防火墙
- 根据源和目标 IP、IP 协议、TCP 和 UDP 通信的源和目标端口进行过滤
- 限制每个规则的并发连接
- 利用先进的被动 OS/网络指纹识别实用程序 p0f,允许对连接的操作系统进行过滤。想要允许 FreeBSD 和 Linux 机器访问 Internet,但要阻止 Windows 机器?pfSense 可以通过被动检测正在使用的操作系统进行连接许可。
- 可以有选择的记录符合每个规则的通信信息。
- 可以在每个规则策略上选择网关(用于负载平衡、故障转移、多 WAN 等),可以实现高度灵活的策略路由选择
- 别名可以允许分组和命名 IP、网络和端口,让防火墙规则集更加清晰,更容易理解,特别是在多个公有 IP 和众多服务器的环境中时。
- 具备透明的第 2 层防火墙功能。可以桥接接口并过滤它们之间的流量,甚至允许使用无 IP 防火墙(但还是可能需要一个用于管理目的的 IP)。
- 数据包规范化。‘Scrubbing’ 是数据包的规范化,因此数据包的最终目的地在解释时没有含糊不清的地方。scrub 指令还重新组合碎片数据包,保护某些操作系统免受某些形式的攻击并丢弃具有无效标志组合的 TCP 数据包。
- 默认情况下在 pfSense 软件中启用
- 如果需要可以禁用。此选项会导致某些 NFS 实施出现问题,但这也是安全的,应在大多数安装中保持启用状态。
- 禁用过滤器 – 如果希望将 pfSense 变成纯粹的路由器,则可以完全关闭防火墙过滤器。
状态表
防火墙的状态表维护着打开的网络连接的信息。pfSense 是一个有状态的防火墙,默认情况下所有规则都是有状态的。
大多数防火墙缺乏精确控制状态表的能力。由于 FreeBSD 移植版本的功能,pfSense 具有许多功能,它可以对状态表进行精确控制。
- 可以调整的状态表大小。默认的状态表大小根据系统安装内存的大小而有所不同,但可以随时增加。每个状态需要大约 1 KB 的内存,在调整状态表时记住内存使用情况,不要把它设置得过高。
可以在每个规则策略的基础上:
- 限制同时连接的客户端。
- 限制每台主机的状态。
- 限制每秒新连接数。
- 定义状态超时。
- 定义状态类型。
状态类型 – pfSense 提供多种状态处理选项。
- 保持状态 – 适用于所有协议。这是所有规则的默认值。
- 懒散状态 – 适用于所有协议。这是不太严格的状态跟踪机制,在非对称路由情况下非常有用。
- 同步代理状态 – 代理进入的 TCP 连接,以帮助保护服务器免受欺骗 TCP SYN 泛滥。该选项包括保持状态和调制状态组合的功能。
- 无 – 不保留此流量的任何状态条目。仅限于在特殊的情况下使用。
状态表优化选项 – pf 为状态表优化提供了四个选项。
- 正常 – 默认算法。
- 高延迟 – 适用于高延迟网络连接,如卫星线路等。
- 积极 – 更有效地使用硬件资源,但可以放弃合法连接。
- 保守 – 试图避免丢弃合法连接,但会增加内存使用量和 CPU 利用率。
网络地址转换 (NAT)
- 端口转发包括范围和多个公有 IP 的使用
- 单个 IP 或整个子网的 1:1 NAT。
出站 NAT
- 默认设置将所有出站流量转换为 WAN IP。在多个 WAN 场景中,默认设置 NAT 将流量发送到正在使用的 WAN 接口的 IP。
- 高级出站 NAT 允许禁用此默认行为,并允许创建非常灵活的 NAT(或无 NAT)规则。
- NAT 回流 – 可以设置 NAT 回流,因此服务可以通过公共 IP 从内部网络访问。
高可用性 (HA)
CARP,pfsync 和我们的配置同步的结合提供了高可用性。可以将两个或更多防火墙配置为故障切换组。如果一个接口在主服务器上失败或主服务器完全脱机,则辅助服务器将变为活动状态。pfSense 软件还包含配置同步功能,因此可以在主服务器上修改配置,并自动同步到辅助防火墙。
多 WAN
多 WAN 功能支持使用多个互联网连接,实现负载平衡和/或故障转移,从而提高互联网可用性和带宽使用率。
服务器负载平衡
服务器负载平衡用于在多个服务器之间分配负载。这通常用于 Web 服务器、邮件服务器等。
虚拟专用网络 (VPN)
pfSense 的 VPN 连接,提供了 L2TP、IPsec 和 OpenVPN 三种选择。
L2TP
