pfSense功能简介

防火墙

• 根据源和目标IP、IP协议、TCP和UDP通信的源和目标端口进行过滤

• 限制每个规则的并发连接

• 利用先进的被动OS /网络指纹识别实用程序p0f，允许对连接的操作系统进行过滤。 想要允许FreeBSD和Linux机器访问Internet，但要阻止Windows机器？ pfSense可以通过被动检测正在使用的操作系统进行连接许可。

• 可以有选择的记录符合每个规则的通信信息。

• 可以在每个规则策略上选择网关（用于负载平衡、故障转移、多WAN等），可以实现高度灵活的策略路由选择

• 别名可以允许分组和命名IP、网络和端口，让防火墙规则集更加清晰，更容易理解，特别是在多个公有IP和众多服务器的环境中时。

• 具备透明的第2层防火墙功能。 可以桥接接口并过滤它们之间的流量，甚至允许使用无IP防火墙（但还是可能需要一个用于管理目的的IP）。

• 数据包规范化 。'Scrubbing'是数据包的规范化，因此数据包的最终目的地在解释时没有含糊不清的地方。scrub指令还重新组合碎片数据包，保护某些操作系统免受某些形式的攻击并丢弃具有无效标志组合的TCP数据包“。

• 默认情况下在pfSense软件中启用

• 如果需要可以禁用。 此选项会导致某些NFS实施出现问题，但这也是安全的，应在大多数安装中保持启用状态。

• 禁用过滤器 - 如果希望将pfSense变成纯粹的路由器，则可以完全关闭防火墙过滤器。

状态表

防火墙的状态表维护着打开的网络连接的信息。 pfSense是一个有状态的防火墙，默认情况下所有规则都是有状态的。

大多数防火墙缺乏精确控制状态表的能力。由于FreeBSD移植版本的功能，pfSense具有许多功能，它可以对状态表进行精确控制。

• 可以调整的状态表大小 。 默认的状态表大小根据系统安装内存的大小而有所不同，但可以随时增加。 每个状态需要大约1 KB的内存，在调整状态表时记住内存使用情况， 不要把它设置得过高。

• 可以在每个规则策略的基础上：

  • 限制同时连接的客户端。

  • 限制每台主机的状态。

  • 限制每秒新连接数。

  • 定义状态超时。

  • 定义状态类型。

• 状态类型 - pfSense提供多种状态处理选项。

  • 保持状态 - 适用于所有协议。 这是所有规则的默认值。

  • 懒散状态 - 适用于所有协议。 这是不太严格的状态跟踪机制，在非对称路由情况下非常有用。

  • 同步代理状态 - 代理进入的TCP连接，以帮助保护服务器免受欺骗TCP SYN泛滥。 该选项包括保持状态和调制状态组合的功能。

  • 无 - 不保留此流量的任何状态条目。 仅限于在特殊的情况下使用。

• 状态表优化选项 - pf为状态表优化提供了四个选项。

  • 正常 - 默认算法。

  • 高延迟 - 适用于高延迟网络连接，如卫星线路等。 

  • 积极 -  更有效地使用硬件资源，但可以放弃合法连接。

  • 保守 - 试图避免丢弃合法连接，但会增加内存使用量和CPU利用率。

网络地址转换 (NAT)

• 端口转发包括范围和多个公有IP的使用

• 单个IP或整个子网的1:1 NAT。

• 出站NAT

  • 默认设置将所有出站流量转换为WAN IP。 在多个WAN场景中，默认设置NAT将流量发送到正在使用的WAN接口的IP。

  • 高级出站NAT允许禁用此默认行为，并允许创建非常灵活的NAT（或无NAT）规则。

• NAT反射（回流） - 可以设置NAT反射，因此服务可以通过公共IP从内部网络访问。

高可用

CARP，pfsync和我们的配置同步的结合提供了高可用性功能。 可以将两个或更多防火墙配置为故障切换组。 如果一个接口在主服务器上失败或主服务器完全脱机，则辅助服务器将变为活动状态。 pfSense软件还包含配置同步功能，因此可以在主服务器上修改配置，并自动同步到辅助防火墙。

