pfSense®是基於FreeBSD開源的免費發行版, 定制為防火牆和路由器。除了作為強大的防火牆和路由器平台,它包含一長串軟件包,可讓您輕鬆擴展功能,而不會影響系統的安全性。
pfSense® 是一個經過徹底測試的項目,現在已經有超過1,000,000(2011年第一季度末)下載以及世界各地的無數安裝,從國內到大型公司,公共組織,部委和大學。
| 功能 |
| pfSense® 包括昂貴的商業防火牆中的大多數功能,在許多情況下還包括更多。 以下是pfSense®2.0版本中當前可用的功能列表。所有這些都可以在Web界面中進行,而不用在命令行中觸摸任何東西。
除了功能之外,本頁還包括我們所知道的系統的所有限制。根據我們的經驗和數千名用戶的貢獻經驗,我們非常了解軟件可以做什麼和不能做什麼。每個軟件包都有限制。我們與大多數人不同,我們清楚地溝通。我們也歡迎人們為幫助消除這些局限做出貢獻。許多列出的限制是許多開源和商業防火牆的共同之處。 |
| Firewall |
| Filtering 通過源和目標IP,IP協議,TCP和UDP流量的源和目標端口
能夠根據規則限制同時的連接 pfSense® 利用 p0f, 一個先進的被動OS /網絡指紋實用程序,允許您通過啟動連接的操作系統進行過濾。 登錄或不記錄與每個規則匹配的流量的選項 通過根據規則選擇網關,實現高度靈活的策略路由(用於負載平衡,故障切換,多WAN等) 別名允許對IP,網絡和端口進行分組和命名。這有助於防止您的防火牆規則集乾淨,易於理解,特別是在具有多個公共IP和眾多服務器的環境中。 透明層2防火牆功能 – 可以橋接接口並過濾兩者之間的流量,甚至允許無IP防火牆(儘管您可能希望將IP用於管理目的) 數據包規範化 – pf scrub文檔的說明。默認情況下在pfSense®中啟用。如果需要可以禁用。 禁用過濾器 – 如果您希望將pfSense®轉換為純路由器,則可以完全關閉防火牆過濾器 |
| State Table |
| 防火牆的狀態表維護有關您打開的網絡連接的信息。 pfSense®是一個狀態防火牆 ,默認情況下,所有規則都是有狀態的。
大多數防火牆缺乏精細控制狀態表的能力。 pfSense®有許多功能允許細分控制你的狀態表,由於OpenBSD的pf的能力。 可調狀態表大小 – 有多個pfSense®生產多個生產安裝使用幾十萬個狀態。默認狀態表大小根據系統中安裝的RAM而有所不同,但它可以在飛行中增加到您想要的大小。每個狀態大約需要1 KB的RAM,所以請記住在調整狀態表時的內存使用情況。不要設置任意高。
在規則的基礎上: 限制同時客戶端連接 限制每個主機的狀態 每秒限制新的連接 定義狀態類型
狀態類型-pfSense®提供多種狀態處理選項。 o 保持狀態-適用於所有協議。 默認為所有規則 o 調製狀態-僅適用於TCP。 pfSense®將代表主機生成強初始序列號(ISN) o Synproxy狀態-代理傳入的TCP連接,以幫助保護服務器免遭欺騙的TCP SYN洪水。此選項包括保持狀態和調製狀態組合的功能 None -不要保留此流量的任何狀態條目。這是非常可取的,但是可用,因為它可以在有限的情況下有用
狀態表優化選項- pf為狀態表優化提供了四個選項 正常-默認算法 高延遲-適用於高延遲鏈路,如衛星連接。比正常情況下過期空閒連接 o 激進-更快地過期空閒連接。更有效地利用硬件資源,但可以刪除合法連接 保守-嘗試避免丟棄合法連接,而不會增加內存使用量和CPU利用率 |
| NAT: Network Address Tranlation |
| 端口轉發包括範圍和使用多個公共IP
1:1個別IP或整個子網的NAT · Outband NAT o 默認設置將所有出站流量NAT轉換為WAN IP。在多個WAN方案中,默認設置NAT出站流量到正在使用的WAN接口的IP 高級Outbound NAT NAT反射-在一些配置中,NAT反射是可能的,因此可以通過內部網絡的公共IP訪問服務 |
| NAT Limitation |
| PPTP / GRE局限性-用於GRE協議的pf中的狀態跟踪代碼只能跟踪每個外部服務器的每個公共IP的單個會話。這意味著如果您使用PPTP VPN連接,只有一台內部機器可以同時連接到互聯網上的PPTP服務器。千台機器可以同時連接到一千台不同的PPTP服務器,但只能同時連接一台服務器。唯一可用的工作是在防火牆上使用多個公共IP,每個客戶端使用一個公共IP,或者在外部PPTP服務器上使用多個公共IP。這不是其他類型的VPN連接的問題。目前正在開發一種解決方案。 |
| Redundancy |
| 來自OpenBSD的CARP允許進行硬件故障切換。兩個或多個防火牆可以配置為故障轉移組。如果主接口或主服務器上的一個接口出現故障,則備用設備將處於活動狀態。pfSense®還包括配置同步功能,因此您可以在主設備上進行配置更改,並自動與輔助防火牆同步。pfsync確保將防火牆的狀態表複製到所有故障轉移配置的防火牆。這意味著您的現有連接將在故障的情況下維護,這對於防止網絡中斷是很重要的。 |
