pfSense功能简介

防火墙

  • 根据源和目标IP、IP协议、TCP和UDP通信的源和目标端口进行过滤

  • 限制每个规则的并发连接

  • 利用先进的被动OS /网络指纹识别实用程序p0f,允许对连接的操作系统进行过滤。 想要允许FreeBSD和Linux机器访问Internet,但要阻止Windows机器? pfSense可以通过被动检测正在使用的操作系统进行连接许可。

  • 可以有选择的记录符合每个规则的通信信息。

  • 可以在每个规则策略上选择网关(用于负载平衡、故障转移、多WAN等),可以实现高度灵活的策略路由选择

  • 别名可以允许分组和命名IP、网络和端口,让防火墙规则集更加清晰,更容易理解,特别是在多个公有IP和众多服务器的环境中时。

  • 具备透明的第2层防火墙功能。 可以桥接接口并过滤它们之间的流量,甚至允许使用无IP防火墙(但还是可能需要一个用于管理目的的IP)。

  • 数据包规范化 。'Scrubbing'是数据包的规范化,因此数据包的最终目的地在解释时没有含糊不清的地方。scrub指令还重新组合碎片数据包,保护某些操作系统免受某些形式的攻击并丢弃具有无效标志组合的TCP数据包“。

  • 默认情况下在pfSense软件中启用

  • 如果需要可以禁用。 此选项会导致某些NFS实施出现问题,但这也是安全的,应在大多数安装中保持启用状态。

  • 禁用过滤器 - 如果希望将pfSense变成纯粹的路由器,则可以完全关闭防火墙过滤器。


状态表

防火墙的状态表维护着打开的网络连接的信息。 pfSense是一个有状态的防火墙,默认情况下所有规则都是有状态的。

大多数防火墙缺乏精确控制状态表的能力。由于FreeBSD移植版本的功能,pfSense具有许多功能,它可以对状态表进行精确控制。

  • 可以调整的状态表大小 。 默认的状态表大小根据系统安装内存的大小而有所不同,但可以随时增加。 每个状态需要大约1 KB的内存,在调整状态表时记住内存使用情况, 不要把它设置得过高。

  • 可以在每个规则策略的基础上:

    • 限制同时连接的客户端。

    • 限制每台主机的状态。

    • 限制每秒新连接数。

    • 定义状态超时。

    • 定义状态类型。

  • 状态类型 - pfSense提供多种状态处理选项。

    • 保持状态 - 适用于所有协议。 这是所有规则的默认值。

    • 懒散状态 - 适用于所有协议。 这是不太严格的状态跟踪机制,在非对称路由情况下非常有用。

    • 同步代理状态 - 代理进入的TCP连接,以帮助保护服务器免受欺骗TCP SYN泛滥。 该选项包括保持状态和调制状态组合的功能。

    • 无 - 不保留此流量的任何状态条目。 仅限于在特殊的情况下使用。

  • 状态表优化选项 - pf为状态表优化提供了四个选项。

    • 正常 - 默认算法。

    • 高延迟 - 适用于高延迟网络连接,如卫星线路等。 

    • 积极 -  更有效地使用硬件资源,但可以放弃合法连接。

    • 保守 - 试图避免丢弃合法连接,但会增加内存使用量和CPU利用率。


网络地址转换 (NAT)

  • 端口转发包括范围和多个公有IP的使用

  • 单个IP或整个子网的1:1 NAT。

  • 出站NAT

    • 默认设置将所有出站流量转换为WAN IP。 在多个WAN场景中,默认设置NAT将流量发送到正在使用的WAN接口的IP。

    • 高级出站NAT允许禁用此默认行为,并允许创建非常灵活的NAT(或无NAT)规则。

  • NAT反射(回流) - 可以设置NAT反射,因此服务可以通过公共IP从内部网络访问。


高可用

CARP,pfsync和我们的配置同步的结合提供了高可用性功能。 可以将两个或更多防火墙配置为故障切换组。 如果一个接口在主服务器上失败或主服务器完全脱机,则辅助服务器将变为活动状态。 pfSense软件还包含配置同步功能,因此可以在主服务器上修改配置,并自动同步到辅助防火墙。


