IPFire 2.23 - Core Update 131 发布了,此版本最大亮点是带来了新的入侵防御系统(IPS,Intrusion Prevention System)。
IPFire 是一个 Linux 的防火墙发行版,其主要目标是安全性,IPFire 构成了安全网络的基础,它可以根据各自的安全级别对网络进行分段,并可以轻松创建管理每个网段的自定义策略。IPFire 在设计时考虑了模块化和高度灵活性,用户可以轻松地部署其中的许多变体,例如防火墙、代理服务器与 VPN 网关。模块化设计确保它完全按照配置运行。
相比以往的入侵检测系统(IDS,Intrusion Detection System),入侵防御系统通过深入检查数据包并尝试识别威胁,不仅监听,还会做出反击,使所有网络更加安全。引入的这个新系统在性能与安全性方面都更具优势,并且更加现代化。
系统核心从 Snort 迁移到了 Suricata。Snort 一次只能在一个处理器内核上运行,并且还有一些其它的限制,这使得它运行缓慢且难以使用,所以 IPFire 开发者选择了 Suricata。
这样最大变化就是 IDS 将不再默认监听流量,这也就是它从 IDS 变成 IPS 的原因。Snort 用于分析网络上每个数据包的副本,它一直在扫描网络,并把数据包传递到网络中。不论数据包有没有问题都会进入网络中,引发的任何警报都必须从日志文件中处理,并可能创建 iptables 规则,以阻止恶意数据包的源头主机。这使得网络中攻击者很少有机会与他想要攻击的主机接触。
Suricata 接收数据包并对其进行分析,只有当数据包通过所有检查时,它才被继续发送。如果数据包未通过检测,则会被丢弃并记录警报,完全没有机会让单个数据包发送到内部网络。
除了新的 IPS 系统,此版本还更新了新的 IPFire 内核,带来了各种 bug 和安全修复,此外禁用了一些不再需要的调试功能,带来了小幅性能提升。具体发布说明见: