Firewall 简介
所谓“防火墙”是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为最甚。
防火墙是在两个网络通讯时执行的一种访问控制尺度,能最大限度阻止网络中的黑客访问你的网络。是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
OPNsense Firewall
将介绍OPNsense firewall 的部分常用功能的使用,介绍的功能模块如下
别名
规则
NAT
日志
OPNsense Firewall 别名
别名类型
代码语言:javascript复制
主机----按IP或完全合格的域名限定单个主机
网络----整个网络如:192.168.1.1/24
端口----端口号或端口范围如20:30
URL-----可以获取的IP地址表
GeoIP---选择国家或整个地区
外部(高级)----
主机
主机可以作为单个IP地址或完全合格的域名输入。使用完全合格的域名时,我们会定期解析名称(默认值为300秒)。
网络
网络以无类别域间路由格式(CIDR)指定。为每个条目使用正确的CIDR掩码。例如,a / 32指定单个IPv4主机,或/ 128指定单个IPv6主机,而/ 24指定255.255.255.0,/ 64指定普通IPv6网络。
端口
可以使用冒号将端口指定为单个数字或范围。例如,要添加20到25的范围,可以在端口部分输入20:25 。
网址表
URL表可用于从远程服务器获取IP地址列表。有几个免费的IP列表,最值得一提的是Spamhaus的“Do not Route or Peer”列表。
GeoIP
使用GeoIP别名,您可以选择一个或多个国家/地区,或者整个大陆来进行阻止或允许。使用toggle all((全部切换))复选框选择指定区域内的所有国家/地区。
创建别名
创建基于主机的别名 remote_host_IP
在后面的规则中会使用到此别名
OPNsense Firewall 规则
在OPNsense 所有的规则都是基于端口划分的
LAN 口 的默认规则是放行any--any,再不添加任何规则的时候是禁止any--any,WAN口默认规则为空。
创建WAN 口放行ICMP协议
源any -- 目的any
默认即可
WAN ICMP规则
OpenV** 口 规则
使用向导创建OpenV**服务器时系统会在OpenV** 口方向放行any--any 规则,这样致使网络存在不可控风险,我们利用 OpenV**别名功能放行OpenV** 访问部门目标主机。(注意:使用OpenV**代理上网功能则需要放行any--any 规则)
创建OpenV** 规则
这里对源和目的都进行了规则限制,目标使用OpenV**别名 remote_host_IP,可根据需求调整规则
默认即可--保存
OpenV** 口自定义规则
OPNsense Firewall NAT
初始化系统时在分配LAN/WAN 口时,出站会自动生成出站NAT规则,在生产环境下推介使用手动生成出站NAT规则
NAT 端口映射
OPNsense Firewall 日志
实时日志
日志图表
日志文本视图
