一般情况下只需要远程使用基于Web的GUI配置器（webConfigurator）或简称WebGUI来配置pfSense。也可以使用显示器和键盘直接在防火墙控制台执行一些操作，当然也可以通过串行端口或SSH来访问控制台。

连接到WebGUI
要访问防火墙的WebGUI，确保访问设备与防火墙LAN接口处在同一局域网内。全新安装的pfSense系统LAN IP默认地址为192.168.1.1/24，DHCP服务器处于启用状态。将计算机设置为使用DHCP，它将自动获取地址。然后打开浏览器访问https://192.168.1.1。

注意：如果默认LAN子网与WAN子网冲突，则必须先更改LAN子网，然后再将其连接到网络。

可以使用控制台更改LAN IP地址并禁用DHCP：

打开控制台（VGA，串口或从其他接口使用SSH）
从控制台菜单中选择选项2
输入新的LAN IP地址，子网掩码，并指定是否启用DHCP。
如果启用了DHCP，请输入DHCP池的开始和结束地址。

注意：分配新的LAN IP地址时，它不能与WAN或任何其他活动接口处于同一子网中。如果LAN子网中已经存在其他设备，则无法将其设置为与现有主机相同的IP地址。

如果禁用了DHCP服务器，则LAN上的客户端计算机必须在pfSense LAN子网范围配置静态IP地址，如 192.168.1.5，子网掩码必须与pfSense子网掩码保持一致。
确保访问设备与防火墙LAN接口处在同一局域网内，导航至防火墙LAN IP地址。GUI默认情况下监听HTTPS，但是如果浏览器尝试使用HTTP进行连接，它将被防火墙重定向到HTTPS端口。要直接访问GUI而无需重定向，可以直接访问 https://192.168.1.1。
防火墙默认登录用户名和密码为：用户名admin密码pfsense

配置向导
首次登录pfSense®时，防火墙会自动显示配置向导。
单击下一步使用向导启动配置过程。

说明：如果不需要通过配置向导进行安装配置，只需单击页面左上方的pfSense徽标即可随时退出。

配置向导起始屏幕

常规信息

常规信息页面配置防火墙的名称，所在域以及防火墙的DNS服务器。

主机名: 主机名必须以字母开头，它可以只包含字母、数字或连字符。
域: 输入域，例如example.com。如果该网络没有域，请使用.localdomain，其中<youridentifier>是另一个标识符：公司名称，姓氏，昵称等。例如，company.localdomain主机名和域名组合在一起组成该防火墙的标准域名。
主要/辅助DNS服务器: 如果需要并且已知的话，可以填写主DNS服务器和辅助DNS服务器的IP地址。
如果DNS解析器将使用其默认设置保持活动状态，则这些DNS服务器可以保留为空白。默认的pfSense配置使DNS解析器在解析器模式（不是转发模式）下处于活动状态，以这种方式设置时，DNS解析器不需要转发DNS服务器，因为它将直接与根DNS服务器和其他权威DNS服务器通信。要强制防火墙使用这些配置的DNS服务器，请在DNS解析器中启用转发模式或使用DNS转发器。
如果此防火墙具有动态WAN类型，例如DHCP，PPTP或PPPoE，则它们可能会由ISP自动分配，可以保留为空白。
覆盖DNS: 选中后，动态WAN ISP可以提供覆盖手动设置的DNS服务器。要强制仅使用手动配置的DNS服务器，取消选中此选项。

单击下一步继续。

常规信息屏幕

NTP和时区配置

该页面设置与时间相关的选项。

时间服务器主机名: 网络时间协议（NTP）服务器主机名或IP地址。除非需要一台特定的NTP服务器，例如LAN上的一台，否则最佳做法是将时间服务器的主机名保留为默认值 0.pfsense.pool.ntp.org。该值将从已知良好的NTP主机池中选择一个随机服务器。
要使用多个时间服务器，请将它们添加到同一栏中，并用空格将每个服务器分隔开。例如，要使用池中的三台NTP服务器，请输入：
```
0.pfsense.pool.ntp.org 1.pfsense.pool.ntp.org 2.pfsense.pool.ntp.org
```
此编号特定于.pool.ntp.org操作方式，并确保每个地址都从唯一的NTP服务器池中提取，因此同一服务器不会被使用两次。
时区: 选择与该防火墙的位置最匹配的地理区域或其他任何所需区域。

单击下一步继续。

NTP和时区设置

广域网配置
该页面配置防火墙的WAN接口。这是ISP或上游路由器的外部网络，向导提供了几种常见的ISP连接类型。

广域网类型: 选择类型必须与ISP提供的WAN类型匹配。可以是“静态”，“DHCP”，“PPPoE ”和“PPTP”。默认是DHCP。在大多数情况下，默认设置允许防火墙无需额外配置即可“正常工作”。如果WAN类型未知，或者WAN的特定设置未知，则必须从ISP获得配置信息。
注意：如果WAN接口是无线接口，则向导将提供其他选项，这些其他选项在标准安装向导中不涉及。如果不清楚如何设置，请暂时跳过WAN设置，然后再执行无线配置。

