Firewall Builder es un sistema de configuración y administración de firewall multi-plataforma. Consiste en una interfaz gráfica de usuario y un conjunto de compiladores de política para diversas plataformas de servidor de seguridad.
Firewall Builder ayuda a los usuarios a mantener una base de datos de objetos y permite la edición de políticas utilizando las operaciones de arrastrar y soltar.
Los GUI y política compiladores son completamente independientes, esto proporciona un modelo abstracto consistente y la misma interfaz gráfica de usuario para diferentes plataformas de servidor de seguridad. Actualmente soporta iptables, ipfilter, ipfw, OpenBSD PF y Cisco PIX.
¿Qué hay de nuevo en esta versión:
- Actualizaciones de GUI:
- movido "por lotes instalar" desde el asistente principal del instalador para el diálogo en el usuario introduce su contraseña. Ahora el usuario puede comenzar en un no por lotes modo de instalación, pero continuará en modo batch instalar en cualquier momento si todos sus servidores de seguridad se autentican con el mismo nombre de usuario y contraseña.
- ver # 2628 accidente fijo que sucedió si el usuario crear nuevo objeto firewall de una plantilla y ha cambiado una de las direcciones IP, mientras que otro objeto firewall creado a partir de la misma plantilla ya existía en el árbol.
- ver # 2635 AttachedNetworks tipo de objeto no está permitido en el "interfaz" elemento de regla.
- La lista desplegable de interfaces para la opción de autonomía "ruta-through" para PF y iptables debe incluir no sólo las interfaces de racimo, pero también las interfaces de todos los miembros. De esta manera, podemos hacer que el compilador genere configuración "pasar en rápida en em0 vía a {(em0 10.1.1.2)} ..." para una regla de un grupo PF. Aquí "em0" es una interfaz de un miembro, no el clúster.
- fija # 2642 "GUI falla si el usuario cancela diálogo newFirewall".
- corrige "diálogo newFirewall no acepta direcciones IPv6 con prefijos largos" # 2641. El diálogo no permitió direcciones IPv6 de inetrfaces con máscara de red & gt; 64 bit.
- fija # 2643 "GUI falla cuando el usuario corta una regla y haga clic en el botón derecho del ratón en cualquier elemento de regla de otro"
- añadió comprobación para asegurarse de usuario no introduce la máscara de red con ceros en el centro del objeto de red IPv4. Las máscaras de red como que no son compatibles con fwbuilder.
- fija # 2648 "botón derecho del ratón en el objeto de servidor de seguridad en" objetos eliminados "biblioteca provoca accidente GUI"
- fija SF bug 3388055 Adición de un "Nombre DNS" con un espacio al final provoca un fallo.
- fija SF bug 3302121 "cosméticos mis-formato en el cuadro de diálogo caminos fwb Linux"
- fija SF bug 3247094 "Nomenclatura de diálogo de edición de direcciones IP". Diálogo ipv6 Red dice "El tamaño del prefijo".
- ver # 2654 correcciones GUI accidente que ocurrió si el usuario copiar una regla de archivo de A a presentar B, entonces B archivo cerrado, abierto archivo C y trató de copiar la misma regla de A a C '
- ver # 2655 nombres de las interfaces no se les permite tener guión "-" incluso con la verificación de interfaz de apagado. Debemos permitir "-" en el nombre de la interfaz de Cisco IOS
- ver # 2657 descubrimiento de red SNMP estrelló si la opción "Confine de escaneo en red" se utilizó.
- fija # 2658 "descubrimiento de red SNMP crea direcciones duplicadas y de red objetos"
- enable fwbuilder aprovechar GSSAPIAuthentication con openssh usando sugerencia de Matthias Witte witte@netzquadrat.de
- corregido un error (sin número): si el nombre de archivo de usuario especificado en el campo "Nombre de archivo de salida" en la sección "Configuración avanzada" de diálogo de un objeto de servidor de seguridad terminó con un espacio en blanco, instalador política ha fallado con un error "No existe el archivo o directorio "
- insecto SF fijo # 3433587 "editar Manual del nuevo servicio de valor Destino Puerto FIN falla". Este error hizo imposible para editar el valor del fin del rango de puertos porque tan pronto como se convirtió en el valor menor que el valor de inicio del intervalo, la GUI sería reconfigúrela a ser igual al valor del inicio de la gama . Esta TCP y UDP, diálogos objeto de servicio. afectada
- correcciones # 2665 "Adición de texto a comentar causas regla para ir de 2 filas de 1 fila". Bajo ciertas circunstancias, el estado de edición comentario causó la GUI se colapse fila correspondiente en la vista de conjunto de reglas para que sólo el primer objeto de cada elemento de regla que contenía varios objetos era visible.
