Firewall Builder is een multi-platform firewall configuratie en het beheer van het systeem. Het bestaat uit een GUI en een reeks beleid compilers voor verschillende firewall-platforms.
Firewall Builder helpt gebruikers onderhouden van een database van objecten en laat het beleid te bewerken met behulp van eenvoudige drag-and-drop operaties.
De GUI en beleid compilers zijn volledig onafhankelijk, dit zorgt voor een consistent abstract model en dezelfde GUI voor verschillende firewall-platforms. Het ondersteunt momenteel iptables, ipfilter, ipfw, OpenBSD pf en Cisco PIX.
Wat is nieuw in deze release:
- GUI Updates:
- verplaatst "batch install" knop van het hoofdscherm van de installatie wizard om het dialoogvenster waar de gebruiker zijn wachtwoord invoert. Nu gebruiker kan starten in een niet-batch installeren modus, maar blijven in batch installeren modus op elk moment als al hun firewalls authenticeren met dezelfde gebruikersnaam en wachtwoord.
- zie # 2628 vaste crash die gebeurd zijn als de gebruiker nieuwe firewall object maken van een sjabloon en veranderde een van de IP-adressen, terwijl een andere firewall object gemaakt uit dezelfde mal al in de boom bestond.
- zie # 2635 Objecttype AttachedNetworks is niet toegestaan in de "Interface" regel element.
- De keuzelijst van interfaces voor de "route-through" regel optie voor PF en iptables moeten omvatten niet alleen cluster interfaces, maar ook interfaces van alle leden. Op deze manier kunnen we ervoor compiler genereren configuratie "pass in quick on em0 route-to {(em0 10.1.1.2)} ..." voor een regel van een PF cluster. Hier "em0" is een interface van een lid, niet het cluster.
- lost # 2642 "GUI crasht als gebruiker dialoogvenster newFirewall annuleert".
- lost # 2641 "dialoog newFirewall niet IPv6-adressen met lange voorvoegsels te aanvaarden". Het dialoogvenster niet IPv6-adressen van inetrfaces met netmask & gt mogelijk te maken; 64 bit.
- lost # 2643 "GUI crasht wanneer de gebruiker snijdt een regel, dan klik met de rechtermuisknop in een regel element van een ander"
- toegevoegd controle om ervoor te zorgen dat de gebruiker niet netmask voeren met nullen in het midden voor het IPv4-netwerk object. Netmaskers als dat worden niet ondersteund door fwbuilder.
- lost # 2648 "rechter muisklik op de firewall object in" Verwijderde objecten "bibliotheek veroorzaakt GUI crash"
- lost SF bug 3388055 Het toevoegen van een "DNS Name" met een spatie veroorzaakt falen.
- lost SF bug 3302121 "cosmetische mis-formaat in fwb Linux paden dialoogvenster"
- lost SF bug 3247094 "Nomenclatuur van het IP-adres dialoogvenster bewerken". Dialoogvenster netwerk ipv6 zegt "Prefixlengte".
- zie # 2654 fixes GUI crash die ontstaan, indien de gebruiker een regel gekopieerd uit bestand A naar bestand B, dan is gesloten bestand B, geopende bestand C en probeerde dezelfde regel kopiëren van A tot C '
- zie # 2655 Interface namen zijn niet toegestaan op het dashboard hebben "-" zelfs met interface verificatie uit. We moeten stellen "-" in de naam interface voor Cisco IOS
- zie # 2657 snmp netwerk discovery neergestort als optie "Confine scan om te netwerken" werd gebruikt.
- lost # 2658 "snmp netwerk discovery creëert dubbel adres en netwerk-objecten"
- staat fwbuilder om te profiteren van GSSAPIAuthentication met OpenSSH gebruiken suggestie van Matthias Witte witte@netzquadrat.de
- een fout gerepareerd (geen nummer): als het bestand gebruikersnaam in "Output bestandsnaam" veld wordt ingevoerd in de "geavanceerde instellingen" dialoog van een firewall object eindigde met een witte ruimte, beleid installateur mislukt met een fout "Geen dergelijke bestand of map "
- vaste SF bug # 3433587 "Handmatig bewerken van de nieuwe dienst Destination Port END waarde mislukt". Deze fout maakte het onmogelijk om de waarde van het einde van het poortbereik bewerkt worden omdat zodra de waarde dan de waarde van het begin van de reeks werd, zou de GUI is opnieuw gelijk aan de waarde van het begin van het bereik zijn . Dit beïnvloedde zowel TCP en UDP dienst object dialogen.