多WAN

多WAN功能支持使用多个互联网连接,实现负载平衡和/或故障转移,从而提高互联网可用性和带宽使用率。


服务器负载平衡

服务器负载平衡用于在多个服务器之间分配负载。 这通常用于Web服务器、邮件服务器等。 


虚拟专用网络 (VPN)

pfSense的VPN连接,提供了L2TP、IPsec和OpenVPN三种选择。

L2TP

L2TP是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。相对于PPTP,L2TP更安全。

IPsec

IPsec允许与支持标准IPsec的任何设备连接。 这通常用于站点到站点、其他pfSense防火墙以及大多数其他防火墙解决方案(思科,瞻博网络等)的连接, 它也可以用于移动客户端连接。

OpenVPN

OpenVPN是一种灵活、强大的SSL VPN解决方案,支持广泛的客户端操作系统。


PPPoE 服务器

pfSense提供了PPPoE服务器。 本地用户数据库可用于认证,也支持带可选计费的RADIUS认证。


报告和监控

RRD 图表

pfSense中的RRD图表保留以下内容的历史信息。

  • CPU利用率。

  • 总吞吐量。

  • 防火墙状态。

  • 所有接口的单独吞吐量。

  • 所有接口的每秒数据包速率。

  • WAN接口网关ping响应时间。

  • 流量整形器在启用了流量整形系统上排队情况。

实时信息

历史信息虽然重要,但有时候实时信息更重要。

  • SVG图表可用于显示每个接口的实时吞吐量。

  • 对于流量整形器用户,系统状态 >队列页面使用AJAX更新流量表提供队列使用情况的实时显示。

  • 系统仪表页面可以显示实时CPU、内存、交换磁盘、状态表大小的使用情况。


动态DNS

pfSense支持主流DNS客户端,允许向多个动态DNS服务商注册你自己的公共IP。

  • 自定义 - 允许自定义信息

  • DNS-O-Matic

  • DynDNS

  • DHS

  • DNSexit

  • DyNS

  • easyDNS

  • freeDNS

  • HE.net

  • Loopia

  • Namecheap

  • No-IP

  • ODS.org

  • OpenDNS

  • Route 53

  • SelfHost

  • ZoneEdit

客户端也可用于RFC 2136动态DNS更新,以便与支持这种更新方式的DNS服务器(如BIND)一起使用。


入网门户 

入网门户允许进行强制身份验证或重定向到指定页面再访问网络。 这通常用于热点网络,但也广泛用于企业网络,以实现无线或Internet访问的附加安全层。 下面是入网门户的功能列表:

  • 最大并发连接数 - 限制每个客户端IP的门户本身连接数。 

  • 空闲超时 - 断开空闲时间超过指定分钟数的客户端。

  • 硬超时 - 强制在指定的时间后断开所有客户端的连接。

  • 登录弹出窗口 - 可以设置一个带注销按钮的窗口。

  • URL重定向 - 在对入网门户进行身份验证或点击之后,用户可以被强制重定向到定义的URL。

  • MAC过滤 - 默认情况下,使用MAC地址过滤器。 如果在启用入网门户的接口上的路由器后面有子网,则在授权一个用户后,路由器后面的每台计算机都将被授权。 对于这些情况,可以禁用MAC过滤。

  • 身份验证选项 - 有三个身份验证选项可用。

    • 无需身份验证 - 这意味着用户只需点击门户网站页面即可,无需输入凭据。

    • 本地用户管理器 - 使用本地用户数据库用于认证。

    • RADIUS身份验证 - 这是企业环境和ISP的首选身份验证方法。 它可以使用Microsoft Active Directory和其他的RADIUS服务器进行身份验证。

  • RADIUS功能

    • 强制重新认证

    • 能够发送计费信息

    • RADIUS MAC身份验证允许入网门户使用客户端的MAC地址作为用户名和密码来向RADIUS服务器进行身份验证。

    • 允许配置冗余RADIUS服务器。

  • HTTP或HTTPS - 门户页面可以配置为使用HTTP或HTTPS进行访问。

  • 直通MAC和IP地址 - 可以使用白名单列出MAC和IP地址来绕过门户限制。

  • 文件管理器 - 允许上传自定义图像以供在门户页面中使用。


DHCP服务器和中继

pfSense软件包括DHCP服务器和中继功能。










本文转自 鐵血男兒 51CTO博客,原文链接:http://blog.51cto.com/fxn2025/2071729,如需转载请自行联系原作者

你可能感兴趣的:(pfSense功能简介)