WAN配置选择

MAC地址: 该字段可以更改WAN网络接口上使用的MAC地址。这也称为“欺骗” MAC地址。
注意：通过欺骗MAC地址缓解的问题通常是暂时的，并且很容易解决。最好的做法是维护硬件的原始MAC地址，仅在绝对必要时才采取欺骗措施。
更换现有的网络设备时，更改MAC地址可能有必要。因为有些ISP使用了MAC绑定技术来设置是否允许进行连接。
注意：如果此防火墙将用作高可用性群集的一部分，请不要使用欺骗MAC地址。
MTU: MTU字段通常可以留空，但可以在必要时进行更改。在某些情况下，可能需要较低的MTU以确保数据包的大小适合Internet连接。
MSS: MSS通常可以留空，但可以在必要时进行更改。该字段启用MSS钳位，从而确保TCP数据包大小对于特定Internet连接保持足够小。

WAN通用配置

静态IP配置: 如果WAN类型选择了“静态”，则必须全部填写IP地址、子网掩码和上游网关。

静态IP设置

DHCP主机名: 仅少数ISP要求填写该此字段。该值与DHCP请求一起发送来获得WAN IP地址。如果该字段的值未知，请尝试将其留为空白，除非ISP另有要求。

DHCP主机名设置

PPPoE配置: 当WAN类型选择为PPPoE时，至少需要PPPoE用户名和PPPoE密码字段。这些字段的值由ISP确定。
- PPPoE用户名: PPPoE认证的登录名。该格式由ISP控制，但通常使用电子邮件地址样式，例如 username@isp.com。
- PPPoE密码: 登录到上述用户名指定的帐户的密码。默认情况下，密码被屏蔽。要查看输入的密码，请选中显示密码字符。
- PPPoE服务名称: ISP可能需要PPPoE服务名称，但是通常将其留空。如有疑问，请将其留空或与ISP联系，询问是否有必要。
- PPPoE按需拨号: 使pfSense断开连接/离线，直到请求了需要连接到Internet的数据为止。PPPoE登录发生得非常快，因此在大多数情况下，建立连接时的延迟可以忽略不计。如果公共服务托管在该防火墙后面，请不要选中此选项，因为在这种情况下必须尽可能保持在线连接。另外要注意，此选择不会删除现有连接。
- PPPoE空闲超时: 指定断开连接前pfSense使PPPoE连接保持不发送数据的时间。仅当与按需拨号结合使用时，此功能才有用，并且通常留空(禁用)。
  注意：此选项还需要停用网关监控，否则连接将永远不会空闲。

PPPoE配置

PPTP配置: PPTP(点对点隧道协议)WAN类型适用于需要PPTP登录的ISP，而不是用于连接到远程PPTP VPN。这些设置与PPPoE设置非常相似，将由ISP提供。还有一些其他选项：
- 本地IP地址: 该防火墙用来建立PPTP连接的本地(通常是私有)地址。
- CIDR子网掩码: 本地地址的子网掩码。
- 远端IP地址: PPTP服务器地址，通常与本地IP地址在同一子网内。

PPTP WAN配置

阻止RFC 1918私有网络: 阻止试图登录WAN接口的，来自注册私有网络(如192.168.x.x和10.x.x.x)的连接。
阻止Bogon网络: 处于活动状态时，如果防火墙来自不应使用的保留IP空间或未分配IP空间，则它将阻止流量进入。Bogon网络列表会在后台定期更新，不需要手动维护。

填写完WAN设置后，单击下一步继续。

内置入口过滤

局域网接口配置

该页面配置LAN IP地址和子网掩码。如果该防火墙无法通过VPN连接到任何其他网络，192.168.1.0/24可以为默认网络。如果此网络必须连接到另一个网络(包括通过远程位置的VPN进行连接)，请选择一个私有IP地址范围，该范围比常见的默认IP地址模糊得多192.168.1.0/24。172.16.0.0/12 RFC 1918专用地址块中的IP空间通常是最不常用的，因此请在两者之间进行选择172.16.x.x ，172.31.x.x来帮助避免造成VPN连接困难。

如果LAN 192.168.1.x使用无线客户端，并且远程客户端使用无线热点 192.168.1.x（非常常见），则客户端将无法通过VPN进行通信。在这种情况下，192.168.1.x热点是客户端的本地网络，而不是VPN上的远程网络。

如果必须更改LAN IP地址，请在此处输入。如果更改了这些设置，则通过局域网连接的用于完成向导的计算机的IP地址也必须更改。完成配置向导后，释放/更新DHCP租约，或在网络接口上执行“修复”或“诊断”。

