PfSense安装和配置：面向企业的高级防火墙|英特尔®开发人员专区Telgram.cn

pfSense是使用最广泛的火墙面向专业级别的面向操作系统的操作系统，无论是在具有高级用户的家庭环境中，还是在中小型公司中，都可以正确地对其网络进行分段并提供数百种服务。 pfSense基于流行的FreeBSD操作系统，因此，我们将保证它是一个稳定，强大的操作系统，并且最重要的是，非常安全。与其他防火墙不同，pfSense具有真正完整且非常直观的图形界面，因为我们将简要介绍要配置的每个参数。今天，在本文中，我们将解释有关pfSense的所有内容，以及如何将其安装在具有两个网卡（一个用于WAN，一个用于LAN）的任何计算机上。

pfSense的 是一个消耗很少资源的操作系统，但是，根据用途，要传输数据的用户以及我们安装的服务，我们将需要拥有更多或更少的资源中央处理器权力和内存内存大小。该操作系统几乎可以安装在任何当前的计算机上，但是从逻辑上讲，我们将获得的性能将取决于硬件，并且对防火墙本身进行的配置也会发生同样的情况。对于pfSense而言，最关键的是识别以太网网卡，为避免出现问题，最推荐的方法是英特尔，但也有许多其他制造商也兼容，但是首先建议在pfSense官方论坛上阅读。

PfSense

Contents [show]

主要特点
- 防火墙和IDS / IPS
- VPN
- 其他功能
下载并安装pfSense
- VMware中的虚拟机配置
- 在VMware上安装pfSense
PfSense配置向导
PfSense管理选项
- 系统
- 接口
- 防火墙
- 服务
- VPN
- 状态
- 诊断

主要特点

pfSense操作系统的主要目标是为家庭和商业环境提供安全性，该设备充当防火墙，但由于我们有数百种高级配置选项，因此我们也可以将其用作主要路由器。由于可以安装其他软件，因此我们可以拥有功能强大的IDS / IPS（入侵检测和防御系统），例如Snort或Suricata。要使用pfSense，必须具有两个网卡，一个用于Internet WAN，另一个用于LAN，尽管如果我们有更多的网卡（或带有多个端口的卡）要好得多，因为我们可以配置其他物理接口。 DMZ，其他网络等等。

支持pfSense的另一点是我们拥有的持续更新，包括基本操作系统以及我们可以额外安装的所有软件包。在暴露于Internet的防火墙/路由器中，进行更新对于避免可能发现的安全漏洞非常重要。

防火墙和IDS / IPS

pfSense照常使用基于规则的SPI（状态数据包检查）防火墙。我们可以以非常先进的方式快速过滤数据包，具体取决于硬件，我们可以实现大于10Gbps的带宽。得益于图形用户界面，我们可以创建“别名”来创建IP和端口组，以后再将其应用到规则中，这样，防火墙中就没有数百个规则，了解什么是非常重要的我们正在过滤并适当更新规则。当然，pfSense具有有关规则是否已执行以及操作系统中正在发生的一切的高级记录。

pfSense不仅具有强大的防火墙来缓解和/或阻止DoS和DDoS攻击，而且还具有先进的IDS / IPS，例如Snort和Suricata，我们可以通过可用的软件包轻松，快速地进行安装。在安装过程中，我们都将拥有一个图形用户界面来配置它们必须执行操作的不同界面，以及我们检测可能的攻击所必须遵循的所有规则。我们还可以检测到我们可以阻止的网络上的信息泄漏甚至可疑活动。当然，我们还可以实时查看操作系统的状态，甚至可以安装其他软件来查看高级图形报告并了解系统中发生的一切。

VPN

虚拟专用网络（VPN）通常放置在防火墙本身上，以免出现NAT和来自其他防火墙的过滤问题。有一个 VPN 服务器或VPN客户端将使我们能够通过Internet安全地互连远程位置，并且还可以在远程访问VPN模式下将不同的设备连接到本地网络。 pfSense结合了不同类型的VPN以完全适应用户的需求：

L2TP/IPsec
IPsec IKEv1和IKEv2，具有不同的身份验证类型，例如Mutual-PSK，Mutual-RSA甚至Xauth。
具有通过数字证书，用户凭据等进行身份验证的OpenVPN。
WireGuard

pfSense 2.5.0的亮点是整合了流行的 WireGuard VPN，既可以远程连接用户，又可以快速，轻松地建立站点到站点的隧道，这要归功于此新协议已集成到内核中，它将为我们带来出色的性能。

