如今,许多单位都采用了UTM设备,将所有的网络安全部件(如防火墙、入侵检测系统、内容过滤、URL过滤、垃圾邮件过滤、VPN、反病毒功能等)统一到单一的设备中。但这些设备大都价格昂贵,许多小单位并没有能力采用,用户可以用今天笔者介绍的Endian Firewall Community保障网络安全,而且还不错。
Endian Firewall Community是一个功能齐全的Linux安全发行版本,它可以将每一种系统变成一个功能齐全的安全设备,并拥有UTM的功能。此软件在设计时重视可用性,并易于安装、使用、管理,却又不失灵活性。其特性包括:状态数据包检测防火墙、多种协议(HTTP、FTP、POP3、SMTP)的应用程序级代理、支持反病毒和垃圾邮件过滤、Web通信过滤和VPN。Endian Firewall的主要好处是它是一个纯粹的开源方案。
Endian的网站并没有列示此开源软件版本的硬件要求,但它却为其商业软件列示了硬件需求。用户的机器必须是x86兼容的计算机,至少是500MHz的处理器、256MB内存、4GB的磁盘空间和两个可用的网卡。如果用户打算使用一个DMZ或无线区域,就必须为每一个区域添加一个额外的网络接口卡。
而Community版本却拥有一些限制。很明显,它并没有提供商业支持。它还缺乏对虚拟局域网、基于组的Web访问策略、基于时间的访问控制、无线热点入口、动态记录、高可用性、基于策略的路由等方面的支持。在一个单位拥有大量的用户时,缺乏基于组的Web策略和基于时间的策略将会十分烦人。使用组将会使得建立的策略更易于管理,而且一个基于时间的策略对于维持灵活性的访问控制是十分有用的,因为用户可以为一个策略设置特定的时间。在用户拥有许多客户端时,一个无线热点就很有用。另外一方面,使用Community版本的一个好处是它所支持的用户数量完全依赖于硬件规格;用户并没有收到协议约束的限制。如图1:
 |
| 图1 |
安装和部署Community版本
其安装相当简单。在下载此软件后,如果用户打算将它用于实际的网络环境,应坚持用稳定版本。将此image烧录为一个CD光盘,并从此光盘启动计算机。
在安装的第一阶段,用户不需要输入任何配置参数,只需简单地单击“Yes”、“No”对话框即可。例如,Endian会问用户它是否可以在继续安装之前格式化硬盘。在安装的末尾,用户确实需要输入管理接口(eth0或私有LAN接口)。
在安装结束时,计算机会重新启动,并显示登录提示。用户可以通过浏览器来配置新安装了Endian的计算机。在用户键入机器的IP地址时,会被自动地重定向转到一个HTTPS连接。用户应当为此连接接受SSL证书,还要为管理员账户输入口令,此账户会管理Endian的配置和对控制台访问的root。继续进行网络配置,并指明WAN和LAN的恰当的物理接口。用户还可以配置DMZ或WZ连接。WAN连接支持多数类型,包括静态的、还有动态的主机配置协议(DHCP)、PPPoE协议、综合业务数字网络(ISDN)、非对称数字用户线路连接。用户需要选择一个恰当的连接,并输入其它的参数,如网关和DNS等信息。
在这一点上,一次初始的测试应当向用户展示出,使用Endian的连接可以成功地浏览互联网。下一步是配置其防火墙和代理,因此它可以作为一个UTM平台发挥作用。
| 共3页: 1 [2] [3] 下一页 | |||||
|
