网站搜索

pfSense 2.4.4 防火墙路由器的安装和配置

如今,互联网是一个可怕的地方。几乎每天都会发生新的零日漏洞、安全漏洞或勒索软件,让许多人想知道是否有可能保护他们的系统。

许多组织花费数十万甚至数百万美元试图安装最新、最好的安全解决方案来保护其基础设施和数据。但家庭用户在金钱上处于劣势。即使投资一百美元购买专用防火墙通常也超出了大多数家庭网络的承受范围。

值得庆幸的是,开源社区中有一些专门的项目在家庭用户安全解决方案领域取得了长足的进步。 IPfire、Snort、Squid 和 pfSense 等项目都以商品价格提供企业级安全!

PfSense 是一个基于 FreeBSD 的开源防火墙解决方案。该发行版可以免费安装在自己的设备上,或者 pfSense 背后的公司 NetGate 销售预配置的防火墙设备。

pfSense 所需的硬件非常少,通常可以轻松地将旧的家庭塔重新调整为专用的 pfSense 防火墙。对于那些希望构建或购买功能更强大的系统来运行更多 pfSense 高级功能的人,有一些建议的最低硬件要求:

硬件最低要求

  • 500兆赫CPU
  • 1 GB 内存
  • 4GB 存储空间
  • 2 个网络接口卡

建议硬件

  • 1GHz中央处理器
  • 1 GB 内存
  • 4GB 存储空间
  • 2 个或更多 PCI-e 网络接口卡。

认真的家庭用户硬件建议(和企业)

如果家庭用户想要启用 pfSense 的许多额外特性和功能,例如 Snort防病毒扫描、DNS 黑名单、网页内容过滤、等等,推荐的硬件变得更加复杂。

为了支持pfSense防火墙上的额外软件包,建议为pfSense提供以下硬件:

  • 运行频率至少为 2.0 GHz 的现代多核 CPU
  • 4GB+ 内存
  • 10GB+ 高清空间
  • 2 个或更多 Intel PCI-e 网络接口卡

安装pfSense 2.4.4

在本节中,我们将看到 pfSense 2.4.4(撰写本文时的最新版本)的安装。

实验室设置

pfSense 对于刚接触防火墙的用户来说常常令人沮丧。许多防火墙的默认行为是阻止一切,无论好坏。从安全角度来看这很好,但从可用性角度来看却不是这样。在开始安装之前,在开始配置之前概念化最终目标非常重要。

下载 pfSense

无论选择哪种硬件,将 pfSense 安装到硬件上都是一个简单的过程,但确实需要用户密切注意哪些网络接口端口将用于哪个目的(LAN、WAN、无线等)。

安装过程的一部分将涉及提示用户开始配置 LAN 和 WAN 接口。作者建议仅插入 WAN 接口,直到 pfSense 配置完成,然后再插入 LAN 接口来完成安装。

第一步是从 https://www.pfsense.org/download/ 获取 pfSense 软件。根据设备和安装方法,有几个不同的选项可用,但本指南将使用“AMD64 CD (ISO) 安装程序”。

使用前面提供的链接上的下拉菜单,选择合适的镜像来下载文件。

下载安装程序后,可以将其刻录到 CD,也可以使用大多数 Linux 发行版中包含的“dd”工具将其复制到 USB 驱动器。

下一个过程是将 ISO 写入 USB 驱动器以启动安装程序。为此,请使用 Linux 中的“dd”工具。首先,磁盘名称需要使用“lsblk”来定位。


lsblk

将 USB 驱动器的名称确定为“/dev/sdc”后,可以使用“dd”工具将 pfSense ISO 写入该驱动器。


gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

重要:上述命令需要 root 权限,因此请使用“sudo”或以 root 用户身份登录来运行该命令。此命令还将删除 USB 驱动器上的所有内容。请务必备份所需的数据。

安装 pfSense

一旦“dd”完成对 USB 驱动器的写入或 CD 已刻录,请将媒体放入将设置为 pfSense 防火墙的计算机中。将计算机启动到该媒体,然后将显示以下屏幕。

在此屏幕上,要么让计时器耗尽,要么选择 1 继续引导到安装程序环境。安装程序完成启动后,系统将提示您进行键盘布局所需的任何更改。如果所有内容均以母语显示,只需单击“接受这些设置”即可。

下一个屏幕将为用户提供“快速/轻松安装”或更高级的安装选项。就本指南而言,建议仅使用“快速/轻松安装”选项。

下一个屏幕将简单地确认用户希望使用“快速/轻松安装”方法,该方法在安装过程中不会询问太多问题。

可能出现的第一个问题将询问要安装哪个内核。再次建议大多数用户安装“标准内核”。

当安装程序完成此阶段后,它将提示重新启动。请务必同时删除安装介质,以免计算机重新启动到安装程序。

pfSense 配置

重新启动并移除 CD/USB 介质后,pfSense 将重新启动到新安装的操作系统。默认情况下,pfSense 将选择一个接口设置为具有 DHCP 的 WAN 接口,并保留 LAN 接口未配置。

虽然 pfSense 确实有一个基于 Web 的图形配置系统,但它仅在防火墙的 LAN 端运行,但目前 LAN 端将被取消配置。首先要做的是在 LAN 接口上设置 IP 地址。