其他功能

pfSense包含了大量的服务，这些服务与路由器和其他专业防火墙相同或更多。例如，一些主要的附加功能是可以配置 DNS 带有DNS解析器的服务器，非常适合防火墙本身用来解析所有请求，我们还拥有完整的DHCP服务器，其中包含数十种高级选项； NTP服务器可将时间分配给不同的设备； WoL； QoS可区分不同设备的优先级； Traffic Shaper，与VLAN的兼容性，在一个或多个接口中配置不同VLAN的可能性，使用不同高级选项配置QinQ，Bridge和LAGG的可能性，我们还可以使用动态DNS服务器等等。我们绝对不能忘记，作为一个非常高级的操作系统，我们可以看到正在发生的一切的完整记录，并且甚至可以通过以下方式获得通知：邮箱地址或电报了解发生的一切。

最重要的功能之一是可以安装其他软件包来具有更多功能，这要归功于此附加软件，我们将能够扩展此专业防火墙的功能。一些最受欢迎的扩展是：

arpwatch通过电子邮件或电报通知我们哪些新设备已连接
带宽查看带宽利用率图
freeradius3可以安装RADIUS身份验证服务器，非常适合配置WiFi AP并具有WPA2 / WPA3-Enterprise
iperf用来测量与pfSense之间的带宽
nmap执行端口扫描
pfBlocker-ng阻止所有广告，以及恶意域和IP地址
Snort和Suricata：两种出色的IDS / IPS，它们不是默认设置，但可以安装
平衡剂Haproxy
鱿鱼挂载代理服务器。
监控UPS系统的螺母
Zabbix代理，可轻松集成到监视系统中
Zeek（前兄弟IDS）

pfSense在x86架构上工作，与最新的64位CPU兼容，此外，它可以安装在几乎任何云平台（例如Amazon）上云端技术，Azure等，此外，我们必须牢记，今天我们可以从制造商Netgate购买设备，这些设备已经预装了pfSense，并且具有面向专业领域的设备。

下载并安装pfSense

pfSense CE的下载和使用是完全免费的，只需转到官方网站并直接转到“下载”选项卡即可。

单击“下载”后，我们将看到一个部分，供您选择要选择的体系结构，我们选择AMD64。

我们还必须选择图像类型，如果要将ISO图像复制到DVD或Pendrive或直接复制到USB图像，则必须选择ISO DVD图像。接下来，我们必须选择从何处下载服务器，建议它在物理上始终离您当前位置最近。

下载映像后，由于它是iso.gz格式，因此必须解压缩该映像，并且必须直接提取ISO映像。

下载完成后，我们可以将其刻录到CD上，然后使用以下命令将其复制到可启动USB中：鲁弗斯在本例中，我们将在VMware中将pfSense安装在虚拟机中，以便您可以看到如何以虚拟方式安装pfSense并在受控测试环境中对其进行测试，然后再将其移至生产环境。在本教程中，您将了解如何创建两个网卡，一个以桥接模式连接到真正的本地网络，另一个以仅主机模式创建，以便能够从我们的计算机通过Web进行访问，而无需依赖于本地网络。

VMware中的虚拟机配置

在我们的案例中，我们将使用VMware Workstation 15.5 PRO，但是可以使用任何版本来安装此面向防火墙的操作系统。打开VMware时，我们要做的第一件事是单击“创建新的虚拟机”，如以下屏幕所示：

在VM配置向导中，我们将不得不选择“ Typical”创建，加载pfSense的ISO映像，它将自动识别内部识别的操作系统是FreeBSD 10（尽管它实际上是最新版本），我们继续进行向导在选择一个VM路径之前，我们将为虚拟机保留的磁盘保留为20GB，最后，我们将看到要创建的该虚拟机具有的所有硬件的摘要。

完成之前，我们必须单击“ 定制硬件 ”将RAM增加到4GB，增加CPU核心数，并添加额外的网卡，并正确配置网卡。

无论CPU和内核的数量（我们建议1个CPU和4个内核）和RAM（建议最小4GB）如何，我们都必须添加第二个网卡，因为我们将拥有Internet WAN和LAN。我们点击“添加”，然后点击“商业网络适配器”添加它。我们还可以添加其他卡，以在防火墙级别具有更多配置选项，但是从WAN和LAN开始就可以了。

