《详细的开源防火墙pfSense安装教程》由会员分享,可在线阅读,更多相关《详细的开源防火墙pfSense安装教程(12页珍藏版)》请在金锄头文库上搜索。
1、严格说来,pfsense是一个免费的、开源的、经过改造的FreeBSD的定制 版本,它主要用作防火埴和路由器。除了可以作为一个强健而灵活的防火墙 和路由平台,它还包括其它的许多相关特性和程序包,可以进一步扩展性能 而不会增加潜在的安全漏洞。据悉,pfSense已经被下载了几百万次,被许 多家庭、公司、大学等的网络采用来保护其计算机及其它的网络设备。此项目是作为mOnOwall的一个子项目于2004年开始的,它着重于完整 的PC安装而不是mOnOwall的嵌入式硬件系统。此外,pfSense还提供了基 于安装的Compact Flash嵌入镜像,但这并不是其最关注的问题。其最新版本为 1.2,包
2、括了商业防火墙或路由器设备中的许多特性,它包 括了一个易管理的基于Web的图形用户界面。虽然它拥有免费防火墙、路由 器的一些不错的特性,但也并非完美无缺。笔者将在后面有所阐述。pfsense技术特征pfSense作为一个防火墙,支持根据IP地址、源地址、目的地址、源端 口、目标端口等进行过滤。例如,如果我们使用源地址过滤,并设置对内部 网络的子网IP地址进行监视,那么源自此地址的通信或请求将根据防火墙规 则进行分析。如果我们使用目标过滤,那么防火墙将监视数据通信将要到达 的IP地址。如果目标地址位于防火墙规则中,防火墙就会实施恰当的行动。最好的防火墙特性之一是其被动的操作系统指纹识别功能,此功
3、能可以 被动地检测某个连接的操作系统,并准许防火墙根据连接节点的操作系统来 阻止连接。它支持策略路由,可通过桥接或透明模式运行,准许用户将pfSense置于网络设备中,而不要求额外的配置。pfSense提供了网络地址 转换(NAT)和端口转发功能,但在使用NAT时,有PPTP、GRE、SIP等协 议的限制。还有一点,pfSense支持多个广域网连接,它可以执行外发的和进入的 负载平衡。唯一的限制是它只能在广域网连接之间实现通信的均等分配,而 且用户不能根据选定的连接区分特定通信的优先次序。pfSense使用IPSec、OpenVPN、PPTP,它支持虚拟私有网络(VPN)。 因为有NAT的限制
4、,在连接是通过NAT实现时,IPSec VPN也受到了限制, 从而缺乏对远程或移动VPN客户端的支持。此软件还支持一些高级的IPSec 特性,如网际密钥交换(IKE)中的NAT Traversal这称为NAT-T,还支持 Xauth。用户可以选择OpenVPN来突破这方面的一些限制,不过仍会存在一 些限制。虽然开发团队承诺在其未来的版本中将解决这些限制。软件安装pfSense的下载地址是:http:/www.pfsense.org/index.php?option=com_content&task=view&id=58& ltemid=46可以选择嵌入式程序包,也可以选择CD ISO程序包。如
5、果用户 仅打算将此软件用在一个精简网络设备(利用闪存技术进行存储)上,可以选择 嵌入式程序包。不过,多数人可能需要在一台普通的电脑上选择CD ISO程 序包。此软件至少要求128MB的内存,并要求至少有两个网卡,分别用作广 域网和局域网接口。这种最低要求对于吞吐量少于10Mbps的系统来说很有 用处。随着用户的网络吞吐量和功能使用的增加,pfSense的要求也会同样 如此。安装界面如下图 1 所示:图1笔者下载了 60MB的CD ISO,将其烧录到一光盘上。在用此CD启动时,用户面临着几种选择。如果用户初次安装此软件,可以选择默认选项。初始的启动过程主要设置VLAN,并选择LAN和WAN的接口
6、。用户可以自 动地检测接口设置,不过需要确保接口已经连接。如果没有连接,用户就必 须手动输入接口名称。笔者为局域网选择了 leO, WAN设置为lei。VLAN配 置界面如下图2 所示:呻I呦11!:Ksf HDT-k intBrr ACB HlSMftl chMa I Id 1 nterfacB-E: areRtinidi interfaceoptBB:Bct29:aG-3pi9B00G:29:a6:3c:4BDi3&rfi.E iikif MF5 /ote: pari it idn Saiatsriat Eng MFS /oot iart i I iun Ldukiikg 口丁 pl i
7、. tciif om aedBc duno- Looi! ing rof* pri. caiif on ii. doiie Homtht fmif f i. . iltrn 臼.Crest ImgIriks. k a . . doue.LduxncJiJTig PHP j id t sjfsteH. a. doiiBu Inti l 1 Izilny ,.a. .三,- 沖口山日. Stirt hig dieulcB H&neg日r tdau ) 口,.皿口ne Loading cunrigurtienndone.s:日t 出卩 VLRH百 ugh #;口iq ywi Hflinr to se
