Firewall Builder ist ein Multi-Plattform-Firewall-Konfiguration und-Management-System. Es besteht aus einem GUI und eine Reihe von Richtlinien-Compiler für verschiedene Firewall-Plattformen.
Firewall Builder hilft dem Anwender eine Datenbank von Objekten zu erhalten und ermöglicht Politik Bearbeitung mit einfachen Drag-and-Drop-Operationen.
Die GUI und Richtlinien-Compiler sind völlig unabhängig, dies sorgt für eine konsistente abstrakten Modells und der gleichen GUI für verschiedene Firewall-Plattformen. Es unterstützt derzeit iptables, ipfilter, ipfw, OpenBSD pf und Cisco PIX.
Was ist neu in dieser Pressemitteilung:
- GUI Updates:
- bewegt "Batch-Installation" -Button im Hauptinstallationsassistenten, um den Dialog, in dem Benutzer sein Passwort eingibt. Jetzt Anwender kann in einem nicht-Charge starten Installationsmodus, aber weiterhin im Batch-Installationsmodus zu jeder Zeit, wenn alle ihre Firewalls Authentifizierung mit dem gleichen Benutzernamen und Kennwort.
- siehe # 2628 fest Absturz, wenn Benutzer neue Firewall-Objekt aus einer Vorlage und verändert eine der IP-Adressen, während ein anderer Firewall-Objekt aus derselben Vorlage erstellt bereits im Baum existiert passiert.
- siehe # 2635 Objekttyp AttachedNetworks nicht in der "Schnittstelle" Regelelement erlaubt.
- In der Dropdown-Liste der Schnittstellen für die "Route-through" Regel-Option für PF und iptables sollte nicht nur Cluster-Schnittstellen, aber auch Schnittstellen der Mitglieder umfassen. Auf diese Weise können wir Compiler generieren Konfiguration "passieren in schnell auf em0 Pfad-zu {(em0 10.1.1.2)} ..." für die in der Regel aus einer PF-Cluster. Hier "em0" ist eine Schnittstelle eines Mitglieds, nicht die Cluster.
- behebt # 2642 "GUI stürzt ab, wenn Benutzerdialog newFirewall bricht".
- behebt # 2641 "newFirewall Dialog nicht IPv6-Adressen mit langen Präfixe akzeptieren". Der Dialog war es nicht möglich IPv6-Adressen der inetrfaces mit Netzmaske & gt; 64 bit.
- behebt # 2643 "GUI stürzt ab, wenn Anwender eine Regel schneidet, dann mit der rechten Maustaste auf jeden Regelelement eines anderen"
- hinzugefügt überprüfen, um sicherzustellen Benutzer keine Netzmaske mit Nullen in der Mitte für das IPv4-Netzwerk-Objekt zu gelangen. Netzmasken wie die nicht durch fwbuilder unterstützt.
- behebt # 2648 "rechten Maustaste auf Firewall-Objekt in" Gelöschte Objekte "Bibliothek GUI Absturz verursacht"
- behebt SF Bug 3388055 Hinzufügen eines "DNS-Name" mit einem Leerzeichen verursacht Fehler.
- behebt SF Bug 3302121 "kosmetische Fehl Format Wege Dialog FWB Linux"
- behebt SF Bug 3247094 "Systematik der Bearbeitungsdialog IP-Adresse". Dialog Netzwerk ipv6 sagt "Prefix length".
- siehe # 2654 behoben GUI Absturz, der auftrat, wenn Benutzer kopiert eine Regel aus der Datei A nach B Datei, dann geschlossene Datei B, C geöffnete Datei und versucht, die gleiche Regel von A nach C zu kopieren '
- siehe # 2655 Schnittstellennamen sind nicht erlaubt, Strich haben "-" auch bei Schnittprüfung ab. In der Schnittstellennamen für die Cisco IOS - Wir sollten es ""
- siehe # 2657 SNMP Netzwerkerkennung abgestürzt, wenn die Option "Confine Scannen zum Netzwerk" verwendet wurde.
