pfSense book之介绍

  • pfSense代表什么意思?
  • 为什么使用FreeBSD?
  • 常用部署
  • FreeBSD接口名称
  • 查找信息并获得帮助

pfSense项目是FreeBSD的一个免费开源定制发行版本,是可以使用Web界面进行管理的防火墙和路由器。 该Web界面称为基于Web的GUI配置器,简称为WebGUI。 大多数人并不需要FreeBSD专业知识就可以部署和使用pfSense。 除了是一个功能强大、灵活的防火墙和路由平台之外,pfSense还包含众多其他功能。 pfSense的插件系统增加了防火墙的可扩展性,而不会给基本发行版增加过大的体积和带来潜在的安全漏洞。 pfSense是一个受欢迎的项目,自成立以来已有数百万次的下载,并且已经有数十万次的活动安装。

如果要下载最新版本,请点击这里

pfSense代表什么意思?

这个项目由Chris Buechler和Scott Ullrich于2004年创立。 Chris在此之前对m0n0wall做出了巨大贡献,并发现它是一个很好的网络解决方案。 尽管对这个项目感兴趣,但因为更多用户渴望得到比专注于硬件资源有限的嵌入式设备项目更多的功能, 在2004年,大量64 MB RAM的嵌入式解决方案已经无法满足pfSense所需的全部功能,因此pfSense扩展到功能更强大的PC和服务器类型硬件。

这个项目运行了几个月一直没有名字。 事实上,运行CVS服务器的FreeBSD jail几年前被称为projectx直到项目迁移到git。

找到一个可用的域名是主要的难点。 该项目的创始人Chris Buechler和Scott Ullrich,经过多次考虑后,最终决定取名pfSense,因为防火墙将使用包过滤软件(packet filtering Software),所以取名pfSense。

为什么使用FreeBSD?

在为项目选择底层操作系统时,考虑了众多的因素,包括:

无线支持

无线支持是许多用户选择网络防火墙最重要的考虑因素。在2004年,与FreeBSD相比,OpenBSD的无线支持非常有限。 OpenBSD不支持驱动程序或安全协议,也没有提供实现的计划。 如今FreeBSD的无线功能已经大大超越了OpenBSD。

网络性能

FreeBSD的网络性能明显好于OpenBSD。 对于中小型部署来说,这通常无关紧要,高可伸缩性是OpenBSD中的主要问题。虽然自2004年以来,OpenBSD中的网络性能有所提高,但仍然存在局限性。

FreeBSD可以对pf的多处理器实现更好的支持,如网络性能分析报告所指出的那样:https://github.com/gvnn3/netperf/blob/master/Documentation/netperf.pdf

便利的分支

m0n0wall的代码基于FreeBSD,而m0n0wall则是pfSense的延伸。 更改底层操作系统需要进行大量的修改,如果改成其他操作系统,将大大增加开发的工作量,以及其他不确定因素。

替代操作系统支持

目前没有计划支持任何其他基础操作系统。

常用部署

pfSense能够满足从SOHO到数据中心环境几乎任何类型和规模的网络环境需求。

外围防火墙

pfSense最常见的应用是外围防火墙。 pfSense适用于需要多个Internet连接、多个LAN网络和多个DMZ网络的网络。 BGP、连接冗余和负载平衡功能也是可选配置之一。

路由器

将pfSense配置为LAN或WAN路由器以及外围防火墙是小型网络的常见部署。 在大型网络中,LAN和WAN路由是独立的角色。

LAN路由器

pfSense是连接多个内部网络的成熟解决方案。 这最常见于配置了802.1Q中继的VLAN。在某些环境中还使用多个以太网接口。具有较少过滤要求的大容量LAN通信环境可能需要第3层交换机或基于ASIC的路由器。

WAN路由器

pfSense是Internet服务提供商的绝佳解决方案。它以比其他商业产品低得多的价格提供了大多数网络所需的所有功能。

专用设备

作为独立的设备,pfSense可用于不太常见的部署解决方案, 如:VPN设备、Sniffer设备和DHCP服务器设备。

VPN设备

pfSense可以在不中断现有防火墙基础结构的情况下增加VPN功能,并且包含多种VPN协议。

Sniffer设备

pfSense为tcpdump数据包分析器提供了一个WEB界面。 捕获的.cap文件可以在Wireshark中下载并进行分析。

DHCP服务器设备

可以将pfSense部署为动态主机配置协议服务器,但是pfSense GUI对于ISC DHCP守护程序的高级配置存在局限性。

接口命名术语

pfSense上的所有接口都可以指定任意名称,但都以默认名称开始:WAN、LAN和OPT。

WAN

广域网是防火墙之外不可信任的公共网络。 换句话说,WAN接口是防火墙与Internet或其他上游网络的连接。 在多WAN部署中,WAN是第一个或主要的Internet连接。防火墙必须有一个接口,那就是WAN。

LAN

LAN指局域网,通常是防火墙的私有端。 它通常为本地客户端使用私有IP地址方案。 在小型部署中,LAN通常是唯一的内部接口。

OPT

OPT指可选接口,是指WAN和LAN以外的其他接口。 OPT接口可以是额外的LAN网段、WAN连接、DMZ网段,与其他专用网络的互连等等。

DMZ

DMZ是指保护区和战区之间的缓冲区。在网络中,这是一个可以通过WAN从Internet访问公共服务器但与LAN隔离的区域。如果网络受到威胁,DMZ可以防止其他网段中的系统受到威胁,同时还可以保护DMZ中的主机免受其他本地网络和整个Internet的侵害。

FreeBSD接口名称

FreeBSD接口命名从网络驱动的名称开始。 然后是从0开始的数字,每增加一个共享该驱动程序的接口增加一个数字。 例如,英特尔千兆网络接口卡使用的通用驱动程序是igb。 系统中的第一个这样的网卡将是igb0,第二个是igb1,依此类推。 其他常见的驱动程序名称包括cxl(Chelsio 10G),em(还有Intel 1G),ix(Intel 10G),bge(各种Broadcom芯片组)等等。 如果系统混合使用Intel卡和Chelsio卡,则接口分别命名为igb0和cxl0。

查找信息并获得帮助

本节提供有关查找本书中有关pfSense®软件的信息的指南,并提供其他更多资源。

查找信息

书上的搜索功能是查找特定主题信息的最简单方法。 本书介绍了pfSense最常见的功能和部署。 在阅读本书的HTML版本时,搜索功能位于页面的左上角。

netgate.com网站上都有大量其他信息和用户体验。搜索站点的最佳方法是在Google的搜索栏输入site:netgate.com然后加上你需要查找的关键词,就可以搜索官方的网站、论坛、文档等。

获得帮助

几乎每个页面上都有一个帮助图标和关联页面的链接。

pfSense还提供了其他几种获得帮助的方式,包括论坛开放获取文档,邮件列表和IRC。 也可以在pfSense门户网站上获得直接商业支持。 更多信息可以通过点击pfSense GUI web配置器中帮助菜单下的链接获得支持。

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注