- fija # 2669 "Cant inspeccionar objeto de servicio personalizado en la Norma objetos de la biblioteca".
- Los cambios en importador de política para todas las plataformas soportadas
- Los cambios que afectan a la importación de configuraciones PIX:
- cambió el nombre simbólico de "ESP" a "ESP_WORD" para evitar conflictos con macro "ESP" lo que pasó durante la compilación en OpenSolaris
- ver # 2662 "Crash al compilar norma ASA con rango de IP". Necesidad de dividir rango de direcciones si se utiliza en "fuente" de una norma que controla telnet, ssh o http para el cortafuegos y la versión del servidor de seguridad es & gt; = 8,3. Comandos "ssh", "telnet" y "http" (los que controlan el acceso de los protocolos correspondientes en el propio firewall) aceptan sólo la dirección IP de un host o una red como su argumento. No aceptan rango de direcciones, llamado objeto o grupo de objetos. Esto es así por lo menos tan ASA de 8.3. Desde que ampliamos rangos de direcciones sólo para versiones & lt; 8.3 y el uso llamado objeto de 8,3 y más tarde, tenemos que hacer esta comprobación adicional y aún ampliar los rangos de direcciones en las reglas que más tarde se convertirá en "ssh", "telnet" o comando "http". Compilador todavía genera declaración objeto-grupo redundante con bloques CIDR generados a partir del rango de direcciones, pero no utiliza este grupo en la regla. Esto no rompe configuración genera pero el grupo objeto es redundante puesto que nunca se usa. Esta será rectificada en futuras versiones.
- fija # 2668 Eliminar "rutas estáticas" en el texto explicativo en el diálogo de importación / PIX ASA. No podemos importar PIX / ASA configuración de enrutamiento en este momento.
- fija # 2677 importador Política de PIX / ASA no podía analizar comando "nat (interior) 1 0 0"
- fija # 2679 importador Política de PIX / ASA no podía importar regla "nat exención" (por ejemplo: "nat (dentro) 0 access-list EXENTO")
- fija # 2678 importador Política de PIX / ASA no podía analizar comando nat con el parámetro "fuera"
- Los cambios y mejoras en la libfwbuilder biblioteca API:
- función direcciónDeInternet :: isValidV4Netmask () comprueba que la máscara de red representados por el objeto consiste en una secuencia de bits "1", seguido de la secuencia de bits "0" y por lo tanto no tiene ceros en el medio.
- Solución de error # 2670. Per red RFC3021 con máscara de red / 31 no tiene red y las direcciones de difusión directa. Cuando la interfaz del servidor de seguridad está configurado con los compiladores de la máscara de red / 31, la política no debe tratar a la segunda dirección de esta "subred", como una emisión.
- Los cambios en el soporte para iptables:
- ver # 2639 "apoyo a subinterfaces VLAN de interfaces de puente (por ejemplo br0.5)". Actualmente fwbuilder no puede generar script para configurar subinterfaces VLAN de interfaces de puente, sin embargo, si el usuario no solicitó este script de configuración que se genere, compilador no debe abortar cuando se encuentra con esta combinación.
- fija # 2650 "normas con rango de dirección que incluya dirección de firewall en Src se colocan en cadena OUTPUT a pesar de direcciones que no coincidan con el servidor de seguridad debe ir en ADELANTE"
- corrige el bug # 3414382 SF "violación de segmento en fwb_ipt se trata de grupos vacíos". Compilador de iptables utiliza para bloquearse cuando se utilizó un grupo vacío en la columna "Interface" de una regla de política.
- ver SF bug # 3416900 "Reemplazar` command` con `which`". Script generado (Linux / iptables) solía usar "-v" para comprobar si las herramientas de línea de comandos que necesita están presentes en el sistema. Esto se utilizó para encontrar iptables, lsmod, modprobe, ifconfig, vconfig, maderero y otros. Algunas distribuciones de Linux embebido, especialmente TomatoUSB, vienen sin el apoyo de "comando". El cambio a ", que" eso es más ubuquitous y debería estar disponible prácticamente en todas partes.
