Firewall Builder egy multi-platform tűzfal konfigurációs és felügyeleti rendszer. Ez egy GUI és szakpolitikai fordítókat a különböző tűzfal platformokon.
Firewall Builder segítségével a felhasználók adatbázist tart fenn, a tárgyak és lehetővé teszi a politikai szerkesztő segítségével egyszerű drag-and-drop műveletek.
A GUI és a politikai szerkesztők teljesen független, ez biztosítja a következetes absztrakt modell és az azonos GUI különböző tűzfal platformokon. Ez jelenleg iptables, ipfilter, ipfw, OpenBSD pf és Cisco PIX.
Mi az új ebben a kiadásban:
- GUI Frissítés:
- költözött "batch install" gombra a fő telepítő varázsló a dialógus, ahol a felhasználó belép a jelszavát. Most felhasználó indíthat egy non-batch telepítési módban, de továbbra is a batch telepítési módban bármikor, ha minden tűzfalak hitelesíteni ugyanazzal a felhasználói nevet és a jelszót.
- lásd # 2628 Fixed crash, ami történt, ha a felhasználó új tűzfal objektumot egy sablont, és megváltoztatta az egyik IP-címeket, míg a másik tűzfalat létrehozott objektum az ugyanazt a sablont létezett már a fa.
- lásd # 2635 légvonalban AttachedNetworks nem megengedett a "felület" szabály eleme.
- A legördülő listából interfészek az "útvonal-through" szabály lehetőséget a PF és iptables tartalmaznia kell nemcsak klaszter interfészek, hanem interfészek minden tagjának. Ily módon tehetjük fordító generál konfiguráció "át gyorsan a em0 útvonal-to {(em0 10.1.1.2)} ..." egy szabály a PF klaszter. Itt "em0" egy olyan felület, egy tag, nem a klaszter.
- javít # 2642 "GUI összeomlik, ha a felhasználó törli newFirewall dialógus".
- javít # 2641 "newFirewall dialógus nem fogadja IPv6 címek hosszú előtagokat". A dialógus nem tette lehetővé az IPv6-címeket a inetrfaces a hálózati maszkot & gt; 64 bit.
- javít # 2643 "GUI összeomlik, ha a felhasználó csökkenti a szabályt, majd a jobb egérgomb bármilyen szabályt eleme egy másik"
- hozzáadott ellenőrizze, hogy a felhasználó nem adja meg a hálózati maszkot nullákkal közepén az IPv4 hálózati objektum. Netmasks ilyesmi nem támogatja fwbuilder.
- javít # 2648 "jobb egérgomb a tűzfal tárgy" Törölt objektumok "könyvtár okoz GUI crash"
- javít SF bug 3388055 hozzáadása "DNS Name" lezáró szóközzel miatt sikertelen.
- javít SF bug 3302121 "kozmetikai mis-formátumban fwb Linux utak dialog"
- javít SF bug 3247094 "Nómenklatúráján IP-cím szerkesztéshez". Hálózati ipv6 párbeszéd mondja: "előtag hossza".
- lásd # 2654 javítások GUI baleset történt, hogy ha a felhasználó másolja a szabály fájlból A fájlba B, majd zárt fájlt B, C megnyitott fájl és megpróbálta másolni ugyanaz a szabály-ból C '
- lásd # 2655 Interface neveket nem engedjük, hogy a kötőjel "-" még a felület ellenőrzés off. Meg kell engednünk "-" a felület nevét a Cisco IOS
- lásd # 2657 SNMP hálózati felderítést lezuhant, ha az opció "Confine szkennelést hálózati" használták.
- javít # 2658 "SNMP hálózati felfedezés teremt azonos cím és a hálózati objektumok"
- enable fwbuilder kihasználni GSSAPIAuthentication OpenSSH segítségével javaslatát, Matthias Witte witte@netzquadrat.de
- Javítva egy hiba (nincs szám): ha a fájl neve felhasználói szerepel a "Output fájl neve" mezőben a "Speciális beállítások" ablak a tűzfal tárgy véget ért egy fehér térben, politikai telepítő nem sikerült a hibát "Nincs ilyen fájl vagy könyvtár "
- fix SF bug # 3433587 "Kézi szerkesztés az új szolgáltatás Destination Port END értéke nem". Ez a hiba lehetetlenné tette szerkeszteni az értékét a végén a port tartományt, mert amint az értéke kevesebb lett, mint az értéke az elején tartományban, a GUI is vissza, hogy egyenlő legyen az értéke az elején a tartományban . Ez érinti mind a TCP és UDP szolgáltatás tárgya dialógusok.