一旦添加了两个，就必须按如下所示配置它们：

适配器1：桥接（自动）
适配器2：自定义VMnet1（仅限主机）

接下来，您将看到此配置的外观。

为了通过Web访问操作系统管理，必须配置VMnet1适配器。为此，我们转到“ 控制面板/网络和共享中心/更改适配器设置 ”，然后将IP地址更改为适配器VMware Network Adapter VMnet1，将IP 192.168.1.2/24如下所示。完成后，单击接受并接受以退出配置菜单。

在虚拟机级别配置完所有内容后，就可以运行虚拟机开始安装。

在VMware上安装pfSense

当启动虚拟机时，我们会看到一个带有多个启动选项的菜单，我们不应该触摸任何东西并等待数秒的时间过去。稍后它将加载，我们将能够看到ISO映像为pfSense的安装提供的不同选项。

一旦开始安装此操作系统，即表示您接受其显示给我们的版权。在以下菜单中，我们可以安装，在发生灾难性故障时恢复操作系统，还可以从以前的安装中恢复配置文件config.xml。我们将单击“安装”以从头开始安装操作系统。在下一个菜单中，我们将必须配置键盘，选择我们的语言和键盘布局。

然后，它将询问我们如何安装操作系统（如果使用用于BIOS或UEFI的UFS，对于专家手动安装，打开控制台以手动完成所有操作或使用ZFS作为文件系统）。在本例中，我们首先选择了自动（UFS）BIOS，然后继续进行安装。安装过程大约需要一分钟，尽管它取决于您所拥有的硬件，但安装完成后会询问我们是否要启动控制台以进行特定配置，请单击“否”，然后询问我们是否我们想重新启动操作系统，我们接受。

再次启动pfSense时，我们可以看到一个IP已正确分配给Internet WAN，另一个IP已正确分配给LAN。

在控制台的管理菜单中，我们可以执行以下操作：

注销到SSH
将物理接口分配给WAN或LAN，它还允许您为Internet连接甚至LAN配置VLAN。
配置先前配置的不同接口的IP地址
重置管理员密码以通过网络输入
将pfSense恢复为出厂设置
重新启动操作系统
关闭操作系统
ping主机
启动控制台以执行基于命令的高级管理任务
启动pfTop以查看所有当前连接
查看过滤的操作系统日志
重新启动Web服务器
使用pfSense实用程序启动控制台以进行快速设置
从控制台更新
在操作系统中启用SSH
恢复最近的配置
如果我们无法通过Web访问操作系统，请重新启动PHP-FPM。

如果您想通过控制台配置物理接口，那么在通过Web登录之前，我们可以轻松地做到这一点，甚至分配相应的VLAN：

当然，我们必须从头开始进行配置，将相应的接口分配给WAN和LAN：

最后，我们可以在WAN和LAN上的IP级别上配置接口。但是，此配置非常基础，您可以通过网络查看所有可用选项。

届时，我们将能够通过https://192.168.1.1使用用户名“ admin”和密码“ pfsense”通过Web访问pfSense配置。

PfSense配置向导

为了能够通过网络访问pfSense操作系统，我们必须输入URL https://192.168.1.1，其用户名为“ admin”，密码为“ pfsense”，HTTPS的默认端口为443，这不是必需的。使用特定的端口。

一旦我们接受了pfSense的自签名SSL / TLS证书，我们将看到登录菜单，如您在此处看到的：

pfSense将为我们提供逐步的安装向导，以执行主要的网络配置。我们可以选择不执行此操作，但是如果是第一次使用它，建议您遵循它。

我们将在此向导中看到的第一件事是欢迎，然后它表示我们可以购买Netgate支持订阅来帮助我们进行不同的配置，我们必须记住，几年前Netgate是由pfSense制作的，可以继续开发它，两者都是为了他们自己的团队以及社区。在2.5.0版中，我们将在两个项目之间进行划分，每次它们将分叉更多时（pfSense CE与pfSense Plus）。

接下来，如果我们要放置其他非运营商的名称，则可以查看和配置主机，域和DNS服务器的名称。我们还可以配置NTP服务器以同步时间，甚至是时区。该pfSense向导将帮助我们配置Internet WAN接口，我们有四种可能的配置：静态，DHCP，PPPoE和PPTP，此外，它为需要它的运营商提供VLAN ID。在此菜单中，我们可以克隆MAC，配置MTU和MSS，根据连接类型进行特定配置，甚至可以将自动规则合并到防火墙中以避免对网络的攻击。