多WAN

多WAN功能支持使用多个互联网连接，实现负载平衡和/或故障转移，从而提高互联网可用性和带宽使用率。

服务器负载平衡

服务器负载平衡用于在多个服务器之间分配负载。 这通常用于Web服务器、邮件服务器等。 

虚拟专用网络 (VPN)

pfSense的VPN连接，提供了L2TP、IPsec和OpenVPN三种选择。

L2TP

L2TP是一种工业标准的Internet隧道协议，功能大致和PPTP协议类似，比如同样可以对网络数据流进行加密。不过也有不同之处，比如PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接；PPTP使用单一隧道，L2TP使用多隧道；L2TP提供包头压缩、隧道验证，而PPTP不支持。相对于PPTP，L2TP更安全。

IPsec

IPsec允许与支持标准IPsec的任何设备连接。 这通常用于站点到站点、其他pfSense防火墙以及大多数其他防火墙解决方案（思科，瞻博网络等）的连接， 它也可以用于移动客户端连接。

OpenVPN

OpenVPN是一种灵活、强大的SSL VPN解决方案，支持广泛的客户端操作系统。

PPPoE 服务器

pfSense提供了PPPoE服务器。 本地用户数据库可用于认证，也支持带可选计费的RADIUS认证。

报告和监控

RRD 图表

pfSense中的RRD图表保留以下内容的历史信息。

• CPU利用率。

• 总吞吐量。

• 防火墙状态。

• 所有接口的单独吞吐量。

• 所有接口的每秒数据包速率。

• WAN接口网关ping响应时间。

• 流量整形器在启用了流量整形系统上排队情况。

实时信息

历史信息虽然重要，但有时候实时信息更重要。

• SVG图表可用于显示每个接口的实时吞吐量。

• 对于流量整形器用户，系统状态 >队列页面使用AJAX更新流量表提供队列使用情况的实时显示。

• 系统仪表页面可以显示实时CPU、内存、交换磁盘、状态表大小的使用情况。

  
  

动态DNS

pfSense支持主流DNS客户端，允许向多个动态DNS服务商注册你自己的公共IP。

• 自定义 - 允许自定义信息

• DNS-O-Matic

• DynDNS

• DHS

• DNSexit

• DyNS

• easyDNS

• freeDNS

• HE.net

• Loopia

• Namecheap

• No-IP

• ODS.org

• OpenDNS

• Route 53

• SelfHost

• ZoneEdit

客户端也可用于RFC 2136动态DNS更新，以便与支持这种更新方式的DNS服务器（如BIND）一起使用。

入网门户 

入网门户允许进行强制身份验证或重定向到指定页面再访问网络。 这通常用于热点网络，但也广泛用于企业网络，以实现无线或Internet访问的附加安全层。 下面是入网门户的功能列表：

• 最大并发连接数 - 限制每个客户端IP的门户本身连接数。 

• 空闲超时 - 断开空闲时间超过指定分钟数的客户端。

• 硬超时 - 强制在指定的时间后断开所有客户端的连接。

• 登录弹出窗口 - 可以设置一个带注销按钮的窗口。

• URL重定向 - 在对入网门户进行身份验证或点击之后，用户可以被强制重定向到定义的URL。

• MAC过滤 - 默认情况下，使用MAC地址过滤器。 如果在启用入网门户的接口上的路由器后面有子网，则在授权一个用户后，路由器后面的每台计算机都将被授权。 对于这些情况，可以禁用MAC过滤。

• 身份验证选项 - 有三个身份验证选项可用。

  • 无需身份验证 - 这意味着用户只需点击门户网站页面即可，无需输入凭据。

  • 本地用户管理器 - 使用本地用户数据库用于认证。

  • RADIUS身份验证 - 这是企业环境和ISP的首选身份验证方法。 它可以使用Microsoft Active Directory和其他的RADIUS服务器进行身份验证。

• RADIUS功能

  • 强制重新认证

  • 能够发送计费信息

  • RADIUS MAC身份验证允许入网门户使用客户端的MAC地址作为用户名和密码来向RADIUS服务器进行身份验证。

  • 允许配置冗余RADIUS服务器。

• HTTP或HTTPS - 门户页面可以配置为使用HTTP或HTTPS进行访问。

• 直通MAC和IP地址 - 可以使用白名单列出MAC和IP地址来绕过门户限制。

• 文件管理器 - 允许上传自定义图像以供在门户页面中使用。

DHCP服务器和中继

pfSense软件包括DHCP服务器和中继功能。

本文转自 鐵血男兒 51CTO博客，原文链接：http://blog.51cto.com/fxn2025/2071729，如需转载请自行联系原作者