OPNsense®是一套以BSD發佈的開源軟體,在荷蘭以FreeBSD為基礎開發的。她是始於2014年的pfSense®分支,而pfSense也是相當聞名的開源軟體。第一個正式版本,發行於2015年1月,並混合了pfSense® 及m0n0wall的特式。這套軟件,閣下可以訂定自家的用戶介面,容許使用上的便利。
OPNsense® 展現不同功能,而且均普遍在商用防火牆產品出現,常見於高階及高效商用防火牆。
姁們專注於保安及質素,提供每週更新去面對最新的保安威脅,可能跟大部份付費防火牆相距不遠。
相對pfSense®,OPNsense®同時提供發展藍圖 ,以便讓用戶進行短期至中期的規劃。
功能 |
使用OPNsense®,閣下能夠利用OpenVPN和IPsec保護您的連線。
這個防火牆可以檢查,偵測及預防系統得以全面覆蓋及避免受到攻擊。 再者,網頁過瀘對於好像學校的機構是非常完美,可以有效限制及管控學生上網的操作。 另外,她們提供點對點的VPN,可以保障不同辦公室相互連接的保安需求。 強制網路門戶(Captive Portal)是另一個可能的選項,有一個收據系統,並讓我們在不同的活動提供正面的回應,好像是酒店及其不同活動。 |
Firewall防火牆 |
· 跟據源頭及目的地IP地址,網際網絡協定,及源頭及目的地端口的用戶資料協定(UDP)或傳輸控制協議(TCP)作過濾(Filtering)
· 能夠去獨立規則為基礎限制同時的連接 · 選擇是否去記錄每一規則的傳輸配對日誌 · 高彈性的路由政策讓開閘與否以每一條設定規則為單位(負載平衡,故障切换,多個廣域網路等) · 化名容許組合及命名IP地址,網絡及端口。這樣幫助防火牆的規則設置及易於明白,尤其是一個環境擁有多個公共IP地址及多台伺服器。 · 透明的第二層防火牆能力——能夠橋接不同介面及過濾訊息,並且容許沒有IP地址的防火牆 (雖然您可能想要有一個IP地址作管理用途) · 通訊包正常化——是訊息包過濾而生成的文件描述,預設激活 OPNSense®並能夠因應需求而取消資格。 · 停止過濾——閣下可以因應需要,而完整關掉防火牆過濾 ,並把OPNSense® 變成一個純粹的路由器。 |
網絡狀態表 |
防火牆網絡狀態表保管閣下網絡開放的連接端口資料。OPNSense® 是一個狀態防火牆(Stateful firewall),而預設的所有規則全是狀態式的。
大部份防火牆都欠缺良好控利狀態表的能力。OPNSense®帶有多項功能用以細緻控制閣下的狀態表,這方面要感謝OpenBSD作業系統的訊息包過濾(Packet Filter, pf)。 · 可調節大小的網絡狀態表——這裡多個生產環境中的OPNSense®軟件安裝,正在處理數以十萬計狀態。預設的狀態表大小,會因為伺服器內的記憶體多少而變化;但可以隨著使用需要而在操作過程中增加。 每個狀態大致需要1 KB的記憶體,所以當設定狀態表必需謹記記憶體的使用。千萬不要設定到武斷地推高。
· 基於每一條規則: o 限制同時的客戶端連接 o 限制每台裝置的狀態 o 限制新的接連的秒數 o 定義狀態時限 o 定義狀態種類
· 狀態種類 —— OPNSense® 提供多個選項作狀態處理 o 維持狀態 — 能夠適用於所有通訊協定。預設予所有規則。 o 調節狀態 — 只適用於TCP。OPNSense®會為機器產生強度高的初始序列號 (ISNs) o Synproxy狀態 — 使用代理進入的TCP連線以協助保護伺服器遠離TCP詐騙訊息的洪流。這個選項包括維持狀態及調節狀態的合併。 o 無 — 不會為通訊保持任何狀態記錄。這情況極為罕有,但這裡可獲得的原因是在少數特別情形非常有用。
