OPNsense - 多功能高可靠易使用的防火墙(二)
OPNsense的安装和使用(二)
前面我们已经完成了OPNsense的安装和基本设置,现在开始OPNsense的各项常用功能设置。本文主要是讨论OPNsense的系统管理部分的常用内容。
内容列表
- 基本设置
- 证书颁发机构(CA)管理
- 证书管理
- 授权管理
- 系统软件管理
- 其他管理
基本设置
这是首次进入配置模式时才能见到的欢迎页面,然后就会进入设置过程。为能方便起见 ,我们先把界面设成中文了。
简单click“Next”,进入下一步。
这里我们可以把界面语言设成中文[Chinese(Simplified)],方便使用。其他必须设置的是电脑名和域名 (域名用了lswin.cn,应该是未注册的域名,如您已注册该域名,抱歉了!)。如使用DHCP方式获取WAN的IP地址,那DNS地址可以不设,但也可以根据自己的喜好设置DNS。这个DNS地址可能被DHCP/PPP覆盖,如您不希望被覆盖,请不要勾选“Override DNS”。后面三项设置是为默认的DNS服务器的,应根据您的需求选择,一般情况下可以保持不变。点击Next进入下一个设置页面。这时页面可能还是英文的,只要重新加载就会变成中文界面。
默认的网络时间服务器池用的是opnsense.pool.ntp.org,建议换成asia.pool.ntp.org,时区用Asia/Shanghai。完成后click下一步,进行WAN设置。
WAN端口设置非常通用,除了最后二项。
分别是:阻止RFC1918私有网络 和 拦截bogon网络,如您的WAN地址是私网地址,这二项 不得勾选!如不是,为了安全,最好勾选。
后面是LAN设置和管理员密码设置。
和安装时一样,不用输入密码,直接click下一步就可以,保持密码不变。
到此基本设置已经完成,click重新加载,加载新的配置。
证书颁发机构(CA)管理
为了方便企业内部的SSL加密通讯,我们将在OPNsense配置企业内部的证书颁发机构(CA),所有内部用到的证书,将由此机构签发。
从【系统:信任:认证】进入证书颁发机构管理页面
已有的颁发机构会在列出,如我们这已经有了一个(LSWIN-ROOT-CA)。我们下面将示范如何建立颁发机构和中级颁发机构。
首先点击右上角的【+添加或导入CA】
首先建立颁发机构:
除了【描写名字】外,尽量用英文填写,并不是所有软件都能很好处理证书中的UTF-8编码。click【保存】,一个颁发机构的证书就形成了。
下面是使用刚生成的颁发机构颁发一张中级颁发机构证书,这二种颁发机构都有权颁发客户端 / 服务器证书,不同处是颁发机构有权颁发中级颁发机构证书,中级颁发机构没有权利签发任何颁发机构证书。
证书管理
从【系统:信任:证书】进入证书管理页面,页面上显示的是现有各类证书。
颁发的证书一般分为二类,服务器证书和终端证书,顾名思义,服务器证书给提供服务的设备使用,终端证书给接入服务的终端设备使用。证书一经签发,不可修改。
点击右上角的【+添加或导入证书】,进入签发页面。
证书管理提供三种功能,导入现有证书、形成签发证书请求和颁发证书,我们只讨论颁发证书 - 颁发服务器证书和颁发终端证书。
将用于OpenVPN服务的证书
张三的个人证书
在管理中心,我们可以看到这二张证书。
授权管理
授权管理主要是管理二类用户,一个是OPNsense管理员,另一类是远程接入用户,我们在这只讨论OpenVPN用户。
入口:【系统:访问:用户】
点击用户右边的小铅笔符号是修改,小垃圾桶是删除。新增用户是点击右下角的 + 号。
新增用户
新增用户张三,登录名是zhang.san,邮箱是zhang.san@exampleco.cn,远程接入(OpenVPN)用户,账号有效期到2020年12月31里。
因为我们的VPN接入将采用个人证书加密码的形式,所以我们勾选了【 点击以生成一个用户证书 】,信息填好后点击【保存】。
因勾选了【 点击以生成一个用户证书 】,保存用户信息后,自动跳转到证书页面。
我们已经为张三生成了个人证书,所以在此选用了【选择一个现存的证书】。选好后点击【保存】,重新回到新增用户页面。我们可以看到用户证书一栏已经更新,再点击【save and goback】,新增用户张三的任务就完成了。
完成后将返还用户管理页面。
系统软件管理
系统软件菜单上被称为固件
更新表
如有更新,可更新部件会被列出。
设置表
【固件镜像】选用Aivian。这是唯一的一个国内镜像,明显比其他镜像快。
【固件Flavor】其实就有二种,一种是用OpenSSL,一种是用LibreSSL,可根据自己的喜好选择。(default)是使用OpenSSL。
【Release Type】也是有二种选择生产版(Production)和开发版(Development)。OPNsense的开发版也很稳定。OPNsense的质量,在开源项目中有明显优势,这是我们选择它的重要原因之一。
软件包表
这里列出的是系统中已经安装的插件包。
插件表
排在上面,使用粗体字的表示是已安装的插件包,其余的表示是未安装的插件包。图中,每种插件包都有二个版本,生产版和开发版。这是因为我们在设置中的【Release Type】选了开发版,否则不显示开发版。
【现在审查】功能是很有用的独特功能组,有二个功能,分别是安全审查(Security)和健康审查(Health)。
下图是安全审查的结果。
下图是健康审查的结果。
看了这二个图,安全审查和健康审查的意思应该是很明确了。
其他管理在这里我们不做讨论。几个高级配置(网关、高可靠和路由)在后面配置其他应用是可能会碰到,到时再讨论。其他的配置,没什么可以多说的,多玩玩就行了。
OPNsense的系统配置到此告一段落,下一个主题是VPN的配置和使用。IPsec和OpenVPN是最常用和可靠的二个加密通讯开放标准。相对来说,业界更偏好OpenVPN,我们也归于这一类。我们的系统,只支持OpenVPN远程接入,所以下一讲的标题会是 “ OpenVPN的配置和使用 ”。
OPNsense - 多功能高可靠易使用的防火墙(二)相关推荐
- Reliable, Scalable, and Maintainable Applications 高可靠、易扩展、易运维应用
寻找翻译本书后续章节合作者 微信:18600166191 ---------------------------------- PART I Foundations of Data Systems ...
