自建家用防火墙-pfSense
pfSense是一个基于FreeBSD架构的软件防火墙,通常会被安装在多网卡的主板上作为路由器或者防火墙去使用。pfSense具有商业防火墙的大部分功能,管理上非常的简单,可以支持通过web进行配置和管理,pfSense部署在边缘网络上一般可以抵挡500Mbps的互联网流量。
pfSense防火墙具有:包过滤功能、NAT模式部署、负载均衡,双机热备、VPN等重要功能,支持报告生成功能,还可以通过SNMP进行集中管理。在开源防火墙市场中,pfSense占有领先的地位。这里我们说一下家用系统为什么需要防火墙,对于灵活就业的软件开发者来说,在家办公,下载,搭建开发平台等,另外还有个人和家庭的照片等资料防止未经授权外传,防火墙就比较重要了。另一方面目前宽带业务最小到桌面的也有200Mbps,500Mbps也不鲜见了,如果出现黑客攻击,或外传文件,一晚上就可以传出去1TB左右的数据,所以家用防火墙越来越重要了。
我们这个平台是正版化的平台,致力于全部使用开源系统,拒绝一切盗版软件,为大家提供如何使用开源的软件完成全部的开发管理流程、IT运维组织等。让我们一起来倡导正版软件,一起来使用开源系统。让这些开源系统变得更加容易部署!
一、熟悉架构
我们首先要规划一下我们的网络架构:
(1)WAN网,要有一个网口做WAN口,这个口接外网,也就是宽带的入口。
(2)LAN网,这个网口主要是我们内部的PC,电脑,服务器使用,进出做严格的限制。保护内部数据泄露。当然LAN网还可以再划分子网,比如我们内部使用的开源软件镜像站,比如家庭照片,比如GitLab代码服务器、测试服务器等,可以再进行子网划分。以确保数据安全。
(3)DMZ网,我们可以将外部可以访问的数据放在防火墙DMZ口,充许这些访问我们的个人web和文件系统。比如外出工作时使用的文件(非重要的)等。
二安全设置
(1)VPN功能,打开pfSense的VPN功能,平时出门在外,需要传送数据或传出数据时,可以连接VPN到自己家里,然后将照片,代码等传到自己工作的笔计本。
(2)LAN网至DMZ的单向访问功能,即LAN用户可以访问DMZ,但DMZ无法访问LAN网主机或数据。
(3)WAN至DMZ仅开通必要端口,这里不建议开通80端口,这样平时会招来不少不怀好意的家伙过来,从而造成你的网络访问缓慢。一般可以打开443端口即https加密端口,也可以打开指定端口,比如8282等。访问web时只需要http://IP:8282就可以登录进来。
(4)WAN至LAN口,注意这里仅充许LAN不受限制的出站,WAN的进站全部拦截。如果你的LAN还有得要的服务器,则你要建好子网(Vlan)不要让这些服务器上网。
三其他建议
(1)防火墙的硬件选择,根据自己的宽带和工作性质选择主机,建议WAN选用千兆网卡,对于一般开发工作,WAN、LAN、DMZ全部采用千兆网卡即可,对于影音,人工智能的开发,可以将LAN和DMZ两个商品改为光纤。
A:不需要建DMZ的,可以选这款
不足千元千兆网口,还有wifi5,安装pfSense你连wifi都不用买了。
B:万兆级的可以选这款
光纤网卡要单独加。
(2)如果你还有服务器,交换可以采购带三层网管功能的交换机,比如我自己就选择了新华三(H3C)S6520-22SG-SI 14万兆光纤口+8千兆电三层网管企业级网络核心交换机。
这款交换机性价比很高,不超过万元的万兆级交换机。GPU算力服务器、开源站、代码服务器、文件共享服务器,外加日常工作用的PC直接双万兆聚合,速度达到20Gbps,加上华为的WIFI6,14个万兆口妥妥的充足。
下面重头戏来了,怎么安装pfSense。
四安装pfSense
(1)首先下载地址:Download pfSense Community Edition
我用的是ISO,可以这么选,最好使用迅雷下载,这样会快一点。有能力改内核软件的可以一并把原代码也下载了。如右上:source code。
文件件下载下来是这样的,注意我下载的是ADM X86架构的CPU的软件,这里也有ARM架构的下载,第一个是ISO的,需要记得光盘,下面两个是U盘的,需要制做启动U盘。
我使用的是第一个ISO方式,刻光盘,然后安装。再说明一点,这个软件是FreeBSD和pfSense一起安装的,不是先装个操作系统,再安装pfSense。
(2)安装过程很简单,就是根据提示一步步安装完成就行了。
在安装的过程中,如果遇到多网卡,安装过程会提示你,那一个网卡定义为WAN,哪一个网卡定义为LAN。我们至少要定义这两个网卡,其他的网卡都可以以后再定义。
当出现这个界面的时侯,证明你已安装好了。
这里我已经定义了LAN口和WAN口,注意访问网页必须由LAN口进去,WAN口是不能做为管理的。
(3)这里列一下默认登录的用户名和密码:
用户名:admin
密码:pfsense (备注:全是小写)
pfsense支持中英文等多国语言,你可以在系统,常规设置里面,本地设置里面选中文语言,刷新界面就可以显示中文了。
(4)有关详细的配置手册,有中文和英文的两种稍后我单独发上来。