我们还可以配置LAN接口，默认情况下我们使用192.168.1.1，但是我们可以选择所需的接口，此外，我们还可以配置子网掩码。另一个非常重要的选项是更改默认密码，pfSense将邀请我们对其进行更改以使其受到保护。更改后，单击“重新加载”以继续配置向导并完成配置向导，这将给我们带来的祝贺，我们可以开始以高级方式配置此完整的防火墙。

一旦详细了解了Web配置向导，我们将完全输入其所有配置选项。

PfSense管理选项

在pfSense的主菜单中，我们可以查看系统信息，pfSense的名称，已登录的用户，系统，使用的硬件，甚至是pfSense的确切版本以及基本操作系统（FreeBSD）的版本。，我们还可以查看正常运行时间，当前时间，DNS服务器以及存储，CPU和RAM的状态。当然，在右侧，我们将看到已配置的网络接口的状态。

该主菜单非常可配置，以使pfSense的所有状态一目了然，我们可以添加小部件，例如网络接口的实际状态，OpenVPN和IPsec，防火墙日志等。该菜单可高度自定义，以适应网络需求并立即查看所有内容。

看到主菜单后，我们将逐部分查看pfSense操作系统，而无需在所有配置中进行过多详细介绍，因为我们有成百上千种可能性。

系统

在“系统”部分，我们可以配置pfSense自己的Web服务器，激活HTTPS和SSH协议，详细配置访问安全性和登录保护。我们还可以配置防火墙和NAT的全局参数，也可以在网络级别（IPv6和网络接口）配置全局参数，一个重要的细节是，如果硬件支持，我们可以激活或取消激活“卸载”以提高性能。。其他配置选项是配置代理，负载平衡和节能功能。最后，我们可以在较低级别上配置基本操作系统参数，并通过电子邮件和电报配置通知（最新pfSense 2.5版本中的新颖性）。

在《系统》的这一部分中，我们还将有一个数字证书管理器，我们可以轻松，快速地创建CA以及服务器和客户端证书，目的是以后在诸如IPsec或OpenVPN的VPN服务器以及我们可以作为选项安装的服务器RADIUS Freeradius。该证书管理器将使我们能够基于RSA以及具有不同算法的EC创建证书。

在“常规设置”部分中，我们可以更改计算机的名称，域，要配置的DNS服务器，以便客户端以后可以使用它们，位置（时区和NTP服务器），还可以配置外观。 pfSense的主题不同。最后一部分很有趣，可以使用深色pfSense或直接使用我们更喜欢的其他主题来修改图形用户界面。我们还可以将HA配置为具有高可用性，甚至可以安装大量附加软件，因为我们将在“包管理器”部分中使用大量插件来扩展pfSense的功能。

在“路由”部分中，我们可以看到注册了不同的网关，可以配置静态路由以到达其他网络，甚至创建一组网关。

pfSense允许通过操作系统本身进行更新，一旦它检测到有新版本，我们就可以通过图形用户界面进行更新，而无需下载ISO映像并手动执行更新。

作为一个非常完整的操作系统，我们可以创建具有不同权限的不同用户和组。例如，我们可以创建本地用户列表，以通过系统中的SSH进行身份验证，或使用特定的VPN。我们还可以使用RADIUS或LDAP配置身份验证服务器，以利用我们拥有的那些用户。

看到“系统”部分后，我们将转到“接口”以查看我们可以做的所有事情。

接口

在“接口”部分中，我们可以看到WAN和LAN具有不同物理接口的分配，从这里我们可以轻松配置不同的物理和逻辑接口，因为我们可以配置VLAN，然后将其分配给虚拟接口。我们可以做的其他配置选项是创建接口组，配置无线网络，QinQ，PPP，GIF，网桥或网桥，我们甚至可以创建具有不同算法（LACP，故障转移，LoadBalance和Roundrobin）的LAGG。

假设我们的运营商利用VLAN ID 6为我们提供Internet，因为这是WAN的当前配置不起作用。我们必须创建一个VLAN ID 6，然后将其应用于Internet WAN。如果在专业的本地网络中我们有不同的VLAN，并且我们想在它们之间进行互通，我们也可以使用pfSense来实现，注册不同的VLAN ID，然后创建“挂在” LAN上的虚拟接口。

