Sensei 是用于防火墙的插件，是下一代防火墙功能的补充。如果你正在运行 L4 防火墙（所有开放源防火墙都属于此类别），并且正在寻找诸如应用程序控制、网络分析和 TLS 检查之类的功能，那么 Sensei 就是你想要的产品。

Sensei 为你的防火墙提供以下支持：

应用控制
云应用程序控件（Web 2.0 控件）
高级网络分析
所有端口的完整 TLS 检查（对于每个 TCP 端口，而不仅仅是 HTTPS）
云威胁情报
加密威胁防护
网站过滤与安全
基于用户的过滤和报告
Active Directory 整合

2019年8月30日，OPNsense® 与 Sunny Valley Networks 合作，在其平台上提供下一代防火墙功能。在 OPNsense 中提供的版本是免费的，如果需要更多的功能，可以从 OPNsense网上商店或 SVN 合作伙伴购买高级订阅。

免费版与高级订阅版的区别：

Sensei免费版与高级订阅版功能对比

Sensei 可以使用 OPNsense 中的 Web 界面或通过 SSH 或直接系统访问的命令行界面来安装。首选方法是 Web 界面。安装 Sensei 后，可以在 Web 界面中完成初始配置。

要在 OPNsense 中安装插件，您必须使用具有管理访问权限的帐户。

注意： 在安装 Sensei 之前，您应确保满足最低系统要求，以运行 Sensei 或获得最佳用户体验。有关更多信息，请参见 Sensei：硬件要求。

Web 界面安装（首选方法）

要安装 Sensei，必须首先安装 Sunny Valley Networks 供应商存储库插件。转到 系统 ‣ 固件 ‣ 插件 页面。单击 os-sunnyvalley 旁边的 “+” 图标来安装插件。

安装Sunny Valley Networks供应商存储库插件

安装供应商插件后，就可以在插件列表中以 os-sensei 的形式看到 Sensei 插件。如果看不到插件，则可能需要刷新“插件”页面。单击 os-sensei 旁边的 “+” 图标来安装插件。

安装os-sensei插件

安装 Sensei 之后，就可以在 OPNsense Web 界面的左侧栏中看到 Sensei 菜单。如果没有看到新的顶层菜单，则可能需要刷新页面。

Sensei安装完成后的菜单

命令行安装（替代方法）

OPNsense 20.1 版本以前，命令行安装方法是安装 Sensei 的主要方法。对于直接访问 OPNsense 系统但更喜欢使用命令行工具或者可能仅通过 SSH 进行远程 Shell 访问以管理其 OPNsense 安装的用户，这个方法仍然可用。但是在安装完以后则需要使用 Web 界面来完成 Sensei 的初始配置。

提示： 当你直接访问 OPNsense 时，可以简单地使用“root”用户或另一个管理员帐户登录 OPNsense。应该看到 OPNsense 菜单选项的列表。

OPNsense直接系统访问菜单

如果你只具有 OPNsense 的 Shell 访问权限，则可以通过使用以下命令使用 SSH 客户端登录 OPNsense 来远程安装 Sensei，“root”是管理员帐户，“your-firewall-ip”是该防火墙 IP 地址或主机名。

$ ssh root@your-firewall-ip

通过SSH登录OPNsense

通过直接系统访问或 SSH 访问成功登录 OPNsense 后，输入选项“8”以打开 Shell。运行以下命令以下载并执行安装脚本。

# curl https://updates.sunnyvalley.io/getsensei | sh

通过命令行下载并执行安装脚本

该脚本会将安装文件复制到文件系统上，并在 OPNsense Web 界面中添加顶级菜单项。根据硬件和 Internet 连接的速度，安装可能需要几分钟才能完成。安装完成后，就可以断开与终端的会话。