- # fijo 2663 "Regla con la" vieja a la emisión "resultados de objeto en iptables no válidos cadena INPUT". Compilador estaba eligiendo ENTRADA cadena con sentido "de salida" para las reglas que tenían dirección de difusión de edad en "Source", este cable al inválido configuración iptables con cadena INPUT y "-o eth0" cláusula partido interfaz.
- Solución de error en el procesador norma que sustituye AddressRange objeto que representa la dirección única con un objeto IPv4. También elimina la redundancia de código.
- fija # 2664 mensaje de actualización de error cuando ", que" falla del sistema. Generado guión iptables utiliza ", que" para comprobar si existen todos los servicios públicos que utiliza en la máquina. También hay que comprobar si ", que" sí existe y emitir un mensaje de error significativo si no.
- SF bug # 3439613. módulo physdev no permite --physdev de salida para el tráfico no puenteado más. Hay que añadir --physdev-se con puentes para asegurar que esto coincide con sólo un puente paquetes. Y como complemento cláusula "-i" / "-o" para que coincida con la interfaz del puente principal. Esto nos permite coincidir con correctamente cuál puente el paquete llega a través de las configuraciones que utilizan interfaces de puerto de puente comodín. Por ejemplo, cuando br0 y br1 tener "vnet +" interfaz de puerto de puente, iptables pueda coincidir correctamente cuál puente el paquete pasó por el uso de "-o br0" o cláusula "-o br1". Esto puede ser útil en instalaciones con muchas interfaces de puente que se crean y destruyen de forma dinámica, por ejemplo, con máquinas virtuales. Tenga en cuenta que el "br0 -i" / "-o br0" cláusula sólo se añade cuando hay más de un puente de interfaz y el nombre de puerto de puente termina con un símbolo comodín "+"
- fija SF bug # 3443609 Regreso de ID: 3059893 ": iptables" "opción en desuso" --set. Necesidad de utilizar---match conjunto en lugar de --set si la versión de iptables es & gt; = 1.4.4. El arreglo hecho por # 3059893 fue sólo en el compilador de la política, pero hay que hacer tanto en la política y los compiladores nat.
- Los cambios en el apoyo para la PF (FreeBSD, OpenBSD):
- ver # 2636 "carpa: salida incorrecta en formato rc.conf.local". Deben usar create_args_carp0 lugar de ifconfig_carp0 para configurar la interfaz CARP vhid, pasar y parámetros adskew.
- ver # 2638 "Cuando contraseña CARP está vacío el valor advskew no se lee". Debe saltar "pasar" parámetro del comando ifconfig que crea interfaz carpa si el usuario no estableció ninguna contraseña.
- fija SF bug # 3429377 "PF: reglas IPv6 no se agregan en IPv4 / IPv6 conjunto de reglas (ancla)". Compilador de PF no inlcude reglas generadas para IPv6 en los archivos de configuración de anclaje PF generados.
- insecto SF fijo 3428992: "PF: gobierna problema de orden con IPv4 e IPv6". Compiler para PF deberían reglas IPv4 grupo y NAT ipv6 juntos, antes de que genera reglas IPv4 e IPv6 de política.
- Varias correcciones en los algoritmos utilizados para procesar las reglas cuando la opción de "preservar grupo y direcciones de mesa nombres de objeto" es en efecto
- fija # 2674 NAT compilador para PF se estrelló cuando se utilizó AttachedNetworks objeto en Fuente Traducido de una regla NAT.
- Los cambios en el apoyo de Cisco IOS ACL:
- fija # 2660 "compilador para IOSACL estrelló al rango de direcciones aparece en una regla y opción a objetos grupo se pone en ON"
- insecto SF fijo 3435004:. "Las líneas vacías en comentario resultado en" Comando incompleto "en iOS"
- Los cambios en el apoyo a ipfw:
- SF bug # 3426843 "ipfw no funciona para la auto-referencia, en versión 5.0.0.3568" fijo.
- Los cambios en el soporte para Cisco ASA (PIX, FWSM):
- ver # 2656 "Cisco ASA lista de acceso generada ha duplicado entrada". Bajo ciertas circunstancias compilador política fwb_pix genera duplicar las líneas de la lista de acceso.