- behebt # 2658 "SNMP Netzwerkerkennung erstellt doppelte Adresse und Netzwerkobjekte"
- Aktivieren fwbuilder die Vorteile GSSAPIAuthentication mit openssh mit Vorschlag von Matthias Witte witte@netzquadrat.de nehmen
- einen Fehler (keine Zahl) festgelegt: Wenn der im Feld "Ausgabedateiname" in den "erweiterten Einstellungen" Dialog eines Firewall-Objekt endete mit einem weißen Raum eingegebenen Dateinamen Benutzer, Politik Installateur mit einer Fehlermeldung "Keine wie gescheitert Datei oder das Verzeichnis "
- Fest SF Bug # 3433587 "Manuelle Bearbeitung von neuen Service-Destination Port END Wert ausfällt". Dieser Fehler machte es unmöglich, den Wert der zum Ende des Portbereich bearbeiten, da, sobald der Wert kleiner als der Wert des Beginns der Bereich wurde, würde die GUI einen Reset gleich dem Wert von dem Beginn des Bereichs zu sein, . Dies betraf sowohl TCP- und UDP-Service-Objekt-Dialoge.
- Fixes # 2665 "Text zu äußern Ursachen Regel aus 2 Zeilen 1 Reihe zu gehen". Unter bestimmten Umständen verursacht Editierungsregel Kommentar der GUI zur entsprechenden Zeile in der Regelsatz-Ansicht zusammenbrechen, so dass nur das erste Objekt jedes Regelelement, das mehrere Objekte enthalten sind sichtbar war.
- behebt # 2669 "Cant inspizieren benutzerdefinierte Service-Objekt im Standard-Objekte-Bibliothek".
- Änderungen der Politik Importeur für alle unterstützten Plattformen
- Änderungen, die Einfuhr von PIX-Konfigurationen beeinflussen:
- geändert Token Namen von "ESP", um "ESP_WORD", um Konflikte mit Makro "ESP", die während der auf Opensolaris Build passiert vermeiden
- siehe # 2662 "Crash beim Kompilieren ASA Regel mit IP-Bereich". Brauchen Sie, um Adressbereich aufgeteilt, wenn sie in "Quelle" einer Regel, telnet, ssh oder http steuert auf die Firewall selbst und Firewall-Version & gt verwendet wird; = 8,3. Befehle "ssh", "telnet" und "http" (diejenigen, die den Zugriff auf die entsprechenden Protokolle für die Firewall selbst zu steuern) akzeptieren nur die IP-Adresse eines Hosts oder eine Netzwerk als Argument. Sie haben keine Adressbereich, benannte Objekt oder Objektgruppe zu übernehmen. Dies ist zwar mindestens so von ASA 8.3. Da wir erweitern Adressbereiche nur für Versionen & lt; 8,3 und die Verwendung benannte Objekt für 8.3 und später, müssen wir diese zusätzliche Check-in-Regeln, die später zu konvertieren wird auf "ssh", "Telnet" oder "http" Befehl machen und noch erweitern Adressbereiche. Compiler erzeugt noch überflüssig Objekt-Gruppe Erklärung mit aus dem Adressbereich erzeugt CIDR-Blöcke, aber nicht bei dieser Gruppe verwenden in der Regel. Dies gilt nicht erzeugt brechen Konfiguration aber das Objekt-Gruppe ist überflüssig, da es nie verwendet wird. Dies wird in zukünftigen Versionen behoben werden.
- behebt # 2668 Remove "statische Routen" aus der Erläuterung Text in Dialog / PIX Import ASA. Wir können PIX / ASA-Routing-Konfiguration zu diesem Zeitpunkt nicht importieren.
- behebt # 2677 Politik Importeur für PIX / ASA konnte nicht analysiert Befehl "nat (innen) 1 0 0"
- behebt # 2679 Politik Importeur für PIX / ASA konnte "nat Befreiung" -Regel nicht importiert werden (zum Beispiel: "nat (innen) 0 access-list BEFREIT")
- behebt # 2678 Politik Importeur für PIX / ASA konnte nat Befehl nicht analysieren, mit dem Parameter "außen"
- Änderungen und Verbesserungen in der API-Bibliothek libfwbuilder:
- Funktion InetAddr :: isValidV4Netmask () überprüft, die von dem Objekt dargestellte Netzmaske besteht aus einer Folge von Bits "1", gefolgt von der Folge von "0" Bits und somit keine Nullen in der Mitte.
