Журнал LinuxFormat - перейти на главную

LXF132:Сравнение

Материал из Linuxformat
Перейти к: навигация, поиск
Каждый месяц мы сравниваем тысячи программ – а вы можете отдыхать!

Содержание

Сравнение: Дистрибутивы-брандмауэры

Мартин Мередит изучает дистрибутивы, призванные защищать вашу сеть.

Вы идете по темному переулку поздно ночью, и вдруг кто-то наскакивает на вас и отнимает паспорт, кредитные карточки и ключи от автомобиля. Это хорошая аналогия с использованием Интернета. Опасность таится в каждом углу, и при современных соединениях типа «всегда-на-связи» вы можете стать жертвой интернет-эквивалента грабителей, сами того не заметив.

Брандмауэр играет для безопасности вашего компьютера ту же роль, что и дюжий телохранитель, сопровождающий вас на улице. Будь то домашняя или офисная сеть, брандмауэр (он же межсетевой экран) призван обеспечить необходимую защиту.

Большинство брандмауэров делятся на два типа. Первые работают на локальной машине, охраняя вас от ужасов Интернета, на какие бы сайты вас ни занесло. Дистрибутивы Linux, как правило, имеют в своем составе Iptables, индивидуально настроенные под данный компьютер или сервер (более подробную информацию о том, как обезопасить свою машину, см. статью Безопасность: Для вашего сервера в LXF121). Брандмауэры второго типа помещаются между вашей сетью и Интернетом (или другой сетью). Такие-то мы и рассмотрим в нашем Сравнении.

Учитывая огромное разнообразие существующих на сегодняшний день решений (полный список см. на http://linkpot.net/exercised), мы попробуем разобраться, почему одни варианты лучше других, и что больше подойдет вам и вашей системе.

Про наш тест…

Дистрибутивы для брандмауэров исключительно разнообразны, и нам пришлось быть весьма придирчивыми в выборе. Мы разработали теоретической сценарий, в котором один и тот же брандмауэр используется и дома, и в офисе, с наилучшей гибкостью для обоих мест, и особо следили за легкостью установки и настройки.

Все дистрибутивы, представленные в нашем Сравнении, тестировались на двух системах. Первая – сервер Dell PowerEdge R210, а вторая – виртуальная машина, выполняющаяся в VirtualBox на машине HP. У обеих тестовых машин было по 40 ГБ свободного пространства на жестком диске, и 2 ГБ оперативной памяти.

Что должен уметь дистрибутив-брандмауэр?

Межсетевые экраны, как правило, располагаются между вашей локальной сетью и Интернетом. Большинство из них также реализуют необходимую сетевую инфраструктуру. Сюда входят DHCP, который выделяет каждому из компьютеров в вашей сети IP-адрес и рассказывает им, как подключиться к Интернету, и DNS, превращающий имена вроде http://www.linuxformat.ru в IP-адреса (88.212.205.226). Дистрибутивы-брандмауэры также дают возможность блокировать входящие соединения на ваши машины и ограничивать интернет-сервисы, к которым предоставляется доступ локальным компьютерам.

Хотя в большинстве дистрибутивов брандмауэры предлагают только базовый набор функций, некоторые заходят дальше и обеспечивают дополнения, укрепляющие безопасность сети либо добавляющие удобства. Некоторые даже позволяют разделять сети на части с различными правилами доступа: например, безопасности ради вы можете вынести бухгалтерию вашей фирмы в отдельную сеть, но разрешить ее сотрудникам печатать на принтеры основной сети. А некоторые сверх того предоставляют различные сервисы, типа баз данных и web- и почтовых серверов.

Еще одна функция, которая нам очень нравится – это одновременная поддержка нескольких внешних сетей (WAN). То есть можно обрабатывать более одного соединения к Интернету (скажем, несколько линий ADSL), распределяя нагрузку между ними или перенаправляя трафик через различные исходящие соединения. Это важно для офисов с несколькими подключениями к Интернету, чтобы не создавалось узкого места.

ClearOS

Дистрибутив, совместивший удобство и функциональность.

ClearOS, безусловно, самый стильный брандмауэр этого Сравнения. На разработку интерфейса явно потрачено много времени и сил, причем большая их часть ушла на вопросы удобства использования.

Поскольку большинство дистрибутивов-брандмауэров написаны для стереотипных технарей, приятно видеть ободряющие перемены в том, что, кажется, уже стало стандартом де-факто: «сначала сляпать, потом вспомнить про интерфейс».

Сайт ClearOS утверждает, что установка занимает всего 2 минуты. Наши тесты обнаружили, что это время ближе к 15 минутам, но сам процесс был безболезненным и простым, и опять-таки, удобство использования инсталлятором хорошо продумано.

