알아야 할 5가지 오픈 소스 방화벽

pfSense와 m0n0wall이 오픈 소스 방화벽/라우터 시장에서 가장 큰 고려 대상인 것처럼 보이지만 최근 몇 년 동안 pfSense가 m0n0wall을 추월하면서 Linux와 BSD 모두에서 얻을 수 있는 몇 가지 우수한 방화벽/라우터 배포판이 있습니다. 이러한 모든 프로젝트는 해당 운영 체제의 기본 방화벽에 의존합니다. 예를 들어 Linux는 netfilter와 iptables를 커널에 통합합니다. 반면에 OpenBSD는 2001년에 FreeBSD의 기본 방화벽으로 IPFilter를 대체한 PF(패킷 필터)를 사용합니다. 다음은 Linux 및 BSD용으로 사용 가능한 방화벽/라우터 배포판의 일부 목록입니다. 그들의 능력.

[1] 매끄러운 벽

Smoothwall 오픈 소스 프로젝트는 자체 보안이 강화된 GNU/Linux 운영 체제와 사용하기 쉬운 웹 인터페이스를 포함하는 무료 방화벽인 Smoothwall Express를 개발하고 유지하기 위해 2000년에 설립되었습니다. SmoothWall Server Edition은 SmoothWall Ltd.의 초기 제품으로 2001년 11월 11일에 출시되었습니다. 본질적으로 회사에서 지원하는 SmoothWall GPL 0.9.9였습니다. SmoothWall Corporate Server 1.0은 SmoothWall GPL 0.9.9SE의 클로즈드 소스 포크인 2001년 12월 17일에 출시되었습니다. Corporate Server에는 추가 모듈을 통해 기능을 향상시키는 기능과 함께 SCSI 지원과 같은 추가 기능이 포함되어 있습니다. 이러한 모듈에는 SmoothGuard(콘텐츠 필터링 프록시), SmoothZone(DMZ 포함) 및 SmoothTunnel(고급 VPN 기능)이 포함되었습니다. 시간이 지남에 따라 출시되는 추가 모듈에는 트래픽 셰이핑, 안티바이러스 및 안티스팸용 모듈이 포함되었습니다.

SmoothWall Corporate Guardian이라는 기업 서버의 변형이 출시되어 SmoothGuardian으로 알려진 DansGuardian 포크를 통합합니다. School Guardian은 Corporate Guardian의 변형으로 만들어졌으며 학교에서 사용하도록 특별히 설계된 패키지에 Active Directory/LDAP 인증 지원 및 방화벽 기능을 추가했습니다. 2003년 12월 smoothwall Express 2.0과 완전한 서면 문서 세트가 출시되었습니다. Express 3의 알파 버전은 2005년 9월에 출시되었습니다.

Smoothwall은 오래되고 저렴한 하드웨어에서 효과적으로 실행되도록 설계되었습니다. 권장되는 최소 128MB의 RAM과 함께 펜티엄급 CPU 이상에서 실행됩니다. 또한 Core 2 시스템용 64비트 빌드가 있습니다. 기능 목록은 다음과 같습니다.

  • 방화벽:
    • LAN, DMZ 및 무선 네트워크와 외부 네트워크를 지원합니다.
    • 다음을 통한 외부 연결: 정적 이더넷, DHCP 이더넷, PPPoE, 다양한 USB 및 PCI DSL 모뎀을 사용하는 PPPoA
    • 포트 포워드, 핀홀 DMZ
    • 출력 필터링
    • 시간 제한 액세스
    • 서비스 품질(QoS)을 사용하기 쉽습니다.
    • 주별 및 월별 인터페이스별 및 IP별 합계를 포함한 트래픽 통계
    • 자동 업데이트된 Snort 규칙을 통한 IDS
    • UPnP 지원
    • 차단할 불량 IP 주소 목록
  • 프록시:
    • 가속 브라우징을 위한 웹 프록시
    • 바이러스 백신이 포함된 POP3 이메일 프록시
    • 실시간 로그 보기 기능이 있는 IM 프록시
  • 사용자 인터페이스:
    • AJAX 기술을 사용하여 실시간 정보를 제공하는 반응형 웹 인터페이스
    • 실시간 트래픽 그래프
    • 모든 규칙에는 사용 편의성을 위한 선택적 설명 필드가 있습니다.
    • 모든 주요 하위 시스템 및 방화벽 활동에 대한 뷰어를 기록합니다.
  • 유지:
    • 백업 구성
    • 대기 중인 모든 업데이트를 원클릭으로 간편하게 적용
    • 사용자 인터페이스 종료 및 다시 시작
  • 다른:
    • 네트워크의 시간 서비스
    • 자체 호스팅 “Devel” 빌드를 사용하여 Smoothwall을 직접 개발