LAN配置

单击下一步继续。

设置管理员密码
接下来，更改WebGUI的管理密码。最佳做法是使用安全可靠的密码。在管理员密码和确认栏中输入密码，确保正确输入。单击下一步继续。

注意：不要将密码设置为默认值 pfsense。如果通过WebGUI或SSH访问防火墙管理的访问暴露给Internet，如果防火墙仍使用默认密码，则很容易受到威胁。

更改管理员密码

完成配置向导

单击重新加载，然后WebGUI将应用向导中的设置并重新加载向导更改的服务。

提示：如果在向导中更改了LAN IP地址，并且该向导是从LAN运行的，请在单击重新加载之后相应地调整客户端计算机的IP地址。当提示您再次登录时，输入新密码。用户名保持为 admin。

重新加载pfSense WebGUI

此时，防火墙将具有通过WAN与Internet的基本连接，而LAN端的客户端将可以通过此防火墙访问Internet站点。

如果在任何时候必须重复此初始配置，请从WebGUI的“系统>配置向导重新访问该向导。

更改显示的语言

默认WebGUI显示的语言为英文，已建议官方在配置向导中增加语言选择，但目前还没有实现。要更改显示的语言，请导航至System →General Setup→Localization→Language，选中简体中文，保存即可。

接口配置

pfSense®接口配置可以在控制台和配置向导启动时进行，但是在初始设置后，也可以通过访问网络接口菜单来进行更改。

接口管理

初始设置后要添加其他接口可以通过访问网络接口>接口管理来进行。该页面允许分配和创建不同类型的接口。

接口管理选项卡显示了所有当前分配的接口的列表：WAN、LAN和在防火墙上配置的所有OPTx条目。每个接口旁边是系统上找到的所有网络接口/端口的下拉列表。该列表包括硬件接口以及VLAN接口和其他虚拟接口类型。MAC地址、VLAN标识或其他标识信息会在接口名称旁边显示，以帮助标识。其他选项卡与VLAN选项卡非常相似，可用于创建其他接口，然后可以对其进行分配。

要将现有接口分配更改为另一个网络端口，请执行以下操作：

导航到网络接口>接口管理
在列表中找到要更改的接口
从该接口行的下拉列表中选择新的网络端口
点击保存

要从未使用的网络端口列表中添加新接口，请执行以下操作：

导航到网络接口>接口管理
从标记为可用网络端口的下拉列表中选择要使用的端口
点击“ ”添加

此操作将添加另一行，新OPT接口的编号要高于任何现有OPT接口的编号，或者如果这是第一个则附加接口名称为OPT1。

接口配置基础

通过从网络接口菜单下选择对应条目来配置接口。例如，要配置WAN接口，请选择网络接口>WAN。在网络接口>WAN下的所有选项都与“配置向导”的“WAN”部分中提到的选项相同。

每个接口都以相同的方式配置，并且任何接口都可以配置为任意接口类型(静态、DHCP、PPPoE等)。另外，可以在任意接口上执行私有网络和Bogon网络的阻止。每个接口(包括WAN和LAN)都可以重命名为自定义名称。此外，只要保持启用至少一个接口，就可以根据需要启用和禁用每个接口。

IPv4的配置类型可以设置为静态IPv4，DHCP， PPPoE，PPP，PPTP，L2TP，或None，而无需IPv4地址。使用静态IPv4时，可以设置IPv4地址、子网掩码和 IPv4上游网关。如果选择了其他选项当中之一，则出现特定于该类型的字段来配置每种类型。

可以将“ IPv6配置类型”设置为静态IPv6，DHCP6，SLAAC，6rd隧道，6to4隧道，跟踪接口或设置为None以使接口上未配置IPv6。选择“静态IPv6”时，填写IPv6地址、前缀长度和IPv6上游网关。

如果是无线接口，则该页面将包含许多其他选项来配置接口的无线部分。

注意：从下拉列表中选择一个网关，或添加一个新网关并选中它，pfSense将该接口视为NAT和相关功能的WAN类型接口。这对于内部接口(例如LAN或DMZ)则是不期望看到的。但仍可以在那些接口上将网关用于静态路由和其他目的，而无需在接口页面上选择网关。

在GUI中管理列表

pfSense®WebGUI具有一组通用的图标，用于管理整个防火墙中的对象列表和对象集合。并非在每个页面中都使用了每个图标，但是根据其所处的上下文，它们的含义是一致的。此类列表的示例包括防火墙规则，NAT规则，IPsec，OpenVPN和证书。

将新项目添加到列表
将项目添加到列表的开头
将项目添加到列表的末尾
编辑现有项目
复制一个项目(根据所选项目创建一个新项目)
禁用活动项目
启用禁用的项目
删除项目
选择一个或多个项目后用于移动条目。单击则将所选项目移动到此行上方。按住Shift键并单击则将所选项目移动到该行下方。