Когда вы закончите с этим и перейдете в систему web-администрирования, знакомство с системой не отнимет у вас много времени, благодаря ее простоте. Настройка правил брандмауэра осуществляется быстро и безболезненно, как и значительная часть других действий.

Наиболее заметной особенностью ClearOS является его удобство, но этот дистрибутив дает гораздо больше, чем просто красивый интерфейс. Он предлагает массу функций и не только дает вам простой и понятный путь к управлению брандмауэром, но и позволяет добавить к вашей сети дополнительные сервисы. Это означает, что если вас утомил Windows-сервер, сидящий в углу и рулящий всеми файлообменными службами и заданиями для принтера, вы можете заменить его системой ClearOS.

В целом, ClearOS – мощный дистрибутив, основанный на корпоративных стандартах и обеспечивающий инструменты, необходимые для нормальной работы вашей сети, а также возможность нарастить функционал при возникновении необходимости.

IPCop

Разносторонний и молниеносный цветастый дистрибутив.

Этот дистрибутив многие превозносили как «Убийцу Smoothwall». Работая по аналогии с Smoothwall Express, IPCop использует для обозначения различных соединений цвета: зеленый для локальной сети, красный для Интернета, оранжевый для DMZ, синий для беспроводных клиентов. По сути, IPCop – ответвление Smoothwall, и вы, вероятно, найдете в них много общего.

IPCop отделился от Smoothwall в 2002 году, и с тех пор набрался сил. Установка очень простая и легкая; новичка озадачат разве что несколько неожиданных вопросов. Однако принятие параметров поумолчанию не вызовет проблем (если у вас сеть без экзотических закидонов).

Web-интерфейс IPCop кажется неуклюжим, но наши тесты показали, что это был лишь психологический момент, потому что на самом деле он невероятно отзывчив. И при этом, кроме графиков в режиме реального времени, как в Smoothwall, IPCop дает обильную информацию о параметрах вашей локальной сети, а также о поведении самого брандмауэра, в том числе список соединений, открытых в данный момент.

IPCop обладает функциональностью, полезной, если вы все еще используете модемное подключение к Интернету: здесь можно завести отдельное имя пользователя и пароль, но без доступа к изменению прочих параметров брандмауэра. Он также предоставляет «кэширующий прокси-сервер», так что вы можете сохранять часто посещаемые страницы локально.

Как брандмауэр, IPCop делает хорошую работу, выдавая кучу информации о трафике в сети; быть может, он и не первый красавец среди дистрибутивов, но отвечает своему назначению.

EBox Platform

Больше, чем просто брандмауэр.

EBox Platform позиционируется своими создателями не как брандмауэр, но как «Linux-сервер для малого бизнеса» – и он, безусловно, тянет на таковой. Он построен на Ubuntu Server 8.04, так что установка eBox в вашей системе очень схожа с обычной установкой Ubuntu.

Можно также установить различные компоненты eBox на версию Ubuntu LTS, просто добавив репозиторий APT и скачав нужные пакеты – это полезно, если у вас уже есть машина с Ubuntu или если вам требуются лишь определенные части eBox Platform (ebox-network и ebox-firewall, например). Дело в том, что eBox построен на фундаменте Ubuntu Server и внутри использует его компоненты. Для более подробной информации о различных способах установки eBox Platform, загляните на http://linkpot.net/elixirs.

После установки вы заходите в eBox через ваш браузер, используя пароль, который вы себе задали. На этом этапе вас может ужаснуть чудовищное количество возможностей, предлагаемых eBox. Однако пугаться не следует: стоит лишь отыскать экран брандмауэра, и настройка будет простой.

eBox Platform – один из самых увесистых брандмауэров нашего Сравнения с точки зрения размера для скачивания, но не забывайте, что он упаковал множество функций, в том числе для работы с базами данных и серверами SIP, хотя аутентификации Active Directory и PPTP тут нет.

Мы также добавили баллов eBox Platform за широкий охват настроек и за то, что он предоставляет практически все, что требуется для обеспечения работы домашней или офисной сети, прямо «из коробки».

M0n0wall

Встречайте самый крошечный дистрибутив в нашем Сравнении.

M0n0wall – BSD-брандмауэр, предназначенный для работы на 16‑МБ флэш-карте, и самый крошечный межсетевой экран из всех, что мы тестировали. Поэтому m0n0wall обеспечивает только самые основные функции. Но при подобной миниатюрности уже и это впечатляет.

После загрузки m0n0wall вы увидите меню настройки. Сперва нужно определить сетевые интерфейсы с функцией m0n0wall ‘AutoDetect’, которая выручит тех, кто не в силах разобраться, какой идентификатор соответствует каждому сетевому подключению: она позволяет назначать LAN/WAN интерфейсы, выявляя, когда сетевой кабель отключен, а затем подключен снова.

