OPNsense的安装和使用（二）

前面我们已经完成了OPNsense的安装和基本设置，现在开始OPNsense的各项常用功能设置。本文主要是讨论OPNsense的系统管理部分的常用内容。

内容列表

基本设置
证书颁发机构（CA）管理
证书管理
授权管理
系统软件管理
其他管理

基本设置

这是首次进入配置模式时才能见到的欢迎页面，然后就会进入设置过程。为能方便起见，我们先把界面设成中文了。

简单click“Next”，进入下一步。

这里我们可以把界面语言设成中文[Chinese(Simplified)]，方便使用。其他必须设置的是电脑名和域名（域名用了lswin.cn，应该是未注册的域名，如您已注册该域名，抱歉了！）。如使用DHCP方式获取WAN的IP地址，那DNS地址可以不设，但也可以根据自己的喜好设置DNS。这个DNS地址可能被DHCP/PPP覆盖，如您不希望被覆盖，请不要勾选“Override DNS”。后面三项设置是为默认的DNS服务器的，应根据您的需求选择，一般情况下可以保持不变。点击Next进入下一个设置页面。这时页面可能还是英文的，只要重新加载就会变成中文界面。

默认的网络时间服务器池用的是opnsense.pool.ntp.org，建议换成asia.pool.ntp.org，时区用Asia/Shanghai。完成后click下一步，进行WAN设置。

WAN端口设置非常通用，除了最后二项。

分别是：阻止RFC1918私有网络 和 拦截bogon网络，如您的WAN地址是私网地址，这二项 不得勾选！如不是，为了安全，最好勾选。
后面是LAN设置和管理员密码设置。

和安装时一样，不用输入密码，直接click下一步就可以，保持密码不变。

到此基本设置已经完成，click重新加载，加载新的配置。

证书颁发机构（CA）管理

为了方便企业内部的SSL加密通讯，我们将在OPNsense配置企业内部的证书颁发机构（CA），所有内部用到的证书，将由此机构签发。

从【系统：信任：认证】进入证书颁发机构管理页面

已有的颁发机构会在列出，如我们这已经有了一个（LSWIN-ROOT-CA）。我们下面将示范如何建立颁发机构和中级颁发机构。
首先点击右上角的【+添加或导入CA】

首先建立颁发机构：

除了【描写名字】外，尽量用英文填写，并不是所有软件都能很好处理证书中的UTF-8编码。click【保存】，一个颁发机构的证书就形成了。

下面是使用刚生成的颁发机构颁发一张中级颁发机构证书，这二种颁发机构都有权颁发客户端 / 服务器证书，不同处是颁发机构有权颁发中级颁发机构证书，中级颁发机构没有权利签发任何颁发机构证书。

证书管理

从【系统：信任：证书】进入证书管理页面，页面上显示的是现有各类证书。

颁发的证书一般分为二类，服务器证书和终端证书，顾名思义，服务器证书给提供服务的设备使用，终端证书给接入服务的终端设备使用。证书一经签发，不可修改。
点击右上角的【+添加或导入证书】，进入签发页面。
证书管理提供三种功能，导入现有证书、形成签发证书请求和颁发证书，我们只讨论颁发证书 - 颁发服务器证书和颁发终端证书。
将用于OpenVPN服务的证书

张三的个人证书

在管理中心，我们可以看到这二张证书。

授权管理

授权管理主要是管理二类用户，一个是OPNsense管理员，另一类是远程接入用户，我们在这只讨论OpenVPN用户。
入口：【系统：访问：用户】

点击用户右边的小铅笔符号是修改，小垃圾桶是删除。新增用户是点击右下角的 + 号。
新增用户
新增用户张三，登录名是zhang.san，邮箱是zhang.san@exampleco.cn，远程接入（OpenVPN）用户，账号有效期到2020年12月31里。
因为我们的VPN接入将采用个人证书加密码的形式，所以我们勾选了【点击以生成一个用户证书】，信息填好后点击【保存】。

因勾选了【点击以生成一个用户证书】，保存用户信息后，自动跳转到证书页面。

我们已经为张三生成了个人证书，所以在此选用了【选择一个现存的证书】。选好后点击【保存】，重新回到新增用户页面。我们可以看到用户证书一栏已经更新，再点击【save and goback】，新增用户张三的任务就完成了。

