pfSense功能简介

防火墙

  • 根据源和目标IP、IP协议、TCP和UDP通信的源和目标端口进行过滤
  • 限制每个规则的并发连接
  • 利用先进的被动OS /网络指纹识别实用程序p0f,允许对连接的操作系统进行过滤。 想要允许FreeBSD和Linux机器访问Internet,但要阻止Windows机器? pfSense可以通过被动检测正在使用的操作系统进行连接许可。
  • 可以有选择的记录符合每个规则的通信信息。
  • 可以在每个规则策略上选择网关(用于负载平衡、故障转移、多WAN等),可以实现高度灵活的策略路由选择
  • 别名可以允许分组和命名IP、网络和端口,让防火墙规则集更加清晰,更容易理解,特别是在多个公有IP和众多服务器的环境中时。
  • 具备透明的第2层防火墙功能。 可以桥接接口并过滤它们之间的流量,甚至允许使用无IP防火墙(但还是可能需要一个用于管理目的的IP)。
  • 数据包规范化 。’Scrubbing’是数据包的规范化,因此数据包的最终目的地在解释时没有含糊不清的地方。scrub指令还重新组合碎片数据包,保护某些操作系统免受某些形式的攻击并丢弃具有无效标志组合的TCP数据包“。
  • 默认情况下在pfSense软件中启用
  • 如果需要可以禁用。 此选项会导致某些NFS实施出现问题,但这也是安全的,应在大多数安装中保持启用状态。
  • 禁用过滤器 – 如果希望将pfSense变成纯粹的路由器,则可以完全关闭防火墙过滤器。

状态表

防火墙的状态表维护着打开的网络连接的信息。 pfSense是一个有状态的防火墙,默认情况下所有规则都是有状态的。

大多数防火墙缺乏精确控制状态表的能力。由于FreeBSD移植版本的功能,pfSense具有许多功能,它可以对状态表进行精确控制。

  • 可以调整的状态表大小 。 默认的状态表大小根据系统安装内存的大小而有所不同,但可以随时增加。 每个状态需要大约1 KB的内存,在调整状态表时记住内存使用情况, 不要把它设置得过高。
  • 可以在每个规则策略的基础上:
    • 限制同时连接的客户端。
    • 限制每台主机的状态。
    • 限制每秒新连接数。
    • 定义状态超时。
    • 定义状态类型。
  • 状态类型 – pfSense提供多种状态处理选项。
    • 保持状态 – 适用于所有协议。 这是所有规则的默认值。
    • 懒散状态 – 适用于所有协议。 这是不太严格的状态跟踪机制,在非对称路由情况下非常有用。
    • 同步代理状态 – 代理进入的TCP连接,以帮助保护服务器免受欺骗TCP SYN泛滥。 该选项包括保持状态和调制状态组合的功能。
    • 无 – 不保留此流量的任何状态条目。 仅限于在特殊的情况下使用。
  • 状态表优化选项 – pf为状态表优化提供了四个选项。
    • 正常 – 默认算法。
    • 高延迟 – 适用于高延迟网络连接,如卫星线路等。
    • 积极 –  更有效地使用硬件资源,但可以放弃合法连接。
    • 保守 – 试图避免丢弃合法连接,但会增加内存使用量和CPU利用率。

网络地址转换 (NAT)

  • 端口转发包括范围和多个公有IP的使用
  • 单个IP或整个子网的1:1 NAT。
  • 出站NAT
    • 默认设置将所有出站流量转换为WAN IP。 在多个WAN场景中,默认设置NAT将流量发送到正在使用的WAN接口的IP。
    • 高级出站NAT允许禁用此默认行为,并允许创建非常灵活的NAT(或无NAT)规则。
  • NAT回流 – 可以设置NAT回流,因此服务可以通过公共IP从内部网络访问。

高可用性(HA)

CARP,pfsync和我们的配置同步的结合提供了高可用性。 可以将两个或更多防火墙配置为故障切换组。 如果一个接口在主服务器上失败或主服务器完全脱机,则辅助服务器将变为活动状态。 pfSense软件还包含配置同步功能,因此可以在主服务器上修改配置,并自动同步到辅助防火墙。

