Log in
+41 41 610 6363

Firewall mit pfSense

Sichere Netzwerke starten hier. Mit Tausenden von Unternehmen, die mit pfSense® Software arbeiten, wird es schnell zur weltweit vertrauenswürdigsten Open-Source-Netzwerksicherheitslösung.

Firewall

  • Filtern nach Quell- und Ziel-IP, IP-Protokoll, Quell- und Zielport für TCP- und UDP-Verkehr
  • Begrenzung gleichzeitiger Verbindungen auf einer Regel
  • PfSense-Software nutzt p0f, ein fortgeschrittenes passives OS / Netzwerk-Fingerprinting-Dienstprogramm, mit dem Sie durch das Betriebssystem, das die Verbindung initiiert, filtern können. Möchten Sie FreeBSD- und Linux-Rechner im Internet erlauben, aber Windows-Rechner blockieren? PfSense-Software erlaubt dies (unter vielen anderen Möglichkeiten) durch passives Erkennen des verwendeten Betriebssystems.
  • Option zum Protokollieren oder nicht, der mit jeder Regel übereinstimmt.
  • Hochgradig flexibles Policy-Routing möglich durch Auswahl von Gateway auf einer pro-Regel Basis (für Lastverteilung, Failover, mehrere WAN, etc.)
  • Aliase erlauben Gruppierung und Benennung von IPs, Netzwerken und Ports. Dies hilft, Ihren Firewall-Regelsatz sauber und leicht zu verstehen, vor allem in Umgebungen mit mehreren öffentlichen IPs und zahlreichen Servern.
  • Transparente Layer 2 Firewalling fähig - kann Schnittstellen überbrücken und den Verkehr zwischen ihnen filtern und sogar eine IP-freie Firewall zulassen (obwohl man wohl eine IP für Managementzwecke wünscht).
  • Paket-Normalisierung - Beschreibung aus der pf-Scrub-Dokumentation - "Scrubbing" ist die Normalisierung von Paketen, so dass es keine Unklarheiten in der Interpretation durch das ultimative Ziel des Pakets gibt. Die Scrub-Direktive setzt auch fragmentierte Pakete zusammen und schützt einige Betriebssysteme vor einigen Formen Angriff und fällt TCP-Pakete, die ungültige Flag-Kombinationen haben. "
    • In der pfSense-Software standardmäßig aktiviert
    • Kann bei Bedarf deaktivieren. Diese Option verursacht Probleme bei einigen NFS-Implementierungen, ist aber sicher und sollte bei den meisten Installationen aktiviert bleiben.
  • Deaktivieren Sie den Filter - Sie können den Firewall-Filter ganz ausschalten, wenn Sie Ihre pfSense-Software in einen reinen Router umwandeln möchten.

Statustabelle

Die Statustabelle der Firewall enthält Informationen über Ihre offenen Netzwerkverbindungen. Die pfSense-Software ist eine Stateful Firewall, standardmäßig sind alle Regeln stateful.

Die meisten Firewalls fehlen die Fähigkeit, Ihren Staatstisch fein zu kontrollieren. Die pfSense-Software verfügt über zahlreiche Funktionen, die eine granulare Kontrolle über Ihre State-Tabelle ermöglichen, dank der Fähigkeiten der FreeBSD-Port-Version von pf.