- fixes # 2665 "Tekst toevoegen aan oorzaken commentaar regel om te gaan van 2 rijen naar 1 rij". Onder bepaalde omstandigheden, te bewerken regel reactie veroorzaakt de GUI te corresponderende rij instorten in de regelset uitzicht, zodat alleen het eerste doel van elke regel element dat verschillende voorwerpen bevatte zichtbaar was.
- lost # 2669 "Cant inspecteren op maat Dienst object in Standard objecten bibliotheek".
- Veranderingen in importeur beleid voor alle ondersteunde platforms
- Veranderingen die import van PIX configuraties beïnvloeden:
- veranderd token naam van "ESP" tot "ESP_WORD" in strijd zijn met de macro "ESP" dat gebeurde tijdens de bouw op OpenSolaris vermijden
- zie # 2662 "Crash bij het opstellen van ASA regel met IP range". Moeten adresbereik splitsen als het wordt gebruikt in de "bron" van een regel die telnet, ssh of http controles om de firewall zelf en de versie van de firewall is & gt; = 8,3. Commando "ssh", "telnet" en "http" (degenen die toegang op de bijbehorende protocollen bij de firewall zelf regelen) accepteren alleen ip-adres van een host of een netwerk als hun argument. Ze accepteren geen adresbereik, genaamd object of groep objecten. Dit is zo minstens aan ASA 8.3. Sinds we uitbreiden adres varieert alleen voor versies & lt; 8.3 en het gebruik vernoemd object voor 8.3 en later, moeten we deze extra check te maken en nog steeds uitbreiden adres bereiken in regels die later zal converteren naar "ssh", "telnet" of "http" commando. Compiler genereert nog steeds redundant object-groep verklaring met CIDR blokken gegenereerd uit het adresbereik, maar niet deze groep te gebruiken in de regel. Dit breekt niet gegenereerd configuratie, maar het object-groep is overbodig, omdat het nooit is gebruikt. Dit zal in toekomstige versies worden verholpen.
- lost # 2668 Verwijder "statische routes" uit de toelichting tekst in ASA / PIX dialoogvenster import. We kunnen PIX / ASA routing configuratie niet importeren op dit moment.
- lost # 2677 Beleid importeur voor PIX / ASA kon niet ontleden commando "NAT (binnen) 1 0 0"
- lost # 2679 Beleid importeur voor PIX / ASA kon niet importeren "nat vrijstelling" regel (bijvoorbeeld: "nat (binnen) 0 toegang-lijst WAARVOOR")
- lost # 2678 Beleid importeur voor PIX / ASA kon niet ontleden nat commando met parameter "buiten"
- Wijzigingen en verbeteringen in de API-bibliotheek libfwbuilder:
- functie InetAddr :: isValidV4Netmask () controleert of netmask vertegenwoordigd door het object bestaat uit een opeenvolging van "1" bits, gevolgd door een opeenvolging van "0" bits en dus geen nullen hebben in het midden.
- vaste bug # 2670. Per RFC3021 netwerk met netmask / 31 heeft geen netwerk en directe uitzending adressen. Als interface van de firewall is geconfigureerd met netmask / 31, beleid compilers moet niet het tweede adres van deze "subnet" als een uitzending te behandelen.
- Wijzigingen in de ondersteuning voor iptables:
- zie # 2639 "ondersteuning voor vlan subinterfaces van de brug interfaces (bijv br0.5)". Momenteel fwbuilder niet kan genereren script om vlan subinterfaces van brug interfaces configureren, maar als gebruiker heeft deze configuratie script niet te vragen om te worden gegenereerd, moet compiler niet af te breken wanneer het deze combinatie tegenkomt.
- lost # 2650 "regels met adresbereik dat firewall-mailadres in Src omvat worden in de productie keten gebracht, hoewel adressen die niet overeenkomen met de firewall moet gaan in FORWARD"
- lost SF bug # 3414382 "Segfault in fwb_ipt omgaan met lege groepen". Compiler voor iptables gebruikt om te crashen als een lege groep werd gebruikt in de "Interface" kolom van een beleidsregel.
- zie SF bug # 3416900 "Vervang` command` met `which`". Gegenereerde script (Linux / iptables) gebruikt om "commando -v" te gebruiken om te controleren of command line tools die het nodig heeft in het systeem aanwezig zijn. Dit werd gebruikt om iptables, lsmod, modprobe, ifconfig, vconfig, logger en anderen te vinden. Sommige embedded Linux-distributies, met name TomatoUSB, komen zonder ondersteuning voor "command". Overschakelen naar "wat", dat is meer ubuquitous en moet vrijwel overal beschikbaar zijn.