提示：要确定图标将执行的操作，请将鼠标指针悬停在图标上，然后就会显示图标的简短说明。

使用快捷键快速浏览GUI

GUI的许多区域在该区域中都存在快捷方式图标。这些快捷方式图标减少了查找相关页面所需的搜索量，从而使防火墙管理员可以在服务的状态页面、日志和配置之间快速导航。给定主题的快捷方式出现在与该主题相关的每个页面上。

快捷方式栏示例

在上图中，快捷方式具有以下效果：

启动服务：如果服务已停止，则此图标将启动服务。
重新启动服务：如果服务正在运行，则此图标将重新启动服务。
停止服务：如果服务正在运行，则此图标将停止服务。
相关设定：出现此图标时，它将导航到该部分的设置页面。
状态页链接：如果存在，则指向此部分状态页的链接。
日志页面链接：如果此部分具有相关的日志页面，则此图标链接到该页面。
帮助链接：加载此页面的相关帮助主题。

“服务状态”页面（状态>系统服务）还有用于与每个服务相关的页面的快捷控件，如下图所示。图标的含义与上一节中的含义相同。

服务状态快捷方式

常规设置

系统>常规设置包含用于设置pfSense®和GUI的基本配置项目的选项。在配置向导中也可以找到其中一些选项。

系统常规设置

主机名: 该主机名这个防火墙的短名称，例如 firewall1，hq-fw或site1。名称必须以字母开头，并且只能包含字母，数字或连字符。
域: 输入该防火墙的域名，例如example.com。如果该网络没有域，请使用.localdomain，其中 <youridentifier>是另一个标识符：公司名称，姓氏，昵称等。例如，company.localdomain

主机名和域名相结合，构成了这个防火墙的完全限定域名(FQDN)。例如，如果主机名是fw1 ，而域是example.com，则FQDN是fw1.example.com。

DNS服务器设置

本节中的选项控制防火墙如何使用DNS解析主机名。

DNS服务器1-4地址: 如果需要，并且已知DNS服务器的IP地址，则可以填写地址。
如果DNS解析器将使用其默认设置保持活动状态，则这些DNS服务器可以保留为空白。默认的pfSense配置使DNS解析器在解析器模式(不是转发模式)下处于活动状态。以此方式设置时，DNS解析器不需要转发DNS服务器，因为它将直接与根DNS服务器和其他权威DNS服务器通信。要强制防火墙使用这些配置的DNS服务器，请在DNS解析器中启用转发模式或使用DNS转发器。
如果此防火墙具有动态WAN类型，例如DHCP，PPTP或PPPoE，则它们会由ISP自动分配，可以保留为空白。
DNS服务器1-4网关: 除了DNS的IP地址，该页面还提供了一种设置用于访问每个DNS服务器网关的方法。这在多WAN方案中特别有用，在一般情况下，应该为每个WAN至少配置一个DNS服务器。
DNS服务器覆盖: 选中后，动态WAN ISP可以提供覆盖手动设置的DNS服务器。要强制仅使用手动配置的DNS服务器，请取消选中此选项。
禁用DNS转发器: 默认情况下，pfSense将查询在此防火墙上运行的DNS解析器或DNS转发器，以为其自身解析主机名。它通过将localhost（127.0.0.1）列为内部第一个DNS服务器来实现此目的。激活此选项将禁用此行为，从而迫使防火墙使用上面配置的DNS服务器而不是其本身。

本地设置

本节中的选项控制防火墙的时钟显示和语言。

时区: 选择与该防火墙的位置最匹配的地理区域或通用区域（例如UTC）。防火墙时钟，日志条目和防火墙的其他区域将其时间基于此区域。更改区域可能需要重新启动才能完全激活防火墙的所有区域。
时间服务器: 网络时间协议(NTP)服务器主机名或IP地址。除非需要一台特定的NTP服务器，例如局域网上的一台，否则最佳做法是将时间服务器值保留为默认值 0.pfsense.pool.ntp.org。该值将从已知良好的NTP主机池中选择一个随机服务器。
要使用多个时间服务器，请将它们添加到同一栏中，并用空格将每个服务器分隔开。例如，要使用池中的三台NTP服务器，请输入：
```
0.pfsense.pool.ntp.org 1.pfsense.pool.ntp.org 2.pfsense.pool.ntp.org
```
此编号特定于.pool.ntp.org操作方式，并确保每个地址都从唯一的NTP服务器池中提取，因此同一服务器不会被使用两次。
语言: 除了默认的英语语言外，pfSense GUI还被翻译成多种语言，包括由本人翻译的所有中文类型。