  • Begrenzung gleichzeitiger Clientverbindungen
  • Begrenzungszustände pro Host
  • Begrenzung neuer Verbindungen pro Sekunde
  • Definieren Sie das Status-Timeout
  • Statusart definieren
  • State-Typen - die pfSense-Software bietet mehrere Optionen für die Zustandsführung.
    • Halten Sie den Zustand - Funktioniert mit allen Protokollen. Standard für alle Regeln.
    • Sloppy state - Funktioniert mit allen Protokollen. Weniger strenge Zustandsverfolgung, nützlich bei asymmetrischen Routing.
    • Synproxy-Status - Proxies eingehende TCP-Verbindungen zum Schutz der Server vor gefälschten TCP-SYN-Überschwemmungen. Diese Option beinhaltet die Funktionalität von Keep-State und modulierten Zustand kombiniert.
    • Keine - Halten Sie keine Status Einträge für diesen Verkehr. Dies ist sehr selten wünschenswert, aber da ist es möglich, unter bestimmten Umständen nützlich zu sein.
  • Statustabelle Optimierungsmöglichkeiten - pf bietet vier Optionen für die Statustabelle Optimierung.
    • Normal - the default algorithm
    • Hohe Latenz - Nützlich für Verbindungen mit hoher Latenz, wie z. B. Satellitenverbindungen. Läuft abwechselnd später als normal ab.
    • Aggressiv - Läuft schnellere Verbindungen ab. Effizientere Nutzung von Hardware-Ressourcen, kann aber legitime Verbindungen fallen lassen.
    • Konservativ - versucht zu vermeiden, legitime Verbindungen auf Kosten der erhöhten Speicherauslastung und CPU-Auslastung zu vermeiden.

Network Address Translation (NAT)

  • Port-Forwards einschließlich Bereiche und die Verwendung von mehreren öffentlichen IPs
  • 1: 1 NAT für einzelne IPs oder ganze Subnetze.
  • Outbound NAT
    • Standardeinstellungen NAT alle ausgehenden Datenverkehr auf die WAN IP. In mehreren WAN-Szenarien werden die Standardeinstellungen NAT ausgehenden Datenverkehr in die IP der WAN-Schnittstelle verwendet.
    • Advanced Outbound NAT ermöglicht das Deaktivieren dieses Standardverhaltens und ermöglicht die Erstellung von sehr flexiblen NAT (oder keine NAT) Regeln.
  • NAT Reflexion - NAT Reflexion ist möglich, so dass Dienste von öffentlichen IP aus internen Netzwerken zugegriffen werden können.
Einschränkungen: PPTP / GRE-Einschränkung - Der Status-Tracking-Code in pf für das GRE-Protokoll kann nur eine einzelne Sitzung pro öffentlicher IP pro externem Server verfolgen. Dies bedeutet, wenn Sie PPTP-VPN-Verbindungen verwenden, kann nur eine interne Maschine gleichzeitig mit einem PPTP-Server im Internet verbinden. Tausend Maschinen können sich gleichzeitig an tausend verschiedene PPTP-Server anschließen, aber nur eine gleichzeitig auf einen einzigen Server. Die einzige verfügbare Arbeit ist, um mehrere öffentliche IPs auf deiner Firewall, eine pro Client zu verwenden oder mehrere öffentliche IPs auf dem externen PPTP Server zu verwenden. Dies ist kein Problem mit anderen Arten von VPN-Verbindungen. PPTP ist unsicher und sollte nicht mehr verwendet werden.

Hochverfügbarkeit

Die Kombination von CARP, pfsync und unserer Konfigurations-Synchronisation bietet eine hohe Verfügbarkeit. Zwei oder mehr Firewalls können als Failover-Gruppe konfiguriert werden. Wenn eine Schnittstelle auf dem Primär- oder Primärsignal ausfällt, wird das Sekundär aktiv. Die pfSense-Software enthält auch Konfigurations-Synchronisierungsfunktionen, so dass Sie Ihre Konfigurationsänderungen auf der primären und sie automatisch synchronisieren, um die sekundäre Firewall.

Die State-Tabelle der Firewall wird auf alle Failover-konfigurierten Firewalls repliziert. Dies bedeutet, dass Ihre bestehenden Verbindungen im Falle eines Fehlers beibehalten werden, was wichtig ist, um Netzwerkstörungen zu vermeiden.

Einschränkungen: Arbeitet nur mit statischen öffentlichen IPs, funktioniert nicht mit Stateful Failover mit DHCP, PPPoE oder PPTP Typ WANs.