- javítások # 2665 "Szöveg hozzáadása a hozzászóláshoz okok szabály, hogy menjen a 2 sor, hogy 1 sor". Bizonyos körülmények között, szerkesztési szabály comment okozott a GUI összeomlik megfelelő sorra szabályrendszert oly módon, hogy csak az első tárgy minden szabályt elemet tartalmazó több tárgyat is látható volt.
- javít # 2669 "Cant vizsgálja egyéni Service objektumot szabványos objektumok könyvtárba".
- Változások politikai importőr minden támogatott platform
- érintő változások importja PIX konfigurációk:
- megváltozott token nevét "ESP", hogy "ESP_WORD" való ütközés elkerülése érdekében makro "ESP", hogy történt épülnek OpenSolaris
- lásd # 2662 "Crash összeállításakor ASA szabály IP tartományt". Kell osztania cím tartomány, ha azt használják "forrás" a szabály, amely szabályozza telnet, ssh vagy http hogy a tűzfal maga és a tűzfal verzió & gt; = 8,3. Parancsok "ssh", "telnet" és a "http" (az irányítók hozzáférést a megfelelő protokollok a tűzfal maga) esetén egyetlen IP-cím egy gép vagy egy hálózat érvük. Nem fogadják cím tartomány, elnevezett objektum vagy objektum csoport. Ez azért van így legalább annyira az ASA 8.3. Mivel bővítjük cím tartományokat csak változatban & lt; 8.3 és felhasználása nevű objektumot 8.3 és újabb, meg kell, hogy ez a kiegészítő check és még bővíteni címtartományokból a szabályokat, amelyek később áttért a "ssh", "telnet", vagy "http" parancsot. Compiler még generál felesleges tárgy-csoport nyilatkozata CIDR blokkok generált cím tartomány, de nem használ ez a csoport a szabály. Ez nem törik generált konfigurációs de az objektum-csoport felesleges, mert soha nem használják. Ez korrigálni fogják a jövőben változatban.
- javít # 2668 Remove "statikus útvonalakat" a magyarázat szöveget ASA / PIX importálás párbeszéd. Nem tudjuk importálni PIX / ASA útválasztási konfiguráció ebben az időben.
- javít # 2677 Policy importőre PIX / ASA nem tudják értelmezni parancsot "nat (belső) 1 0 0"
- javít # 2679 Policy importőre PIX / ASA nem hozhatja "nat kivétel" szabályt (például: "nat (belső) 0 hozzáférés-lista EXEMPT")
- javít # 2678 Policy importőre PIX / ASA nem tudják értelmezni nat parancs paraméter "kívülről"
- változtatások és fejlesztések a API könyvtár libfwbuilder:
- funkciót InetAddr :: isValidV4Netmask () ellenőrzi, hogy NETMASK által képviselt tárgya egy sorozata "1" bit, majd a sorrend a "0" bit és ezért nem rendelkezik nullák közepén.
- fix bug # 2670. Per RFC3021 hálózat hálózati maszkja / 31 nincs hálózat és a műsorszóró címeket. Amikor felület a tűzfal konfigurációja hálózati maszkot / 31, politika összeállítói nem kezeli a második címe ennek a "alhálózati" sugárzott.
- Változások támogatása iptables:
- lásd # 2639 "támogatása VLAN subinterface a híd felületének (pl br0.5)". Jelenleg fwbuilder nem lehet generálni script beállítani VLAN subinterface a híd felületének azonban, ha a felhasználó nem kérte ezt a konfigurációs szkriptet kell előállítani, fordító nem megszakításához amikor találkozik ezzel a kombinációval.
- javít # 2650 "szabályok címtartomány magában foglalja a tűzfal címet Src kerülnek OUTPUT lánc noha címeket, amelyek nem felelnek meg a tűzfal kell menni előre"
- javít SF bug # 3414382 "szegmentációs hiba a fwb_ipt foglalkozó üres csoportok". Fordítóprogramot iptables használt összeomlik, ha egy üres csoportot használták a "Interface" oszlopában a politikai szabály.
- lásd SF bug # 3416900 "Cserélje` command` a `which`". Generált script (Linux / iptables) használtam "parancs -v", hogy ellenőrizze, ha a parancssori szükséges eszközökkel vannak jelen a rendszerben. Ez arra használták, hogy megtalálják iptables, lsmod, modprobe, ifconfig, vconfig, logger és mások. Néhány beágyazott Linux disztribúció, nevezetesen TomatoUSB, gyere támogatása nélkül "parancsot". Váltás ", amely", amely több ubuquitous és hozzáférhetővé kell tenni nagyjából mindenhol.
