开源防火墙的低成本使用

诚然，传统的网络防火墙不再像以前那样为网络管理员提供绝对的保护和安心。当今许多成功的攻击，例如针对用户凭据的网络钓鱼或 Web 应用程序中的软件漏洞，都不会被简单的过滤防火墙阻止，这些防火墙根据允许的协议、来源和目的地的白名单检查传输控制协议和用户数据报协议流量。下一代防火墙和统一威胁管理设备继续将新的特性和功能添加到设备中，以保护您的公司免受 Internet 的侵害，例如检查所有电子邮件附件和下载的穿过防火墙的文件。这些最新的防火墙可能很昂贵，并且需要经常性的订阅费用来保持他们的威胁情报源是最新的。幸运的是，有诸如OPNsense、pfSense和Sophos XG Firewall Home Edition，您可以使用商业防火墙功能保护较小的网络甚至家庭网络，而成本只是其中的一小部分。

从历史上看，来自 Cisco 和 CheckPoint 等领先公司的防火墙的行为类似于高性能网络路由器，它们通过大部分静态规则提供状态防火墙检查。这些设备可靠，提供高吞吐量，并支持复杂的路由器配置。网络可以通过虚拟局域网隔离，端口转发、网络地址转换和虚拟专用网络 (VPN) 等功能使公司能够从 Internet 安全地访问敏感资源。然而，它们的高成本使它们不适用于小型办公室/家庭办公室 (SOHO) 或什至中小型企业 (SMB) 等小型网络。SOHO 和 SMB IT 管理员通常受限于他们的互联网服务提供商 (ISP) 宽带调制解调器/路由器提供的薄弱保护。

在 2000 年代初期，一些成本较低的选项（例如m0n0wall和 pfSense）开始在开源许可下提供商业防火墙功能。这些防火墙在强化的 FreeBSD 上运行——一种开源的类 UNIX 操作系统——可以在其上安装额外的模块。这些防火墙的管理是通过 Web 前端进行的。随着时间的推移，随着开发人员团体推动他们自己的首选方向来实现他们对产品的愿景，其中几个项目已经分叉。例如，pfSense 从 m0n0wall 分叉出来，而 OPNsense 从 pfSense 分叉出来。此外，一些安全公司还针对特定用例发布了有限许可产品。Sophos XG Firewall Home Edition 就是其中的一个例子：一款面向家庭用户免费提供的商业级防火墙。

地平线上的低成本选择

这些低成本防火墙，如 OPNsense、pfSense 和 Sophos XG Firewall Home Edition 支持广泛的安全功能，提供的功能远远超过您的 ISP 提供的简单路由器软件。这些产品中的大多数都可以通过多种方式进行部署，例如从 USB 驱动器、作为虚拟设备或在传统计算机上进行部署。或者，您可以购买专用硬件（通常是平装书的大小），包括多个网络端口，物理上比计算机小，并且比运行这些产品的大型计算机更节能。

OPNsense、pfSense 和 Sophos XG Firewall Home Edition 提供超越简单网络过滤的复杂功能和高级保护。例如，使用 Sophos XG，您可以监控和管理网络冲浪、按用户配置规则以及检查下载和电子邮件附件是否有病毒。它的监控和报告功能非常强大：例如，您可以枚举当前活动以抽查网络上的设备以及它们在何处以及与谁通信。Sophos XG 家庭许可证中可用的其他商业功能包括创建自定义入侵防御系统签名的能力、警告或阻止不需要的 Web 内容（例如，成人内容或在线聊天站点），以及分析 HTTP 和域名的高级威胁防护用于提醒（并可选择丢弃）可疑行为的系统流量。它的防火墙规则根据协议、源和目标阻止流量，您还可以配置额外的第 7 层（应用程序层）保护以尝试阻止对 Web 应用程序代码漏洞的利用。OPNsense 和 pfSense 提供强大的功能，包括并与其他流行的开源安全包很好地集成。例如，OpenVPN和tinc允许安全地远程连接到您网络上的设备；Squid HTTP 代理和SquidGuard代理提供过滤以帮助您更好地管理 Web 内容。所有这些防火墙还提供高级路由和负载平衡。

结论

这些成本较低的防火墙选项通常需要更多的功课才能成功配置和部署，但除了开发人员提供的产品文档之外，互联网上还提供许多有用且信息丰富的指南。其中许多项目仍然很强大，它们的功能也在积极开发中，当成本是主要驱动因素时，或者当你家里的 ISP 电缆调制解调器上的内置过滤功能不足以满足安全需求时，它们是很好的选择。

审核编辑 hhy