Pfsense_防火墙
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
Pfsense 防火墙备机方案 1架设目的:
为保证公司网络稳定运行,和将由于防火墙硬件故障(WatchGuard已过保)造成的断网时
间降到最低。现使用Pfsense做为WatchGuard备机,以实现如下目的: , 降低断网时间
, 替代WatchGuard防火墙的所有角色
2架设环境和所需软件:
DELL PC一台
pfSense-1.2.3-LiveCD
download: www.pfsense.org/download
3步骤流程
3.1 安装
1放入CD,开机后出现
2直接按回车键,进入VLAN配置界面,输入 N 后回车:
3选择内部接口的网卡,这里Pfsense会自动检测和列出所有本机的网卡
4依次选择好 WAN口网卡和Optional网卡(DMZ区域):
5列出网口选择信息,输入Y继续进程:
6 进入Pfsense安装界面,输入99回车后安装
(Pfsense提供liveCD的功能,我们刚刚完成的配置其实没在硬盘中安装PFsnense)
7选择 < Accept there Settings >
8选择 < Install pfSense >
9这是硬盘选择,绝大多都选第一个
10选择 < Format this Disk >
11选择 < Use this Geometry >
12选择 < Format ad0 >
13选择 < Skip this Step > /*不用分区硬盘,除非另有用途*/
14分区选择,只有一个可以选
15选择 < Accept and Create >
16系统会问内核设置(kernel configuration setting) 如果你的CPU是单核的就选第一项 < Uniprocessor kernel > 如果你的CPU是双核的就选第二项 < Symmetric multiprocessing kernel >
17选择
18最后选择 < REBOOT >
安装结束
3.2移植WatchGuard配置
3.2.1基本配置
, 初始界面:
, 设置名称等:
, 设置时间等:
, 设置WAN口地址:
, 设置LAN口地址:
重启后进入系统后可以进行如下操作以更改以上设置:
静态路由配置
, VPN设置
3.2.2NAT配置:
现在virtual ip中设置好NAT的外部地址池
设置所有的nat映射:
所有需要NAT的配置
3.3策略配置
WG策略中IN 对应pfsense的WAN口规则,反之OUT对应LAN. 所有规则在pfsense中Firewall>rule中设置。
‘ANY’移植:(该策略是为了让VPN用户和香港邮箱的连接端口不受限制) IN的规则:
OUT设置时候需要设置Aliases用来简化设置
OUT的配置
‘CiscoVPN’策略(满足客户使用VPN连接回公司办公)。此策略没有IN方向,只用OUT。
先对所用到的地址做Aliases
‘Dameware’策略(防止Dameware这个工具从外网连接公司电脑,也可以防止被挂木马)
IN的策略
OUT的策略
‘DNS’策略*(DNS的连接)
IN:
OUT:
‘Filtered-SMTP’策略(对邮件进行控制)
IN方向的已经通过NAT控制。
OUT:
‘FTP’策略(对21端口控制)
IN:通过NAT进行控制
OUT:
‘FTP-rp’策略(ERP的FTP规则)
IN:
OUT:
‘HTTPS’策略(对HTTPS的控制,主要是通过网页打开邮箱)
IN:通过NAT进行控制
OUT:
‘NTP’策略(对网络时间
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
控制,主要为Cisco设备提供统一时间)
IN:
OUT:
‘outgoing’策略(此策略将放出内网中主机的所有端口,即主机不受限制)
只有OUT方向
‘pcanywhere ’策略(是控制ssh和windows远程桌面端口)
IN:
OUT:
‘ping’策略
IN:
OUT:
‘pop3’策略(对连接外部邮箱控制)
IN:
OUT:
‘’Proxied-http策略(对80端口控制和对ISA开放的地址控制)
IN:又NAT做控制
Out:
‘Radmin’策略(Notes的控制)
IN:由NAT控制
OUT:
‘SMTP26’(邮件控制)
IN:由NAT控制
OUT:
‘vc’策略(公司的实时视频开放端口)
IN:由NAT控制
OUT:
‘watchguard’策略(是远程控制watchguard策略不需要移植)