初始配置向导

无论您采用哪种安装方式，都需要先经过初始配置向导，然后才能开始使用 Sensei。

要启动“初始配置向导”：

登录到您的 OPNsense Web 界面
单击左侧菜单中的 Sensei
单击仪表板子菜单来打开配置向导

1-最终用户许可协议

接受最终用户许可协议（滚动并阅读条款来转到下一个按钮）。

Sensei初始配置向导 - 最终用户许可协议

单击 我同意 按钮来继续 接口选择 部分。

2-硬件检查

将对你的防火墙硬件进行分析，以确保其满足最低要求。将会收到以下反馈：兼容硬件，低端硬件，不兼容硬件。如果硬件不兼容，则安装将不再继续。

兼容
硬件检查 - 兼容高端

低端
硬件检查 - 低端

不兼容
硬件检查 - 不兼容

单击 下一步 继续到 报告数据库 部分。

3-报告数据库

选择要用于报告的数据库。高端系统将具有 3 个选项，而低端系统仅具有 2 个选项。

警告： 如果要使用远程 ElasticSearch 数据库，则必须选择它，因为在完成初始配置向导后无法更改此数据库。

高端
报告数据库选择 - 高端

低端
报告数据库选择 - 低端

如果选择“使用远程 Elasticsearch 数据库”，则会提示你输入 URL、用户名和密码。

注意： 如果你具有 SOHO 或更高的 Sensei 付费订阅，应该在继续进行初始配置向导之前安装许可证密钥，因为这将激活一项功能，使你能够从单个 Elasticsearch 实例集中报告许多防火墙。否则，只能将单个远程 ES 实例与单个防火墙一起使用。

配置远程Elasticsearch数据库

如果选择了本地数据库，请单击 安装数据库并继续 按钮来安装本地数据库，然后继续执行 接口选择 部分。

4-接口选择

选择要保护的以太网接口。在这里，请单击一个接口，然后使用向右/向左箭头按钮将其移至“受保护/不受保护的接口”组合框。

接口选择 - 可用接口
接口选择 - 已受保护接口

单击 下一步 继续到 云信誉 部分。

5-云信誉

通过网络建立任何连接时，都会实时查询 Cloud Threat Intelligence 数据。这项功能使 Sensei 能够快速，实时地响应恶意软件和无线爆发。

Sensei 处理请求，并实时查询 Sunny Valley Network (SVN) Cloud，来决定是阻止还是允许它。Sensei 可以以毫秒为单位检查 120 多个类别下的 140 多个百万个网站。

Cloud Threat Intel 设置可让你：

启用/禁用“云信誉和 Web 分类”引擎
设置您希望从云查询中排除的本地域名
选择用于查询的最快的云信誉服务器

云信誉设置

单击 下一步 继续到 Sensei CLI 部分。

6-Sensei CLI（安全性）

设置你的 TCP 服务密码。此密码保护命令行对数据包引擎的访问。强烈建议使用非常安全的密码。默认密码为“Sensei1234”，因此请务必进行更改。

Sensei CLI密码设置

单击 下一步 以继续 更新和运行状况检查 部分。

7-更新与健康检查

注意： Sensei 使用 OPNsense 插件系统进行更新。你可以配置希望接收 Sensei 更新的方式。

自动检查更新： 自动检查更新并在 Sensei“状态”页面上进行通知。
自动更新数据库和威胁情报数据： 自动检查更新并在 Sensei“状态”页面上创建通知。
启用支持数据生成： 如果启用，Sensei 会在异常事件和崩溃期间收集支持数据。
最大交换利用率： 您可以指定系统内存不足时 Sensei 可以利用多少交换空间。建议不要将此值设置得太高。否则，系统性能可能会受到影响。
运行状况检查： 如果启用，“运行状况检查”将监视系统的内存、CPU、磁盘使用情况和核心服务（如果它们运行正常），并在出现任何问题时发出警报。如果“适当的服务”正在消耗过多的系统资源，它还将停止相应的服务。
帮助 Sunny Valley 改善其产品和服务： 如果启用，则将常规系统信息提交给 Sunny Valley，以帮助改善 Sensei 的未来发展。

更新与健康检查设置

单击 下一步 继续到 部署规模 部分。

8-部署规模

Sensei 在一台普通 PC 上最多可支持 1,000 个并发用户。你可以在本节中设置 Sensei 部署规模。

注意： 您可能会在 Sensei：硬件要求上看到有关建议的硬件的详细信息。

部署规模设置

单击 下一步 继续执行完成部分。

9-完成

如果您希望订阅 Sunny Valley 电子邮件列表以了解最新消息，则可以输入电子邮件地址。

完成初始配置

单击完成按钮来保存初始配置数据并开始使用 Sensei。

安装视频