- Bug # 2670. Per RFC3021-Netzwerk mit Netzmaske / 31 nicht an ein Netzwerk und direkte Broadcast-Adressen. Als Interface der Firewall ist mit Netzmaske / 31, Richtlinien-Compiler konfiguriert sollte die zweite Adresse dieses "Subnetz" als Broadcast nicht zu behandeln.
- Änderungen der Unterstützung für iptables:
- siehe # 2639 "Unterstützung für VLAN Subschnittstellen Brückenschnittstellen (zB br0.5)". Derzeit fwbuilder nicht erzeugen Skript vlan Subschnittstellen des Bridge-Schnittstellen zu konfigurieren, aber wenn Benutzer nicht dieses Konfigurationsskript zu ersuchen, erzeugt werden, sollten Compiler nicht abbrechen, wenn es diese Kombination trifft.
- behebt # 2650 "Regeln mit Adressbereich, der Firewall-Adresse in Src enthält in OUTPUT-Kette, auch wenn Adressen, die die Firewall nicht übereinstimmen sollten vorwärts gebracht"
- behebt SF Bug # 3414382 "Segfault in fwb_ipt Umgang mit leeren Gruppen". Compiler für iptables verwendet, zum Absturz zu bringen, wenn eine leere Gruppe wurde in der Spalte "Interface" einer Richtlinienregel verwendet.
- siehe SF Bug # 3416900 "Ersetzen Sie` command` mit `which`". Generierte Skript (Linux / iptables) verwendet werden, um "command -v" verwenden, um zu überprüfen, ob Kommandozeilen-Tools braucht es auf dem System vorhanden sind. Dies wurde verwendet, um iptables, lsmod, modprobe, ifconfig, vconfig, Logger und andere. Einige Embedded Linux-Distributionen, insbesondere TomatoUSB, kommen ohne Unterstützung für "command". Das Umschalten auf ", was" das ist mehr ubuquitous und sollte so ziemlich überall verfügbar sein.
- feste # 2663 "Regel mit" alt-Sendung "Objekt führt zu ungültigen iptables INPUT-Kette". Compiler wurde die Wahl Kette INPUT mit Richtung "outbound" für Regeln, die alte Broadcast-Adresse in "Source" hatte, diese führen zu iptables-Konfiguration mit Kette INPUT und "-o eth0" Interface Match-Klausel ungültig.
- Fest Fehler in der Regelprozessor die AddressRange Objekt, das einzelne Adresse mit einem IPv4-Objekt stellt ersetzt. Eliminiert Code Redundanz.
- behebt # 2664 Fehlermeldung, wenn aktualisieren ", die" Befehl schlägt fehl. Erzeugt iptables Skript verwendet ", was" zu überprüfen, ob alle Nebenkosten verwendet es auf der Maschine vorhanden. Wir sollten auch prüfen, ob "die" selbst existiert und stellt aussagekräftige Fehlermeldung, wenn nicht.
