pfSense book之介绍

  • pfSense代表什么意思?
  • 为什么使用FreeBSD?
  • 常用部署
  • 接口命名术语
  • 查找信息并获得帮助

pfSense项目是FreeBSD的一个免费开源定制发行版,由易于使用的Web界面管理的防火墙和路由器。 该Web界面称为基于Web的GUI配置器,简称为WebGUI。 不需要FreeBSD专业知识来部署和使用pfSense。 实际上,大多数用户从来没有在pfSense之外使用过FreeBSD。 除了是一个功能强大、灵活的防火墙和路由平台之外,pfSense还包含众多相关功能。 pfSense插件系统增加了防火墙的可扩展性,而不会增加基本分配的容量和潜在的安全漏洞。 pfSense是一个受欢迎的项目,自成立以来已有数百万次的下载,并且已经有数十万次的活动安装。从小型家庭网络中的单个计算机保护到大型企业、大学和其他组织中的数千个网络设备的无数安装、它已经被证明是成功的。

如果要下载最新版本,请点击这里

项目启动

这个项目由Chris Buechler和Scott Ullrich于2004年创立。 Chris在此之前对m0n0wall做出了巨大贡献,并发现它是一个很好的网络解决方案。 尽管对这个项目感兴趣,但因为更多用户渴望得到比专注于硬件资源有限的嵌入式设备项目更多的功能, 在2004年,大量64 MB RAM的嵌入式解决方案已经无法满足pfSense所需的全部功能,因此pfSense扩展到功能更强大的PC和服务器类型硬件。

pfSense代表什么意思?

这个项目连续几个月没有名字。 事实上,运行CVS服务器的FreeBSD jail几年前被称为projectx直到项目迁移到git。

找到一个可用的域名是主要的难点。 该项目的创始人Chris Buechler和Scott Ullrich,经过了多次考虑以后,最终决定取名pfSense,因为防火墙将使用包过滤软件(packet filtering Software),所以取名pfSense。

为什么使用FreeBSD?

在为项目选择底层操作系统时,考虑了众的的因素,包括:

无线支持

无线支持是许多用户选择网络防火墙最重要的考虑。 2004年与FreeBSD相比,OpenBSD的无线支持非常有限。 OpenBSD不支持驱动程序或安全协议,也没有提供实现的计划。 如今FreeBSD的无线功能已经大大超越了OpenBSD。

网络性能

FreeBSD的网络性能明显好于OpenBSD。 对于中小型部署来说,这可能不重要,但OpenBSD的最主要问题是可扩展性不足。 一个使用pf管理数百个OpenBSD防火墙的pfSense开发者,被迫在FreeBSD上将他的高负载系统转换为pf来处理他的网络部分所需的高速数据包。 OpenBSD的网络性能自2004年以来虽然有所提高,但是仍然存在局限性。

在FreeBSD中可以对pf的多处理器支持实现更好的支持,如网络性能分析报告所指出的那样:https://github.com/gvnn3/netperf/blob/master/Documentation/netperf.pdf

熟悉和便利的分支

m0n0wall的代码基于FreeBSD,而m0n0wall则是pfSense的延伸。 更改底层操作系统需要进行大量的修改,如果改成其他操作系统,将大大增加工作量和不确定的其他因素。

替代操作系统支持

目前还没有计划支持任何其他基础操作系统。

常用部署

pfSense能够满足从SOHO到数据中心环境几乎任何类型和规模的网络环境需求。

外围防火墙

pfSense最常见的部署是外围防火墙。 pfSense适用于需要多个Internet连接、多个LAN网络和多个DMZ网络的网络。 BGP(边界网关协议)、连接冗余和负载均衡功能也是可以配置的。

LAN 或 WAN 路由器

配置为LAN或WAN路由器和外围防火墙的pfSense是小型网络的常见部署。 局域网和广域网路由是大型网络中最常见的角色。

LAN 路由器

pfSense是连接多个内部网段的经过验证的解决方案。 这通常在配置有802.1Q中继的VLAN中进行部署。 在一些环境中也使用多个以太网接口。 具有较少过滤要求的大容量LAN流量环境可能需要三层交换机或基于ASIC的路由器。

WAN 路由器

pfSense是互联网服务提供商的一个很好的解决方案。 它比其他商业产品低得多的价格提供大多数网络所需的所有功能。

专用设备

作为独立的设备,pfSense可用于较不常见的部署方案, 如:***设备、Sniffer设备和DHCP服务器设备。

VPN设备

作为单独的虚拟专用网络设备安装的pfSense软件可以在不中断现有防火墙基础结构的情况下增加VPN功能,并且包含多种VPN协议。

嗅探器设备

pfSense为tcpdump数据包分析器提供了一个web界面。 捕获的.cap文件可以在Wireshark中下载并进行分析。

DHCP服务器设备

可以将pfSense部署为动态主机配置协议服务器,但是,对于高级配置ISC DHCP守护程序,pfSense GUI存在一些限制。

接口命名术语

pfSense上的所有接口都可以指定任何名称,但都以默认名称开始:WAN,LAN和OPT。

WAN

广域网是防火墙之外不可信任的公共网络。 换句话说,WAN接口是防火墙与Internet或其他上游网络的连接。 在多WAN部署中,WAN是第一个或主要的Internet连接。

防火墙必须有一个接口,那就是WAN。

LAN

LAN指局域网的,通常是防火墙的私有端。 它通常为本地客户端使用私有IP地址方案。 在小型部署中,LAN通常是唯一的内部接口。

OPT

OPT指可选接口,是指WAN和LAN以外的其他接口。 OPT接口可以是额外的LAN段,WAN连接,DMZ段,与其他专用网络的互连等等。

DMZ

DMZ是指保护区和战区之间的缓冲区。 在联网中,公共服务器可以通过广域网从Internet访问,但与局域网隔离。 DMZ使网络中的其他网络系统不受危害,同时也保护DMZ中的主机免受其他本地网段和互联网的***。

FreeBSD的接口命名

FreeBSD接口的名称从网络驱动的名字开始。 然后是从0开始的数字,每增加一个共享该驱动程序的接口,增加一个数字。 例如,英特尔千兆网络接口卡使用的通用驱动程序是igb。 系统中的第一个这样的网卡将是igb0,第二个是igb1,依此类推。 其他常见的驱动程序名称包括cxl(Chelsio 10G),em(还有Intel 1G),ix(Intel 10G),bge(各种Broadcom芯片组)等等。 如果系统混合使用Intel卡和Chelsio卡,则接口分别为igb0和cxl0。

查找信息并获得帮助

本节提供有关在本书中查找信息的指导,以及pfSense的一般信息,并提供更多资源。

查找信息

书上的搜索功能是查找特定主题信息的最简单方法。 本书介绍了pfSense最常见的功能和部署。 在阅读本书的HTML版本时,搜索功能位于页面的左上角。 阅读电子书样式的副本时,请参阅书籍阅读器软件的文档以获取有关如何搜索的信息。

pfsense.org网站上提供了丰富的附加信息和用户体验。 搜索网站的最佳方式是使用Google进行查询。 这将搜索网站、论坛、Redmine网站、开放获取文件等,这些都是官方的信息来源。

获得帮助

几乎每个页面上都有一个帮助图标和关联页面的链接。

pfSense项目提供了其他几种获得帮助的方式,包括论坛开放获取文档,邮件列表和IRC。 商业支持也可在pfSense门户网站上获得。 更多信息可以通过点击pfSense GUI web配置器中帮助菜单下的链接获得支持。

此条目发表在pfSense分类目录。将固定链接加入收藏夹。