L2TP 是一种工业标准的 Internet 隧道协议,功能大致和 PPTP 协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如 PPTP 要求网络为 IP 网络,L2TP 要求面向数据包的点对点连接;PPTP 使用单一隧道,L2TP 使用多隧道;L2TP 提供包头压缩、隧道验证,而 PPTP 不支持。相对于 PPTP,L2TP 更安全。
IPsec
IPsec 允许与支持标准 IPsec 的任何设备连接。这通常用于站点到站点、其他 pfSense 防火墙以及大多数其他防火墙解决方案(思科,瞻博网络等)的连接,它也可以用于移动客户端连接。
OpenVPN
OpenVPN 是一种灵活、强大的 SSL VPN 解决方案,支持广泛的客户端操作系统。
PPPoE 服务器
pfSense 提供了 PPPoE 服务器。本地用户数据库可用于认证,也支持带可选计费的 RADIUS 认证。
报告和监控
RRD 图表
pfSense 中的 RRD 图表保留以下内容的历史信息。
- CPU 利用率。
- 总吞吐量。
- 防火墙状态。
- 所有接口的单独吞吐量。
- 所有接口的每秒数据包速率。
- WAN 接口网关 ping 响应时间。
- 流量整形器在启用了流量管控系统上排队情况。
实时信息
历史信息虽然重要,但有时候实时信息更重要。
- SVG 图表可用于显示每个接口的实时吞吐量。
- 对于流量整形器用户,系统 状态 > 队列 页面使用 AJAX 更新流量表提供队列使用情况的实时显示。
- 系统仪表页面可以显示实时 CPU、内存、交换磁盘、状态表大小的使用情况。
动态 DNS
pfSense 支持主流 DNS 客户端,允许向多个动态 DNS 服务商注册你自己的公共 IP。
- 自定义 – 允许自定义信息
- DNS-O-Matic
- DynDNS
- DHS
- DNSexit
- DyNS
- easyDNS
- freeDNS
- HE.net
- Loopia
- Namecheap
- No-IP
- ODS.org
- OpenDNS
- Route 53
- SelfHost
- ZoneEdit
客户端也可用于 RFC 2136 动态 DNS 更新,以便与支持这种更新方式的 DNS 服务器(如 BIND)一起使用。
入网门户
入网门户允许进行强制身份验证或重定向到指定页面再访问网络。这通常用于热点网络,但也广泛用于企业网络,以实现无线或 Internet 访问的附加安全层。下面是入网门户的功能列表:
- 最大并发连接数 – 限制每个客户端 IP 的门户本身连接数。
- 空闲超时 – 断开空闲时间超过指定分钟数的客户端。
- 硬超时 – 强制在指定的时间后断开所有客户端的连接。
- 登录弹出窗口 – 可以设置一个带注销按钮的窗口。
- URL 重定向 – 在对入网门户进行身份验证或点击之后,用户可以被强制重定向到定义的 URL。
- MAC 过滤 – 默认情况下,使用 MAC 地址过滤器。如果在启用入网门户的接口上的路由器后面有子网,则在授权一个用户后,路由器后面的每台计算机都将被授权。对于这些情况,可以禁用 MAC 过滤。
身份验证选项 – 有三个身份验证选项可用。
- 无需身份验证 – 这意味着用户只需点击门户网站页面即可,无需输入凭据。
- 本地用户管理器 – 使用本地用户数据库用于认证。
- RADIUS 身份验证 – 这是企业环境和 ISP 的首选身份验证方法。它可以使用 Microsoft Active Directory 和其他的 RADIUS 服务器进行身份验证。
RADIUS 功能
- 强制重新认证
- 能够发送计费信息
- RADIUS MAC 身份验证允许入网门户使用客户端的 MAC 地址作为用户名和密码来向 RADIUS 服务器进行身份验证。
- 允许配置冗余 RADIUS 服务器。
- HTTP 或 HTTPS – 门户页面可以配置为使用 HTTP 或 HTTPS 进行访问。
- 直通 MAC 和 IP 地址 – 可以使用白名单列出 MAC 和 IP 地址来绕过门户限制。
- 文件管理器 – 允许上传自定义图像以供在门户页面中使用。
DHCP 服务器和中继
pfSense 软件包括 DHCP 服务器和中继功能。
觉得内容不错?我要