- fix # 2663 "szabály" régi-adás "tárgy eredmények érvénytelenek iptables INPUT lánc". Compiler-t választotta lánc INPUT irányításával "kimenő" a szabályokat, hogy már a régi broadcast cím "Source", ez vezet az érvénytelen iptables konfiguráció lánccal INPUT és a "-o eth0" interface mérkőzés záradékot.
- Javítva a szabályt processzor, amely felváltja AddressRange objektumnak, amelyik adott címet egy IPv4 objektumot. Is megszűnt kódot redundancia.
- javít # 2664 Frissítés hibaüzenetet ", amely" parancs nem működik. Generált iptables script használ ", amely", hogy ellenőrizze, minden közmű használja léteznek a gépen. Mi is ellenőrizni kell, ha ", amely" önmagában létezik, és kiadja értelmes hibaüzenetet, ha nem.
- SF bug # 3439613. physdev modul nem engedélyezi --physdev-out for non-hidat a forgalom többé. Hozzá kell tennünk, --physdev-van-hidat tenni hogy ez megfelel csak áthidalni csomagokat. Szintén hozzátéve: "-i" / "-o" záradékot, hogy megfeleljen a szülő hídnál. Ez lehetővé teszi számunkra, hogy pontosan megfeleljen a híd a csomag jön át konfigurációk Helyettesítő híd port interfész. Például, ha br0 és BR1 van "VNET +" bridge port interface, iptables is helyesen egyezik a híd a csomagot ment át a "-o br0" vagy "-o BR1" záradékot. Ez hasznos lehet a telepítés sok hidalni interfészek, hogy kap létre, és megsemmisült dinamikusan, pl A virtuális gépek. Ne feledje, hogy a "-i br0" / "-o br0" záradékot csak hozzá, ha van több mint egy hídnál és a híd port nevet a végén egy wild card "+" szimbólum
- fix SF bug # 3443609 Return of ID: 3059893 ": iptables" --set "opciót elavult". Kell használni --match beállított helyett --set, ha iptables verzió & gt; = 1.4.4. A fix tenni # 3059893 csak a politikai fordító, de meg kell tenni mind a politika és a nat összeállítói.
- Változások támogatása PF (FreeBSD, OpenBSD):
- lásd # 2636 "ponty: Hibás kimenet rc.conf.local formátumban". Használd create_args_carp0 helyett ifconfig_carp0 létrehozni CARP felület vhid, igazolvánnyal és adskew paramétereket.
- lásd # 2638 "Amikor CARP jelszó üres a advskew értéke nem olvasható". Ugorhatunk "pass" paramétere az ifconfig parancsot, amely létrehozza a ponty a felületet, ha a felhasználó nem állított ki ilyen jelszót.
- fix SF bug # 3429377 "PF: IPv6 szabályokat nem adunk IPv4 / IPv6 szabályrendszer (horgony)". Fordítóprogramot PF nem abba beillesztik szabályok által generált az IPv6 generált PF horgonyt konfigurációs fájlokat.
- fix SF bug 3428992: "PF: Szabályok érdekében probléma IPv4 és IPv6". Fordítóprogramot PF kell csoportot IPv4 és IPv6 NAT szabályok össze, mielőtt generál IPv4 és IPv6-politikai szabályok.
- Több javítások a használt algoritmust feldolgozni szabályok amikor opció "megőrzése csoport és címét tábla objektum neve" van érvényben
- javít # 2674 NAT fordító PF összeomlott, amikor AttachedNetworks objektum fordításban forrása a NAT szabályt.
- Változások támogatás Cisco IOS ACL:
- javít # 2660 "fordítóprogramot IOSACL összeomlott, amikor cím tartomány jelenik meg a szabályt és az objektum-csoport opció be van kapcsolva"
- fix SF bug 3435004: "Üres sorok comment eredmény" Hiányos Command "IOS".
- Változások támogatása ipfw:
- fix SF bug # 3426843 "ipfw nem működik önreferencia, a 5.0.0.3568 verzió".
- Változások támogatása Cisco ASA (PIX, FWSM):
- lásd # 2656 "generált Cisco ASA hozzáférés-lista duplikált bejegyzést". Bizonyos körülmények között politikai fordító fwb_pix generált kettős hozzáférés-lista vonalak.
