Pfsense_防火墙配置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Pfsense 防火墙备机方案
1架设目的:
为保证公司网络稳定运行,和将由于防火墙硬件故障(WatchGuard已过保)造成的断网时间降到最低。现使用Pfsense做为WatchGuard备机,以实现如下目的:
●降低断网时间
●替代WatchGuard防火墙的所有角色
2架设环境和所需软件:
主机一台
pfSense-1.2.3-LiveCD
3步骤流程
3.1 安装
1放入CD,开机后出现
2直接按回车键,进入VLAN配置界面,输入N 后回车:
3选择内部接口的网卡,这里Pfsense会自动检测和列出所有本机的网卡4依次选择好WAN口网卡和Optional网卡(DMZ区域):
5列出网口选择信息,输入Y继续进程:
6 进入Pfsense安装界面,输入99回车后安装
(Pfsense提供liveCD的功能,我们刚刚完成的配置其实没在硬盘中安装PFsnense)
7选择< Accept there Settings >
8选择< Install pfSense >
9这是硬盘选择,绝大多都选第一个
10选择< Format this Disk >
11选择< Use this Geometry >
12选择< Format ad0 >
13选择< Skip this Step > /*不用分区硬盘,除非另有用途*/
14分区选择,只有一个可以选
15选择< Accept and Create >
16系统会问内核设置(kernel configuration setting)
如果你的CPU是单核的就选第一项< Uniprocessor kernel >
如果你的CPU是双核的就选第二项< Symmetric multiprocessing kernel >
17选择
18最后选择< REBOOT >
安装结束
3.2移植WatchGuard配置
3.2.1基本配置
●初始界面:
●设置名称等:
●设置时间等:
●设置WAN口地址:
●设置LAN口地址:
重启后进入系统后可以进行如下操作以更改以上设置:
静态路由配置 VPN设置
3.2.2NAT配置:
现在virtual ip中设置好NAT的外部地址池
设置所有的nat映射:
所有需要NAT的配置
3.3策略配置
WG策略中IN 对应pfsense的WAN口规则,反之OUT对应LAN.
所有规则在pfsense中Firewall>rule中设置。
‘ANY’移植:(该策略是为了让VPN用户和香港邮箱的连接端口不受限制)IN的规则:
OUT设置时候需要设置Aliases用来简化设置
OUT的配置
‘CiscoVPN’策略(满足客户使用VPN连接回公司办公)。此策略没有IN方向,只用OUT。先对所用到的地址做Aliases
‘Dameware’策略(防止Dameware这个工具从外网连接公司电脑,也可以防止被挂木马)IN的策略
OUT的策略
‘DNS’策略*(DNS的连接)IN:
OUT:
‘Filtered-SMTP’策略(对邮件进行控制)IN方向的已经通过NAT控制。
OUT:
‘FTP’策略(对21端口控制)IN:通过NAT进行控制OUT:
‘FTP-rp’策略(ERP的FTP规则)IN:
OUT:
‘HTTPS’策略(对HTTPS的控制,主要是通过网页打开邮箱)IN:通过NAT进行控制
OUT:
‘NTP’策略(对网络时间协议控制,主要为Cisco设备提供统一时间)IN:
OUT:
‘outgoing’策略(此策略将放出内网中主机的所有端口,即主机不受限制)只有OUT方向
‘pcanywhere ’策略(是控制ssh和windows远程桌面端口)IN:
OUT:
‘ping’策略IN:
OUT:
‘pop3’策略(对连接外部邮箱控制)
IN:OUT:
‘’Proxied-http策略(对80端口控制和对ISA开放的地址控制)IN:又NAT做控制
Out:
‘Radmin’策略(Notes的控制)IN:由NAT控制
OUT:
‘SMTP26’(邮件控制)IN:由NAT控制
OUT:
‘vc’策略(公司的实时视频开放端口)IN:由NAT控制
OUT:
‘watchguard’策略(是远程控制watchguard策略不需要移植)