· 狀態表優化選項 —— 訊息包過濾(pf)提供狀態表優化的四個選項 o 正常 — 預設的方程式 o 高延時 — 有用的高延時連結,例如衛星連接。將閒置的連線變成過期。 o 進取的 — 將閒置的連線更快捷地變成過期。更有效的使用硬體資源,但同時能夠斷掉合法的連線。 o 保守 — 透過使用更多記憶體及運算能力,嘗試去避免斷掉合法的連線 |
NAT: 網絡位址轉換 |
· 通訊埠轉發包括通訊埠範圍與多個公共IP地址的使用
· 1:1的通訊埠轉發,以配合獨立IPs或完整的網段 · 對外網絡位址轉換 o 預設的網絡位址轉換設定所有對外通訊為廣域網絡IP。在多個廣域網絡的場景下,預設的對外網絡位址轉換設定所有對外通訊至使用中的廣域網絡介面。 o 高階對外網絡位址轉換 · 網絡位址轉換反射—在某些情況下,網絡位址轉換可能使內部網絡連線至公用IP地址 |
網絡位址轉換限制(NAT) |
點對點隧道協議(PPTP) / 通用路由封裝(GRE)限制 — 在訊息包過濾(pf)內的狀態追蹤代碼(state tracking code)用作通用路由封裝協定,能夠追蹤每一個在外面伺服器的公共IP地址上之獨立活動。這樣代表了若閣下使用PPTP VPN的連線,只會能夠同時使用一個在互聯上的PPTP伺服器。一千台機器可以同時接駁一千台PPTP的伺服器,但每一台只能有一個單一連線。而唯一可以替代方法,是可以在防火牆上使用多個公用IP地址,一個客戶端一個或在PPTP伺服器上使用多個公用IP地址。這對其他VPN來說已不是一個問題。而解決方案正在構建中。 |
過剩(Redundancy) |
來自OpenBSD的CARP容許硬件失效。只要有兩台以上的防火牆,便能夠架設成一個不倒的伺服器集群。如果一個主要介面失效或者主要介面完全斷線,第二介面會變成活躍。OPNSense®同時包含了設定同步化的能力,以確保您已經修訂的任何規則變化均能有效在主要及次要防火牆同時反映。XMLRPC同步確保防火牆狀態表,能夠拷貝至後備防火牆。這意味閣下現有的連線,得以在有故障下保持;這是非常有效避免網絡中斷。 |
限制 |
只能夠適用於固定的IP地址,並不能在DHCP, PPPoE, 或1PPTP作為廣域網絡的狀態容錯上使用。 |
平衡負載 |
對外平衡負載 對外平衡負載運用於多個廣域網絡連接,以提供平衡負載及失敗接管能力。通訊是以每一設定規則為單位,被引導至要求的閘道或平衡負載的伺服器集區。 |
向內平衡負載 |
向內平衡負載運用於把工作量分散至多台伺服器。這是普遍使用在網頁伺服器,電郵伺服器及其他。伺服器在倒下後,會對ping的指令有回應及TCP連接埠連線從伺服器集區斷掉。 |
VPN |
OPNSense® 提供三個選項作為VPN接駁之用: IPsec, OpenVPN, 及 PPTP. |
IPsec |
IPsec 容許接駁任何支援IPsec的裝置。這是在OPNSense®的環境下最流行的點對點接駁方法,同時也是其他開源防火牆的普遍情況 (如m0n0wall等),還有大多數商用的防火牆方案(包括Cisco, Juniper等)。最後,這也支援手提電話或平板電腦連接。 |
OpenVPN |
OpenVPN 是彈性,強大的 SSL VPN 方案,支援一系列的作業系統。詳情請查閱 OpenVPN的官網以了解它的功能。 |
點對點隧道協議(PPTP) 伺服器 |
PPTP是一個流行的VPN選擇,因為差不多所有作業系統均有內置的PPTP客戶端,包括所有微軟視窗95 OSR2往後的版本。有關點對點隧道協議詳情,請參閱 這文章 。 |
PPPoE 伺服器 |
OPNSense® 提供一個PPPoE伺服器。如需要更多有關PPPoE通訊協定的資料,請參考這 文章。一個本地用戶資料庫能夠用作登錄用途,還有RADIUS登錄作為賬戶管理的支援。 |
報告及監控 |
循環制資料庫(RRD)圖表。OPNSense®的循環制資料庫圖表用以保留歷史資料如下:
