【转载】六大最佳免费Linux防火墙发行版（适合用来做X86软路由系统）

speed***

六大最佳免费Linux防火墙发行版

众所周知，防火墙是企业安全的一个重要方面，如今大多数路由器都内置了一个，虽然有用但难于配置。但不少开源操作系统的Linux的发行版，可专门用作防火墙。通常具有比路由器上更高级的功能，并且可以让你更好地控制个人或企业网络的安全。

本文将介绍六种最流行的免费防火墙发行版。在考虑这些产品及其相对优点时，我会强调功能和易用性。这些发行版可以安装到物理的计算机，也可以只有一台设备，从虚拟机运行。大多数发行版都可以作为ISO文件下载。你可以使用UNetbootin等程序将它们复制到USB并启动。

ClearOS

ClearOS易于使用，针对用户友好的扩展，以满足你的需求。ClearOS是简洁的防火墙发行版。由于大多数防火墙发行版有墨守成规的极客编写，所以ClearOS的变化令人耳目一新。对于更高级的用户，ClearOS从命令行运行会非常顺手。

安装简单，大约需要10分钟完成。可以选择以公共服务器或网关模式启动，具体取决于希望如何使用ClearOS。完成后，重新启动，你将获得远程访问和管理新防火墙所需的所有信息。一切都很简单。

完成设置并访问基于Web的管理系统后，不需要花费很长时间熟悉ClearOS的各种设置和功能，因为一旦你登录Web界面，发行版就会提供“入门”帮助。与其他配置一样，设置防火墙规则快速而轻松。

ClearOS最相关的功能是它的可用性，但这个发行版不仅仅有平滑的外观，它还包含许多功能。它不仅为你提供了一种简单，干净的方式来管理防火墙，而且还可以为你的网络添加额外的服务。

总的来说，ClearOS是一个强大的发行版。由于它既有免费的“社区”版本，也有付费的“专业”版本，非常适合小型企业。

IPCop

该发行版虽然与IPFire完全分开，但使用类似于后者的有用的颜色方案，以表示不同的连接。绿色用于LAN，红色用于互联网，橙色用于DMZ，蓝色用于无线客户端。

IPCop最初是Smoothwall的一个分支，但IPCop的更新很少。最新版本(2.1.9)于2015年2月发布。

安装相对简单，但有一些通配符问题。虽然这些可能会困扰新手用户，但接受默认选项不会导致任何问题，除非你有非常特定的网络配置。IPCop的主要优点之一是安装镜像非常小(约60MB)，可以复制到USB上。

IPCop的网络界面感觉很笨，但看个人感觉吧。除了Smoothwall提供的“实时”图表之外，IPCop还提供了有关LAN设置以及防火墙本身运行的更多信息，包括当前打开的连接列表。

防火墙还提供“缓存代理”，以便你可以在本地缓存经常访问的页面。IPCop作为防火墙做得很好，提供了大量有关网络流量的信息，虽然它可能不是世界上最漂亮的发行版，但它可以做到它的设计目的。

OPNsense

OPNsense是一款易于使用的基于FreeBSD 10.1的开源防火墙，可确保长期支持。OPNsense项目于2015年1月开始作为更成熟的防火墙pfSense的分支。该团队声称他们分支项目的原因部分是由于当时使用的许可证类型，部分是因为他们相信他们可以创建一个更安全的防火墙。

防火墙现在只与原始pfSense项目共享大约10%的代码。另请注意，在Reddit上，pfSense diehards和OPNsense支持者之间的分歧引起了很多争议。

OPNsense提供每周安全更新，因此可以快速响应威胁。它包含许多高级功能，你通常只能在商业防火墙中找到它们，例如正向缓存代理和入侵检测。它还支持使用Openvirtual**。

OPNsense采用了Phalcon PHP编写的非常丰富的GUI，非常适合使用。除了比pfSense的界面更具吸引力之外，OPNsense的创建部分是由于团队认为图形界面不应具有root访问权限，因为这可能会导致安全问题。

GUI具有简单的搜索栏以及新的系统健康模块。此模块是交互式的，在分析网络时提供可视反馈。你现在还可以以CSV格式导出数据以进行进一步分析。

防火墙使用内联入侵防御系统。这是一种强大的深度包检测形式，OPNsense不仅可以阻止IP地址或端口，而且可以检查单个数据包或连接，并在必要时在它们到达发送方之前将其停止。 OPNsense还通过OpenSSL提供LibreSSL。

