防火墙生成器4.0中的新功能
- “单规则编译”
- 更改和改进GUI
- 内置安装程序中的密码缓存
- 可定制模板(“configlets”)
- 生成的Linux防火墙脚本的结构变化
- 支持高可用性防火墙配置
-
- 故障转移和状态同步组在Linux集群中
- OpenBSD群集中的故障切换和状态同步组
- PIX群集中的故障切换和状态同步组
- 处理集群规则集和成员防火墙规则集
- 集群配置示例
- 支持OpenWRT和DD-WRT
- NAT中的分支规则
- IP地址,VLAN,桥接和绑定接口配置的增量管理
- 使用Cisco路由器和ASA(PIX)防火墙时,内置安装程序要快得多
- 使用EEM自动回滚配置更改与Cisco路由器
- 为Cisco路由器自动生成“镜像”规则
Firewall Builder 4.0是一个主要的升级,它在程序的所有组件上增加了许多改进。 仅举几例,它增加了对高可用性防火墙配置的支持; 改善生成脚本管理IP地址的方式,增加管理VLAN,桥接和绑定接口的能力; GUI现在具有无限深度的撤消/重做功能,可以编译单个规则并立即显示结果。 还有许多其他改进和更改,全部列在“ 防火墙Builder 4.0发行说明”中 。
如果您不熟悉Firewall Builder,您可以在互联网和我们自己的项目网站上找到许多介绍性文章。 这是一个简短的列表:
Firewall Builder 4.0目前正在进行公开测试。 最新的二进制包和源tar.gz归档从SourceForge下载页面分发,商业二进制Windows和Mac OS X包可从项目网站下载。 请使用Source Forge错误跟踪系统来提交错误报告。
在本文中,我将探索新版本的最有趣和重要的新功能。 您可以在“ 防火墙生成器用户指南”中找到有关每个功能的更多信息和详细的HOWTO 指南 。
“单规则编译”
在开发防火墙策略时,您可以编译各个规则,以确认他们执行的是什么。 为此,请在规则中的任意位置右键单击以打开上下文菜单,然后选择菜单项“编译”。 或者,突出显示规则并使用键盘快捷键“x”。 这是验证fwbuilder的好方法,看看它为GUI中内置的不同规则配置生成的内容。 此功能适用于所有受支持的防火墙平台和所有类型的规则(策略,NAT和路由)。
图1中显示了规则#0生成的iptables脚本
更改和改进GUI
GUI重新设计,以帮助减少不必要的点击并简化工作流程,特别是对于在对象树中有许多对象的情况。 编辑器面板和对象树现在可拆卸。 您可以“浮动”这些窗口,并在屏幕上重新排列任何您想要的方式。 如果您使用几个同时打开的数据文件,每个数据文件都将显示自己的具有对象树和规则的项目窗口,但它们都共享相同的编辑器面板。
图2.浮动对象树面板
对象编辑器面板也可以浮动,使得在具有小屏幕的机器(如笔记本电脑)上保持树,规则集面板和编辑器更容易打开,并且仍然具有足够的规则一次可见。 您还可以更改用于在树中和规则中显示对象的字体。
对象树上方添加了一个新的“过滤器”输入字段。 在该字段中键入名称的片段将自动限制树中显示的对象与匹配所输入的对象的集合。 过滤器在会话期间保留在其中输入的字符串的历史记录。
图3.将过滤器应用于对象树
GUI可以在对象树的第二列中显示对象属性的简要摘要。 这是由全局首选项对话框的选项卡“对象”中的复选框控制的,默认情况下关闭。 第一列始终显示对象图标及其名称,第二列(可选)列显示其属性。
图4.第二列显示树中对象的属性
另一个方便的快捷方式是在组对象对话框中显示的一个新按钮,称为“直接从组对话框中添加对象”。 当您单击此按钮时,将显示一个菜单,允许您创建新对象,并在一个操作中将其添加到组。 这在下面的屏幕截图中显示:
图5。
GUI现在可以通过标准键盘快捷键Ctrl-Z和Ctrl-Y(Mac OS X上的Cmd-Z和Cmd-Y)访问无限制的撤消/重做功能 。 您可以使用可以使用菜单“查看/撤消”打开的特殊面板监视撤消。 单击撤消中的条目滚动操作返回或转发。
旧版本最烦人的功能之一是在对对象进行每次更改后点击“应用”的要素。 当您必须仔细检查并编辑许多对象时,这相当于大量的点击。 Firewall Builder 4.0取消了此按钮,对象对话框中所做的所有更改都将立即保存到对象中。 这不会更改.fwb文件中的数据,只能更改内存中的对象。 结合撤消,这允许更快的对象编辑和回滚更改。
在编译单个规则时,编译器输出面板会突出显示策略编译器生成的错误和警告消息。 当您使用工具栏按钮或主菜单项“编译”或“安装”编译防火墙的所有规则时,对话框中也会突出显示错误和警告。 单击错误或警告消息将打开相应的防火墙,并选择导致该防火墙的规则。
防火墙生成器有一个很好的方法来帮助您更快地从头开始创建新的防火墙对象,这是一个模板对象的集合。 这些对象预先配置了接口,IP地址和基本规则。 不幸的是,很可能这些IP地址与您在网络中使用的地址不匹配,这意味着您以前在创建新的防火墙对象后,更改了接口的地址。 这不是太难了,但还不够。 您必须使用搜索和替换功能来更改规则中使用的所有对象的地址。 这个比较繁琐,可能容易出错。
现在,您可以在向导对话框中创建新防火墙的接口时更改其IP地址。 当您从模板创建新的防火墙对象时,“新防火墙”向导包括界面编辑器页面,您可以在其中更改地址以及接口名称和类型(静态或动态)。 该程序不仅改变了接口的地址,还扫描了模板的策略和NAT规则,寻找与原始模板地址匹配的网络对象,并将它们替换为与新模板地址匹配的网络对象。
内置安装程序中的密码缓存
内置策略安装程序使用ssh与防火墙通信,需要用户名和密码进行身份验证。 Firewall Builder不会永久保存密码,这意味着您每次要更新防火墙配置时都必须输入密码。 Ssh代理当然有助于缓解此问题,但如果您不使用该代理,您仍然需要一次又一次输入密码。 某些设备甚至不支持ssh代理身份验证,这些是Cisco路由器和ASA防火墙。
Firewall Builder 4.0引入了可以在这种情况下帮助的密码缓存。 在会话期间,内置安装程序可以记住防火墙密码(并启用思科的密码)。 密码永远不会以任何形式,加密或纯文本存储,只能保存在工作的Firewall Builder GUI实例中。 在第一时间激活生成的策略时,您需要输入一次密码。 如果保持程序打开,需要再次修改和激活策略,安装程序对话框中的密码字段可以自动填充。 该功能是可选的,默认情况下关闭。
警告 :如果Firewall Builder GUI在未锁定的工作站上无人值守,则使用此功能会产生一定的风险。 有人可能会走上机器,并使用之前使用相同GUI会话的管理员的缓存密码更改防火墙。 离开计算机时,始终锁定屏幕或退出Firewall Builder GUI。