- SF Bug # 3.439.613. physdev Modul nicht --physdev-out für nicht überbrückt Datenverkehr zu ermöglichen mehr. Wir sollten hinzufügen --physdev-ist-verbrückten, um sicherzustellen, dass diese Spiele nur überbrückt Pakete. Auch den Zusatz "i" / "-o" Klausel Mutter Bridge-Schnittstelle entsprechen. Dies erlaubt uns, richtig passen, welche Brücke das Paket kommt durch in Konfigurationen mit Wildcard Bridge-Port-Schnittstellen. Wenn zum Beispiel br0 und br1 haben "vnet +" Bridge-Port-Schnittstelle kann iptables noch richtig passen, welche Brücke das Paket durch den Einsatz von "-o br0" oder "-o br1" Klausel ging. Dies kann mit vielen Schnittstellen, die überbrückt dynamisch erzeugt und zerstört werden, beispielsweise nützlich bei Installationen mit virtuellen Maschinen. Beachten Sie, dass die "-i br0" / "-o br0" Klausel wird nur aufgenommen, wenn es mehr als eine Bridge-Schnittstelle und Brückenportname endet mit einer Wildcard Symbol "+"
- Fest SF Bug # 3443609 Return of-ID: 3059893 ": iptables" --set Option "veraltet". Müssen --match-Set statt --set wenn iptables-Version & gt verwenden; = 1.4.4. Die Fehlerbehebung für # 3059893 getan war nur in der Politik Compiler muss aber in Politik und nat Compiler durchgeführt werden.
- Änderungen der Unterstützung für PF (FreeBSD, OpenBSD):
- siehe # 2636 "Karpfen: Falsche Ausgabe im rc.conf.local Format". Sollte verwenden create_args_carp0 statt ifconfig_carp0 einzurichten CARP-Interface vhid, passieren und adskew Parameter.
- siehe # 2638 "Wenn CARP Kennwort leer das advskew Wert nicht lesen". Sollte überspringen "bestanden" Parameter des ifconfig-Befehl, der Karpfen-Schnittstelle erstellt, wenn der Benutzer nicht jeden Kennwort festzulegen.
- Fest SF Bug # 3429377 "PF: IPv6-Regeln nicht in IPv4 / IPv6-Regelsatz (Anker) hinzugefügt". Compiler für PF keine Regeln für IPv6 erzeugt inlcude in generierten PF Anker Konfigurationsdateien.
- Fest SF Bug 3428992: "PF: Regeln, um Probleme mit IPv4 und IPv6". Compiler für PF sollte Gruppe IPv4- und IPv6-NAT-Regeln zusammen, bevor es IPv4- und IPv6-Richtlinienregeln erzeugt.
- Mehrere Fixes in den verwendeten Regeln zu verarbeiten, wenn die Option "erhalten Gruppe und Adressen Tabelle Objektnamen" Algorithmen in Kraft ist
- behebt # 2674 NAT-Compiler für PF stürzte ab, wenn AttachedNetworks Objekt wurde in Übersetzt Quelle eines NAT-Regel verwendet.
- Änderungen der Unterstützung für Cisco IOS-ACL:
- behebt # 2660 "Compiler für IOSACL stürzte ab, wenn Adressbereich wird in der Regel und Objekt-Gruppe Option eingeschaltet ist"
- Fest SF Bug 3435004:. "Leerzeilen im Kommentar zu einem" Unvollständige Command "in IOS"
- Änderungen der Unterstützung für ipfw:
- Fest SF Bug # 3426843 "ipfw nicht für Selbstreferenz arbeiten, in 5.0.0.3568-Version".
- Änderungen der Unterstützung für Cisco ASA (PIX, FWSM):
- siehe # 2656 "Generated Cisco ASA access-list hat doppelte Eintrag". Unter bestimmten Umständen Politik Compiler fwb_pix erzeugt doppelte Zugriffslistenzeilen.
- Weitere Änderungen:
- siehe # 2646 und SF Bug 3.395.658: Hinzugefügt einige IPv4- und IPv6-Netzwerkobjekte auf die Standard-Objekte-Bibliothek: TEST-NET-2, TEST-NET-3 (RFC 5735, RFC 5737), übersetzt-ipv4, abgebildet-ipv4 , Teredo-einzigartige lokale und einige andere.
Was ist neu in Version 5.0.0:
- Diese Version enthält mehrere GUI-Verbesserungen und eine bessere Unterstützung für große Konfigurationen mit neuen Features wie benutzerdefinierte Unterordner, Schlüsselwörter für die Kennzeichnung Objekte, dynamische Gruppen mit Smart-Filter und vieles mehr.
- Weitere neue Features sind Unterstützung für den Import PF Konfigurationsdateien und einen neuen Objekttyp namens angebaute Networks, die die Liste der Netzwerke zu einem Netzwerk-Schnittstelle darstellt.
