Firewall Builder er en multi-platform firewall konfiguration og management system. Den består af et GUI og sæt politiske compilere til forskellige firewall-platforme.
Firewall Builder hjælper brugerne vedligeholde en database over objekter og tillader politiske redigering ved hjælp af simple træk-og-slip operationer.
De GUI og politiske compilere er fuldstændig uafhængige, dette giver et konsekvent abstrakt model og samme GUI til forskellige firewall-platforme. Det understøtter i øjeblikket iptables, ipfilter, ipfw, OpenBSD PF og Cisco PIX.
Hvad er nyt i denne udgivelse:
- GUI opdateringer:
- flyttes "batch install" -knappen fra de vigtigste installatør guiden til dialog, hvor brugeren indtaster sin adgangskode. Nu kan brugeren starte i en ikke-batch installationsmetode men fortsætte i batch installere tilstand på ethvert tidspunkt, hvis alle deres firewalls autentificere med samme brugernavn og adgangskode.
- se # 2628 fast nedbrud, der sket, hvis brugeren oprette nye firewall objekt fra en skabelon og ændrede en af IP-adresserne, mens en anden firewall objekt skabt fra samme skabelon, der allerede eksisterede i træet.
- se # 2635 Objekttype AttachedNetworks er ikke tilladt i "interface" reglen element.
- rullelisten over grænseflader i "route-through" -reglen mulighed for PF og iptables bør ikke kun omfatte klynge grænseflader, men også interfaces for alle medlemmer. På den måde kan vi gøre compiler generere konfiguration "passere i hurtig på EM0 rute-til {(EM0 10.1.1.2)} ..." for en regel i en PF klynge. Here "EM0" er en grænseflade af et medlem, der ikke klyngen.
- løser # 2642 "GUI går ned, hvis brugeren annullerer dialogboksen newFirewall".
- løser "dialog newFirewall accepterer ikke IPv6-adresser med lange præfikser" # 2641. Dialogen tillod ikke IPv6 adresser på inetrfaces med netmaske & gt; 64 bit.
- løser # 2643 "GUI går ned, når brugeren skærer en regel, højreklik i enhver regel element i en anden"
- tilføjede Kontroller igen brugeren ikke indtaster netmaske med nuller i midten for IPv4 objekt nettet. Netmasker gerne, at der ikke understøttes af fwbuilder.
- løser "højre museklik på firewall objekt i" # 2648 Slettede objekter "bibliotek forårsager GUI crash"
- løser SF bug 3388055 Tilføjelse af en "DNS Name" med et efterfølgende mellemrum forårsager svigt.
- løser SF bug 3302121 "kosmetiske mis-format i FWB Linux dialogen stier"
- løser SF bug 3247094 "nomenklaturen IP-adresse i dialogboksen Edit". Dialogen Network ipv6 siger "Prefix længde".
- se # 2654 fixes GUI nedbrud, der opstod, hvis brugeren kopieret en regel fra fil A til fil B, og lukkede fil B, åbnede filen C og forsøgte at kopiere den samme regel fra A til C "
- se # 2655 Interface-navne er ikke tilladt at have bindestreg "-" selv med interface kontrol fra. Vi bør tillade "-" i grænsefladen navn for Cisco IOS
- se # 2657 SNMP netværksregistrering styrtede ned, hvis indstillingen "Confine scanning til netværk" blev brugt.
- løser # 2658 "SNMP netværksregistrering skaber to eksemplarer adresse og netværk objekter"
- sætte fwbuilder at drage fordel af GSSAPIAuthentication med OpenSSH hjælp forslag af Matthias Witte witte@netzquadrat.de
- rettet en fejl (intet nummer): hvis filnavnet brugeren indtastes i feltet "Output filnavn" i "avancerede indstillinger" dialog af en firewall objekt sluttede med et hvidt rum, politik installatør mislykkedes med en fejl "Ingen sådan fil eller mappe "
- fast SF bug # 3433587 "Manuel redigering af nye service Destination Port slutværdi mislykkes". Denne fejl gjorde det umuligt at redigere værdien af enden af portområde fordi så snart værdien blev mindre end værdien af begyndelsen området ville GUI nulstille den til at være lig med værdien af begyndelsen af området . Dette påvirkede både TCP og UDP tjeneste objekt dialoger.