Multi-WAN

Multi-WAN-Funktionalität ermöglicht die Nutzung mehrerer Internetverbindungen mit Lastverteilung und / oder Failover für eine verbesserte Internetverfügbarkeit und Bandbreitenverbrauchsverteilung.

Server Load Balancing

Der Serverlastenausgleich wird verwendet, um die Last zwischen mehreren Servern zu verteilen. Dies wird häufig mit Webservern, Mailservern und anderen verwendet. Server, die nicht auf Ping-Anfragen oder TCP-Port-Verbindungen reagieren, werden aus dem Pool entfernt.

Virtual Private Network (VPN)

Die pfSense-Software bietet drei Optionen für VPN-Konnektivität, IPsec und OpenVPN.

IPsec

IPsec ermöglicht die Konnektivität mit jedem Gerät, das Standard IPsec unterstützt. Dies wird am häufigsten für Site-to-Site-Konnektivität zu anderen pfSense-Installationen und die meisten anderen Firewall-Lösungen (Cisco, Juniper, etc.) verwendet. Es kann auch für mobile Client-Konnektivität verwendet werden.

OpenVPN

OpenVPN ist eine flexible, leistungsstarke SSL VPN-Lösung, die eine breite Palette von Client-Betriebssystemen unterstützt.

PPPoE Server

Die pfSense-Software bietet einen PPPoE-Server an. Eine lokale Benutzerdatenbank kann zur Authentifizierung verwendet werden, und eine RADIUS-Authentifizierung mit optionaler Buchhaltung wird ebenfalls unterstützt.Reporting and Monitoring

RRD Graphs

Die RRD-Graphen in der pfSense-Software pflegen historische Informationen über die folgenden.

  • CPU Auslastung
  • Gesamtdurchsatz
  • Firewall Status
  • Individueller Durchsatz für alle Schnittstellen
  • Pakete pro Sekunde für alle Schnittstellen
  • WAN-Schnittstellen-Gateway (s) ping Antwortzeiten
  • Traffic Shaper Warteschlangen auf Systemen mit Traffic Shaping aktiviert

Real Time Information

Historische Informationen sind wichtig, aber manchmal ist es wichtiger, Echtzeit-Informationen zu sehen.

  • SVG-Graphen stehen zur Verfügung, die für jede Schnittstelle einen Echtzeit-Durchsatz aufweisen.
  • Für Verkehrsteilnehmer-Benutzer bietet der Status -> Warteschlangen-Bildschirm eine Echtzeitanzeige der Warteschlangenverwendung mit AJAX aktualisierten Messgeräten.
  • Die Vorderseite enthält AJAX-Messgeräte zur Anzeige von Echtzeit-CPU-, Speicher-, Swap- und Disk-Nutzung und Status-Tabelle.

Dynamic DNS

Ein dynamischer DNS-Client ist enthalten, damit Sie Ihre öffentliche IP mit einer Reihe von dynamischen DNS-Dienstanbietern registrieren können.

  • Benutzerdefiniert - ermöglicht die Definition von Update-Methode für Anbieter, die hier nicht speziell aufgeführt sind.
  • DNS-O-Matic
  • DynDNS
  • DHS
  • DNSexit
  • DyNS
  • easyDNS
  • freeDNS
  • HE.net
  • Loopia
  • Namecheap
  • No-IP
  • ODS.org
  • OpenDNS
  • Route 53
  • SelfHost
  • ZoneEdit

Ein Client ist auch für RFC 2136 dynamische DNS-Updates verfügbar, für die Verwendung mit DNS-Servern wie BIND, die diese Mittel zur Aktualisierung unterstützen.

