OPNsense – 多功能高可靠易使用的防火墙(二)

2022-07-23 09:30:18 浏览数 (3)

大家好,又见面了,我是你们的朋友全栈君。

OPNsense的安装和使用(二)

前面我们已经完成了OPNsense的安装和基本设置,现在开始OPNsense的各项常用功能设置。本文主要是讨论OPNsense的系统管理部分的常用内容。

内容列表

  • 基本设置
  • 证书颁发机构(CA)管理
  • 证书管理
  • 授权管理
  • 系统软件管理
  • 其他管理

基本设置

这是首次进入配置模式时才能见到的欢迎页面,然后就会进入设置过程。为能方便起见 ,我们先把界面设成中文了。

简单click“Next”,进入下一步。

这里我们可以把界面语言设成中文[Chinese(Simplified)],方便使用。其他必须设置的是电脑名和域名 (域名用了lswin.cn,应该是未注册的域名,如您已注册该域名,抱歉了!)。如使用DHCP方式获取WAN的IP地址,那DNS地址可以不设,但也可以根据自己的喜好设置DNS。这个DNS地址可能被DHCP/PPP覆盖,如您不希望被覆盖,请不要勾选“Override DNS”。后面三项设置是为默认的DNS服务器的,应根据您的需求选择,一般情况下可以保持不变。点击Next进入下一个设置页面。这时页面可能还是英文的,只要重新加载就会变成中文界面。

默认的网络时间服务器池用的是opnsense.pool.ntp.org,建议换成asia.pool.ntp.org,时区用Asia/Shanghai。完成后click下一步,进行WAN设置。

WAN端口设置非常通用,除了最后二项。

分别是:阻止RFC1918私有网络拦截bogon网络,如您的WAN地址是私网地址,这二项 不得勾选!如不是,为了安全,最好勾选。 后面是LAN设置和管理员密码设置。

和安装时一样,不用输入密码,直接click下一步就可以,保持密码不变。

到此基本设置已经完成,click重新加载,加载新的配置。


证书颁发机构(CA)管理

为了方便企业内部的SSL加密通讯,我们将在OPNsense配置企业内部的证书颁发机构(CA),所有内部用到的证书,将由此机构签发。

从【系统:信任:认证】进入证书颁发机构管理页面

已有的颁发机构会在列出,如我们这已经有了一个(LSWIN-ROOT-CA)。我们下面将示范如何建立颁发机构和中级颁发机构。 首先点击右上角的【 添加或导入CA】

首先建立颁发机构:

除了【描写名字】外,尽量用英文填写,并不是所有软件都能很好处理证书中的UTF-8编码。click【保存】,一个颁发机构的证书就形成了。

下面是使用刚生成的颁发机构颁发一张中级颁发机构证书,这二种颁发机构都有权颁发客户端 / 服务器证书,不同处是颁发机构有权颁发中级颁发机构证书,中级颁发机构没有权利签发任何颁发机构证书。


证书管理

从【系统:信任:证书】进入证书管理页面,页面上显示的是现有各类证书。

颁发的证书一般分为二类,服务器证书和终端证书,顾名思义,服务器证书给提供服务的设备使用,终端证书给接入服务的终端设备使用。证书一经签发,不可修改。 点击右上角的【 添加或导入证书】,进入签发页面。 证书管理提供三种功能,导入现有证书、形成签发证书请求和颁发证书,我们只讨论颁发证书 – 颁发服务器证书和颁发终端证书。 将用于OpenVPN服务的证书

张三的个人证书

在管理中心,我们可以看到这二张证书。


授权管理

授权管理主要是管理二类用户,一个是OPNsense管理员,另一类是远程接入用户,我们在这只讨论OpenVPN用户。 入口:【系统:访问:用户】

点击用户右边的小铅笔符号是修改,小垃圾桶是删除。新增用户是点击右下角的 号。 新增用户 新增用户张三,登录名是zhang.san,邮箱是zhang.san@exampleco.cn,远程接入(OpenVPN)用户,账号有效期到2020年12月31里。 因为我们的VPN接入将采用个人证书加密码的形式,所以我们勾选了【 点击以生成一个用户证书 】,信息填好后点击【保存】。

因勾选了【 点击以生成一个用户证书 】,保存用户信息后,自动跳转到证书页面。

我们已经为张三生成了个人证书,所以在此选用了【选择一个现存的证书】。选好后点击【保存】,重新回到新增用户页面。我们可以看到用户证书一栏已经更新,再点击【save and goback】,新增用户张三的任务就完成了。

完成后将返还用户管理页面。


系统软件管理

系统软件菜单上被称为固件

更新表 如有更新,可更新部件会被列出。

设置表

【固件镜像】选用Aivian。这是唯一的一个国内镜像,明显比其他镜像快。 【固件Flavor】其实就有二种,一种是用OpenSSL,一种是用LibreSSL,可根据自己的喜好选择。(default)是使用OpenSSL。 【Release Type】也是有二种选择生产版(Production)和开发版(Development)。OPNsense的开发版也很稳定。OPNsense的质量,在开源项目中有明显优势,这是我们选择它的重要原因之一。

软件包表

这里列出的是系统中已经安装的插件包。

插件表

排在上面,使用粗体字的表示是已安装的插件包,其余的表示是未安装的插件包。图中,每种插件包都有二个版本,生产版和开发版。这是因为我们在设置中的【Release Type】选了开发版,否则不显示开发版。

【现在审查】功能是很有用的独特功能组,有二个功能,分别是安全审查(Security)和健康审查(Health)。 下图是安全审查的结果。

下图是健康审查的结果。

看了这二个图,安全审查和健康审查的意思应该是很明确了。


其他管理在这里我们不做讨论。几个高级配置(网关、高可靠和路由)在后面配置其他应用是可能会碰到,到时再讨论。其他的配置,没什么可以多说的,多玩玩就行了。


OPNsense的系统配置到此告一段落,下一个主题是VPN的配置和使用。IPsec和OpenVPN是最常用和可靠的二个加密通讯开放标准。相对来说,业界更偏好OpenVPN,我们也归于这一类。我们的系统,只支持OpenVPN远程接入,所以下一讲的标题会是 “ OpenVPN的配置和使用 ”。

发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/126120.html原文链接:https://javaforall.cn

0 人点赞