Porównanie zapór ogniowych - Comparison of firewalls
Oprogramowanie zapory
Urządzenia firewall
| Zapora | Licencja | Koszt | OS |
|---|---|---|---|
| Clavister | Prawnie zastrzeżony | Zawarte we wszystkich Clavister NGFW |
Zastrzeżony system operacyjny cOS Core |
| Punkt kontrolny | Prawnie zastrzeżony | Zawarte w bramkach bezpieczeństwa Check Point |
Zastrzeżony system operacyjny Check Point IPSO i Gaia ( oparty na systemie Linux ) |
| FortiGate | Prawnie zastrzeżony | Dołączone do wszystkich urządzeń Fortigate |
Zastrzeżony, FortiOS,
Oparty na jądrze Linux |
| Sieci Palo Alto | Prawnie zastrzeżony | Zawarte w zaporach sieciowych Palo Alto Networks |
Zastrzeżony, PAN-OS,
Oparty na jądrze Linux |
| Sophos | Prawnie zastrzeżony | Zawarte w Sophos UTM | Urządzenie oparte na systemie Linux |
| Cisco ASA Firepower | Prawnie zastrzeżony | Dołączone do wszystkich urządzeń CISCO ASA |
Zastrzeżony system operacyjny.
Oparty na jądrze Linux . |
| Cisco PIX | Prawnie zastrzeżony | Dołączone do wszystkich urządzeń CISCO PIX |
Zastrzeżony system operacyjny |
| Jałowiec SSG | Prawnie zastrzeżony | Zawarte w bramkach bezpieczeństwa Netscreen |
Zastrzeżony system operacyjny ScreenOS |
| Jałowiec SRX | Prawnie zastrzeżony | Dołączone do bram bezpieczeństwa SRX |
Zastrzeżony system operacyjny Junos |
| Sonicwall | Prawnie zastrzeżony | Dołączone do urządzenia firmy Dell | Zastrzeżony system operacyjny SonicOS
Oparty na jądrze Linux |
| Barracuda Firewall | Prawnie zastrzeżony | Dołączone urządzenie Firewall Next Generation |
Dystrybucja wbudowanej zapory ogniowej opartej na systemie Windows |
| Cyberoam | Prawnie zastrzeżony | Dołączone urządzenie Firewall Sophos |
Dystrybucja wbudowanej zapory ogniowej opartej na systemie Windows |
| D-Link | Prawnie zastrzeżony | Dołączona zapora DFL |
Dystrybucja wbudowanej zapory ogniowej opartej na systemie Windows |
| Zapora sieciowa Endian | Prawnie zastrzeżony | Bezpłatne / Płatne | Urządzenie oparte na systemie Linux |
| Punkt siły NGFW | Prawnie zastrzeżony | Dołączone do wszystkich urządzeń Forcepoint NGFW | Zastrzeżony system operacyjny |
| OPNsense | Uproszczona licencja BSD / FreeBSD | Bezpłatne / Płatne |
Dystrybucja zapory ogniowej opartej na FreeBSD |
| pfSense | Apache 2.0 / Zastrzeżony (Plus) | Bezpłatne / Płatne |
Dystrybucja zapory ogniowej opartej na FreeBSD |
| Zeroshell | GPL | Bezpłatne / Płatne |
Linux / NanoBSD -na pralki dystrybucję zapory |
| Gładka ściana | GPL | Bezpłatne / Płatne |
Dystrybucja wbudowanej zapory ogniowej opartej na systemie Linux |
| IPFire | GPL | Bezpłatnie (Darowizny mile widziane) |
Dystrybucja wbudowanej zapory ogniowej opartej na systemie Linux |
| Strażnik | Prawnie zastrzeżony | Dołączone do wszystkich urządzeń Firebox | Własny, Fireware OS,
Oparty na jądrze Linux |
| WinGate | Prawnie zastrzeżony | Bezpłatne / Płatne |
Dystrybucja wbudowanej zapory ogniowej opartej na systemie Windows |
Porównanie funkcji filtrowania zestawu reguł zapory sieciowej Appliance-UTM
| Może celować: | Zmiana domyślnej polityki na akceptację/odrzucenie (przez wydanie pojedynczej reguły) | Adresy docelowe IP | Adresy źródłowe IP | Porty docelowe TCP/UDP | Porty źródłowe TCP/UDP | Adres docelowy Ethernet MAC | Adres źródłowy MAC w sieci Ethernet | Zapora przychodząca (przychodząca) | Zapora wychodząca (wychodząca) |
|---|---|---|---|---|---|---|---|---|---|
| Trend Micro Internet Security | tak | tak | tak | tak | tak | Nie | Nie | tak | tak |
| Vyatta | tak | tak | tak | tak | tak | tak | Nie | Nie | tak |
| Zapora systemu Windows XP | Nie | Nie | tak | Częściowy | Nie | Nie | Nie | tak | Nie |
| Zapora systemu Windows Vista | tak | tak | tak | tak | tak | Nie | Nie | tak | tak |
|
Zapora systemu Windows 7 / Windows 2008 R2 |
tak | tak | tak | tak | Nie | Nie | tak | tak | tak |
| WinGate | tak | tak | tak | tak | tak | Nie | Nie | Nie | tak |
| Zeroshell | tak | tak | tak | tak | tak | tak | tak | tak | tak |
| Zorp | tak | tak | tak | tak | tak | tak | Nie | Nie | Nie |
