netgate发布pfSense plus 22.05

2022年6月27日,netgate发布了pfSense Plus软件版本 22.05。此版本包含几项重要的增强功能,包括OpenVPN数据通道卸载、ZFS引导环境、强制门户从IPFW 迁移到PF。

pfSense Plus的早期版本可以手动升级到pfSense Plus22.05。

如有需要,请关注微信公众号“pfSense防火墙”下载。

OpenVPN数据通道卸载

OpenVPN数据通道卸载(DCO) 通过减少每个数据包发生的上下文切换量,在处理加密的OpenVPN数据时实现了巨大的性能提升。DCO 通过将大部分数据处理任务保留在内核中而不是在内核和用户空间之间反复切换以进行加密和数据包处理来实现这一点。这使得每个数据包的整体处理更加高效,同时还可能利用内核中的硬件加密卸载支持。DCO增加了对多线程加密的支持,从而获得更多的性能提升。
DCO 不是对协议的更改,它是端点处理加密数据的方式的更改。因此,即使只有一个端点能够进行DCO也是有益的。当然,在所有端点上使用DCO的隧道将受益最大。
pfSense Plus上的DCO实施有一些限制,包括:
  • 当前加密仅限于AES-256-GCM。
  • DCO支持需基于TLS的隧道,例如 SSL/TLS、SSL/TLS+User Auth 或 User Auth。
  • DCO仅支持OpenVPN 2.6.0 。
  • 不要使用/30隧道网络。
  • 某些功能与DCO不兼容或与DCO无关。这些选项包括显式退出通知、不活动超时、UDP 快速 I/O 和发送/接收缓冲区大小等。
OpenVPN DCO功能仅在pfSense Plus软件上提供。

ZFS引导环境

ZFS 引导环境,在用户遇到配置更改、升级、或其他潜在问题情况时,通过记录关键文件系统区域的快照将确保重大更改和升级更安全。
升级过程会自动创建新快照,也可以手动创建它们。然后,可以使用GUI甚至引导加载程序菜单恢复以前的引导环境快照,方便管理员从不可预见的问题中快速恢复防火墙的各项功能。
ZFS 引导环境将仅在pfSense Plus软件上提供。

强制门户从IPFW迁移到PF

在过去的版本中,强制门户需要 IPFW,因为PF缺乏完全实现强制门户功能所需的能力。然而,使用IPFW的代价是会造成性能损失,因为加载了两个数据包过滤器并通过这两个过滤器运行流量。防火墙还使用IPFW通过 DUMMYNET 管理限制器的流量整形。
Netgate在PF中开发了新功能,包括执行第2层过滤的能力,现在PF完全能满足处理强制门户的所有要求。类似的开发还允许在不使用IPFW的情况下管理限制器管道。
有了这些改进,就不需要由多个数据包过滤器处理流量,让使用强制门户和进行流量控制时提高性能。

其他变化

  • 修复了 UPnP 和多个游戏系统
  • 新的网关状态终止选项可实现更加顺畅的故障转移
  • 防火墙/NAT 规则可用性改进,例如切换多个规则和将规则复制到其他接口的按钮。
有关详细信息,请参阅pfSense Plus的发行说明

其他

OpenVPN 共享密钥隧道已弃用。未来的 OpenVPN 版本将删除对共享密钥隧道的支持。

ZFS是未来的默认文件系统。要利用 ZFS 引导环境,防火墙必须将 ZFS 用于其文件系统。

升级说明

在对防火墙进行任何重大更改(例如升级)之前,请务必备份防火墙配置。如果更新检查失败或更新未完成,请运行pkg install -y pfSense-upgrade以确保pfSense-upgrade存在。

有关执行 pfSense Plus 软件升级的更多信息,请参阅升级指南

发表评论

您的电子邮箱地址不会被公开。