- vaste # 2663 "Regel met" oud-uitzending "object resulteert in een ongeldig iptables INPUT keten". Compiler was kiezen keten INPUT met richting "outbound" voor regels die oude broadcast-adres had in "Bron", dit tot iptables configuratie ongeldig met ketting INPUT en "-o eth0" interface-match-clausule.
- vaste bug in de regel processor die AddressRange object dat enkel adres met een IPv4-object vertegenwoordigt vervangt. Eveneens geëlimineerd code redundantie.
- lost # 2664 error update melding wanneer "die" opdracht mislukt. Gegenereerd iptables script maakt gebruik van "dat" om te controleren of alle nutsvoorzieningen gebruikt het bestaan op de machine. We moeten ook controleren of "die" zelf bestaat en geven zinvolle foutmelding als het niet.
- SF bug # 3.439.613. physdev module niet --physdev-out voor niet overbrugd verkeer meer mogelijk. We moeten toe --physdev-is-overbrugd om ervoor te zorgen dat deze overeenkomt met alleen overbrugd pakketten. Ook het toevoegen van "-i" / "-o" clausule ouder bridge-interface aan te passen. Dit laat ons toe te kunnen passen die brug het pakket komt door in configuraties met behulp van wildcard brug poort interfaces. Bijvoorbeeld, wanneer br0 en br1 hebben "Vnet +" brug port interface kunt iptables nog correct overeenkomen met die brug het pakket ging door het gebruik van "-o br0" of "-o br1" clausule. Dit kan handig zijn in installaties met veel overbrugd interfaces die worden aangemaakt en dynamisch vernietigd, bv met virtuele machines. Merk op dat de "-i br0" / "-o br0" clausule alleen toegevoegd als er meer dan een bridge-interface en de naam van de brug haven eindigt met een wild card symbool "+"
- vaste SF bug # 3443609 Return of ID: 3059893 ": iptables" --set "optie gedeprecieerd". Moeten --match-set in plaats van --set als iptables versie is & gt gebruiken; = 1.4.4. De fix gedaan voor # 3059893 was alleen in het beleid compiler, maar moet worden gedaan in zowel het beleid en nat compilers.
- Wijzigingen in de ondersteuning voor PF (FreeBSD, OpenBSD):
- zie # 2636 "karper: Onjuiste output in rc.conf.local formaat". Moet gebruiken create_args_carp0 plaats van ifconfig_carp0 te zetten CARP-interface VHID, passeren en adskew parameters.
- zie # 2638 "Wanneer CARP wachtwoord leeg is de advskew waarde wordt niet lezen". Moet overslaan "pass" parameter van het ifconfig commando dat karper-interface creëert als de gebruiker niet opzetten geen wachtwoord.
- vaste SF bug # 3429377 "PF: IPv6 regels worden niet toegevoegd in IPv4 / IPv6 regelset (anker)". Compiler voor PF geen regels gegenereerd voor IPv6 inlcude in gegenereerd PF anker configuratiebestanden.
- vaste SF bug 3428992: "PF: heerst orde probleem met IPv4 en IPv6". Compiler voor PF moet regels groep IPv4 en IPv6 NAT samen, voordat het IPv4 en IPv6 beleidsregels genereert.
- Een aantal fixes in de algoritmes gebruikt om regels te verwerken wanneer de optie "behouden groep en adressen tafel object namen" van kracht is
- lost # 2674 NAT-compiler voor PF crashte toen AttachedNetworks object werd gebruikt in Vertaald Bron van een NAT regel.
- Wijzigingen in de ondersteuning voor Cisco IOS ACL:
- lost # 2660 "compiler voor IOSACL crashte toen adresbereik verschijnt in de regel EN optie object-groep is ingeschakeld"
- vaste SF bug 3435004:. "Lege regels in commentaar resultaat in" Incomplete Command "in IOS"
- Wijzigingen in de ondersteuning voor ipfw:
- vaste SF bug # 3426843 "ipfw werkt niet voor zelf-referentie, in 5.0.0.3568 versie".
- Wijzigingen in de ondersteuning voor Cisco ASA (PIX, FWSM):
- zie # 2656 "Vernieuwd Cisco ASA toegang-lijst heeft dubbele invoer". Onder bepaalde omstandigheden beleid compiler fwb_pix gegenereerd dupliceren toegang-lijst lijnen.
