除cookies、广告、其它的垃圾信息。最大的特色为反病毒扫描，通过ClamAV或F-Prot来扫描通信查找恶意软件。不过，F-Prot是一款商业产品，用户必须获得许可证才能使用它。

　　反垃圾邮件功能主要通过Spam Assassin、Razor、DCC来形成高效的反垃圾邮件防御阵线。此外，进程监视值得一提，通过Monit用户可以监视所有的进程，并在需要时可以重新启动之。