Преимущество m0n0wall в том, что это один из немногих опробованных здесь брандмауэров, который по умолчанию обеспечивает маршрутизацию по качеству обслуживания (QoS); благодаря чему можно следить за трафиком вашего соединения и наделять определенные запросы приоритетами. Это пригодится, если вы хотите использовать VoIP для телефонной связи: удобно будет пустить VoIP с приоритетом.

Назначив сетевые интерфейсы, вы можете установить пароль для доступа к системе WebGUI, который позволит вам задать все остальные настройки брандмауэра через web-интерфейс.

Брандмауэр основан на BSD, поэтому некоторые термины могут вначале несколько запутать, но после web-поиска, а также некоторой привычки, он становится понятнее.

M0n0wall мал, да удал: безопасностью он не поступается. Это особенно хорошо для тех, кто хочет получить надежную сеть, не тратя слишком много денег на оборудование, так как он будет прекрасно работать на стандартном, типовом ПК.

PfSense

Кому нужен только полноценный брандмауэр и ничего кроме, дальше не ищите.

Название PfSense на первый взгляд кажется странным, но, когда вы осознаете, что это ответвление m0n0wall, а значит, его основа – BSD, смысл проясняется. BSD использует программу pf (пакетный фильтр), примерно такую же, как Iptables, хотя некоторые говорят, что она более мощная. Это потому, что рf и Iptables работают по-разному.

Pf лучше управляется c правилами, хранящими состояние (извлекая или используя информацию о предыдущих пакетах в потоке), а Iptables – с правилами без запоминания (не требующими информации о предыдущих пакетах). В этом смысле, pf – чуть более надежная защита, чем брандмауэр, использующий Iptables, потому что отслеживание последовательности номеров TCP уменьшает шансы на обман.

PfSense, как и m0n0wall, прост в установке, которая осуществляется с помощью командной строки; но, в отличие от m0n0wall, интерфейсы требуется создать во время инсталляции, а не после загрузки. И, опять же, определить, какая сетевая карта относится к какому интерфейсу, легко с помощью функции автообнаружения.

Коль скоро это ответвление m0n0wall, вы вправе ожидать, что его возможности будут аналогичны или даже идентичны, но PfSense имеет добавочные функции, такие как мульти-WAN, отказоустойчивость и различные методы аутентификации. Его интерфейс более понятен и удобен в использовании. Опять-таки, поскольку он основан на BSD, некоторые термины сбивают с толку, но вы скоро с ними разберетесь.

PfSense, возможно, богаче всех соперников по функциям брандмауэра, но он проигрывает из-за отсутствия дополнительных возможностей сверх этой конкретной задачи. Если вам просто нужен брандмауэр, вы не ошибетесь, выбрав PfSense, но если вам требуется нечто большее, придется обзавестись еще одной коробкой.

Smoothwall

Вероятно, самый известный брандмауэр.

Smoothwall, пожалуй, наиболее популярный дистрибутив брандмауэра. Мы проверили это экспресс-опросом 20 гуру Linux, попросив их назвать дистрибутив брандмауэра. Девятнадцать из них первым назвали Smoothwall.

Инсталляция Smoothwall Express также очень проста, хоть и слегка озадачивает. Определенно стоит скачать пошаговое Руководство по установке [Installation Guide]. В большинстве случаев можно положиться на параметры по умолчанию, и в сети с обычной конфигурацией все должно просто работать.

После первоначальной настройки Smoothwall Express вы можете без проблем запускать его, поскольку он не требует дополнительных действий, кроме подключения сетевых кабелей. Панель управления, основанная на web, проста и легка для понимания. Она дает вам быстрый доступ к функциональности, обеспечивае мой Smoothwall.

Продвинутых функций у Smoothwall Express немного, как видно из нашей таблицы ниже. Однако, подобно IPCop, наряду с кэширующим web-прокси он позволяет иметь отдельную учетную запись, с помощью которой можно контролировать основное соединение, что особенно полезно, если у вас подключение к Интернету через модем. Одно из преимуществ Smoothwall Express – простота при работе с внутренними DNS: добавление нового хоста занимает всего несколько секунд.

Единственная проблема, с которой мы столкнулись во время тестирования – присвоение статического DHCP требует нажатия Добавить [Add], а потом Сохранить [Save], и не особо очевидно, зачем это делать в два шага. У нас это привело к немалой путанице с сетевыми принтерами, которые прыгали с одного IP-адреса на другой.

Smoothwall Advanced

Платный брандмауэр – но за ваши денежки он уж попляшет.