- fixes # 2665 "Tilføjelse tekst til at kommentere årsagerne regel at gå fra 2 rækker til 1 p". Under visse omstændigheder, redigering regel kommentar forårsagede GUI til at kollapse tilsvarende række i regelsættet oversigten, så kun det første formål med hver regel element, der indeholdt flere objekter var synlig.
- løser # 2669 "Cant inspicere brugerdefinerede service objekt i standard objekter bibliotek".
- ændringer i politikken importør til alle understøttede platforme
- Ændringer, der påvirker importen af PIX konfigurationer:
- ændret token navn fra "ESP" til "ESP_WORD" for at undgå konflikt med makro "ESP", der skete under build på OpenSolaris
- se # 2662 "Crash ved udarbejdelsen ASA regel med IP-interval". Brug for at splitte adresseområde, hvis det anvendes i "kilde" af en regel, der styrer telnet, ssh eller http til firewallen selv og firewall version er & gt; = 8,3. Kommandoer "ssh", "telnet" og "http" (dem, der kontrollerer adgangen til de tilsvarende protokoller til firewall selv) accepterer kun IP-adressen på en vært eller et netværk som deres argument. De accepterer ikke adresseområde, opkaldt genstand eller objekt gruppe. Det er så i det mindste fra ASA 8.3. Da vi udvider adresse spænder kun til versioner & lt; 8.3 og brug opkaldt objekt for 8,3 og senere, er vi nødt til at gøre denne ekstra kontrol og stadig udvide adresseområder i regler, der senere vil konvertere til "ssh", "telnet" eller "http" kommando. Compiler stadig genererer redundant objekt-gruppe erklæring med CIDR blokke genereret fra adresseområde men bruger ikke denne gruppe i reglen. Det bryder ikke genereret konfiguration men objektet-gruppen er overflødigt, da det aldrig bliver brugt. Dette vil blive udbedret i fremtidige versioner.
- løser # 2668 Fjern "statiske ruter" fra forklaringen tekst i ASA / PIX dialogen import. Vi kan ikke importere PIX / ASA routing-konfiguration på nuværende tidspunkt.
- løser # 2677 Politik importør for PIX / ASA kunne ikke fortolke kommandoen "nat (indvendig) 1 0 0"
- løser # 2679 Politik importør for PIX / ASA kunne ikke importere "nat fritagelse" -reglen (for eksempel: "nat (indvendig) 0 access-liste UNDTAGET")
- løser # 2678 Politik importør for PIX / ASA kunne ikke fortolke nat kommando med parameteren "udenfor"
- Ændringer og forbedringer i API-biblioteket libfwbuilder:
- funktion InetAddr :: isValidV4Netmask () kontroller, netmaske repræsenteret ved genstanden består af en sekvens af "1" bit, efterfulgt af sekvensen af "0" bits og derfor ikke har nuller i midten.
- fast bug # 2670. Per RFC3021 netværk med netmaske / 31 har intet netværk og direkte broadcast adresser. Når grænseflade firewall er konfigureret med netmaske / 31, politiske compilere bør ikke behandle den anden adresse af denne "subnet" som en udsendelse.
- Ændringer i støtte til iptables:
- se # 2639 "støtte til VLAN subinterfaces af bro interfaces (f.eks br0.5)". I øjeblikket fwbuilder kan ikke generere script til at konfigurere VLAN subinterfaces af bro interfaces, men hvis brugeren ikke har anmodet denne konfiguration script skal genereres, bør compiler ikke afbryde, når den støder på denne kombination.
- løser # 2650 "regler med adresseområde, der omfatter firewall adresse i Src er placeret i OUTPUT kæden, selv om adresser, der ikke passer firewall skal gå i FREM"
- løser SF bug # 3414382 "segmenteringsfejl i fwb_ipt beskæftiger sig med tomme grupper". Compiler til iptables bruges til at gå ned, når en tom gruppe blev brugt i "Interface" kolonne i et politisk regel.