| pfSense | tak | tak | tak | tak | tak | Nie | Nie | tak | tak |
| IPFire | tak | tak | tak | tak | tak | tak | tak | tak | tak |
- Uwagi
Porównanie zaawansowanych funkcji zestawu reguł zapory
| Mogą: | praca w warstwie 4 OSI (zapora stanowa) | praca w OSI Layer 7 (inspekcja aplikacji) | Zmienić TTL? (Przezroczysty dla traceroute) | Skonfiguruj REJECT-z odpowiedzią | DMZ (strefa zdemilitaryzowana) | Filtruj według pory dnia (limit) | Przekieruj porty TCP/UDP (przekierowanie portów) | Przekieruj adresy IP (przekierowanie) | Filtruj według autoryzacji użytkownika | Ograniczenie ruchu / QoS | Tarpit | Dziennik |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Sidewinder | tak | tak | tak | tak | tak | tak | tak | tak | tak | tak | tak | tak |
| WinGate | tak | tak | tak | Nie | tak | tak | tak | Nie | tak | tak | Nie | tak |
| Zeroshell | tak | tak | Nie | tak | tak | tak | tak | tak | tak | tak | Nie | tak |
| OPNsense | tak | tak | Nie | tak | tak | tak | tak | tak | tak | tak | Nie | tak |
| pfSense | tak | tak | Nie | tak | tak | tak | tak | tak | tak | tak | Nie | tak |
| IPFire | tak | tak | ? | Nie | tak | tak | tak | tak | ? | tak | Nie | tak |
| Cechy: | Konfiguracja: GUI, tekst czy oba tryby? | Zdalny dostęp: WWW (HTTP), Telnet, SSH, RDP, port szeregowy COM RS232, ... | Zmienić reguły bez konieczności restartu? | Możliwość centralnego zarządzania wszystkimi zaporami jednocześnie |
|---|---|---|---|---|
| WinGate | GUI | Zastrzeżony interfejs użytkownika | tak | Nie dotyczy |
| ClearOS | Zarówno | RS232, SSH, WebConfig, | tak | Tak z ClearDNS |
| Zeroshell | GUI | SSH, WWW (HTTPS), RS232 | tak | Nie |
| OPNsense | Zarówno | SSH, WWW (HTTP/HTTPS), RS232 | tak | Nie |
| pfSense | Zarówno | SSH, WWW (HTTP/HTTPS), RS232 | tak | Nie |
| IPFire | Zarówno | SSH, WWW (HTTPS), RS232 | tak | Nie |
Porównanie innych funkcji zapory
| Cechy: | Modułowość: obsługuje moduły innych firm w celu rozszerzenia funkcjonalności? | IPS: system zapobiegania włamaniom | Licencja Open Source? | obsługuje IPv6? | Klasa: Dom / Profesjonalista | Systemy operacyjne, na których działa? |
|---|---|---|---|---|---|---|
| Vyatta | tak | tak | tak | tak | Profesjonalny | Vyatta OS (zbudowany na Debianie) |
| WinGate | tak | ? | Nie | Nie | Profesjonalny | Windows 2000, Windows XP, Windows 2003, Windows Vista, Windows 2008. 32bit i 64bit. |
| OPNsense | tak | Tak, z Snort i Suricata (moduły) | tak | tak | Obie | Urządzenie oparte na FreeBSD/NanoBSD |
| pfSense | tak | Tak, z Snort i Suricata (moduły) | tak | tak | Obie | Urządzenie oparte na FreeBSD/NanoBSD |
| IPFire | tak | Tak, z Suricata | tak | Tak (wymagana ręczna konfiguracja) | Obie | Linux (oparty na Linux From Scratch ) |
- Uwagi
Porównanie dodatkowych funkcji innych niż firewall
Nie są to wyłącznie funkcje zapory, ale czasami są dołączane do oprogramowania lub urządzenia zapory. Funkcje są również oznaczone jako „tak”, jeśli można zainstalować moduł zewnętrzny spełniający kryteria.
| Mogą: | NAT | NAT64 , NPTv6 | System wykrywania włamań (IDS) | Wirtualna sieć prywatna (VPN) | Antywirus (AV) | Przechwytywanie pakietów | Wybór profilu |
|---|---|---|---|---|---|---|---|
| Vyatta | Tak (trzy typy NAT) | ? | Tak (zintegrowany Snort) | Tak (IPsec i OpenVPN) | Tak (z clamav, Sophos Antivirus (opcjonalnie)) | Tak (z wireshark lub tcpdump) | ? |
| WinGate | tak | ? | Tak (z NetPatrolem) | Tak (zastrzeżony) | Tak (Kaspersky Labs) | Tak (przefiltrowane przechwytywanie do formatu pcap) | Nie |
| OPNsense | tak | Tak (NPt) | Tak (zintegrowana Suricata) | Tak ( WireGuard , OpenVPN, IPsec, L2TP, IKEv2, Tinc, PPTP) | Tak (z kalmarami i małżami) | Tak (zrzut tcp) | Nie |
| pfSense | tak | Tak (NPt) | Tak (z Snort) | Tak (OpenVPN, IPsec, L2TP, IKEv2, Tinc, PPTP) | Tak (z kalmarami i małżami) | Tak (zrzut tcp) | Nie |
| IPFire | tak | ? | Tak (z Suricatą) | Tak (OpenVPN, IPsec, IKEv2) | Tak (z kalmarami i małżami) | Tak (zrzut tcp) | Nie |
- Uwagi