pfSense是全球领先的开源驱动防火墙、路由器和 VPN 解决方案,适用于网络边缘和云安全网络。 pfSense Plus 24.03正式版于近日发布,在这一版本中,提供了一些重大的改进。
主要变化
此版本中的重大变化包括使用 ZFS 快照改进的更新过程、导出数据包流数据的功能、增强的网关恢复过程以及更改默认状态策略以提高安全性。此版本还解决了几个错误和其他问题,请参阅pfSense Plus 24.03 发行说明获取更详细信息。
默认密码控制
为了响应美国和国际各个监管机构的要求,pfSense Plus24.03 现在实施了有关默认密码的严格措施。任何使用默认密码的尝试都将满足强制重置要求,该要求适用于用户界面 (UI) 和命令行界面 (CLI)。这些措施可以增强系统的安全状况并符合不断发展的合规性标准,从而确保更安全、更具弹性的网络环境。
快照增强
pfSense Plus 24.03对软件更新机制进行了重大改进,利用ZFS文件系统的功能来增强稳定性并最大限度地减少整个更新过程中的停机时间。这些增强功能不仅增强了 pfSense Plus 的可靠性,还为管理员提供了强大的工具,特别有利于那些利用系统快照建立各种pfSense Plus环境以进行测试的人员。这使管理员能够在需要时灵活地快速恢复到预定环境,从而增强系统的整体可管理性和弹性。
点击观看演示视频。
数据流导出
此版本的一个重大补充是能够通过NetFlow v5 或 IPFIX协议将数据包流数据导出到外部收集器。此功能使管理员能够从网络流量中提取有价值的分析,这对于有效的网络管理至关重要。通过分析流量数据,管理员可以解决各种问题,例如优化应用程序响应时间、实施基于使用情况的计费、分析流量模式、微调流量工程策略、检测潜在的安全威胁或入侵、监控服务质量 (QoS) 指标等。
网关恢复
pfSense Plus 24.03增强了网关的恢复过程,提供在主网关离线时重置通过备份网关建立连接的选项。如果主网关和辅助网关的带宽不平衡(例如,主网关为 10Gbps,备份网关为 1Gbps),此功能将允许在停机后连接故障恢复到主网关。在网关组内的故障切换过程中,如果其中一个网关发生故障,所有新的连接将通过备份网关路由,并且经过故障网关的连接可能会被重置,从而允许它们通过备份网关重新连接。当故障转移组中发生故障的网关重新上线时,管理员可以选择重置在主网关离线时通过备份网关建立的所有连接(通过终止其状态)。当故障转移的组中的一个网关具有高带宽而另一个网关具有较小带宽时,此功能非常实用。一旦高带宽网关重新上线,就可能不需要在备份网关上保持连接活动。该选项可以在系统>高级选项>其他处进行调整。
点击观看演示视频。
状态策略更改
为了提高安全性,pfSense Plus 24.03 软件及更高版本中的默认状态策略从浮动状态更改为接口绑定状态。在几乎所有配置中,pfSense都会使用防火墙状态跟踪连接,以便了解哪些返回流量允许通过防火墙返回到另一个方向传递的连接。这些状态携带大量信息,例如源地址、目标地址、特定于协议的数据(例如端口号)、来自 NAT 的转换信息、元数据(例如时间戳和数据包计数)等等。对于穿过防火墙的流量(例如 LAN 到 WAN、LAN 到 VPN、LAN1 到 LAN2),通常有两个状态表条目:一个表示连接进入防火墙(入口),另一个表示连接离开防火墙(出口) 。状态策略从根本上改变了防火墙根据状态表条目中的接口数据检查数据包的方式,以确定是否应允许数据包。更改默认行为可能会对某些依赖于不太严格的浮动状态策略执行的配置产生负面影响。
1、接口绑定状态策略
顾名思义,是将状态绑定到特定的接口。这是在 PF 中的操作系统级别进行跟踪的,因此状态中的接口名称是操作系统驱动程序名称,例如igc0。将状态绑定到特定接口更安全,因为它需要将数据包通过的接口与存储在防火墙状态中的接口进行匹配。使用接口绑定状态策略,每个状态表条目都以接口名称开头。
严格的接口匹配有一些缺点。此类策略可能与多 WAN 路由的某些方面发生冲突,尤其是与源自防火墙本身的流量发生冲突。尽管开发人员已经针对迄今为止发现的问题添加了解决方法,但可能还有更多在内部测试期间尚未发现。此外,此策略还要求高可用性节点具有相同的硬件才能使用状态同步,因为如果硬件上的接口不同,则不匹配硬件的状态将永远不会匹配或可能在意外接口上匹配。
2、浮动状态策略
另一种类型的状态策略是浮动策略。使用浮动策略的状态并不与任何接口严格关联。该策略的检查较为宽松,因此安全性较低。在此模式下,仍会在状态属性中跟踪接口,但它是信息性的而不是强制执行的。使用浮动状态策略,每个条目都以all开头,指示它在所有接口上都有效,并且该接口在origif下进行跟踪。由于浮动状态策略并不严格强制执行状态接口,因此该策略在涉及多 WAN 和非对称路由场景时更加宽容。出口和入口恰好采用不同路径的流量(例如ECMP)可以自由流动,无需额外的高级/复杂规则。该模式还允许具有不同硬件的高可用性节点利用状态同步,因为它忽略状态数据中携带的接口名称的差异。由于此策略下状态匹配的宽松性质,流量有可能被错误路由并“泄漏”出意外的路径。例如,如果 VPN 关闭并且路由从路由表中删除,则在某些情况下,打算通过 VPN 传出的流量最终可能会通过 WAN 退出。同样,如果路由意外更改(例如 WAN DHCP 服务器更改),则打算在本地接口之间路由的流量可能会通过不同的接口传出。
可以在系统>高级选项>防火墙/NAT上修改默认状态选项。
VPN功能升级
该版本在VPN上有两项重大升级:移动组池和性能增强。随着“移动组池”的引入,用户可以访问专用选项卡来配置其他地址池,并在必要时配置 DNS 服务器,这对于大型组织尤其有利。此功能使组织能够利用组身份验证为特定用户组定义额外的地址池,从而提供更大的灵活性来满足不同的组需求。
更新了 IPsec-MB 内核模块:通过将 IPsec-MB 内核模块 (iimb.ko) 更新为 Intel 最新的上游版本 1.5 来减少处理开销并提高性能。此更新包括对支持 AVX512 和 AVX2 的 CPU 的优化,确保运行顺畅并提高效率。
汉化补丁
博主独自承担pfSense官方中文语言包的维护工作,但自pfSense CE 2.50版本后,Netgate官方再也没有更新多语言模板,导致后期发布的版本有很多未汉化的词条,给使用者带来不便。为方便广大华人用户,博主制作了该版本的汉化补丁,包含简繁两种语言,简单替换即可使用。
补丁特点:
- 不改变系统配置
- 提供简繁两种语言包
- 优化了系统菜单布局
- 集成ip&MAC静态绑定插件
- 未对系统功能进行任何删减