互联网是一个可怕的地方,这些天。 几乎每天,一个新的零日,安全漏洞或ransomware发生,许多人想知道是否有可能保护他们的系统。
许多组织花费数十万美元(如果不是数百万美元)尝试安装最新最好的安全解决方案来保护其基础架构和数据。 家庭用户虽然处于货币的不利地位。 投入一百美元的专用防火墙通常超出了大多数家庭网络的范围。
值得庆幸的是,在开源社区有专门的项目,在家庭用户安全解决方案领域取得了长足的进步。 IPfire , Snort , Squid和pfSense等项目都以商品价格提供企业级安全性!
PfSense是基于FreeBSD的开源防火墙解决方案。 该配置可以自由安装在自己的设备上或pfSense,NetGate后面的公司销售预配置的防火墙设备。
pfSense所需的硬件非常小,通常较老的家庭塔可以轻松地重新设计成专用的pfSense防火墙。 对于希望构建或购买更有能力的系统来运行更多pfSense高级功能的用户,有一些建议的硬件最低要求:
硬件最小值
- 500 mhz CPU
- 1 GB的RAM
- 4GB存储空间
- 2个网络接口卡
建议硬件
- 1GHz CPU
- 1 GB的RAM
- 4GB存储空间
- 2个或更多PCI-e网络接口卡。
严重的家庭用户硬件建议(和企业)
如果家庭用户希望启用pfSense的许多额外功能和功能,例如Snort , Anti-Virus扫描,DNS黑名单,Web内容过滤等,那么推荐的硬件就会变得更多。
要支持pfSense防火墙上的额外软件包,建议向pfSense提供以下硬件:
- 现代多核CPU至少运行2.0 GHz
- 4GB + RAM
- 10GB +的高清空间
- 2个或更多个Intel PCI-e网络接口卡
安装pfSense 2.3.4
在本节中,我们将看到pfSense 2.3.4的安装(在撰写本文时的最新版本)。
实验室设置
对于防火墙的用户而言,pfSense通常令人沮丧。 许多防火墙的默认行为是阻止一切,好还是坏。 从安全的角度来看,这是非常好的,但不是从可用性的角度。 在开始安装之前,重要的是在开始配置之前概念化最终目标。
pfSense网络图
下载pfSense
无论选择哪种硬件,将pfSense安装到硬件是一个简单的过程,但是要求用户密切关注哪些网络接口端口将用于哪个目的(LAN,WAN,无线等)。
安装过程的一部分将涉及提示用户开始配置LAN和WAN接口。 作者建议仅在配置pfSense之前插入WAN接口,然后通过插入LAN接口继续完成安装。
第一步是从https://www.pfsense.org/download/获取pfSense软件。 根据设备和安装方法,有几种不同的选项可用,但本指南将使用“ AMD64 CD(ISO)安装程序 ”。
使用前面提供的链接下拉菜单,选择一个适当的镜像来下载文件。
安装程序下载完成后,可以将其刻录到CD中,也可以将其复制到USB驱动器,其中包含大多数Linux发行版中的“ dd ”工具。
下一个过程是将ISO写入USB驱动器以引导安装程序。 要实现这一点,在Linux中使用' dd '工具。 首先,磁盘名称需要位于' lsblk '。
$ lsblk
在Linux中查找设备名称
将USB驱动器的名称确定为“ / dev / sdc ”,则可以使用“ dd ”工具将pfSense ISO写入驱动器。
$ gunzip ~/Downloads/pfSense-CE-2.3.4-RELEASE-amd64.iso.gz $ dd if=~/Downloads/pfSense-CE-2.3.4-RELEASE-amd64.iso of=/dev/sdc
重要提示 :上述命令需要root权限,因此可以使用“ sudo ”或以root用户身份登录来运行该命令。 此外,此命令将在USB驱动器上删除所有内容。 确保备份所需的数据。
安装pfSense
一旦“ dd ”完成写入USB驱动器或CD已被烧毁,将介质放入将被设置为pfSense防火墙的计算机中。 将该计算机引导到该介质并显示以下屏幕。
pfSense启动菜单
在此屏幕上,或者允许定时器运行或选择1
以继续引导进入安装程序环境。 一旦安装程序完成启动,系统将提示键盘布局中所需的任何更改。 如果一切都以母语显示,只需点击“ 接受这些设置 ”即可。
pfSense配置控制台
下一个屏幕将为用户提供“ 快速/轻松安装 ”或更高级的安装选项。 为了本指南的目的,建议使用“ 快速/轻松安装 ”选项。
pfSense安装选项
下一个屏幕将简单地确认用户希望使用“ 快速/简易安装 ”方法,这不会在安装过程中提出许多问题。
可能会提出的第一个问题将询问要安装哪个内核。 同样,建议大多数用户安装“ 标准内核 ”。
pfSense标准内核
安装程序完成此阶段后,将提示重新启动。 确保卸下安装介质,以免机器无法重新启动到安装程序中。
pfSense安装完成
pfSense配置
重新启动后 ,删除CD / USB介质,pfSense将重新启动进入新安装的操作系统。 默认情况下,pfSense将选择一个接口设置为具有DHCP的WAN接口,并使LAN接口未配置。
pfSense接口配置
虽然pfSense确实有一个基于Web的图形配置系统,但它只能在防火墙的LAN端运行,但是目前LAN侧将被取消配置。 首先要做的是在LAN接口上设置一个IP地址。