- se SF bug # 3416900 "Erstat` command` med `which`". Genereret script (Linux / iptables), der anvendes til at bruge "kommando -v" for at kontrollere, om kommandolinjeværktøjer det behov er til stede på systemet. Dette blev brugt til at finde iptables, lsmod, modprobe, ifconfig, vconfig, logger og andre. Nogle indlejrede Linux-distributioner, især TomatoUSB, kommer uden støtte til "kommando". Skift til ", som" der er mere ubuquitous og bør være til rådighed stort set overalt.
- fast # 2663 "Regel med" gammeldags broadcast "objekt medfører ugyldige iptables INPUT chain". Compiler var at vælge kæde INPUT med retning "udgående" regler, der havde gamle broadcast-adresse i "Source", dette føre til ugyldige iptables konfiguration med kæde INPUT og "-o eth0" grænseflade match klausul.
- fast fejl i reglen processor, der erstatter AddressRange objekt, der repræsenterer én adresse med en IPv4 objekt. Også elimineret kode redundans.
- løser # 2664 Opdatering fejlmeddelelse, når "der" kommando fejler. Genereret iptables script bruger ", som" for at kontrollere, om alle forsyningsselskaber den bruger eksisterer på maskinen. Vi bør også kontrollere, om "der" i sig selv eksisterer, og udstede meningsfuld fejlmeddelelse, hvis ikke.
- SF bug # 3439613. physdev modul tillader ikke --physdev-out for ikke-bro trafik længere. Vi bør tilføje --physdev-er-bro for at sikre dette passer kun bro pakker. Også tilføje "-i" / "-o" -klausul, der passer forælder bro interface. Dette giver os mulighed for korrekt kamp bro pakken kommer igennem i konfigurationer ved hjælp af wildcard bro port interfaces. For eksempel når br0 og BR1 har "vnet +" bro havn-grænsefladen, kan iptables stadig korrekt kamp bro pakken gik gennem brug af "-o br0" eller "-o BR1" klausul. Dette kan være nyttigt i installationer med mange bro grænseflader der bliver skabt og ødelagt dynamisk, f.eks med virtuelle maskiner. Bemærk at "-i br0" / "-o br0" klausul kun tilføjes, når der er mere end en bro interface og bro port navn ender med et wild card symbolet "+"
- fast SF bug # 3443609 Return of ID: 3059893 ": iptables" --set "valgmulighed forældet". Nødt til at bruge --match-sæt i stedet for --set hvis iptables version er & gt; = 1.4.4. Rettelsen gjort for # 3059893 var kun i politik, compiler, men der skal gøres i både politik og NAT-compilere.
- Ændringer i støtte til PF (FreeBSD, OpenBSD):
- se # 2636 "karpe: Forkert output i rc.conf.local format". Skal bruge create_args_carp0 stedet for ifconfig_carp0 at oprette CARP grænseflade vhid, går og adskew parametre.
- se # 2638 "Når CARP password er tom den advskew værdi ikke læse." Skal springe "pass" parameter i ifconfig-kommandoen, der skaber karper grænseflade hvis brugeren ikke har oprettet nogen adgangskode.
- fast SF bug # 3429377 "PF: IPv6 regler er ikke tilføjet i IPv4 / IPv6 regelsæt (anker)". Compiler til PF ikke inlcude regler genereret for IPv6 i genererede PF anker konfigurationsfiler.
- fast SF bug 3428992: "PF: Regler for problem med IPv4 og IPv6". Compiler til PF bør gruppe IPv4 og IPv6 NAT regler sammen, før det skaber IPv4 og IPv6 retningslinjer.
- Flere rettelser i de algoritmer, der anvendes til at behandle regler, når indstillingen "bevare tabelobjekt navne gruppe og adresser" er i kraft
- løser # 2674 NAT compiler til PF styrtede da AttachedNetworks objekt blev brugt i Oversat Kilde til en NAT regel.
- Ændringer i støtte til Cisco IOS ACL:
- løser # 2660 "compiler til IOSACL styrtede når adresseområde vises i en regel og objekt-gruppe er aktiveret"
- fast SF bug 3435004:. "Tomme linjer i kommentar resultat i" Ufuldstændig Command "i IOS"
- Ændringer i støtte til ipfw:
- fast SF bug # 3426843 "ipfw fungerer ikke for selvreference, i 5.0.0.3568 udgave".
