pfSense 是什么?
pfSense 项目是 FreeBSD 的一个免费开源定制发行版,提供可通过 Web 界面管理的防火墙和路由器功能。该 Web 界面称为基于 Web 的 GUI 配置器(简称 WebGUI)。大多数人无需 FreeBSD 专业知识即可部署和使用 pfSense。
除了强大的防火墙和路由平台外,pfSense 还包含众多其他功能。它的插件系统增强了可扩展性,同时不会过度增加基本发行版的体积,也不会引入潜在的安全漏洞。自项目成立以来,pfSense 已被下载数百万次,活跃安装量达数十万。
- 下载最新版本:pfSense 下载页
pfSense 代表什么意思?
该项目由 Chris Buechler 和 Scott Ullrich 于 2004 年创立。在此之前,Chris 对 m0n0wall 作出了重要贡献,并发现它是一个出色的网络解决方案。然而,许多用户希望获得比专注于硬件资源有限的嵌入式设备项目更丰富的功能。到 2004 年,大量 64 MB RAM 的嵌入式解决方案已无法承载 pfSense 所需的全部功能,因此 pfSense 扩展到功能更强大的 PC 和服务器类硬件。
项目运行了几个月一直没有正式名称。实际上,多年前用于运行 CVS 服务器的 FreeBSD jail 一直被称作 “projectx”,直到项目迁移到 Git。
找到一个可用的域名是主要难点。创始人经过多次考虑后最终选择 “pfSense”,因为防火墙将使用包过滤软件(packet filtering Software)。
为什么使用 FreeBSD?
为项目选择底层操作系统时,考虑了众多因素:
无线支持
无线支持是许多用户选择网络防火墙的重要考量。在 2004 年,OpenBSD 的无线支持非常有限,不支持驱动程序或安全协议,也没有相应的实现计划。如今 FreeBSD 的无线功能已大大超越 OpenBSD。
网络性能
FreeBSD 的网络性能明显优于 OpenBSD。这对中小型部署通常影响不大,但在高可伸缩性场景中,OpenBSD 存在明显问题。尽管 OpenBSD 的网络性能自 2004 年以来有所提升,但仍有其局限性。
FreeBSD 能更好地利用多处理器支持 pf,相关性能分析可参考:网络性能报告
便利的分支
m0n0wall 的代码基于 FreeBSD,而 pfSense 正是 m0n0wall 的延伸。更换底层操作系统需要进行大量修改,如果换成其他系统,将极大增加开发工作量和不确定因素。
替代操作系统支持
目前没有支持其他基础操作系统的计划。
常用部署
pfSense 可满足从 SOHO 到数据中心各种类型和规模的网络环境需求。
外围防火墙
pfSense 最常见的用途就是作为外围防火墙。它适用于需要多个 Internet 连接、多个 LAN 网络和多个 DMZ 网络的环境。BGP、连接冗余和负载平衡也是可选功能。
路由器
在小型网络中,pfSense 常被同时配置为 LAN / WAN 路由器和外围防火墙。在大型网络中,LAN 与 WAN 路由通常是独立的角色。
LAN 路由器
pfSense 是连接多个内部网络的成熟方案,最常用在配置了 802.1Q Trunk 的 VLAN 场景中。部分环境也会使用多个以太网接口。对于过滤要求较低的大容量 LAN 通信环境,可能需要第 3 层交换机或基于 ASIC 的路由器。
WAN 路由器
pfSense 是 Internet 服务提供商的极佳方案。它以远低于其他商业产品的价格,提供大多数网络所需的全套功能。
专用设备
pfSense 可作为独立设备,用于 VPN 网关、嗅探器或 DHCP 服务器等不太常见的部署。
VPN 设备
pfSense 可在不中断现有防火墙架构的情况下增加 VPN 功能,并支持多种 VPN 协议。
嗅探器设备
pfSense 为 tcpdump 数据包分析器提供了 Web 界面,捕获的 .cap 文件可下载并在 Wireshark 中进行分析。
DHCP 服务器设备
pfSense 可部署为动态主机配置协议服务器,但其 GUI 对 ISC DHCP 守护程序的高级配置有一定局限。
接口命名术语
pfSense 上的所有接口均可自定义名称,但都有默认名称:WAN、LAN 和 OPT。
- WAN(广域网):防火墙之外不可信任的公共网络,即防火墙与 Internet 或其他上游网络的连接。在多 WAN 部署中,WAN 是第一条或主要的 Internet 连接。每个防火墙都必须有一个 WAN 接口。
- LAN(局域网):通常是防火墙的私有侧,为本地客户端使用私有 IP 地址方案。在小型部署中,LAN 通常是唯一的内部接口。
- OPT(可选接口):指 WAN 和 LAN 之外的其他接口。OPT 接口可以是额外的 LAN 网段、WAN 连接、DMZ 网段、与其他专用网络的互连等。
- DMZ(隔离区):指保护区和战区之间的缓冲区。在网络中,这是可通过 WAN 从 Internet 访问公共服务器但与 LAN 隔离的区域。一旦网络受到威胁,DMZ 可防止其他网段中的系统受损,同时保护 DMZ 内主机免受其他本地网络和整个 Internet 的侵害。
FreeBSD 接口名称
FreeBSD 接口命名以网络驱动的名称开始,然后是从 0 起始的数字,每增加一个共享该驱动程序的接口,数字就递增。例如,Intel 千兆网卡常用驱动是 igb,第一块卡为 igb0,第二块为 igb1,依此类推。其他常见驱动名称包括 cxl(Chelsio 10G)、em(Intel 1G)、ix(Intel 10G)、bge(多种 Broadcom 芯片组)等。若系统混用 Intel 与 Chelsio 卡,则接口分别命名为 igb0 和 cxl0。
查找信息并获得帮助
查找信息
本书内置的搜索功能是查找特定主题最简便的方式(阅读 HTML 版本时,搜索功能位于页面左上角)。
在 netgate.com 网站上有大量其他信息和用户体验。最佳搜索方式是在 Google 搜索栏输入 site:netgate.com 再追加需要查找的关键词,即可搜索官方站点、论坛、文档等内容。
获得帮助
几乎每个页面上都有帮助图标和关联页面的链接。
pfSense 还提供多种获取帮助的方式,包括:
也可通过 pfSense 门户网站 获得直接商业支持。更多信息可以在 pfSense WebGUI 配置器的帮助菜单中找到相关链接。
觉得内容不错?我要