IPFire

IPFire是一个Linux防火墙发行版，专注于用户友好性和轻松设置，不会影响你的安全性，支持一些有用的功能，如入侵检测。IPFire采用基于netfilter构建的SPI(状态包检测)防火墙，采取严肃的安全措施。

IPFire专为不熟悉防火墙和网络的人士而设计，可在几分钟内完成设置。安装过程允许你将网络配置为不同的安全段，每个段都采用颜色编码。绿色部分是一个安全区域，代表连接到本地有线网络的所有普通客户端。红色部分代表互联网。

没有流量可以从红色传递到任何其他段，除非你在防火墙中专门配置了它。默认设置适用于具有两个仅具有红色和绿色段的网卡的设备。但是，在设置过程中，还可以为任何公共服务器实现无线连接的蓝色段和称为DMZ的橙色段。

设置完成后，可以通过直观的Web界面配置其他选项和附加组件。

IPFire的ISO镜像大小仅为171MB，或者，你可以下载闪存镜像以将其安装到路由器，甚至可以下载用于ARM设备(如Raspberry Pi)的镜像。

pfSense

与OPNsense一样，pfSense基于FreeBSD，专门设计用作防火墙和路由器。正如我们已经提到的，这两个项目之间的分歧是有争议的，pfSense仍然有许多忠实的用户。更新每季度发布一次。

此发行版在一系列硬件上运行，但目前仅支持x86架构。该网站有一个方便的硬件指南，允许你选择兼容的设备。

安装是从命令行完成的，但它非常简单。可以选择从CD或USB驱动器启动。安装助手会要求在安装期间分配接口，而不是在启动到Web界面后分配接口。可以使用自动检测功能来确定哪个网卡是哪个。

防火墙具有少量内置功能，例如多WAN，动态DNS，硬件故障转移和不同的身份验证方法。与IPFire不同，pfSense已经具有强制门户功能，可以将所有DNS查询解析为单个IP地址，例如公共Wi-Fi热点的登录页面。

这个发行版具有干净的界面，使用起来非常流畅。再一次，因为它基于BSD，所使用的一些术语令人困惑，但不需要花费很长时间才能掌握。

pfSense可能是功能最丰富的防火墙发行版，但由于缺少与防火墙无关的额外功能而导致发生故障。如果你刚刚使用简单的防火墙，那么选择pfSense就不会出错，但如果需要超出该基本功能的任何东西，可能需要考虑其他发行版之一。

Smoothwall Express

Smoothwall Express可能是最著名的防火墙发行版。Smoothwall Express的安装是基于文本的，但不需要熟悉Linux控制台，这一切都非常简单。可能更愿意下载或打印出安装指南，以指导你完成设置过程。为此，需要创建一个my.smoothwall配置文件。

有三种安装选项：Standard，Developer和Express。开发人员专为那些真正想要编写Smoothwall项目编码的人保留。Express是Smoothwall的精简版本，可确保与旧硬件的最大兼容性。

除非你具有非常特定的网络配置，否则通常可以接受默认选项。基于Web的控制面板简单易懂。Smoothwall Express不提供额外功能，但允许你使用单独的帐户来控制主连接，这在你使用拨号以及缓存Web代理服务时尤其有用。

Smoothwall Express的一个好处是它在运行内部DNS时提供的简单性，添加新主机名只需几秒钟。只需点击几下鼠标，即可完成分配静态IP和启用远程访问。

结语

选择正确的防火墙发行版在很大程度上取决于具体要求，但无论它们是什么，如果考虑到互联网上存在的大量危险，防火墙只是常识问题。也就是说，除了基本保护之外，一旦安装了防火墙，就可以有一些额外的功能来衡量。

如果你正在使用基本的防火墙，那么这里的所有发行版都会做得很好，有些表现优于其他发行版。如果你没有追求太复杂的话，那么IPCop和Smoothwall Express是很好的选择。如果需要商业级解决方案，可以选择Smoothwall的付费版本。