· 中央處理器使用量(CPU utilization) · 總流量(Total throughput) · 防火牆狀態(Firewall states) · 個別介面流量(Individual throughput for all interfaces) · 各個介面的每秒封包數額(Packets per second rates for all interfaces) · 廣域網絡閘道的ping回應時間(WAN interface gateway(s) ping response times) · 系統授權給不同通訊形態的通訊形態排序(Traffic shaper queues on systems with traffic shaping enabled) · (註:沒有系統健康檢查) |
實時資訊 |
歷史資料是重要,但有時更重要是可以觀察實時的資訊。可縮放向量圖形展示實時各個介面的流量。對於通訊成型用戶,在狀態 -> 工作畫面,利用AJAX更新標準規格,提供實時展示工作量使用資料。版面包括了AJAX標準規格,以展現實時的CPU,記憶體,Swap 空間及磁碟使用量,及狀態表的大小。 |
動態域名系統(Dynamic DNS) |
一個動態域名系統的客戶端,包括了容許閣下在網絡服務供應商改變您的公共IP地址的形況下登記域名:
· DynDNS · DHS · DNSexit · DyNS · EasyDNS · FreeDNS · HE.net · Loopia · Namecheap · No-IP · ODS.org · OpenDNS · ZoneEdit |
強制網路門戶(Captive Portal) |
允許門戶允許您強制身份驗證,或者重定向到點擊頁面進行網絡訪問。這通常用於熱點網絡,但也被廣泛應用於企業網絡中,用於在無線或互聯網接入方面增加額外的安全層。有關一般的門戶網站技術的更多信息,請參閱Wikipedia關於該主題的文章。以下是OPNSense®Captive Portal中的功能列表。 · 最大並發連接數-每個客戶端IP限制門戶網站本身的連接數。此功能防止客戶端PC重複發送網絡流量的拒絕服務,而無需通過啟動頁面進行身份驗證或單擊。空閒超時-斷開空閒時間超過定義的分鐘數的客戶端。 硬暫停-在定義的分鐘數之後強制斷開所有客戶端。 登錄彈出窗口-選項可以彈出一個帶有註銷按鈕的窗口。 URL重定向-在驗證或點擊強制門戶網站後,用戶可以強制重定向到定義的URL。 · MAC過濾-默認情況下,OPNSense®使用MAC地址進行過濾。如果您在啟用了強制門戶的接口上有路由器後面的子網,則在授權一個用戶後,路由器後面的每個機器都將被授權。對於這些情況,可以禁用MAC過濾。 驗證選項-有三種認證選項可用 o 沒有認證-這意味著用戶只需單擊門戶頁面,而不輸入憑據 本地用戶管理員-本地用戶數據庫可以配置並用於認證 · RADIUS認證-這是企業環境和ISP的首選身份驗證方法。它可以用於從Microsoft Active Directory和許多其他RADIUS服務器進行身份驗證 · RADIUS 功能 o 強制重新登入 o 有能力發出賬戶更新 o RADIUS MAC登錄容許強制網路門戶去認證至一台RADIUS伺服器,全程好像擁有賬戶及使用者資料的情況下使用用戶MAC地址 o 容許設定成重叠的RADIUS伺服器 · HTTP 或HTTPS – 平台的網頁已經設定為去使用HTTP或HTTPS · 真通的MAC及IP地址 – MAC與IP addresses會放入白名單以進入平台 · 檔案管理員 – 這可以允許閣下上載圖片作為平台上網頁之用 |
動態主機配置協議(DHCP)伺服器及轉播 |
OPNSense® 包含了動態主機配置協議及轉播的功能。 |