经常看到很多人,在争论linux/bsd下面有那么多的防火墙,我们选择谁呢,其实咱们经常碰到的开源防火墙(那些由BSD基础定制开发的商业防火墙cisco、jump、H3C、华为等)不在此列)有:iptables,ipfilter,pf,ipfw(panabit7层),看起来很多其实我们完全没有必要恐慌,如果您有钱完全可以去买ciso,华为等品牌防火墙出了事可以找个背黑锅的,反正不是花咱们自己的钱,还能拿到他们的回扣,这样的话你就不用往下面看了,因为你不用为选择什么防火墙烦恼了。
其实对于一般的中小企业,总出口带宽不超过千兆的话,完全不需要卖那些价格高高在上,性能低低在下的东东,编程时门学问,核心库算法都是百年不变的东西(基础都是数学,过时很难),有很多商家很聪明,会借用开源bsd,linux自己改改再加上一个定制的1U,半U机箱装上一个赛扬或者更低能的嵌入式cpu就说是完全自主开发,线性千兆性能了(就不告诉你倒是多大的包的性能测试,你问他64位小包性能,他就要哭了)。当然网络过滤性能是软件与硬件的共同结果,如果您企业的带宽超过了千兆,那就没办法省钱了,还是去买ciso,jump等大企业的mips多核心+专门网络加速模块防火墙吧,我想最少也要百来万把,不过您的实力肯定是小意思了。
好了废话不说了,最近由于项目原因,研究了下防火墙,我们网站的第一道防线,浅谈下个人对iptables,ipfilter,pf,ipfw的个人看法吧,仅供参考,请谨慎部署,出问题与本人无关!
1、iptables,linux自带的防火墙,对于这个防火墙本人不看好,首先我是不会拿linux来做防火墙的,为什么呢,很简单linux核心开发者太多,无组织,无纪律,隔山查尔的更新kernel,最新版的kernel都到3.6了,而我们的debian,centos才可怜的2.6.32可悲啊,不过我欣赏debian,centos发行版,为了稳定,还是不要冒进,linux核心都不稳定,选择iptables就是一个玩具了!动不动冒一个linux溢出漏洞,所有设置都是枉然,建议还是老老实实,用linux当后端的web,数据库用吧,当然如果你非要用,我那么我还是建议你使用linux的专门的防火墙发行版-IPCop ,毕竟如果安全要求不高话,还是可以用用的,毕竟linux的性能,iptables-nat转发性能大家都知道很高的,而且还有一个ly7项目,可以把iptables扩展到应用层去,不过你可千万不要还用ly7官网的特征码了,那个太老了,以至于panabit都在笑了,其实大家完全可以学习ly7的7层特征码正则表达式(不难就是用正则表达式过滤匹配分析数据包),自己通过,科莱分析软件,tcpdump等包分析软件书写自己的特诊吗,当然了这需要长时间的测试磨合了。
2、下面就来说说我们可爱的freebsd上的几款防火墙其中最让我纠结就是ipfilter,ipfw了,这两个家伙,一个是普通过滤性能强悍-ipfw,一个是nat转发性能强悍-ipfilter(由于版权协议,已经被openbsd抛弃了,这也就诞生了pf),ipfw是freebsd的亲生防火墙,在以前很老的版本中nat模式还不是核心模式,所以转发性能很低下,当然现在已经是核心模式了,而且配置简单明了,而且有强人写了linux-iptables中的ly7山寨bsd7层过滤模块-ipfw-classly借用了linux-ly7的正则特征码,说白了就是linux-ly7的的bsd实现,只用我们常用到的pfsense,7层过滤功能就是调用了bsd-ly7模块,当然也是落后的7层过滤特征码,需要自己写新的,还有那个笑使用linux-ly7的panabit,其实他也是在使用ipfw-classly只是人家把所有的软件名字全部改掉了,不叫ipfw也不叫ipfw-classly了,(全完自主开发嘛),但是他们还是做了一点事情的就是设计了一个很漂亮的web前台,和自己经常性的编写最新的ly7特征码,以跟上腾讯QQ,迅雷的脚步,可惜啊,那些都是加密的,本人是没有办法破解了,但是加密了怎么能开源呢!对于ipfw我的看法是如果你不需要防护墙来实现 F5一样的集群负载均衡的话,可以使用,因为他缺乏pf的地址池轮训功能,只能说是一个功能和linux-iptables差不多的防火墙吧,我给他打70分吧。
至于ipfilter除了nat转发性能蛮好外,没有其他特别的功能,甚至还没有人开发7层过滤模块,当然如果您的防火墙后面保护的是网吧游戏电脑,可以有效的降低ping延迟,对于网吧来说是不不错的选择,不需要什么负载均衡啊,地址池,7层过滤等功能,是不不错的选择,建议选择基于freebsd的m0n0wall防火墙系统。打个60分吧。