- Ændringer i støtte til Cisco ASA (PIX, FWSM):
- se # 2656 "Genereret Cisco ASA adgang-liste har duplikere post". Under visse omstændigheder politik compiler fwb_pix genereret duplikere adgang-list linjer.
- Andre ændringer:
- se # 2646 og SF bug 3395658: Tilføjet få IPv4 og IPv6-netværk objekter til standard objekter bibliotek: TEST-NET-2, TEST-NET-3 (RFC 5735, RFC 5737), oversat-IPv4, kortlagt-IPv4 , Teredo, unikke-lokale og nogle få andre.
Hvad er nyt i version 5.0.0:
- Denne version indeholder flere GUI forbedringer og forbedret support til store konfigurationer med nye funktioner som brugerdefinerede undermapper, nøgleord for tagging genstande, dynamiske grupper med smarte filtre og meget mere.
- Andre nye funktioner omfatter støtte til import af PF konfigurationsfiler og et nyt objekt type kaldet Attached Networks, som repræsenterer listen over netværk er forbundet til et netværk interface.
Hvad er nyt i version 4.2.1:
- v4.2.1 er en mindre bug-fix release, det retter spørgsmål i den indbyggede politiske installatør batch-mode, troldmand SNMP netværksregistrering og få andre bugs i GUI.
Hvad er nyt i version 4.2.0:
- Denne udgivelse forbedrer import af eksisterende firewall konfigurationer, introducerer suport for import af Cisco ASA / PIX / FWSM konfiguration og de-duplikering af importerede objekter til alle platforme. Denne udgivelse tilføjer også understøttelse af konfiguration af bro- og VLAN grænseflader og statiske ruter på FreeBSD og gør det muligt at generere konfigurationen i form af rc.conf filer. Fwbuilder understøtter nu nyeste versioner af Cisco ASA-software, herunder nye kommando syntaks for NAT-kommandoer i ASA 8.3.
Hvad er nyt i version 4.1.3:
- Denne version indeholder en række usability forbedringer og fejlrettelser. Usability forbedringer omfatter tilføjelsen af en avanceret bruger mode, som reducerer antallet af tooltips for superbrugere og tilføjelsen af en ny afkrydsningsfelt politik regel at definere, om nye regler har logning aktiveret eller deaktiveret som standard. Kritiske fejlrettelser omfatter forbedret understøttelse af Windows-systemer, der bruger Putty sessioner, støtte til konfiguration IP broadcast adresser på grænseflader og flere rettelser vedrørende klynge konfigurationer. Cluster konfiguration rettelser omfatter tilføjelse støtte til import af forgrenede regler, når en klynge skabes og støtte til generering af NAT regler, der kræver iptables omdirigeringen.
Hvad er nyt i version 4.1.2:
- Aktiver værktøjstip som standard og tilføje yderligere værktøjstip
- Gør-interface konfiguration i nye objekt guider til New Firewall og ny vært
- Automatisk åbne firewall Policy objekt når nye firewall objekter oprettes
- Ekstra navigationshjælpemidler og hjælp strings
- Fast installatør problem for Windows-brugere, der bruger Putty sessioner
- Fix problem (SF 307732) hvor wildcard interfaces ikke blev matchet i PREROUTING regel
- Faste udstedt (SF 3049665) hvor Firewall Builder ikke generere korrekte data filtypenavne
Hvad er nyt i version 4.1.1:
- v4.1.1 indeholder rettelser af en række mindre fejl og er den første udgivelse til officielt at støtte HP ProCurve ACL konfiguration. Takket være en generøs donation af flere skifter fra HP var vi i stand til at teste og færdiggøre ProCurve support. Denne udgivelse retter også en kritisk fejl i V4.1.0 relateret til Cisco IOS ACL konfigurationer. Nogle konfigurationer vil medføre Firewall Builder til forkert generere og fejl med meddelelsen "Kan ikke finde grænseflade med netværk zone, der omfatter adresse ABCD".
Hvad er nyt i version 4.0.0:
- Efter flere måneds betatest, dette er stabil produktion klar udgivelse.
Hvad er nyt i version 3.0.6:
- Dette er en bug-fix release, det kommer med forbedringer i GUI til at løse problemer med udskrivning af store regelsæt og yderligere optimering i de genererede iptables og PF-konfigurationer.
Kommentarer ikke fundet