Web访问配置

本节中的选项控制GUI行为的各个方面。

主题：更改主题可控制GUI的外观。基本系统中包含几个主题，它们仅对WebGUI进行外观上的修改，而不对功能进行功能上的修改。
顶部导航 ：此选项控制每页顶部菜单栏的行为。有两种可能的选择：
- 滚动页面: 默认行为。滚动页面时，导航将保持在页面顶部，因此向下滚动时将不再可见，因为它会滚动离开窗口顶部。对于大多数情况，这是最佳选择。
- 固定: 选中后，导航将保持固定在窗口顶部，始终可见并且可以使用。
菜单上的主机名：设置后，防火墙的主机名或完全限定域名将包含在菜单栏中，以供参考。这有助于维护多个防火墙，从而更容易区分它们而无需查看浏览器标题或标签文本。
仪表大厅列数：默认情况下为2列。在更宽的显示器上，可以添加更多列以更好地利用水平屏幕空间。最大列数为4。
部件显示/隐藏：pfSense GUI的一些区域包含具有设置的可折叠部件。这些部件占用额外的屏幕空间，因此默认情况下处于隐藏状态。对于经常使用部件的防火墙管理员，这可能会很慢且效率低下，因此该组中的选项允许部件默认显示而不是隐藏。
左列标签：选中后，左列中的选项标签将设置为单击时切换选项。如果习惯了防火墙操作，这会很方便，但是在移动设备上或在意外情况下也可能会出现问题。
仪表板更新周期：控制仪表板数据的更新间隔。许多小部件使用AJAX动态更新。加载了许多小部件后，较短的更新间隔会导致防火墙产生较高的负载，具体数值取决于所使用的硬件。

高级配置

系统>高级选项包含众多高级设置。这些选项中很少有需要针对基本路由/ NAT部署进行调整的，这些选项帮助自定义防火墙配置，以适应更复杂的环境。

管理员访问

管理访问权选项卡上的选项控制着各种管理防火墙的方法，包括通过Web界面、SSH、串行和物理控制台管理防火墙。

高级选项-管理员访问

WebGUI

协议: WebGUI协议可以设置为HTTP或HTTPS。通常使用HTTPS，以便对往返WebGUI的通信进行加密。
SSL证书: 如果选择了HTTPS，则还必须从SSL证书下拉列表中选择一个证书。默认证书是自动生成的自签名证书。这不是理想的情况，但是比没有加密要更好。
提示：要使用外部签名的SSL证书和密钥，请使用证书管理器导入它们，然后在此处选择证书。
使用自定义的自生成证书的主要弊端是缺乏对主机身份的保护，因为该证书不是由浏览器信任的证书颁发机构签名的。此外，由于对于大多数Internet用户来说，这种无效的证书总被视为一种风险，因此主流浏览器会严格处理。
TCP端口: 出于安全考虑，某些管理员倾向于将WebGUI移至备用端口，以提高访问的安全性。将GUI移至另一个端口将释放标准Web端口，以与端口转发或其他服务(例如HAproxy)一起使用。默认情况下，WebGUI在端口443上使用HTTPS，并从端口80进行重定向，以实现最佳兼容性并简化初始配置。要更改默认端口，请在TCP端口字段中输入新的端口号。
并发登录: 如果多个管理员同时查看GUI，并且页面加载时间太长或无法加载，可以增加并发登录的数值。默认为2，允许两个登录进程。
WebGUI重定向: 默认情况下，为了便于访问和兼容，防火墙在端口80上运行重定向，如果浏览器尝试使用HTTP访问防火墙，则防火墙将接受请求，然后将浏览器重定向到端口443上的HTTPS。可以选中该选项来禁用。禁用重定向还允许另一个守护程序绑定到端口80。
WebGUI登录自动完成: 为了方便起见，登录表单允许自动完成，因此浏览器可以保存登录凭据。在高安全性环境中，此行为是不可接受的。这仅控制登录表单上的自动完成功能。
WebGUI登录消息: 成功登录后会在控制台上发送一条消息，在某些硬件上，这些控制台消息会导致设备发出“哔”的声音。要停止此类日志消息(以及发出的哔声)，请禁用该选项。
防锁设置: 由于使用了反锁定规则，因此无论用户如何定义过滤规则，默认情况下都允许访问LAN接口上的WebGUI端口和SSH端口。当存在两个或多个接口时，防锁定规则在LAN接口上处于活动状态；如果仅配置一个接口，则防锁定规则将在该接口上处于活动状态。
注意：启用此选项之前，必须存在过滤规则以允许GUI访问！如果LAN规则不允许访问GUI，则删除反锁定规则将阻止对GUI的访问，从而可能使管理员无法访问防火墙。
DNS重绑检查: 防火墙默认会阻止来自已配置DNS服务器的专用IP地址响应，以防止DNS重新绑定攻击。如果禁用了DNS重新绑定保护，则它会干扰webConfigurator访问或域名解析。
HTTP_REFERER检查: GUI在访问引用URL时会对其进行检查，以防止另一个站点上的表单向防火墙提交请求，并在管理员不打算这样做时更改选项。这也破坏了一些理想的便利行为，例如具有链接到各种防火墙设备的页面。要禁用此行为，请选中该选项。
备用主机名: 要使DNS重新绑定检查和HTTP_REFERER检查保持活动状态，但要稍微控制其行为，请在该栏中填写备用主机名。默认情况下，系统将允许访问防火墙上配置的主机名和防火墙上配置的所有IP地址。在此字段中添加主机名将允许这些主机名用于GUI访问和引用URL的目的。
中间人攻击/警告: 如果浏览器尝试使用未在防火墙上配置的IP地址(例如从另一个防火墙转发的端口)访问GUI，则会显示一条消息，表明中间人(MITM)攻击可能会损害对防火墙的访问。
浏览器标签: 默认情况下，防火墙GUI在页面/选项卡标题中首先显示防火墙主机名，然后是页面名称。要解决此问题并首先显示页面名称，然后显示主机名称，请选中该选项。