如果想要占用空间小或者在嵌入式设备上运行，pfSense是不错的选择，尽管它只能在x86架构上运行。对于ARM架构硬件，请考虑IPFire。

dongfa***

这个必须点赞，太厉害了

speed***

dongfangy2011 发表于 2018-11-7 09:17
这个必须点赞，太厉害了

基本上每个都撸过一遍IPFIRE支持ARM架构； OPNsense只支持X86，带SS插件，和自行部署v2瑞客户端。

sz***

仰望大神，小白只会傻瓜化的东西。。

speed***

szoe 发表于 2018-11-13 17:14
仰望大神，小白只会傻瓜化的东西。。

这个也是傻瓜化的东西，国外的网站有很多详细的教程。

liuzh***

唉 从来没有用过防火墙 好遗憾

aini***

我电脑和路由都是裸奔的，防火墙是做什么的，能吃吗

speed***

aini50563 发表于 2018-12-5 22:41
我电脑和路由都是裸奔的，防火墙是做什么的，能吃吗

用来换你家孩子上网

son***

这个必须点赞，太厉害了

li***

这个必须点赞

speed***

我一直用opnsense中文版，这个还不错

告别***

有nb拿还等什么？

speed***

告别处男 发表于 2018-12-25 08:51
有nb拿还等什么？

Zeroshell 是一个微型的linux发行版本，它功能强大，具有强大的router、radius、web门户、防火墙、virtual**、Qos、 DHCP、dns转发等功能，可以用来安装到服务器上为内网提供网络服务，而且安装和使用都很方便，有Live CD和Flash imgage文件用于安装，可以使用web界面进行设置和管理。


Zeroshell is a Linux distribution for servers and embedded devices aimed at providing the main network services a LAN requires. It is available in the form of Live CD or Compact Flash image and you can configure and administer it using your web browser.

特点
* Kerberos 5 认证使用集成的KDC 以及cross-authentication between realms;
* LDAP, NIS 以及RADIUS 认证;
* X509 证书认证;
* Unix 和 Windows Active Directory 集成使用LDAP 以及Kerberos 5 cross realm 认证;
* 动态路由和静态路由 (RIPv2 with MD5 或者明文认证Split Horizon and Poisoned Reverse algorithms);
* 802.1d 网桥及生成树协议;
* 802.1Q Virtual LAN (tagged VLAN);
* RADIUS 服务器提供安装认证和自动WEB keys管理。支持无线802.11b, 802.11g and 802.11a 网络，支持802.1x 协议 EAP-TLS, EAP-TTLS 和PEAP 的安装MAC 地址认证；WPA with TKIP and WPA2 with CCMP (802.11i complaint) 同样也支持; RADIUS 服务器也支持用户名、群组或者MAC 地址的supplicant, allow the access on a preset 802.1Q VLAN.
* Captive Portal 支持无线网络的web 登录认证.
* 包过滤防火墙和基于状态的包过滤防火墙;
* QoS (品质服务) ,管理自己想要的带宽。你可以设定最小带宽或者最大的带宽，也可以指定某些流量类的优先级;
* 可以对p2p流量阻止或者限制它占用的带宽，也可以把它放到一个低优先级的类中间去;
* 多区域DNS 服务器自动管理;
* 多个子网DHCP server器;
* Host-to-lan virtual** with L2TP/IPsec in which L2TP (Layer 2 Tunneling Protocol) authenticated with Kerberos v5 username and password is encapsulated within IPsec authenticated with IKE that uses X.509 certificates;
* Lan-to-lan virtual** (openvirtual**);
* PPPoE client 通过adsl;
* Dynamic DNS client used to easily reach the host on WAN even when the IP is dynamic;
* NTP (网络对时协议) client and server for keeping host clocks synchronized;
* Syslog server for 接收和分析系统日志;


Zeroshell is a Live CD distribution, meaning that it is not necessary to install it on the hard disk since it can operate directly from the CDROM on which it is distributed. Obviously, the database, containing all the data and settings, can be stored on ATA, SATA, SCSI and USB disks. Any security Bug Fixes can be downloaded from the automatic update system via Internet and installed in the database. These patches will be automatically removed from the database by subsequent releases of the Zeroshell Live CD already containing the updates.

It is also available a 512MB Compact Flash image useful if you have to boot your box from this device instead from CDROM for example in the embedded devices for network appliances. The Compact Flash image has 400MB available to store the configuration and data.

The name Zeroshell underlines the fact that although it is a Linux system (traditionally administrable from a shell), all the administration operations can be carried out via Web interface: indeed, after having assigned an IP address via a VGA or serial terminal, simply connect to the assigned address by means of a browser to configure everything. Zeroshell was successfully tested to work with Firefox 1.0.6+, Internet Explorer 6+, Netscape 7.2+ e Mozilla 1.7.3+.

最新版本：1.0


官方主页：http://www.zeroshell.org/

czy***

speedturtle 发表于 2018-12-20 21:35
我一直用opnsense中文版，这个还不错

怎么玩啊？装在哪里？谢谢！

speed***

czy888 发表于 2018-12-26 20:11
怎么玩啊？装在哪里？谢谢！

装在U盘，或者硬盘。全中文界面设计，个人用户免费，商用收费