- Andere wijzigingen:
- zie # 2646 en SF bug 3.395.658: Toegevoegd paar IPv4 en IPv6-netwerk voorwerpen naar de Standard-objecten bibliotheek: TEST-NET-2, TEST-NET-3 (RFC 5735, RFC 5737), vertaald-ipv4, mapped-ipv4 , Teredo, unieke lokale en enkele anderen.
Wat is nieuw in versie 5.0.0:
- Deze versie bevat meerdere GUI verbeteringen en verbeterde ondersteuning voor grote configuraties met nieuwe functies, zoals de gebruiker gedefinieerde submappen, sleutelwoorden voor tagging objecten, dynamische groepen met slimme filters, en nog veel meer.
- Andere nieuwe functies zijn onder meer ondersteuning voor het importeren PF configuratiebestanden en een nieuw type object met de naam Attached Networks, die de lijst van netwerken aangesloten op een netwerk-interface vertegenwoordigt.
Wat is nieuw in versie 4.2.1:
- V4.2.1 is een kleine bug-fix release, corrigeert problemen in de ingebouwde beleid installer batch mode, SNMP netwerk discovery wizard en enkele andere bugs in de GUI.
Wat is nieuw in versie 4.2.0:
- Deze release verbetert significant import van bestaande firewall configuraties, introduceert suport voor de invoer van Cisco ASA / PIX / FWSM configuratie en de-duplicatie van geïmporteerde objecten voor alle platforms. Deze versie voegt ook ondersteuning voor de configuratie van de brug en vlan interfaces en statische routes op FreeBSD en maakt het mogelijk om de configuratie te genereren in het formaat van rc.conf bestanden. Fwbuilder ondersteunt nu de nieuwste versies van Cisco ASA software met inbegrip van nieuwe syntaxis van de opdracht voor nat commando's in ASA 8.3.
Wat is nieuw in versie 4.1.3:
- Deze release bevat een aantal usability verbeteringen en bug fixes. Usability verbeteringen omvatten de toevoeging van een gevorderde gebruiker mode die het aantal tooltips voor power users en de toevoeging van een nieuwe checkbox beleidsregel vermindert om te bepalen of er nieuwe regels hebben logboekregistratie ingeschakeld of standaard uitgeschakeld. Kritieke bug fixes zijn onder andere verbeterde ondersteuning voor Windows-systemen die Putty sessies, ondersteuning gebruiken voor het configureren van IP-adressen worden uitgezonden op interfaces en een aantal fixes betrekking tot cluster configuraties. Cluster configuratie fixes het toevoegen van ondersteuning voor het importeren van vertakking regels wanneer een cluster wordt gemaakt en ondersteuning voor het genereren van NAT regels die voorschrijven dat iptables REDIRECT doel.
Wat is nieuw in versie 4.1.2:
- Inschakelen tooltips standaard en voeg extra hulpmiddel tips
- Vereenvoudig interface-configuratie in een nieuw object wizards voor nieuwe Firewall en New Host
- Open automatisch firewall-object wanneer nieuwe firewall objecten worden gemaakt
- Extra navigatiehulpmiddelen en hulp strings
- Vaste installer probleem voor Windows-gebruikers die Putty sessies gebruiken
- Fix kwestie (SF 307.732) waar wildcard interfaces niet werden gevonden in PREROUTING regel
- Vast uitgegeven (SF 3.049.665) waar Firewall Builder niet het genereren van de juiste gegevens bestandsextensies
Wat is nieuw in versie 4.1.1:
- v4.1.1 bevat fixes voor een aantal kleine bugs en is de eerste release op HP ProCurve ACL configuratie officieel ondersteunen. Dankzij een gulle donatie van meerdere switches van HP waren we in staat om te testen en af te ronden de ProCurve ondersteuning. Deze versie lost ook een kritieke bug in v4.1.0 gerelateerd aan Cisco IOS ACL configuraties. Sommige configuraties zou veroorzaken Firewall Builder om verkeerd te genereren en fout met het bericht "Kan niet vinden interface met de netwerk-zone dat adres ABCD omvat".
Wat is nieuw in versie 4.0.0:
- Na enkele maanden van beta-testen, dit is een stabiele productie klaar voor release.
Wat is nieuw in versie 3.0.6:
- Dit is een bug-fix release, het komt met verbeteringen in de GUI om problemen op te lossen met het drukken van groot regel sets en aanvullende optimalisatie in de gegenereerde iptables en PF configuraties.
Reacties niet gevonden