| Limitations |
| 僅適用於靜態公共IP,不能使用DHCP,PPPoE或PPTP類型的WAN進行狀態故障切換。 |
| Load Balancing |
| 出站負載平衡 出站負載平衡與多個WAN連接一起使用,以提供負載平衡和故障轉移功能。流量按照每個防火牆規則被引導到所需的網關或負載平衡池。 |
| Inbound Load Balancing |
| 入站負載平衡用於在多個服務器之間分配負載。這通常用於Web服務器,郵件服務器等。不響應ping請求或TCP端口連接的服務器將從池中刪除。 |
| VPN |
| pfSense®提供三種VPN連接選項, IPsec, OpenVPN, e PPTP. |
| IPsec |
| IPsec允許與支持標準IPsec的任何設備進行連接。這最常用於站點到站點到其他pfSense®安裝的連接,其他開源防火牆(m0n0wall等)以及大多數商業防火牆解決方案(思科,Juniper等)。它也可以用於移動客戶端連接。 |
| OpenVPN |
| OpenVPN是一個靈活,強大的SSL VPN解決方案,支持廣泛的客戶端操作系統。有關其能力的詳細信息,請參閱OpenVPN網站。 |
| PPTP Server |
| PPTP是受歡迎的VPN選項,因為幾乎每個操作系統都有一個內置的PPTP客戶端,包括Windows 95 OSR2以後的每個Windows版本。有關PPTP協議的更多信息,請參閱本文。 |
| PPPoE Server |
| pfSense®提供PPPoE服務器。有關PPPoE協議的更多信息,請參閱此entry。可以使用本地用戶數據庫進行認證,也支持使用可選計費的RADIUS認證。 |
| Reporting and Monitoring |
| RRD Graphs. pfSense®中的RRD圖保留以下歷史信息:
CPU利用率 總throughput 防火牆狀態 所有接口的單個throughput 所有接口的數據包速率為每秒 · WAN接口網關ping響應時間 流量整形器在流量整形啟用的系統上排隊 |
| Real Time Information |
| 歷史信息很重要,但有時看到實時信息更為重要。SVG圖可用於顯示每個接口的實時throughput。對於流量整形用戶,狀態->隊列屏幕使用AJAX更新的儀表提供隊列使用情況的實時顯示。首頁包括用於顯示實時CPU,內存,交換和磁盤使用情況以及狀態表大小的AJAX量表。 |
| Dynamic DNS |
| · 包括一個動態DNS客戶端,允許您使用多個動態DNS服務提供商註冊您的公共IP:
· DynDNS · DHS · DNSexit · DyNS · EasyDNS · FreeDNS · HE.net · Loopia · Namecheap · No-IP · ODS.org · OpenDNS · ZoneEdit |
| Captive Portal |
| · 允許門戶允許您強制身份驗證,或者重定向到點擊頁面進行網絡訪問。這通常用於熱點網絡,但也被廣泛應用於企業網絡中,用於在無線或互聯網接入方面增加額外的安全層。有關一般的門戶網站技術的更多信息,請參閱Wikipedia關於該主題的文章。以下是pfSense®Captive Portal中的功能列表。
· 最大並發連接數-每個客戶端IP限制門戶網站本身的連接數。此功能防止客戶端PC重複發送網絡流量的拒絕服務,而無需通過啟動頁面進行身份驗證或單擊。 空閒超時-斷開空閒時間超過定義的分鐘數的客戶端。 硬暫停-在定義的分鐘數之後強制斷開所有客戶端。 登錄彈出窗口-選項可以彈出一個帶有註銷按鈕的窗口。 URL重定向-在驗證或點擊強制門戶網站後,用戶可以強制重定向到定義的URL。 · MAC過濾-默認情況下,pfSense®使用MAC地址進行過濾。如果您在啟用了強制門戶的接口上有路由器後面的子網,則在授權一個用戶後,路由器後面的每個機器都將被授權。對於這些情況,可以禁用MAC過濾。 驗證選項-有三種認證選項可用 o 沒有認證-這意味著用戶只需單擊門戶頁面,而不輸入憑據 本地用戶管理員-本地用戶數據庫可以配置並用於認證 · RADIUS認證-這是企業環境和ISP的首選身份驗證方法。它可以用於從Microsoft Active Directory和許多其他RADIUS服務器進行身份驗證 · RADIUS capabilities o Forced re-authentication 能夠發送會計更新 RADIUS MAC認證允許強制門戶使用客戶端的MAC地址作為用戶名和密碼向RADIUS服務器進行認證 允許配置冗餘RADIUS服務器 HTTP或HTTPS -門戶頁面可以配置為使用HTTP或HTTPS 傳遞MAC和IP地址- MAC和IP地址可以被白名單繞過門戶 文件管理器-這允許您上傳圖像以供您的門戶頁面使用 |
| DHCP Server and Relay |
| pfSense®包括DHCP服務器和功能。 |