在現在這些日子裡,總是保持在線狀態,一個可以用來保護來自認證的網絡鏈接的防火牆是不可或缺的。雖說目前的某些家用路由設備有基本的防火牆功能,但是他們的的網絡通訊規則相對簡單和武斷。現在可信的替代方案就是在一台老的機器上運行基於Linux的防火牆系統,但是配置這樣一台Linux防火牆不是件容易的事情,但是SmoothWall例外,您可以安裝在任何版本的老硬件上,把它改造成一台具有生產能力的防火牆,SmoothWall防火牆軟件比標致的防火牆有著更多的選項和更友好的用戶界面。
SmoothWall Express 2.0版本的下載大小為45MB,但是有12MB是相關PDF文檔,我把它安裝在800MHz的P3 主機上,其他主要配置為128M SDRAM、20GB 硬盤和三張網卡(一張板載,兩張PCI設備)。這個硬件配置遠遠高於了這個防火牆軟件的硬件要求,因為要求是奔騰CPU以上、32MB 內存和540MB 硬盤即可。
安裝過程非常簡單,這主要歸功於安裝過程中提供的非常完備的文檔,在安裝過程中SmoothWall將格式化硬盤,沒有其他任何選項,不會提醒您備份硬盤數據等,我想這是這個軟件應該改善的,但是話說回來,防火牆干嘛還有雙系統,保留其他分區呢?在安裝過程中,系統會要求您選擇網絡接口類型-以太網、ISDN或者是USB ADSL。我選擇了以太網,然後選擇防火牆類型,這裡有兩種類型,一種是green-red類型,在這種模式中,一個網絡接口是連向internet(red),一個是連向LAN(green);還有種模式就是green-orange-red,red和green接口類型和前一種一樣,但是多了個orange接口,這是專門為那些需要特殊服務的服務器程序准備的,在這個區域的資源可以被來自internet和LAN的鏈接所控制,這就是有名的DMZ(demilitarized zone非軍事區)。
我選擇了green-orange-red模式,我按照安裝指導文檔中的說明為網卡設置了IP地址,下一步就是配置DHCP服務器,但是我有一個運行中的DHCP服務器,所以我取消了這個選項,然後我設置了三個密碼,分別是admin、root和setup用戶。特別重要的用戶就是admin用戶了,這個將用來設置基於web的管理界面,setup用戶用來更改一些防火牆配置,比如將green-red改為green-orange-red。安裝的最後一步是詢問你是否從一張軟盤中加載已經配置好的SmoothWall防火牆配置,全部安裝配置過程大概耗時10分鐘。
默認情況下,防火牆配置為禁止來自所以的來自紅色區域的連接請求。這就意味著任何來自internet的鏈接默認情況下都是被拒絕的,除非有來自綠色區域的鏈接要求。您可以通過鍵入http://:81和https://:441來進行基於web的管理。
基於web界面的SmoothWall防火牆軟件有著非常豐富的選項。您可以將它配置成一個代理服務器,或者DHCP服務器,或者為綠色區域服務的某些特別端口的包轉發服務器等等。作為一個代理服務器,你可以設置一些高級選項,比如用戶端認證和延遲池等等。這些功能對小公司或者家庭用戶來說還是很有用的,但是對於大型企業來說,他們都是有自己特定的代理服務器。您可以為你的DHCP服務器配置地址范圍、WINS服務器和靜態IP地址。你也可以選擇動態DNS,提供為遠處鏈接服務的SHH程序和時間服務器。SmoothWall甚至可以支持SNORT,一個流行的開源入侵檢測系統。
SmoothWall通過使用Linux2.4內核和netfilter來進行包檢測。它有一個內建的VPN網絡,這樣就盡可能安全的在外部和家庭網絡之間建立起一個私有網絡。
安全研究人員不斷的發現新的安全問題,所以您也要不斷的升級您的SmoothWall防火牆設備,SmoothWall提供基於Web的升級界面,提醒您下載新的安全升級包,一旦下載完畢,你必須在Web模式下上載到防火牆設備中,升級包是 tar.gz格式,但是在上載過程中會自動解壓,同時會檢驗完整簽名。
我上周安裝SmoothWall的時候,系統提示我有6個升級,最新的update在半個月內,這是一個好現象,說明開發者們發布補丁還是很及時和准確的,安裝這些補丁很容易,雖然有兩個安裝後要求系統重啟,這一切的管理工作都可以通過網絡在完成,包括reboot。
還有要提一下的就是SmoothWall提供的三份完備的手冊-快速開始、安裝向導和管理指南,非常清晰,組織條理和內容廣泛,甚至可以說,就算你不用SmoothWall,你看了這三份文檔,您就可以開始你的防火牆之旅了。
我們學院大概有400個用戶,一台Web服務器和一台Mail服務器。為了測試SmoothWall,我啟用了SNORT入侵檢測,並且從紅色區域發動了一定量的攻擊。這些攻擊包括nmap和其他一些工具的掃描和其他的一些攻擊工具。在所以的這些攻擊活動中,我們的SmoothWall防火牆都表現的很好,在Snort和防火牆的日志中都留下了記錄,包括攻擊的類型、攻擊者的IP和時間日期。SmoothWall的IP lookup功能甚至可以找出攻擊者的源地址。雖然我所做的攻擊都是最簡單的,但這正是網絡中最常見的。
SmoothWall別設計成一種配置後不用管的產品,在我的這張比較大的局域網中,SmoothWall防火牆並沒有變慢的任何跡象,您可以登陸進去查看日志文件和帶寬利用率,他們都是可以通過圖形表現出來,可以按照天、周、月、年等單位追蹤流量變化。
SmoothWall總的說來是款不錯的防火牆軟件,我都沒有發現什麼瑕疵,除了一處升級的不便,那就是我們要手工下載,然後上傳升級文件包到SmoothWall防火牆設備上。我想這款軟件的開發者們或許要考慮一下集成一個自動的腳本到這個軟件中,自動定期的升級系統,解決這個小毛刺,這個防火牆軟件也許就完美了。
當然,SmoothWall這個軟件是為家庭和小企業用戶設計的,這不是一個全功能的防火牆產品,您不能進行有效的帶寬控制,不能單獨通過命令行模式在設置特別的IP規則,內建的代理服務器也是一種簡化版,沒有辦法滿足那些大型的商業需要。假如您要是為你的路由設備中內建防火牆選擇一個代替品,恰好身邊又有這麼台舊電腦在睡大覺,下載這個名字叫SmoothWall的防火牆產品,try it!