多WAN

多WAN功能支持使用多个互联网连接,实现负载平衡和/或故障转移,从而提高互联网可用性和带宽使用率。

服务器负载平衡

服务器负载平衡用于在多个服务器之间分配负载。 这通常用于Web服务器、邮件服务器等。

虚拟专用网络 (VPN)

pfSense的VPN连接,提供了L2TP、IPsec和OpenVPN三种选择。

L2TP

L2TP是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。相对于PPTP,L2TP更安全。

IPsec

IPsec允许与支持标准IPsec的任何设备连接。 这通常用于站点到站点、其他pfSense防火墙以及大多数其他防火墙解决方案(思科,瞻博网络等)的连接, 它也可以用于移动客户端连接。

OpenVPN

OpenVPN是一种灵活、强大的SSL VPN解决方案,支持广泛的客户端操作系统。

PPPoE 服务器

pfSense提供了PPPoE服务器。 本地用户数据库可用于认证,也支持带可选计费的RADIUS认证。

报告和监控

RRD 图表

pfSense中的RRD图表保留以下内容的历史信息。

  • CPU利用率。
  • 总吞吐量。
  • 防火墙状态。
  • 所有接口的单独吞吐量。
  • 所有接口的每秒数据包速率。
  • WAN接口网关ping响应时间。
  • 流量整形器在启用了流量管控系统上排队情况。

实时信息

历史信息虽然重要,但有时候实时信息更重要。

  • SVG图表可用于显示每个接口的实时吞吐量。
  • 对于流量整形器用户,系统状态 >队列页面使用AJAX更新流量表提供队列使用情况的实时显示。
  • 系统仪表页面可以显示实时CPU、内存、交换磁盘、状态表大小的使用情况。

动态DNS

pfSense支持主流DNS客户端,允许向多个动态DNS服务商注册你自己的公共IP。

  • 自定义 – 允许自定义信息
  • DNS-O-Matic
  • DynDNS
  • DHS
  • DNSexit
  • DyNS
  • easyDNS
  • freeDNS
  • HE.net
  • Loopia
  • Namecheap
  • No-IP
  • ODS.org
  • OpenDNS
  • Route 53
  • SelfHost
  • ZoneEdit

客户端也可用于RFC 2136动态DNS更新,以便与支持这种更新方式的DNS服务器(如BIND)一起使用。

入网门户

入网门户允许进行强制身份验证或重定向到指定页面再访问网络。 这通常用于热点网络,但也广泛用于企业网络,以实现无线或Internet访问的附加安全层。 下面是入网门户的功能列表:

  • 最大并发连接数 – 限制每个客户端IP的门户本身连接数。
  • 空闲超时 – 断开空闲时间超过指定分钟数的客户端。
  • 硬超时 – 强制在指定的时间后断开所有客户端的连接。
  • 登录弹出窗口 – 可以设置一个带注销按钮的窗口。
  • URL重定向 – 在对入网门户进行身份验证或点击之后,用户可以被强制重定向到定义的URL。
  • MAC过滤 – 默认情况下,使用MAC地址过滤器。 如果在启用入网门户的接口上的路由器后面有子网,则在授权一个用户后,路由器后面的每台计算机都将被授权。 对于这些情况,可以禁用MAC过滤。
  • 身份验证选项 – 有三个身份验证选项可用。
    • 无需身份验证 – 这意味着用户只需点击门户网站页面即可,无需输入凭据。
    • 本地用户管理器 – 使用本地用户数据库用于认证。
    • RADIUS身份验证 – 这是企业环境和ISP的首选身份验证方法。 它可以使用Microsoft Active Directory和其他的RADIUS服务器进行身份验证。
  • RADIUS功能
    • 强制重新认证
    • 能够发送计费信息
    • RADIUS MAC身份验证允许入网门户使用客户端的MAC地址作为用户名和密码来向RADIUS服务器进行身份验证。
    • 允许配置冗余RADIUS服务器。
  • HTTP或HTTPS – 门户页面可以配置为使用HTTP或HTTPS进行访问。
  • 直通MAC和IP地址 – 可以使用白名单列出MAC和IP地址来绕过门户限制。
  • 文件管理器 – 允许上传自定义图像以供在门户页面中使用。

DHCP服务器和中继

pfSense软件包括DHCP服务器和中继功能。

发表评论

电子邮件地址不会被公开。 必填项已用*标注