Pfsense_防火墙配置

Pfsense 防火墙备机方案

1架设目的：

为保证公司网络稳定运行，和将由于防火墙硬件故障（WatchGuard已过保）造成的断网时间降到最低。现使用Pfsense做为WatchGuard备机，以实现如下目的：

●降低断网时间

●替代WatchGuard防火墙的所有角色

2架设环境和所需软件：

主机一台

pfSense-1.2.3-LiveCD

3步骤流程

3.1 安装

1放入CD，开机后出现

2直接按回车键，进入VLAN配置界面，输入N 后回车：

3选择内部接口的网卡，这里Pfsense会自动检测和列出所有本机的网卡4依次选择好WAN口网卡和Optional网卡（DMZ区域）：

5列出网口选择信息，输入Y继续进程：

6 进入Pfsense安装界面，输入99回车后安装

（Pfsense提供liveCD的功能，我们刚刚完成的配置其实没在硬盘中安装PFsnense）

7选择< Accept there Settings >

8选择< Install pfSense >

9这是硬盘选择，绝大多都选第一个

10选择< Format this Disk >

11选择< Use this Geometry >

12选择< Format ad0 >

13选择< Skip this Step > /*不用分区硬盘，除非另有用途*/

14分区选择，只有一个可以选

15选择< Accept and Create >

16系统会问内核设置(kernel configuration setting)

如果你的CPU是单核的就选第一项< Uniprocessor kernel >

如果你的CPU是双核的就选第二项< Symmetric multiprocessing kernel >

17选择

18最后选择< REBOOT >

安装结束

3.2移植WatchGuard配置

3.2.1基本配置

●初始界面：

●设置名称等：

●设置时间等：

●设置WAN口地址：

●设置LAN口地址：

重启后进入系统后可以进行如下操作以更改以上设置：

静态路由配置 VPN设置

3.2.2NAT配置：

现在virtual ip中设置好NAT的外部地址池

设置所有的nat映射：

所有需要NAT的配置

3.3策略配置

WG策略中IN 对应pfsense的WAN口规则，反之OUT对应LAN.

所有规则在pfsense中Firewall>rule中设置。

‘ANY’移植：（该策略是为了让VPN用户和香港邮箱的连接端口不受限制）IN的规则：

OUT设置时候需要设置Aliases用来简化设置

OUT的配置

‘CiscoVPN’策略（满足客户使用VPN连接回公司办公）。此策略没有IN方向，只用OUT。先对所用到的地址做Aliases

‘Dameware’策略（防止Dameware这个工具从外网连接公司电脑，也可以防止被挂木马）IN的策略

OUT的策略

‘DNS’策略*（DNS的连接）IN：

OUT：

‘Filtered-SMTP’策略（对邮件进行控制）IN方向的已经通过NAT控制。

OUT:

‘FTP’策略（对21端口控制）IN:通过NAT进行控制OUT:

‘FTP-rp’策略（ERP的FTP规则）IN:

OUT:

‘HTTPS’策略（对HTTPS的控制，主要是通过网页打开邮箱）IN:通过NAT进行控制

OUT:

‘NTP’策略（对网络时间协议控制，主要为Cisco设备提供统一时间）IN:

OUT:

‘outgoing’策略（此策略将放出内网中主机的所有端口，即主机不受限制）只有OUT方向

‘pcanywhere ’策略（是控制ssh和windows远程桌面端口）IN：

OUT：

‘ping’策略IN:

OUT:

‘pop3’策略（对连接外部邮箱控制）

IN：OUT:

‘’Proxied-http策略（对80端口控制和对ISA开放的地址控制）IN：又NAT做控制

Out:

‘Radmin’策略（Notes的控制）IN:由NAT控制

OUT:

‘SMTP26’（邮件控制）IN:由NAT控制

OUT:

‘vc’策略（公司的实时视频开放端口）IN:由NAT控制

OUT:

‘watchguard’策略（是远程控制watchguard策略不需要移植）