安全SHELL（SSH）
可以启用安全Shell(SSH)服务器，该服务器允许远程访问控制台和文件管理。用户可以通过任意标准SSH客户端进行连接。

启用安全Shell: 要启用SSH守护程序，请选中启用安全Shell。启用此选项保存后，如果尚不存在，则防火墙将生成SSH密钥，然后启动SSH守护程序。
认证方法: 可以将SSH配置为仅允许基于密钥的登录，而不允许密码。尽管需要做更多准备工作，但是基于密钥的登录是一种更为安全的做法。要强制基于密钥的身份验证，请选中禁用安全Shell密码登录。通过在用户管理中编辑用户来添加用于基于密钥登录的用户密钥。
SSH端口: 将SSH服务器移至备用端口可提供的安全性改进可忽略不计，只是释放了该端口供其他用途。要更改端口，请在SSH端口项输入新端口。

串行通讯
如果pfSense在没有监视器的硬件上运行，也未连接键盘和显卡，那么只要硬件具有串行端口(而USB)，就可以启用串行控制台来进行物理控制。

串口终端: 设置“串口终端”后，将在第一个串行端口上启用控制台。防火墙完成引导后，此控制台将接收内核引导消息和菜单。这不会禁用板载键盘和视频控制台。
串口速度: 默认的串行控制台速度为115200bps，几乎所有硬件都可以该速度正常工作。在极少数情况下，可能需要较低的速度。
主控制台: 在同时启用了串行控制台和VGA端口的硬件上， 主控制台选择器选择哪个是首选控制台，因此它将接收来自pfSense的启动日志消息。

控制台菜单
通常，控制台菜单始终显示在系统控制台上，并且只要有人可以实际访问控制台，该菜单就可以使用。在高安全性环境中，这不是希望的选项。此选项允许控制台受到密码保护。此处可以使用与WebGUI相同的用户名和密码。设置此选项后，必须重新启动防火墙才能生效。

防火墙/ NAT

高级选项-防火墙NAT

高级设置

IP不分段兼容性: 对于生成具有不分段(don‘t fragment ，简写为DF)位设置的分段数据包的操作系统，此选项是一种解决方法。启用此选项后，防火墙将不会丢弃这些格式错误的数据包，而是清除不分段位。
IP随机ID生成: 选中则防火墙会将数据包的IP标识字段替换为随机值，以补偿使用可预测值的操作系统。
防火墙优化选项: 优化模式控制防火墙如何使状态表条目失效：
- 正常: 标准优化算法，对于大多数环境来说是最佳的。
- 高延迟: 用于高延迟链接，例如卫星链接。闲置连接过期时间晚于默认设置。
- 野蛮: 更快地使空闲连接过期。更有效地使用CPU和内存，但可以比预期的时间早删除合法连接。
- 保守: 尝试避免删除任何合法连接，但要以增加内存使用量和CPU利用率为代价。
禁用防火墙: 选中后，该pfSense®防火墙变成了唯一的路由平台。这是通过完全禁用pf来完成的，因此，NAT也被禁用，因为它也由pf处理。
禁用防火墙清除: 设置后，将禁用pf中的清理选项。 pf中的清理操作可能会干扰NFS，在极少数情况下，也包括VoIP流量。
防火墙自适应超时: 当状态表快满时，自适应超时控制pf中的状态处理。
- 自适应起始: 一旦状态表达到此级别（表示为多个状态），便开始自适应缩放。
- 自适应结束: 当状态表的大小达到此值（表示为多个状态表条目）时，所有超时值均假定为零，这将导致pf立即清除所有状态条目。
防火墙最大状态: 这是防火墙可以在其状态表中保留的最大连接数。默认大小基于总RAM的10％计算。
防火墙最大表条目: 定义防火墙用于地址集合的地址表中可以存在的最大条目数。默认为200,000个条目。
防火墙最大分片条目: 启用清理功能后，防火墙会维护一个数据包碎片表，等待重组。默认情况下，该表可以容纳5000个片段。
静态路由过滤: 如果防火墙有一个或多个静态路由定义。如果启用此选项，防火墙将不会检查通过同一接口进出的流量。
禁止自动添加VPN规则: 默认情况下，启用IPsec后，防火墙规则会自动添加到适当的接口，这将允许建立隧道。选中该选项，则防火墙不会自动添加这些规则。
禁用应答: 在多WAN配置中，防火墙具有有益的默认行为，可确保流量离开其到达的接口。在诸如桥接等特定情况下禁用此选项。
禁用否定规则: 在多WAN配置中，使用策略路由时，直接连接的网络和VPN网络的流量通常仍必须正确流动。在某些情况下，这些否定规则可能会使流量过度匹配，并允许超出预期的范围。
别名主机名解析间隔: 此选项控制filterdns守护程序解析和更新别名中的主机名的频率。默认情况下，这是300秒（5分钟）。
检查别名网址证书: 选中该选项，则防火墙将对URL表别名中使用的Web服务器要求有效的HTTPS证书。