Это единственный платный брандмауэр, попавший в наше Сравнение. Процесс установки Smoothwall Advanced схож с таковым в Express, но вначале потребуется настроить внутреннюю сеть, чтобы получить доступ к его web-панели управления для настройки всего остального.

Smoothwall Advanced кажется созданным для использования в качестве корпоративного брандмауэра, с параметрами для разграничения доступа к различным частям сети на основе аутентификации, web-прокси и системы фильтрации электронной почты. Не то что это плохо, но может оказаться перебором, если вы предназначаете его для дома или малого офиса.

Тем, кто пользовался Express, внешний вид web-панели администрирования будет знаком, хотя мы нашли, что из-за несколько иного подхода к проектированию некоторые простые задачи оказались выполнимы труднее, чем мы ожидали. Но в целом очевидно внимание к деталям, которое характерно и для Express.

Хотя продвинутые функции, доступные в Advanced, идеально подходят для тех, кто хочет решить все проблемы одной коробкой, мы спросили себя, нет ли лучшей альтернативы, и не правильнее ли иметь два компьютера с такой же функциональностью, в целях безопасности. Добавим к этому «ограничения» (допускаются 4 сетевых интерфейса и 20 VPN-соединений), за преодоление которых вам придется при платить, и Smoothwall Advanced утратит смысл, если только вы не работаете в компании, готовой финансировать ваши нужды, или чувствуете себя спокойнее, пользуясь платным продуктом.

Вредикт

eBox Platform 9/10

Выбор правильного дистрибутива брандмауэра во многом зависит от ваших целей. Если вы настраиваете сеть дома или в офисе, установка брандмауэра имеет смысл. По здравом размышлении, брандмауэры являются лучшим способом борьбы с многочисленными опасностями Интернета.

Но в то же время иногда неплохо получить немного дополнительной функциональности, упрощающей жизнь. Затевая наше Сравнение, мы думали, что с победителем все ясно заранее. Но лишь до более внимательного рассмотрения новинок. К своему приятному удивлению, мы нашли некоторых относительных новичков в этой области, но уже с великолепной функциональностью.

Всего лишь брандмауэр

Если вам нужен просто брандмауэр, подойдут все представленные здесь дистрибутивы; одни будут более эффективны, другие менее. В таком случае выбирайте PfSense. Не нравится – тогда IPCop и Smoothwall Express будут отличными вариантами, если вы не любитель сложностей, а Smoothwall Advanced отстает здесь только из-за цены. Если вы хотите сэкономить место или работать на встроенных устройствах, идеальным выбором будет m0n0wall.

Бонусы

Для нас, однако, компьютер, возможности которого не используются в полной мере – деньги на ветер (именно поэтому мы любим виртуализацию). Поэтому нашим победителем стал eBox Platform. Ошеломляющий список функций и тот факт, что он построен на базе стандартной установки Ubuntu, означает, что наряду с брандмауэром у вас будет машина, способная сделать практически все, что можно вообразить.

Правда, нам было довольно трудно сделать выбор между eBox Platform и ClearOS. Но хотя ClearOS предоставляет и множество функций, и удивительно простой интерфейс, eBox имеет больший потенциал по расширению функциональности.

Если вам не нужны все продвинутые настройки, предлагаемые eBox, вы увидите, что ClearOS предоставляет все необходимое в одном, прекрасно сделанном и пригодном для использования пакете.

Наконец, Smoothwall Express заслуживает особого внимания, потому что это единственный брандмауэр, который после установки можно предоставить самому себе, не перебирая настройки для его запуска и работы. А если вам понадобится отыскать в нем конкретные параметры, вы их запросто найдете.

Собственно говоря, до тестирования других дистрибутивов брандмауэров для данного Сравнения, Smoothwall Express, вероятнее всего, стал бы нашим выбором номер один.

Таблица характеристик

Название Цена Размер для скачивания, МБ Мульти-WAN Web-прокси Внутренний брандмауэр Отказоустойчивость VPN Аутентификация Active Directory Антиспам Почтовый сервер Контроллер домена Windows
ClearOS Бесплатно 690 V V X X PPTP Open VPN & IPSec V V V V
IPCop Бесплатно 50 X V X X IPSec X X X X
eBox Platform Бесплатно 623 V V V X OpenVPN X V V V
m0n0wall Бесплатно 18 X X V X IPSec X X X X
PfSense Бесплатно 55 V X V V IPSec V X X X
Smoothwall Advanced £ 1250 + ежегодный взнос 177 V V V Опционно SSL L2TP & IPSec V Опционно X X
Smoothwall Express Бесплатно 81 X V X X IPSec X X X X
Персональные инструменты
купить
подписаться
Яндекс.Метрика