8、i up VLflUs f irEt?/f you Are not gingi Io u-seor on I# 0b apt ioriA I tvttrrd.cM.ay no hs-re end ns:& 乞Me HehCoiif ifnor to.zconf iure UlrRHa汁曲*吐L 费/勺:恥風图2在最初的配置之后,启动过程继续进行,然后我们就会看到软件的控制台,也就是一个简单的菜单,它允许用户配置接口设置,激活Web配置和其 它服务,重置到出厂时的状态,将pfSsense安装到硬盘。pfSense自动地将 一个IP地址分配给局域网接口,不过笔者想使用一个特定的IP地址,所以 必须
9、改变IP地址,只有这样才能在安装期间可以使用新IP地址。如果用户选择了推荐的分区,pfSense将为用户创建此分区。不过,用 户仍然可以拥有创建自己分区的选择。笔者选择了推荐的分区选择,在安装 期间,pfSense会询问用户要安装在何种类型的平台上(是单处理器还是多处 理器)。笔者选择了单处理器系统。在安装完成后,重新启动机器,使用局域 网的 IP 地址进行配置,访问 Web 配置接口。使用 pfSensepfSense的配置与任何一个网络防火墙和路由器都有些不同。在用户用 默认的用户名和口令登录进入系统后,可以配置防火墙的接口和规则。为了 实现基于Web的安全管理,可以改变默认口令并将会话类
10、型设置为HTTPS。 此处用户还可以设置防火墙的DNS设置。LAN的配置简洁明了。如果用户在安装之前没有配置,仅需要设置IP地 址。在广域网的接口中,用户可以从不同的连接类型中选择,如静态static) 和动态主机配置(DHCP)、PPPoE及BigPond线缆等。这里只能根据ISP所 提供的连接类型进行选择。下图3显示的是pfSense的系统信息窗口:图3在配置了接口之后,用户就可以设置一些防火墙策略了。对于任何防火 墙而言,设置防火墙策略要求用户选择一个接口WAN或LAN)、源地址和端 口、目标地址和端口,协议、服务,以及放行、阻止、拒绝等动作类型。阻 止但lock)即完全丢弃数据包,而拒
11、绝(reject)则向发起连接的主机返回一个不 可到达的(un reachable)”的响应。为了实现更好的安全性,最好选择阻止”而 不是“拒绝”。在“防火墙(Firewall)”菜单下,如果用户需要为网络服务使用端口 转发或者为特定主机配置静态NAT(1: 1),还可以配置NAT设置。用于向外 转发连接的NAT默认配置是自动的/动态的,不过如果必要的话,用户可以 将其改变为手动方式。笔者测试了自己创建的一些防火墙规则,如阻止外部 网络的FTP访问,可以看出pfSense成功地阻止了此服务。防火墙配置菜单如下图4:图4PlaittDimUptime33 di20:tState- table s
12、-izefUjMl联山勺 in S seconds)70%Hemerv ueneDld.k ungeSlurnInMrfKMA155710000Sha*巩鼻诞士RjmIh $4h事Mh Trrf(l l0?47;ifi2047t MD*-?毎 期氐 MHirWi- All flghu HeMfVfid. view 吟血-净 EL=:-.和芒辰坯可以看出,其配置功能实用。其局域网的防火墙规则设置窗口如下图5所示:FimwaJh RulwLANWAN IFSEC FPTP VFW DM2PraEaSounrePortc.tln.lxMiPwfQatewjiSctieduFeOe-sc rip Ma
13、nw&,rk CWurl 砂匕 Tlrnftfajcki Disrlng DjeIrck- Hovft inJ !L4tt NlflhfUMM mrtt:HMdruit 3N -a anry fKis IbiiKkrcJM尬 log:JM33 $ii-iW4blDCft Hsa4ilccl)reject门 I讯(dlHMdHint;Ruin 鼻炖 tvaiuacQd en 4 n粘E*wh qIi i-t- !*r *尅瞅 iM n?t?d. co Ecn 閑场心 何川 be exeLnd. Tblis fiwi. that if vou lus block rul oull have-询 p
14、ay ancraiJpn g The fliIq urdor. Evcryt3ilr iJnnt iint *kp5!y PMed Isby defaulL图5防火墙规则编辑窗口如图6:_: Lg pjchvlv that irn hn4M bthli-niM1 Kirt: Lha hrdHid hM Iief 艸wixi- oa a lai of1 IchDiKgndiLiai: iirElarn bqE :g g w zh pteMts rnrh 和 4E*rijHiMi Um OTtttiKt MfwrttA 出* andia eMe nih Hkt HCT 眄T宾 P&MP port vnrwUWn W UDf| 討 0 fanSr, wMriup 皿人学鸭左 ggCkM 13 Sr&pd 左阳刖丫. 3ftttftMh1 CM4. N 常胪讪 pOCk-H 注 OK出处0. AfrC o gr |DP M g -TCPAipf l5pw;r 审* 阿t er ikhi 吃W th# 时|映3 疋 曲 psckt
