如今，開源防火墻可謂數(shù)目繁多。本文將涉及十個(gè)適合企業(yè)需求的最實(shí)用的開源防火墻。

1. Iptables

Iptables/Netfilter是基于防火墻的最流行的命令行。它是Linux服務(wù)器安全的頭道防線。許多系統(tǒng)管理員用它來微調(diào)服務(wù)器。其作用是過濾內(nèi)核中網(wǎng)絡(luò)堆棧中的數(shù)據(jù)包，特性包括：列出數(shù)據(jù)包過濾規(guī)則集的內(nèi)容;執(zhí)行速度快，因?yàn)樗鼉H檢查數(shù)據(jù)包的頭部;管理員可以根據(jù)需要，在數(shù)據(jù)包的過濾規(guī)則集中來增加、修改、刪除規(guī)則;支持借助文件來備份和恢復(fù)。

2. IPCop 防火墻

IPCop的設(shè)計(jì)界面非常友好，便于管理。它對(duì)于小型企業(yè)和本地PC非常實(shí)用。管理員可以將一臺(tái)老PC配置為安全的VPN，使其提供安全的上網(wǎng)環(huán)境。此防火墻還可以保留常用的信息，可以為其用戶提供更好的Web瀏覽體驗(yàn)。其彩色編碼的Web界面可以使管理員監(jiān)視CPU、內(nèi)存、磁盤及網(wǎng)絡(luò)吞吐量的性能，并支持多種語言，它可以提供非常安全并易實(shí)施的升級(jí)和附加補(bǔ)丁。

3.Shorewall

Shorewall建立在Linux內(nèi)核中內(nèi)建的Netfilter之上，并支持IPV6。其特性包括：使用Netfilter的連接跟蹤工具進(jìn)行狀態(tài)包的過濾，支持多種路由器、防火墻和網(wǎng)關(guān)應(yīng)用，集中化的防火墻管理，帶有Webmin控制面板的GUI界面，多ISP支持，支持偽裝和端口轉(zhuǎn)發(fā)，支持VPN。

4. UFW – Uncomplicated Firewall

UFW是Ubuntu服務(wù)器版本的默認(rèn)防火墻，其基本設(shè)計(jì)目的是為了減少iptables防火墻的復(fù)雜性，增加對(duì)用戶的友好性。Ubuntu和Debian用戶還可以使用UFW防火墻的圖形用戶界面。UFW防火墻支持IPV6、擴(kuò)展日志、狀態(tài)監(jiān)視和擴(kuò)展框架，并可以與應(yīng)用程序相集成，還可以根據(jù)用戶需要增加、清除、修改防火墻規(guī)則。

5. Vuurmuur

Vuurmuur是另一個(gè)強(qiáng)大的的Linux防火墻管理器，它可以構(gòu)建、管理服務(wù)器或網(wǎng)絡(luò)的iptables規(guī)則。同時(shí)，Vuurmuur易于管理，并且不需要擁有iptables知識(shí)就可以使用Vuurmuur。其特性包括：支持IPV6、通信整形、高級(jí)監(jiān)視特性、實(shí)時(shí)監(jiān)視連接和帶寬使用、可輕松地通過NAT進(jìn)行配置、擁有反欺詐特性。

6. pfSense

pfSense是另一個(gè)用于FreeBSD服務(wù)器的開源且可靠的防火墻，它建立在狀態(tài)包過濾這個(gè)概念的基礎(chǔ)上，并擁有許多僅在高昂的商業(yè)防火墻上才具備的特性。 它具有如下特性：易于通過Web界面進(jìn)行配置和升級(jí)，可被部署為一個(gè)外圍防火墻、DHCP和DNS服務(wù)器，可被部署為一個(gè)無線訪問點(diǎn)和VPN終端，通信整形，及時(shí)獲得服務(wù)器的實(shí)時(shí)信息，入站和出站的負(fù)載均衡。

7. IPFire

IPFire是適用于小型企業(yè)、家庭辦公等的開源防火墻，它具有很強(qiáng)的模塊化和靈活性。IPFire社區(qū)還關(guān)注安全性，并將IPFire作為一種狀態(tài)包檢測(cè)防火墻來開發(fā)。其特性包括：可部署為防火墻、代理服務(wù)器或VPN網(wǎng)關(guān)、內(nèi)容過濾、內(nèi)建的入侵檢測(cè)系統(tǒng)、支持wiki、論壇等、支持虛擬化環(huán)境的KVM、VmWare、Xen等虛擬機(jī)管理程序。

8. SmoothWall 和SmoothWall Express

SmoothWall也是一個(gè)開源防火墻，它有一個(gè)稱為WAM(WEB訪問管理器)的易于配置的Web界面。自由發(fā)行的SmoothWall版本被稱為SmoothWall Express。其特性包括：支持LAN、DMZ、無線網(wǎng)絡(luò)、實(shí)時(shí)的內(nèi)容過濾、HTTPS過濾、支持代理服務(wù)器、對(duì)每個(gè)IP、每個(gè)接口和訪問的通信的統(tǒng)計(jì)進(jìn)行管理，還有備份和恢復(fù)功能等。

9. Endian

Endian是另一個(gè)基于狀態(tài)包檢測(cè)概念的防火墻，管理員可以將它部署為路由器、代理服務(wù)器和網(wǎng)關(guān)VPN，它由IPCop防火墻發(fā)展而來，具備如下特性：雙向防火墻、Snort入侵防御、可通過HTTP和FTP代理服務(wù)器、反病毒和URL黑名單來保障Web服務(wù)器的安全、IPSec支持的VPN、實(shí)時(shí)的網(wǎng)絡(luò)通信日志。

10.ConfigServer Security Firewall

這是一個(gè)跨平臺(tái)的多用途防火墻，也是基于狀態(tài)包檢測(cè)的概念。它幾乎支持所有的虛擬化環(huán)境，如Virtuozzo、OpenVZ、 Vmware、XEN、KVM、 Virtualbox等。其特性包括：登錄失效守護(hù)進(jìn)程可以檢查敏感服務(wù)器的登錄失敗，如它可以檢查ssh、SMTP、Exim、Imap、Pure & ProFTP、vsftpd、Subosin及mod_security的失敗;它可以配置電子郵件的警告，告知是否發(fā)生了異常，或檢測(cè)服務(wù)器上的任何種類的入侵;它可以輕松地與流行的web主機(jī)控制面板(cPanel、DirectAdmin、Webmin)相集成;通過電子郵件警告過度使用資源的用戶和可疑的進(jìn)程;高級(jí)入侵檢測(cè)系統(tǒng);借助Syn Flood和死亡之ping來保護(hù)linux服務(wù)器;可以檢查漏洞利用等。