网络防火墙实战-基于pfsense(3)
pfsense简介与特性
pfsense是一款开源的路由和防火墙产品,它基于fveobsd系统定制和开发。pfsene拥有友好的web的配置界面,且具有伸缩性强又不失强大性能。在众多开源网络防火墙中属于佼佼者。pfsense 自发布以来,已有超200万人次的下载。在中小型公司(100万节点的大型网络有成功使用的案例)、家庭、学校、网吧等场所的网络环境中都有它的身影。
2004年,pfsense作为m0n0wall项目(基于freebsd内核的嵌入式软防火墙)的分支项目启动。相比m0n0wall,它不仅可以运行在嵌入式环境中(compact flash上的嵌入式image),而且可以运行在所有的pc机上。对pc机最低配置仅要求128M内存,100MHZ CPU、串口控制台;让人惊喜的是,pfsense提供live cd 模式,即用一张pfsense光盘启动电脑,使用usb存储装置(比如u盘)就能保存配置信息。这意味着你可以从公司仓库里找一台旧的机器装上pfsense,作为接入互联网的路由、防火墙、流量控制端的网络行为日志记录器等。您也可以去硬件市场挑选一款适合嵌入式的硬件框架,装上pfsense,打上自己公司的标签。一台DIY硬件防火墙就此诞生了。
pfsense特性
1、防火墙
(1)、对从IP与目标IP过滤、 IP 协议、TCP和VOP 通讯的源端口和目标端口之间的流量过滤。
(2)、基于某规则的同时发生的连接限制。
(3)、基于p0f,p0f是一组复杂精确机制的工具,它允许你过滤操作系统发起的连接,比如允许 freebsd 和 linux机器接入互联网,但阻止windows机器。
(4)、基于每条规则匹配的记录开关。
(5)、基于每条规则先择网关,定制高伸缩性的策略(负载平衡、失效转移、多WAN口等)。
(6)用别名分组命名IP组、网络及端口,有助于防火墙规则清晰并易于理解,特别是拥有多个公共和大量服务器的环境中。
(7)具备2层透明防火墙的能力,能连接接口和过滤数据流动在它们之间。
(8)包标准化。通过净化包的技术完成包标准化,使解释包的最终目的地不存在歧义,净化同时重新组装了包碎片,防止某些操作系统一些攻击,在pfsense选项默认打开,以保证系统安全,因为有可能导致 nfs执行问题,在必要时可以关闭。
2、状态表( state table)
防火墙的状态保存并维护打开的网络连接信息。 pfsense 作为一个状态性的防火墙,默认的情况下,所有规则都是有状态的。
大多数防火墙缺少细微的控制状态的能力, pfsense 有多种特性允许,对状态表进行精细的控制, 这归功于openbsd 的PF功能。PF(packet filter 包过滤)是openbsd 系统对tcp/ip通信进行过滤以及进行网络地址转换。PF也是能规范和调节TCP/流量,提供宽控制和包优化。自从openbsd3.0开始,PF已经成为标准opeybcd 核的一部分。取代原有的fyycuau/noat机制。
三、pfsense的安装与配置
pfsense基于m0n0wall 项目,重新定制freebsd ,它是一个性能强大的轻量级的防火墙产品,pfsense安装后,有可能通过ssh、WEBGUI两个途径远程访问它。
SSH连接可访问底层菜单,SSH配置方式访问的菜单的选项仅为基础菜单和部分配置,WebGUI可进行全方位配置。