如果进入WAN或LAN配置，则可以在之前看到的安装向导中看到已完成的配置。在WAN菜单中，我们将为连接使用不同类型的配置，IPv6也会发生同样的情况，甚至可以放入所需的MAC地址。除了配置DHCP客户端的高级参数外，我们还可以配置MTU和MSS。

关于LAN，通常的事情是在“静态IPv4”中进行配置，然后再激活DHCP服务器，当然，在这里，我们还必须为连接的客户端配置网关，即IP地址本身。

看到“接口”的所有配置选项后，我们将简要了解防火墙选项。

防火墙

在“防火墙”部分中，我们必须配置所有防火墙规则。在“别名”部分中，我们可以创建别名以将规则应用于一组IP地址，端口以及URL。这是使规则在防火墙中井井有条地组织的理想选择，具有一定顺序以具有最佳性能（顶部使用最多的规则，底部使用最少的规则）非常重要，此外，为了更正确地操作，应将更具体的规则放在顶部，将更一般的规则放在底部。

我们将可以在“端口转发”中配置NAT规则，我们还可以配置1：1 NAT，出站NAT规则，甚至是IPv6的NPt。在“规则”部分中，我们将在pfSense中的不同网络接口中创建不同的允许或拒绝规则。我们将通过图形用户界面创建这些规则，我们可以定义数十个高级参数并使用不同的协议，我们可以拖动以将规则从一个位置移动到另一个位置，甚至添加分隔符以帮助我们识别一组规则。

默认情况下，在pfSense中，我们在底部暗含一个“拒绝所有”，因此，要获得流量，您至少需要一个允许规则。

其他有趣的功能包括：可以轻松地在不同的界面中创建“浮动规则”，以使重复规则井井有条，甚至在特定时间处于活动状态的临时规则，以及可以将“虚拟IP”配置为使用。例如pfBlocker-ng。最后，我们还将在每个接口，每个队列中拥有“流量整形器”，我们可以配置带宽限制器，甚至运行配置向导。

服务

在“服务”部分，我们将提供pfSense默认提供的所有服务，甚至包括我们通过软件包管理器额外安装的服务。在本节中，我们可以找到一种工具，可以自动进行备份，配置pfSense的强制门户，为LAN配置DHCP和DHCPv6服务器。

DNS解析器是最著名的服务之一，它是pfSense本身的DNS服务器，我们可以使用TLS上的DNS进行配置，并且具有非常特定的客户端规则，我们可以进行高级配置，例如为以下应用定义不同的DNS服务器不同的规则。

本节中提供的其他服务包括动态DNS服务，IGMP代理，为不同计算机提供时间的NTP服务器，PPPoE服务器，SNMP协议以远程监视此防火墙，甚至是UPnP / NAT-PMP协议。要自动动态地打开端口，局域网唤醒（WoL）可以唤醒本地网络上的计算机。

一旦看到pfSense中包含了几项服务，我们将直接进入VPN部分。

VPN

这个面向防火墙的操作系统支持当前存在的大多数VPN协议，我们拥有L2TP / IPsec，IPsec，OpenVPN和WireGuard。考虑到它是针对专业用途的，因此我们拥有所有可用的配置选项和现有的身份验证类型。我们可以创建远程访问类型的VPN，也可以创建站点到站点。

根据用户和公司的需求，建议使用一种或另一种类型的协议来配置和构建隧道，pfSense 2.5.0及更高版本的新颖之处在于将WireGuard本身并入，尽管在以前的版本中也是如此。通过“手动”安装得到了支持。由于增加了WireGuard和最新版本的OpenVPN，我们将在安全性和性能方面进行所有最新的改进。

我们最喜欢pfSense的是，我们可以从头开始配置VPN，而无需编辑复杂的配置文本文件，所有操作都可以通过图形用户界面完成。

状态

在“状态”部分中，我们可以查看防火墙的全局状态，查看操作系统不同区域的日志，查看接口的状态，流量的状态，CPU和RAM的使用情况以及所有防火墙的状态。我们在操作系统中使用的服务。关于pfSense，我们非常喜欢的一点是，很少需要通过SSH或控制台输入才能查看日志，所有内容都可以通过Web在图形用户界面中找到。

在此菜单中，我们可以查看强制门户的状态，CARP，主仪表板，DHCP和DHCPv6的状态，DNS解析器，网关，接口，Ipsec和OpenVPN VPN隧道的状态，监视不同的接口，服务，甚至查看实时流量图形，以及其他选项。根据您安装的其他软件，用于显示不同服务状态的这些选项可能会增加。