誠然，傳統的網絡防火墻不再像以前那樣為網絡管理員提供絕對的保護和安心。當今許多成功的攻擊，例如針對用戶憑據的網絡釣魚或 Web 應用程序中的軟件漏洞，都不會被簡單的過濾防火墻阻止，這些防火墻根據允許的協議、來源和目的地的白名單檢查傳輸控制協議和用戶數據報協議流量。下一代防火墻和統一威脅管理設備繼續將新的特性和功能添加到設備中，以保護您的公司免受 Internet 的侵害，例如檢查所有電子郵件附件和下載的穿過防火墻的文件。這些最新的防火墻可能很昂貴，并且需要經常性的訂閱費用來保持他們的威脅情報源是最新的。幸運的是，有諸如OPNsense、pfSense和Sophos XG Firewall Home Edition，您可以使用商業防火墻功能保護較小的網絡甚至家庭網絡，而成本只是其中的一小部分。

從歷史上看，來自 Cisco 和 CheckPoint 等領先公司的防火墻的行為類似于高性能網絡路由器，它們通過大部分靜態規則提供狀態防火墻檢查。這些設備可靠，提供高吞吐量，并支持復雜的路由器配置。網絡可以通過虛擬局域網隔離，端口轉發、網絡地址轉換和虛擬專用網絡 (VPN) 等功能使公司能夠從 Internet 安全地訪問敏感資源。然而，它們的高成本使它們不適用于小型辦公室/家庭辦公室 (SOHO) 或什至中小型企業 (SMB) 等小型網絡。SOHO 和 SMB IT 管理員通常受限于他們的互聯網服務提供商 (ISP) 寬帶調制解調器/路由器提供的薄弱保護。

在 2000 年代初期，一些成本較低的選項（例如m0n0wall和 pfSense）開始在開源許可下提供商業防火墻功能。這些防火墻在強化的 FreeBSD 上運行——一種開源的類 UNIX 操作系統——可以在其上安裝額外的模塊。這些防火墻的管理是通過 Web 前端進行的。隨著時間的推移，隨著開發人員團體推動他們自己的首選方向來實現他們對產品的愿景，其中幾個項目已經分叉。例如，pfSense 從 m0n0wall 分叉出來，而 OPNsense 從 pfSense 分叉出來。此外，一些安全公司還針對特定用例發布了有限許可產品。Sophos XG Firewall Home Edition 就是其中的一個例子：一款面向家庭用戶免費提供的商業級防火墻。

地平線上的低成本選擇

這些低成本防火墻，如 OPNsense、pfSense 和 Sophos XG Firewall Home Edition 支持廣泛的安全功能，提供的功能遠遠超過您的 ISP 提供的簡單路由器軟件。這些產品中的大多數都可以通過多種方式進行部署，例如從 USB 驅動器、作為虛擬設備或在傳統計算機上進行部署?；蛘?，您可以購買專用硬件（通常是平裝書的大?。ǘ鄠€網絡端口，物理上比計算機小，并且比運行這些產品的大型計算機更節能。

OPNsense、pfSense 和 Sophos XG Firewall Home Edition 提供超越簡單網絡過濾的復雜功能和高級保護。例如，使用 Sophos XG，您可以監控和管理網絡沖浪、按用戶配置規則以及檢查下載和電子郵件附件是否有病毒。它的監控和報告功能非常強大：例如，您可以枚舉當前活動以抽查網絡上的設備以及它們在何處以及與誰通信。Sophos XG 家庭許可證中可用的其他商業功能包括創建自定義入侵防御系統簽名的能力、警告或阻止不需要的 Web 內容（例如，成人內容或在線聊天站點），以及分析 HTTP 和域名的高級威脅防護用于提醒（并可選擇丟棄）可疑行為的系統流量。它的防火墻規則根據協議、源和目標阻止流量，您還可以配置額外的第 7 層（應用程序層）保護以嘗試阻止對 Web 應用程序代碼漏洞的利用。OPNsense 和 pfSense 提供強大的功能，包括并與其他流行的開源安全包很好地集成。例如，OpenVPN和tinc允許安全地遠程連接到您網絡上的設備；Squid HTTP 代理和SquidGuard代理提供過濾以幫助您更好地管理 Web 內容。所有這些防火墻還提供高級路由和負載平衡。

結論

這些成本較低的防火墻選項通常需要更多的功課才能成功配置和部署，但除了開發人員提供的產品文檔之外，互聯網上還提供許多有用且信息豐富的指南。其中許多項目仍然很強大，它們的功能也在積極開發中，當成本是主要驅動因素時，或者當你家里的 ISP 電纜調制解調器上的內置過濾功能不足以滿足安全需求時，它們是很好的選擇。

審核編輯hhy