Was ist neu in Version 4.2.1:
- v4.2.1 ist ein kleiner Bug-Fix Release, Probleme in der integrierten Richtlinieninstallations Batch-Modus, SNMP Netzwerk-Discovery-Assistenten und einige andere Fehler in der GUI. korrigiert sie
Was ist neu in Version 4.2.0:
- Diese Version deutlich verbessert Import vorhandener Firewall-Konfigurationen stellt suport für die Einfuhr von Cisco ASA / PIX / FWSM Konfiguration und Deduplizierung von importierten Objekte für alle Plattformen. In dieser Version wurde auch die Unterstützung für die Konfiguration der Brücke und VLAN-Schnittstellen und statischen Routen auf FreeBSD und ermöglicht die Konfiguration in das Format der rc.conf-Dateien zu generieren. Fwbuilder unterstützt jetzt aktuellen Versionen der Cisco ASA-Software einschließlich der neuen Befehlssyntax für nat Befehle in ASA 8.3.
Was ist neu in Version 4.1.3:
- Diese Version enthält eine Reihe von Usability-Verbesserungen und Fehlerbehebungen. Usability-Verbesserungen umfassen die Zugabe eines Advanced User-Modus, der die Anzahl der Tooltips für Power User und die Hinzufügung eines neuen Richtlinienregel Kontrollkästchen reduziert, um festzulegen, ob neue Regeln haben die Protokollierung aktiviert oder standardmäßig deaktiviert. Kritische Bugfixes gehören verbesserte Unterstützung für Windows-Systeme, die Putty-Sitzungen, Unterstützung für die Konfiguration von IP-Broadcast-Adressen zu Schnittstellen und mehrere Korrekturen in Bezug auf Cluster-Konfigurationen verwenden. Cluster-Konfiguration Fixes beinhalten das Hinzufügen Unterstützung für den Import Verzweigungsregeln, wenn ein Cluster erstellt wird und die Unterstützung zur Erzeugung von NAT-Regeln, die iptables REDIRECT Ziel benötigen.
Was ist neu in Version 4.1.2:
- Aktivieren Tooltips standardmäßig und zusätzliche Tooltipps
- Vereinfachte Schnittstellenkonfiguration im neuen Objekt-Assistenten für neue Firewall und New Host
- automatisch öffnen Firewall Richtlinienobjekt, wenn neue Firewall-Objekte erstellt werden
- Zusätzliche Navigationshilfen und Hilfstexten
- Feste Installer Problem für Windows-Benutzer, die Putty-Sitzungen verwenden
- Fix Ausgabe (SF 307.732) in dem Wildcard-Schnittstellen wurden in PREROUTING Regel verglichen
- Feste ausgegeben (SF 3.049.665), wo Firewall Builder nicht ordnungsgemäßen Datendateinamenerweiterungen erzeugen
Was ist neu in Version 4.1.1:
- v4.1.1 enthält Korrekturen für einige kleinere Fehler und ist das erste Release offiziell unterstützt HP ProCurve ACL-Konfiguration. Dank einer großzügigen Spende von mehreren Switches von HP konnten wir testen und Fertigstellung des ProCurve Support. Diese Version behebt auch einen kritischen Fehler in V4.1.0 auf Cisco IOS-ACL-Konfigurationen zusammen. Einige Konfigurationen verursachen würde Firewall Builder falsch generieren und Fehler mit der Meldung "Can not Interface mit Netz-Zone, die Adresse ABCD enthält zu finden".
Was ist neu in Version 4.0.0:
- Nach mehreren Monaten der Beta-Testphase ist dies eine stabile Produktion bereit Mitteilung.
Was ist neu in Version 3.0.6:
- Das ist ein Bug-Fix Release mit Verbesserungen in der Benutzeroberfläche, um Probleme beim Drucken von großen Regelsätze und zusätzliche Optimierung in den generierten iptables und PF-Konfigurationen fix geht.
Kommentare nicht gefunden