- Otros cambios:
- ver # 2646 y SF bug 3395658: Añadido pocos IPv4 e IPv6 objetos de la red a la Norma objetos de biblioteca: TEST-NET-2, TEST-NET-3 (RFC 5735, RFC 5737), IPv4-traducido, en IPv4 mapeada , Teredo, otros exclusivos locales y pocos.
Botón
¿Qué hay de nuevo en la versión 5.0.0:
- Esta versión incluye varias mejoras de GUI y soporte mejorado para grandes configuraciones con nuevas características como subcarpetas definidas por el usuario, las palabras clave de los objetos de marcado, grupos dinámicos con filtros inteligentes, y más.
- Otras nuevas características incluyen soporte para importar archivos de configuración de PF y un nuevo tipo de objeto llamado redes conectadas, lo que representa la lista de redes conectadas a una interfaz de red.
¿Qué hay de nuevo en la versión 4.2.1:
- v4.2.1 es una versión menor de corrección de errores, corrige problemas en el modo integrado de la política de instalación de lotes, asistente de descubrimiento de red SNMP y algunos otros errores en la interfaz gráfica de usuario.
¿Qué hay de nuevo en la versión 4.2.0:
- Esta versión mejora significativamente la importación de configuraciones de cortafuegos existentes, introduce suport para la importación de Cisco / PIX configuración ASA / FWSM y deduplicación de los objetos importados para todas las plataformas. Esta versión también añade soporte para la configuración de las interfaces de puentes y VLAN y rutas estáticas en FreeBSD y hace posible la generación de configuración en el formato de los archivos de rc.conf. Fwbuilder ahora es compatible con las últimas versiones de software de Cisco ASA incluyendo nueva sintaxis de comandos para los comandos nat en ASA 8.3.
¿Qué hay de nuevo en la versión 4.1.3:
- Esta versión incluye una serie de mejoras de usabilidad y correcciones de errores. Mejoras de usabilidad incluyen la adición de un modo de usuario avanzado que reduce la cantidad de información sobre herramientas para los usuarios de energía y la adición de una nueva casilla regla de política para definir si las nuevas reglas han habilitado el registro o desactivada por defecto. Correcciones de errores críticos incluyen soporte para sistemas Windows que utilizan sesiones de masilla, soporte para configurar direcciones IP de difusión en las interfaces y varias correcciones relativas a las configuraciones de clúster mejoraron. Correcciones de configuración de clúster incluyen la adición de soporte para importar reglas de ramificación cuando se crea un clúster y el apoyo a la generación de reglas NAT que requieren iptables REDIRECT objetivo.
¿Qué hay de nuevo en la versión 4.1.2:
- Habilitar información sobre herramientas por defecto y añadir más consejos de herramientas
- Simplifique la configuración de la interfaz de los nuevos asistentes de objeto para Nueva Firewall y Nueva Host
- Abrir automáticamente objeto de directiva de firewall cuando se crean nuevos objetos de servidor de seguridad
- ayudas de navegación adicionales y ayudar a las cadenas
- tema instalador fija para los usuarios de Windows que utilizan sesiones Masilla
- tema Fix (SF 307 732) donde las interfaces de comodín no fueron emparejados en regla PREROUTING
- fija emitidos (SF 3049665) donde Firewall Builder no generó extensiones adecuadas de nombre de archivo de datos
¿Qué hay de nuevo en la versión 4.1.1:
- v4.1.1 incluye soluciones para una serie de errores menores y es el primer lanzamiento para apoyar oficialmente configuración de HP ProCurve ACL. Gracias a una generosa donación de varios switches de HP pudimos probar y finalizar el soporte de ProCurve. Esta versión también corrige un error crítico en V4.1.0 relacionada con configuraciones de Cisco IOS ACL. Algunas configuraciones causarían Firewall Builder para generar de forma incorrecta y error con el mensaje "No se puede encontrar la interfaz con zona de red que incluye la dirección ABCD".
¿Qué hay de nuevo en la versión 4.0.0:
- Después de varios meses de pruebas beta, esto es la producción de fácil liberación estable.
¿Qué hay de nuevo en la versión 3.0.6:
- Esta es una versión de corrección de errores, viene con mejoras en la interfaz gráfica de usuario para solucionar problemas con la impresión de grandes conjuntos de reglas y optimización adicional en los iptables generados y configuraciones PF.
Comentarios que no se encuentran