完成后将返还用户管理页面。

系统软件管理

系统软件菜单上被称为固件

更新表
如有更新，可更新部件会被列出。

设置表

【固件镜像】选用Aivian。这是唯一的一个国内镜像，明显比其他镜像快。
【固件Flavor】其实就有二种，一种是用OpenSSL，一种是用LibreSSL，可根据自己的喜好选择。（default）是使用OpenSSL。
【Release Type】也是有二种选择生产版（Production）和开发版（Development）。OPNsense的开发版也很稳定。OPNsense的质量，在开源项目中有明显优势，这是我们选择它的重要原因之一。

软件包表

这里列出的是系统中已经安装的插件包。

插件表

排在上面，使用粗体字的表示是已安装的插件包，其余的表示是未安装的插件包。图中，每种插件包都有二个版本，生产版和开发版。这是因为我们在设置中的【Release Type】选了开发版，否则不显示开发版。

【现在审查】功能是很有用的独特功能组，有二个功能，分别是安全审查（Security）和健康审查（Health）。
下图是安全审查的结果。

下图是健康审查的结果。

看了这二个图，安全审查和健康审查的意思应该是很明确了。

其他管理在这里我们不做讨论。几个高级配置（网关、高可靠和路由）在后面配置其他应用是可能会碰到，到时再讨论。其他的配置，没什么可以多说的，多玩玩就行了。

OPNsense的系统配置到此告一段落，下一个主题是VPN的配置和使用。IPsec和OpenVPN是最常用和可靠的二个加密通讯开放标准。相对来说，业界更偏好OpenVPN，我们也归于这一类。我们的系统，只支持OpenVPN远程接入，所以下一讲的标题会是 “ OpenVPN的配置和使用 ”。

OPNsense - 多功能高可靠易使用的防火墙（二）相关推荐

Reliable, Scalable, and Maintainable Applications 高可靠、易扩展、易运维应用
寻找翻译本书后续章节合作者微信:18600166191 ---------------------------------- PART I Foundations of Data Systems ...
智和信通搭建高可靠、真稳定IT运维平台，助力能源行业高效生产
在能源企业信息化高度发展的背景下,北京智和信通有限公司推出全栈式运维管控平台--"智和网管平台",助力能源企业搭建高可靠.真稳定的IT运维平台,实现高效稳定生产. 信息化飞速发展, ...
高可靠芯片搭配视觉演算法，影像式ADAS满足车规要求
高可靠芯片搭配视觉演算法,影像式ADAS满足车规要求 2015-12-21 18:03:27 来源:eefocus 关键字:高可靠芯片视觉演算法影像式 ADAS 车规要求影像式 ...
技术解析系列 | PouchContainer 支持 LXCFS 实现高可靠容器隔离
划重点本周起 PouchContainer 启动核心技术专家解析系列文章,第一篇文章将深入剖析 LXCFS 适用业务场景和原理,对 LXCFS 感兴趣的同学不要错过引言 PouchContaine ...
基于Flink的高可靠实时ETL系统
GIAC(GLOBAL INTERNET ARCHITECTURE CONFERENCE)是长期关注互联网技术与架构的高可用架构技术社区和msup推出的,面向架构师.技术负责人及高端技术从业人员的年度 ...
Nginx多进程高并发、低时延、高可靠机制在缓存(redis、memcache)twemproxy代理中的应用...
1. 开发背景现有开源缓存代理中间件有twemproxy.codis等,其中twemproxy为单进程单线程模型,只支持memcache单机版和redis单机版,都不支持集群版功能. 由于twemp ...
高性能、高可靠分布式文件系统 go-fastdfs v1.2.0 发布
开发四年只会写业务代码,分布式高并发都不会还做程序员? go-fastdfs是一个基于http协议的分布式文件系统,它基于大道至简的设计理念,一切从简设计,使得它的运维及扩展变得更加简单,它具有高 ...
Tair是一个高性能，分布式，可扩展，高可靠的key/value结构存储系统（转）
Tair是一个高性能,分布式,可扩展,高可靠的key/value结构存储系统! Tair专为小文件优化,并提供简单易用的接口(类似Map) Tair支持Java和C版本的客户端 Tair is a d ...
GaussDB（for MySQL）如何在存储架构设计上做到高可靠、高可用
摘要: GaussDB(for MySQL)通过ND算子下推解决存储节点和计算节点之间的传输速度,减少网络开销这个难题. 数据库作为高效稳定处理海量数据交易/分析的坚强数据底座,底层架构设计的重要性不 ...
Nginx多进程高并发、低时延、高可靠机制在滴滴缓存代理中的应用
开发背景现有开源缓存代理中间件有twemproxy.codis等,其中twemproxy为单进程单线程模型,只支持memcache单机版和redis单机版,都不支持集群版功能. 由于twemprox ...

OPNsense - 多功能高可靠易使用的防火墙（二）