Bogon网络
更新频率下拉列表控制这些列表的更新频率。

网络地址转换

端口转发NAT回流: 端口转发的NAT回流模式选项控制防火墙如何处理NAT回流。有三种可能的模式：
- 禁用: 默认值。
- 纯NAT: 此模式使用一组NAT规则将数据包定向到端口的目标转发。
- NAT 代理: 此模式使用帮助程序将数据包发送到端口的目标转发。
回流超时: 该设置会强制对在NAT 代理模式下的端口转发执行NAT回流时建立的连接超时。
1：1 NAT回流: 选中将添加其他回流规则，这些规则允许从内部网络访问外部IP地址的1：1映射。
自动出站NAT回流: 选中后会自动创建出站NAT规则，以协助回流规则将流量定向回原来的子网。
TFTP代理: 内置的TFTP代理将代理与防火墙外部的TFTP服务器的连接，以便可以与远程TFTP服务器建立客户端连接。

状态超时
允许对各种协议的状态超时进行微调。这些通常由防火墙自动处理。

网络设置

高级选项-网络设置

IPv6选项

允许IPv6: 如果取消选中，则将阻止所有IPv6通信。
IPv6 over IPv4隧道: 启用IPv6数据包的IPv4 NAT封装选项启用IP协议41 / RFC 2893转发。
在IPv6上优先使用IPv4: 设置后，防火墙本身在DNS查询返回两者的结果时，优先将流量发送到IPv4主机而不是IPv6主机。

网络接口

硬件校验和卸载: 选中后，将禁用网卡上的硬件校验和卸载。
硬件TCP分段卸载: 选中此选项将禁用硬件TCP分段卸载（TSO，TSO4，TSO6）。
硬件大量接收分载: 选中此选项将禁用硬件大容量接收卸载（LRO）。
抑制ARP消息: 当IP地址显示为切换到其他MAC地址时，防火墙在主系统日志中创建一个日志条目。如果网络环境包含正常运行时会生成这些消息的系统，则抑制错误可以使系统日志更加有用。

其他

高级选项-其他

代理支持
如果此防火墙位于需要代理来进行出站Internet访问的网络中，请在本节中输入代理选项。

代理网址: 指定用于建立外部连接的代理的位置。
代理端口: 连接到代理URL时使用的端口。
代理用户名: 这是发送给代理身份验证的用户名。
代理密码: 这是与上一个选项中设置的用户名关联的密码。

负载平衡

粘性连接: 当设置pfSense®进行负载平衡时，连续的连接将以循环方式重定向到Web服务器或网关。当粘性连接处于活动状态时，将更改此行为，以便将来自同一源的连接发送到同一Web服务器或通过同一网关。
默认网关切换: 如果默认网关无法访问，则该选项允许其他非默认网关接管。

电源设置
选中时，powerd守护进程启动。该守护程序监视系统，并可以根据系统活动降低或提高CPU频率。

看门狗
某些防火墙硬件包括看门狗功能，当看门狗守护程序在指定的超时后不再与硬件接口连接时，该功能可以重置硬件。

启用看门狗: 选中后，将watchdogd守护程序运行。
看门狗超时: 以秒为单位，如果设备未能响应看门狗请求，设备将在此时间后重置。

加密和温度传感器

加密硬件: 有一些选项可用于通过硬件加速加密操作。
温度传感器: pfSense可以从几个来源读取温度数据并显示在仪表板上。

时间计划
该选项控制当计划的规则转换为会阻塞流量的状态时是否清除状态。

网关监控

网关故障时清除状态: 使用多WAN时，默认情况下，当网关进入关闭状态时，监视过程将不会刷新状态。
网关关闭时跳过规则: 默认情况下，当规则设置了特定的网关并且该网关已关闭时，该网关将从规则中省略，并且通过默认网关发送流量。该选项将覆盖此行为。