Captive Portal

Captive-Portal ermöglicht es Ihnen, die Authentifizierung zu erzwingen, oder Umleitung auf einen Klick durch die Seite für den Netzwerkzugriff. Dies wird häufig auf Hot-Spot-Netzwerken verwendet, ist aber auch weit verbreitet in Unternehmensnetzwerken für eine zusätzliche Schicht von Sicherheit auf Wireless-oder Internet-Zugang verwendet. Für weitere Informationen über die Captive-Portal-Technologie im Allgemeinen. Im Folgenden finden Sie eine Liste der Funktionen im pfSense Captive Portal:

  • Maximale gleichzeitige Verbindungen - Begrenzen Sie die Anzahl der Verbindungen zum Portal selbst pro Client-IP. Diese Funktion verhindert, dass eine Ablehnung des Dienstes von Client-PCs, die Netzwerkverkehr wiederholt senden, ohne Authentifizierung oder Durchsuchen der Splash-Seite.
  • Leerlauf-Timeout - Trennen Sie Clients, die für mehr als die definierte Anzahl von Minuten im Leerlauf sind.
  • Hard Timeout - Erzwingt eine Trennung aller Clients nach der definierten Anzahl von Minuten.
  • Logon Pop-up-Fenster - Option zum Pop-up ein Fenster mit einem Abmelden-Button.
  • URL-Umleitung - nach dem Authentifizieren oder Anklicken des Captive-Portals können Benutzer mit der definierten URL gezwungen werden.
  • MAC-Filterung - standardmäßig pfSense-Filter mit MAC-Adressen. Wenn Sie ein Subnetz hinter einem Router auf einer Captive Portal-fähigen Schnittstelle haben, wird jede Maschine hinter dem Router autorisiert, nachdem ein Benutzer autorisiert wurde. Die MAC-Filterung kann für diese Szenarien deaktiviert werden.
  • Authentifizierungsoptionen - Es stehen drei Authentifizierungsoptionen zur Verfügung.
    • Keine Authentifizierung - Das bedeutet, dass der Benutzer nur durch Ihre Portalseite klickt, ohne die Anmeldeinformationen einzugeben.
    • Lokaler Benutzer-Manager - Eine lokale Benutzerdatenbank kann für die Authentifizierung konfiguriert und verwendet werden.
    • RADIUS-Authentifizierung - Dies ist die bevorzugte Authentifizierungsmethode für Unternehmensumgebungen und ISPs. Es kann verwendet werden, um von Microsoft Active Directory und zahlreichen anderen RADIUS-Servern zu authentifizieren.
  • RADIUS-Fähigkeiten
    • Erzwungene erneute Authentifizierung
    • Kann Kontoupdates senden
    • Die RADIUS MAC-Authentifizierung ermöglicht es dem Captive-Portal, sich an einem RADIUS-Server zu authentifizieren, indem er die MAC-Adresse des Clients als Benutzername und Passwort verwendet.
    • Ermöglicht die Konfiguration von redundanten RADIUS-Servern.
  • HTTP oder HTTPS - Die Portalseite kann so konfiguriert werden, dass sie entweder HTTP oder HTTPS verwendet.
  • Pass-Through-MAC- und IP-Adressen - MAC- und IP-Adressen können weiß aufgeführt werden, um das Portal zu umgehen. Alle Maschinen mit NAT-Port nach vorne müssen umgangen werden, damit der Antwortverkehr nicht auf das Portal trifft. Vielleicht möchten Sie einige Maschinen aus anderen Gründen ausschließen.
  • Dateimanager - Damit können Sie Bilder für die Verwendung in Ihren Portalseiten hochladen.
Einschränkungen: "Reverse" -Portal, d.h. die Erfassung von Datenverkehr aus dem Internet und die Eingabe Ihres Netzwerks, ist nicht möglich.

Nur ganze IP- und MAC-Adressen können vom Portal ausgeschlossen werden, nicht von einzelnen Protokollen und Ports.

DHCP Server und Relay

Die pfSense Software beinhaltet sowohl DHCP Server als auch Relay funktionalität

 

Kontakt

Beratung und Verkauf

+41 41 610 63 63

Administration

+41 41 610 63 64

Email: info@skyit.ch

Log in or Sign up