Pfsense:免費開源的應用層防火牆
摘要:設置接口地址,設置wan和lan的地址(只需要設置一個就可以,設置完成後需要將web界面到底是使用哪一個地址進行登錄),在控制界面按 2 進入地址設置界面,設置一個lan口地址(設置爲192.168.192.0/24 網段的地址),關閉dhcp(避免IP地址衝突),設置lan口爲web管理口地址。二、pfSense安裝。
前言
一個公司的安全建設需要大量的物力、人力,由於網絡安全在企業沒有實際利益產出,常常在企業網絡安全建設中,沒有足夠的投入(廢話,投入沒有經濟效益回報,爲什麼要投入),但是企業網絡安全建設不只是針對經濟效益,它更像是一種保險(等出了事情,數據丟失,被網安抓典型處理),它更是一種對主業務的輔助(信息化輔助生產,甚至代替生產),但巧婦難爲無米之炊,要對企業內網形成一套完整的縱深防禦體系需要許多的商業化解決方案,無奈呼信息安全部門在一些企業中就是一個背鍋的角色,爲了能把鍋抗好。。嗯,還是最好沒鍋吧!畢竟真的扛不動
閒話少說,縱深防護體系的第一道就是下一代防火牆,下面是下一代防火牆的簡單配置介紹:
一、說明
1.1 pfSense是什麼
pfSense是基於FreeBSD的、開源中最爲可靠(World’s Most Trusted Open Source Firewall)的、可與商業級防火牆一戰(It has successfully replaced every big name commercial firewall youcan imagine in numerous installations around the world)的防火牆。
簡單點說pfSense就是一個操作系統形式的防火牆。更多介紹見: https://www.pfsense.org/getting-started/
二、pfSense安裝
整個安裝過程也不是很複雜,官方安裝文檔見: https://www.netgate.com/docs/pfsense/install/installing-pfsense.html
在虛擬機中安裝使用(操作系統)freedbs 11 進行安裝
2.1下載
下載地址: https://www.pfsense.org/download/
下載鏡像iso即可
2.2安裝
首選創建一個虛擬機,其他的都無所謂但是系統一定要FreeBSD。
到這步後所有的選項都是直接點擊下一步,虛擬機創建完成後點擊編輯虛擬機配置,添加網卡
因爲防火牆至少需要兩塊網卡,所以需要創建至少2塊網卡,一個網卡作爲lan口,一個網卡作爲wan口(也可以多個網卡),我們留一個網卡作爲wan口(NAT模式),一個作爲lan口(主機模式或者自定義),登錄界面配置在lan口上,網卡只要啓動兩塊就好了。
將ISO文件配置到虛擬光驅中,開啓電源
回車接受版權聲明
回車確認安裝
選擇鍵盤格式,默認是美國標準鍵盤,直接回車
選擇文件系統,回車選擇UFS,此步之後正式安裝操作系統
直接回車選擇重啓完成安裝
三、pfSense配置
3.1 設置pfsense接口
重啓完成後會進入以下界面
不設置vlan(透明傳輸使用),設置wan口網卡,設置lan口網卡,最後輸入Y進入系統
查看自己設置的網卡的網段le0 口因爲使用dhcp直接通過即可,le1口作爲lan口,必須使用le1口網卡的網段地址(主機模式下的DHCP分配期間地址)
設置接口地址,設置wan和lan的地址(只需要設置一個就可以,設置完成後需要將web界面到底是使用哪一個地址進行登錄),在控制界面按 2 進入地址設置界面,設置一個lan口地址(設置爲192.168.192.0/24 網段的地址),關閉dhcp(避免IP地址衝突),設置lan口爲web管理口地址
設置完成後就可以登錄了,通過上邊14啓動sshd後使用admin/pfsense也可以ssh登錄操作系統
SSH賬戶名密碼:admin/pfsense
3.2 web管理界面
訪問設置爲web登錄的網卡地址,進行登錄,默認用戶名密碼admin/pfsense
第一次登錄後有有幾步主機名、dns、時區等相關初始化嚮導,看着填不會就直接next
最後finish
點擊finish大約30秒後進入該界面
設置完成後設置中文顯示,依次點擊SystemGeneral>Setup>Language,在下拉框中找到Simplified,china,選擇之後點擊該頁面最下方的save