RAM磁盘设置
该/tmp和/var目录用于写入文件，并保存暂时的和易失性数据。使用RAM磁盘可以减少发生在防火墙磁盘上的写入量。

使用RAM磁盘: 选中后，将在引导时为/ tmp和/ var /创建一个内存磁盘。
RAM磁盘大小: 设置合适的RAM磁盘大小避免空间不足。

可调参数

系统 >高级选项下的可调参数选项卡提供了设置运行时FreeBSD系统可调项(也称为sysctl OID)的方法。

高级选项-可调参数

创建和编辑可调参数

参数：sysctl要设置的OID
参数值：设置的值。
描述：可选说明，以供参考。

通知

pfSense®通过在菜单栏中显示警报图标来通知管理员重要事件和错误。pfSense还可以使用SMTP或Growl通过电子邮件远程发送这些通知。

高级选项-通知

SMTP电子邮件
电子邮件通知通过直接SMTP连接传递到邮件服务器。

电子邮件服务器: 通知将通过其发送的电子邮件服务器的主机名或IP地址。
SMTP端口: 与SMTP服务器通信时使用的端口。
安全连接: 设置后，防火墙将在发送电子邮件时尝试进行SSL / TLS连接。
发送E-MAIL: 邮件From: 标题的电子邮件地址。
接收E-MAIL: 邮件To:标题的电子邮件地址。
认证: 可选的认证用户名、密码和认证机制。

Growl
Growl提供了一种简便的方法来传达桌面通知。

注册名称: 防火墙将用于向Growl服务器注册的服务名称。
通知名称: 产生通知的系统的名称。
IP地址: 防火墙将Growl通知发送到的IP地址。
密码: Growl服务器所需的密码。

时间同步

时间和时钟问题在硬件上相对常见，但在防火墙上则很关键，尤其是如果防火墙执行的任务包括将证书作为PKI基础结构的一部分进行验证。

计时问题

硬件在保持时间方面可能会遇到重大问题，此类问题通常与硬件的质量有关。所有PC时钟都会发生一定程度的漂移，但NTP旨在定期更新系统时间以解决正常漂移。

网络时间协议

默认情况下，pfSense尝试使用ntp.org网络时间协议(NTP)服务器池同步其时间。确保NTP同步正常。阻止同步的最常见问题是防火墙上缺少正确的DNS配置。

BIOS更新

在Windows上运行良好的较旧的硬件一旦在FreeBSD上进行了重新部署，可能会遇到计时问题，可以通过进行BIOS更新解决该问题。

BIOS中的PNP OS设置

除非将BIOS中的PNP OS设置为No，否则某些硬件在FreeBSD中可能会出现计时困难。

禁用ACPI

在某些硬件上，ACPI支持处于活动状态时可能无法启动或正常运行。

调整计时器硬件设置

在罕见的系统上，可能需要更改kern.timecounter.hardware sysctl的值以更正不准确的时钟。可以在系统>高级选项>可调参数标签添加条目来设置它。

调整内核计时器频率

在极少数情况下，调整内核计时器频率或kern.hz内核可调参数可以帮助提高性能或稳定性。在虚拟环境中尤其如此。可以在/boot/loader.conf.local文件中添加新值。

GPS时间同步

为了帮助保持准确的时钟，pfSense还在支持的硬件上提供了GPS时间同步。

故障排除

配置向导和相关的配置任务在大多数情况下都可以使用，但是在使连接按预期的方向正常流动时可能会出现问题。

无法从LAN访问WebGUI

首先检查网线，请尝试更换一根网线。检查客户端PC上的TCP / IP配置。确保客户端和防火墙在同一子网。如果客户端可以ping但不能访问WebGUI，尝试从系统控制台重新启动WebGUI服务器进程。

无法访问互联网

如果客户端PC可以访问WebGUI，但不能访问Internet，需要检查WAN接口、DNS解析、防火墙规则、NAT规则等问题。

WAN接口问题

首先，检查WAN接口确保它可以运行。导航到状态>网络接口查看WAN接口状态。如果关闭，仔细检查网线和WAN设置。

DNS解析问题

从防火墙GUI和客户端PC尝试按名称ping网站www.google.com。如果IP ping测试正常，但域名测试失败，则DNS解析存在问题。检查DNS服务配置和防火墙规则是否阻止DNS。

客户端网关问题

客户端必须将pfSense防火墙设为其网关。

防火墙规则问题

检查状态>系统日志，防火墙选项卡查看是否有被阻止的连接，并调整LAN或OPT接口的规则。

NAT规则问题

确保出站NAT设置为自动出站NAT规则生成或其手动规则正确。

pfSense XML配置文件

pfSense®防火墙将所有设置存储在XML格式的配置文件中，该文件位于/cf/conf/config.xml。

手动编辑配置

仅通过手动编辑配置文件可以使用一些配置选项，但修改前请务必备份。编辑配置文件的最安全，最简单的方法是从系统诊断>备份恢复进行备份。对于熟悉vi编辑器的管理员，可以使用viconfig命令实时编辑正在运行的配置。