为此,请按照下列步骤操作:

  • 当询问 VLAN 时,键入‘n’并按‘Enter’键。
  • 当提示输入 WAN 接口时,输入步骤一中记录的接口名称,或立即更改为正确的接口。在这个例子中,“em0”是 WAN 接口,因为它将是面向互联网的接口。
  • 下一个提示将询问 LAN 接口,再次输入正确的接口名称并按“Enter”键。在此安装中,‘em1’ 是 LAN 接口。
  • pfSense 将继续请求更多接口(如果可用),但如果所有接口均已分配,只需再次按‘Enter’键即可。
  • pfSense 现在将提示确保接口分配正确。

  • 如果界面正确,请输入‘y’并按‘Enter’键。


    • 下一步将为接口分配正确的 IP 配置。 pfSense 返回主屏幕后,输入‘2’并按‘Enter’键。 (请务必跟踪分配给 WAN 和 LAN 接口的接口名称)。

    *注意* 对于此安装,WAN 接口可以毫无问题地使用 DHCP,但在某些情况下可能需要静态地址。在 WAN 上配置静态接口的过程与即将配置 LAN 接口的过程相同。

    当提示选择哪个接口设置 IP 信息时,再次输入‘2’。同样,2 是本演练中的 LAN 接口。

    出现提示时,键入此接口所需的 IPv4 地址,然后按“Enter”键。该地址不应在网络上的其他任何地方使用,并且可能会成为插入此接口的主机的默认网关。

    下一个提示将以所谓的前缀掩码格式询问子网掩码。对于此示例网络,将使用简单的 /24255.255.255.0。完成后按“Enter”键。

    下一个问题将询问“上游 IPv4 网关”。由于 LAN 接口当前已配置,只需按“Enter”键即可。

    下一个提示将要求在 LAN 接口上配置 IPv6。本指南仅使用 IPv4,但如果环境需要 IPv6,现在就可以配置。否则,只需按“Enter”键即可继续。

    下一个问题将询问有关在 LAN 接口上启动 DHCP 服务器的问题。大多数家庭用户需要启用此功能。同样,这可能需要根据环境进行调整。

    本指南假设用户希望防火墙提供 DHCP 服务,并为其他计算机分配 51 个地址,以便从 pfSense 设备获取 IP 地址。

    下一个问题将要求将 pfSense 的 Web 工具恢复为 HTTP 协议。强烈建议不要这样做,因为 HTTPS 协议将提供一定程度的安全性,以防止泄露 Web 配置工具的管理员密码。

    一旦用户点击“Enter”,pfSense 将保存接口更改并在 LAN 接口上启动 DHCP 服务。

    请注意,pfSense 将提供 Web 地址,以便通过插入防火墙设备 LAN 端的计算机访问 Web 配置工具。基本配置步骤到此结束,使防火墙设备做好更多配置和规则的准备。

    通过 Web 浏览器导航至 LAN 接口的 IP 地址来访问 Web 界面。

    截至撰写本文时,pfSense 的默认信息如下:

    
Username: admin
Password: pfsense

    首次通过 Web 界面成功登录后,pfSense 将运行初始设置以重置管理员密码。

    第一个提示是注册 pfSense Gold 订阅,该订阅具有自动配置备份、访问 pfSense 培训材料以及与 pfSense 开发人员定期举行虚拟会议等优势。不需要购买黄金订阅,如果需要,可以跳过该步骤。

    以下步骤将提示用户提供防火墙的更多配置信息,例如主机名、域名(如果适用)和 DNS 服务器。

    下一个提示将是配置网络时间协议NTP。除非需要不同的时间服务器,否则可以保留默认选项。

    设置 NTP 后,pfSense 安装向导将提示用户配置 WAN 接口。 pfSense 支持多种配置 WAN 接口的方法。

    大多数家庭用户的默认设置是使用 DHCP。来自用户互联网服务提供商的 DHCP 是获取必要 IP 配置的最常见方法。

    下一步将提示配置 LAN 接口。如果用户连接到 Web 界面,则 LAN 接口可能已配置。

    但是,如果需要更改 LAN 接口,则此步骤将允许进行更改。请务必记住 LAN IP 地址的设置,因为
    管理员将访问网络界面!

    与安全领域的所有事物一样,默认密码代表着极大的安全风险。下一页将提示管理员更改 pfSense Web 界面的“admin”用户的默认密码。

    最后一步涉及使用新配置重新启动 pfSense。只需单击“重新加载”按钮即可。

    pfSense 重新加载后,它将在登录完整的 Web 界面之前向用户显示最终屏幕。只需单击第二个“单击此处”即可登录完整的网络界面。

    最后,pfSense 已启动并准备好配置规则!

    现在 pfSense 已启动并运行,管理员需要检查并创建规则以允许适当的流量通过防火墙。应该注意的是,pfSense 有一个默认的允许所有规则。出于安全考虑,应该对此进行更改,但这又是管理员的决定。

    另请阅读:在 pfSense 防火墙中安装和配置 pfBlockerNg 以进行 DNS 黑名单

    感谢您阅读这篇关于 pfSense 安装的 TecMint 文章!请继续关注有关配置 pfSense 中一些更高级选项的未来文章。