为此,请按照下列步骤操作:
- 注意哪个接口名称是WAN接口(上面的em0 )。
- 输入'1' ,然后按'Enter'键。
- 键入'n' ,当询问有关VLAN时按“Enter”键。
- 当提示输入WAN接口或更改到正确的接口时,键入在第1步中记录的接口名称。 再次这个例子,' em0 '是WAN接口,因为它将是面向互联网的接口。
- 下一个提示将要求LAN接口,再次键入正确的接口名称,然后按“Enter”键。 在这个安装中, 'em1'是LAN接口。
- pfSense将继续要求更多的接口,如果它们是可用的,但是如果所有的接口已被分配,只需再次按下“Enter”键。
- pfSense现在将提示确保接口被正确分配。
pfSense网络接口
- 如果接口正确,键入“y ”并按“Enter”键。
接下来的步骤是为接口分配正确的IP配置。 pfSense返回到主屏幕后,键入“2 ”并按“Enter”键。 (确保跟踪分配给WAN和LAN接口的接口名称)。
*注意*对于此安装,WAN接口可以使用DHCP而没有任何问题,但可能需要静态地址的情况。 在WAN上配置静态接口的过程将与要配置的LAN接口相同。
系统提示是否输入“2” ,提示哪个接口设置IP信息。 再次2是这个漫步中的LAN接口。
pfSense可用接口
出现提示时,键入此界面所需的IPv4地址,然后按“Enter”键。 该地址不应该在网络上的其他任何地方使用,并且可能会成为将插入此接口的主机的默认网关。
pfSense IP地址
下一个提示将要求所谓的前缀掩码格式的子网掩码。 对于此示例网络,将使用简单的/ 24或255.255.255.0 。 完成后按“ Enter ”键。
pfSense网络子网掩码
下一个问题将询问“ 上游IPv4网关 ”。 由于LAN接口当前被配置,只需点击“ Enter ”键。
pfSense网络网关
下一个提示将要求在LAN接口上配置IPv6。 本指南只是使用IPv4,但是如果环境需要IPv6,那么现在可以进行配置。 否则,只需点击“ Enter ”键即可。
pfSense IPv6地址
下一个问题将要求在LAN接口上启动DHCP服务器。 大多数家庭用户将需要启用此功能。 这可能需要根据环境进行调整。
本指南假设用户希望防火墙提供DHCP服务,并为其他计算机分配51个地址,以从pfSense设备获取IP地址。
pfSense DHCP配置
下一个问题将要求将pfSense的Web工具还原为HTTP协议。 强烈建议不要这样做,因为HTTPS协议将提供一定程度的安全性,以防止泄露Web配置工具的管理员密码。
pfSense HTTP协议
用户点击“ Enter ”后,pfSense将保存接口更改并启动LAN接口上的DHCP服务。
pfSense接口URL
请注意,pfSense将提供Web地址,以通过插在防火墙设备的LAN侧的计算机访问Web配置工具。 这样做可以使防火墙设备准备好更多配置和规则的基本配置步骤。
通过导航到LAN接口的IP地址,通过Web浏览器访问Web界面。
pfSense登录界面
在撰写本文时,pfSense的默认信息如下:
Username: admin Password: pfsense
首次通过Web界面成功登录后,pfSense将通过初始设置运行,以重置管理员密码。
pfSense安装向导
第一个提示是注册pfSense黄金订阅,其优点包括自动配置备份,访问pfSense培训材料以及与pfSense开发人员定期进行虚拟会议。 不需要购买黄金订阅,如果需要,可以跳过该步骤。
以下步骤将提示用户有关防火墙的更多配置信息,如主机名,域名(如适用)和DNS服务器。
pfSense一般信息
下一个提示将是配置网络时间协议 NTP 。 默认选项可以留下,除非需要不同的时间服务器。
pfSense网络时间协议
设置NTP后,pfSense安装向导将提示用户配置WAN接口。 pfSense支持配置WAN接口的多种方法。
大多数家庭用户的默认值是使用DHCP。 来自用户的互联网服务提供商的DHCP是获得必要的IP配置的最常用方法。
pfSense WAN配置
下一步将提示配置LAN接口。 如果用户已连接到Web界面,则可能已经配置了LAN接口。
然而,如果需要更改LAN接口,则此步骤将允许进行更改。 确保记住什么是LAN IP地址设置,因为这是如何
管理员将访问Web界面!
pfSense LAN配置
与安全领域的所有内容一样,默认密码也是极其安全的风险。 下一页将提示管理员将“ admin ”用户的默认密码更改为pfSense Web界面。
pfSense管理员设置
最后一步是重新启动新的配置pfSense。 只需点击“ 重新加载 ”按钮。
pfSense配置重新加载
在pfSense重新加载之后,它将在登录完整的Web界面之前向用户显示最终的屏幕。 只需点击第二个“ 点击此处 ”即可登录完整的Web界面。
pfSense向导已完成
最后pfSense已经开始准备好配置规则了!
pfSense仪表板
现在pfSense已启动并运行,管理员将需要通过并创建规则,以允许通过防火墙的适当流量。 应该注意的是,pfSense具有默认允许所有规则。 为了安全起见,这应该改变,但这又是管理员的决定。
感谢您阅读有关pfSense安装的youcl文章! 请继续关注配置pfSense中可用的一些更高级选项的未来文章。