[2] IPCop

원래 SmoothWall Linux 방화벽의 포크였던 netfilter Linux 프레임워크에 구축된 상태 저장 방화벽인 IPCop은 PC 하드웨어를 기반으로 관리하기 쉬운 방화벽 어플라이언스를 제공하는 것을 목표로 하는 Linux 배포판입니다. 버전 1.4.0은 LFS 배포판과 2.4 커널을 기반으로 2004년에 도입되었으며 현재 안정적인 브랜치는 2011년에 출시된 2.0.X입니다. IPCop v. 2.0은 다음을 포함하여 1.4에 비해 몇 가지 중요한 개선 사항을 통합합니다.

  • Linux 커널 2.6.32 기반
  • Cobalt, SPARC 및 PPC 플랫폼을 포함한 새로운 하드웨어 지원
  • 플래시 또는 하드 드라이브에 설치하고 인터페이스 카드를 선택하여 특정 네트워크에 할당할 수 있는 새로운 설치 프로그램
  • 이제 모든 웹 인터페이스 페이지에 대한 액세스가 암호로 보호됩니다.
  • 새로운 일정 페이지, 상태 메뉴의 추가 페이지, 업데이트된 프록시 페이지, 단순화된 DHCP 서버 페이지, 점검된 방화벽 메뉴를 포함한 새로운 사용자 인터페이스
  • IPsec을 대체하는 가상 사설망에 대한 OpenVPN 지원 포함

IPCov v. 2.1에는 Linux 커널 3.0.41 및 URL 필터링 서비스 사용을 포함하여 버그 수정 및 여러 추가 개선 사항이 포함되어 있습니다. 또한 고급 QoS(트래픽 쉐이핑), 이메일 안티바이러스 검사, 트래픽 개요, 프록시 검사를 위한 확장 인터페이스 등과 같은 많은 애드온을 사용할 수 있습니다.

[3] IP 화재

IPFire는 라우터 및 방화벽 역할을 할 수 있고 웹 인터페이스를 통해 유지 관리할 수 있는 무료 Linux 배포판입니다. 이 배포판은 엄선된 서버 데몬을 제공하며 SOHO 서버로 쉽게 확장할 수 있습니다. 엔터프라이즈급 네트워크 보호 기능을 제공하며 보안, 안정성 및 사용 편의성에 중점을 둡니다. 다양한 애드온을 설치하여 기본 시스템에 더 많은 기능을 추가할 수 있습니다.

IPFire는 netfilter 위에 구축된 SPI(Stateful Packet Inspection) 방화벽을 사용합니다. IPFire를 설치할 때 네트워크는 별도의 세그먼트로 구성됩니다. 이 세분화된 보안 체계는 네트워크의 모든 시스템에 대한 위치가 있음을 의미합니다. 각 세그먼트는 공통 보안 수준을 공유하는 컴퓨터 그룹을 나타냅니다. “녹색”은 안전한 영역을 나타냅니다. 이것은 모든 일반 클라이언트가 상주하는 곳이며 일반적으로 유선 로컬 영역 네트워크로 구성됩니다. Green의 클라이언트는 제한 없이 다른 모든 네트워크 세그먼트에 액세스할 수 있습니다. “빨간색”은 위험 또는 인터넷 연결을 나타냅니다. Red의 어떤 것도 관리자가 특별히 구성하지 않는 한 방화벽을 통과할 수 없습니다. “파란색”은 로컬 네트워크의 무선 부분을 나타냅니다. 무선 네트워크는 남용 가능성이 있기 때문에 고유하게 식별되며 특정 규칙이 클라이언트를 관리합니다. 이 네트워크 세그먼트의 클라이언트는 네트워크에 액세스하기 전에 명시적으로 권한을 부여받아야 합니다. “주황색”은 비무장지대(DMZ)를 나타냅니다. 공개적으로 액세스할 수 있는 모든 서버는 보안 위반을 제한하기 위해 여기에서 네트워크의 나머지 부분과 분리됩니다. 또한 방화벽을 사용하여 모든 세그먼트에서 나가는 인터넷 액세스를 제어할 수 있습니다. 이 기능을 통해 네트워크 관리자는 네트워크 구성 및 보안 방법을 완벽하게 제어할 수 있습니다.