- Egyéb változások:
- lásd # 2646 és SF bug 3.395.658: Hozzáadott néhány IPv4 és IPv6 hálózati objektumok a szabványos objektumok könyvtár: TEST-NET-2, TEST-NET-3 (RFC 5735, RFC 5737), lefordította-IPv4, leképezve-IPv4 , Teredo, egyedi-helyi és néhány más.
Mi az új verzióban 5.0.0:
- Ez a verzió több GUI fejlesztések és fejlett támogatást nyújt nagy konfigurációk, új funkciók, mint a felhasználó által megadott almappákat, kulcsszavak megjelölésére tárgyak, dinamikus csoportok intelligens szűrőket, és így tovább.
- További új funkciók támogatják importáló PF konfigurációs fájlokat és egy új objektumot típusú úgynevezett Attached Networks, amely a hálózatok listáját csatlakozik egy hálózati interfész.
Mi az új verzióban 4.2.1:
- v4.2.1 egy kisebb bug-fix kiadás, helyesbíti kérdések a beépített politikai telepítő kötegelt módban, SNMP hálózati felderítést varázsló, és néhány más hibákat a GUI.
Mi az új 4.2.0:
- Ez a kiadás jelentősen javítja import meglévő tűzfal konfigurációkat bemutatja suport behozatalára Cisco ASA / PIX / FWSM konfiguráció és duplikáció-import tárgyakat minden platformra. Ez a verzió már támogatja a konfiguráció híd és VLAN interfészek és statikus útvonalakat FreeBSD és lehetővé teszi, hogy létrehoz konfigurációs ebben a formában rc.conf fájlokat. Fwbuilder már támogatja a legújabb verziói Cisco ASA szoftver, beleértve az új parancs szintaxisa a következő nat parancsokat ASA 8.3.
Mi az új verzióban 4.1.3:
- Ez a kiadás számos használhatósági fejlesztéseket és hibajavításokat tartalmaz. Használhatósági fejlesztések közé tartozik a haladó felhasználó módban, amely csökkenti a tooltips a hatalom számára, és a mellett egy új politikai szabály jelölőnégyzetet annak meghatározására, hogy az új szabályok a naplózásra vagy tiltva. Kritikus hibajavítások közé tartozik a jobb támogatás a Windows rendszerekkel, ahol Putty ülések, támogatása konfigurálása IP broadcast címek felületek és számos javítást kapcsolatos klaszter konfiguráció. Fürtkonfiguráció- elhárítható a hozzá támogatás importáló elágazási szabályokat, amikor a klaszter jön létre, és támogatja a generáló NAT igénylő szabályok iptables REDIRECT target.
Mi az új verzióban 4.1.2:
- Engedélyezze a tippek alapból és további elemleírásokat
- Egyszerűbb Interfészkonfigurációs az új objektum varázslók New Firewall és New Host
- automatikus megnyitása a tűzfal-objektumot, ha új tűzfalat objektumok létrehozása
- További hajózási eszközök és segítséget húrok
- Fix telepítő probléma a Windows felhasználók számára, hogy használja Putty ülések
- Fix kérdés (SF 307.732), ahol helyettesítő interfészek nem illeszkedik a PREROUTING szabály
- Fix kiadott (SF 3049665), ahol Firewall Builder nem generál megfelelő adatok fájlnévkiterjesztéseinek
Mi az új verzióban 4.1.1:
- v4.1.1 javítását tartalmazza több kisebb hiba, és az első kiadás, amely hivatalosan támogatja a HP ProCurve ACL konfiguráció. Köszönjük, hogy a nagylelkű adománya több kapcsoló a HP tudtuk tesztelni, és véglegesítse a ProCurve támogatást. Ez a kiadás is rögzíti kritikus hiba V4.1.0 kapcsolódó Cisco IOS ACL konfigurációk. Néhány konfigurációban okozna Firewall Builder hogy helytelenül generál és a hiba a következő üzenettel: "Nem találom interfész hálózati zónát, amely tartalmazza címet ABCD".
Mi az új verzióban 4.0.0:
- Miután több hónap béta teszt, ez stabil gyártásra kész kiadás.
Mi az új a 3.0.6 verziójú:
- Ez egy bug-fix kiadás, ez benne van a javítását GUI próbálja megoldani a problémákat nyomtatás nagy szabályra, és további optimalizálása a generált iptables és PF konfigurációk.
Hozzászólás nem található