- 智和信通搭建高可靠、真稳定IT运维平台,助力能源行业高效生产
在能源企业信息化高度发展的背景下,北京智和信通有限公司推出全栈式运维管控平台--"智和网管平台",助力能源企业搭建高可靠.真稳定的IT运维平台,实现高效稳定生产. 信息化飞速发展, ...
- 高可靠芯片搭配视觉演算法,影像式ADAS满足车规要求
高可靠芯片搭配视觉演算法,影像式ADAS满足车规要求 2015-12-21 18:03:27 来源:eefocus 关键字:高可靠芯片 视觉演算法 影像式 ADAS 车规要求 影像式 ...
- 技术解析系列 | PouchContainer 支持 LXCFS 实现高可靠容器隔离
划重点 本周起 PouchContainer 启动核心技术专家解析系列文章,第一篇文章将深入剖析 LXCFS 适用业务场景和原理,对 LXCFS 感兴趣的同学不要错过 引言 PouchContaine ...
- 基于Flink的高可靠实时ETL系统
GIAC(GLOBAL INTERNET ARCHITECTURE CONFERENCE)是长期关注互联网技术与架构的高可用架构技术社区和msup推出的,面向架构师.技术负责人及高端技术从业人员的年度 ...
- Nginx多进程高并发、低时延、高可靠机制在缓存(redis、memcache)twemproxy代理中的应用...
1. 开发背景 现有开源缓存代理中间件有twemproxy.codis等,其中twemproxy为单进程单线程模型,只支持memcache单机版和redis单机版,都不支持集群版功能. 由于twemp ...
- 高性能、高可靠分布式文件系统 go-fastdfs v1.2.0 发布
开发四年只会写业务代码,分布式高并发都不会还做程序员? go-fastdfs是一个基于http协议的分布式文件系统,它基于大道至简的设计理念,一切从简设计,使得它的运维及扩展变得更加简单,它具有高 ...
- Tair是一个高性能,分布式,可扩展,高可靠的key/value结构存储系统(转)
Tair是一个高性能,分布式,可扩展,高可靠的key/value结构存储系统! Tair专为小文件优化,并提供简单易用的接口(类似Map) Tair支持Java和C版本的客户端 Tair is a d ...
- GaussDB(for MySQL)如何在存储架构设计上做到高可靠、高可用
摘要: GaussDB(for MySQL)通过ND算子下推解决存储节点和计算节点之间的传输速度,减少网络开销这个难题. 数据库作为高效稳定处理海量数据交易/分析的坚强数据底座,底层架构设计的重要性不 ...
- Nginx多进程高并发、低时延、高可靠机制在滴滴缓存代理中的应用
开发背景 现有开源缓存代理中间件有twemproxy.codis等,其中twemproxy为单进程单线程模型,只支持memcache单机版和redis单机版,都不支持集群版功能. 由于twemprox ...
最新文章
- winform剪贴板如何同时存储图片和文字_你真的会在Word里插入图片吗?没那么简单!...
- 将csv文件导入到数据库中
- boost signals2 coroutine
- mysql 并行执行sql_同时执行多条sql
- 工作2年,月薪2万,我还是选择了离职
- CTF-杂项16进制字符串类型的题目
- 计算机网络段标试卷,计算机网络基础-段标-第2章.ppt
- Nacos Spring Cloud 快速开始
- Luogu 3479 [POI2009]GAS-Fire Extinguishers
- 人工智能TensorFlow工作笔记011---前向传播算法简介
- 内部控制中对权限分配的要求、权限分配的实现方法
- 使用 OpCache 提升 PHP 5.5+ 程序性能
- shell linux中shell脚本编写俄罗斯方块
- BFS java实现,java实现dfs及bfs算法
- 常见的文件后缀名大全
- 移动硬盘变为raw格式时,如何进行数据恢复
- 2017年大数据从业者又要涨工资了!
- 想吃水果的朋友进来吧,水果类英文单词收集
- Java面试题目分析
- JAVA核心知识点之 数据结构:总结概述