IPFire의 고유한 기능 중 하나는 침입 탐지 및 방지를 통합하는 정도입니다. IPFire는 네트워크 트래픽을 분석하는 무료 NIDS(Network Intrusion Detection System)인 Snort를 통합합니다. 비정상적인 일이 발생하면 이벤트를 기록합니다. IPFire를 사용하면 웹 인터페이스에서 이러한 이벤트를 볼 수 있습니다. 자동 방지를 위해 IPFire에는 선택적으로 설치할 수 있는 Guardian이라는 애드온이 있습니다.

IPFIre는 많은 고성능 가상화 프런트 엔드 드라이버를 제공하며 KVM, VMware, Xen 등을 포함한 다양한 가상화 플랫폼에서 실행할 수 있습니다. 그러나 VM 컨테이너의 보안이 어떻게든 우회되고 해커가 VPN을 넘어 액세스할 수 있는 가능성이 항상 있습니다. 따라서 프로덕션 수준 환경에서 가상 머신으로 IPFire를 사용하는 것은 권장되지 않습니다.

이러한 기능 외에도 IPFire는 상태 저장 방화벽, 웹 프록시, IPSec 및 OpenVPN을 사용하는 VPN(가상 사설망) 지원, 트래픽 셰이핑 등 방화벽/라우터에서 볼 수 있는 모든 기능을 통합합니다.

IPFire는 최신 버전의 Linux 커널을 기반으로 하기 때문에 10Gbit 네트워크 카드 및 다양한 기본 무선 하드웨어와 같은 최신 하드웨어를 지원합니다. 최소 시스템 요구 사항은 다음과 같습니다.

  • 인텔 펜티엄 I(i586)
  • 128MB RAM
  • 2GB의 하드 디스크 공간

일부 애드온은 원활하게 작동하기 위한 추가 요구 사항이 있습니다. 하드웨어 요구 사항을 충족하는 시스템에서 IPFire는 동시에 수백 개의 클라이언트에 서비스를 제공할 수 있습니다.

[4] 지주

Shorewall은 Linux용 오픈 소스 방화벽 도구입니다. 이 기사에서 언급한 다른 방화벽/라우터와 달리 Shorewall에는 그래픽 사용자 인터페이스가 없습니다. 대신 Shorewall은 여러 일반 텍스트 구성 파일을 통해 구성되지만 Webmin 모듈은 별도로 사용할 수 있습니다.

Shorewall은 기본적으로 netfilter 및 iptables의 프런트엔드이므로 일반 방화벽 기능을 사용할 수 있습니다. NAT(네트워크 주소 변환), 포트 포워딩, 로깅, 라우팅, 트래픽 셰이핑 및 가상 인터페이스를 수행할 수 있습니다. Shorewall을 사용하면 각기 다른 규칙이 있는 여러 영역을 쉽게 설정할 수 있습니다. 예를 들어 인터넷 트래픽을 차단하면서 회사 인트라넷에서 규칙을 완화하는 것이 쉽습니다.

Shorewall은 한때 셸 기반 컴파일러 프런트엔드를 사용했지만 버전 4부터는 Perl 기반 프런트엔드도 사용합니다. 버전 4.4.3부터 IPv6 주소 지원이 시작되었습니다. 최신 안정 버전은 4.5.18입니다.

[5] pf센스

pfSense는 m0n0wall 프로젝트의 포크인 FreeBSD를 기반으로 하는 오픈 소스 방화벽/라우터 배포판입니다. NAT/포트 포워딩, VPN, 트래픽 셰이핑 및 캡티브 포털과 같은 m0n0wall의 기능 대부분을 통합하는 상태 저장 방화벽입니다. m0n0wall보다 더 나아가 로드 밸런싱 및 장애 조치, 특정 운영 체제의 트래픽만 허용하는 기능, 손쉬운 MAC 주소 스푸핑, OpenVPN 및 L2TP 프로토콜을 사용하는 VPN과 같은 많은 고급 기능을 제공합니다. 통합 사용에 더 중점을 둔 m0n0wall과 달리 pfSense는 완전한 PC 설치에 중점을 둡니다. 단, 임베디드용을 대상으로 하는 버전을 제공합니다.

Tags: , , , , ,