OPNsense – 多功能高可靠易使用的防火墙（二）

大家好，又见面了，我是你们的朋友全栈君。

OPNsense的安装和使用（二）

前面我们已经完成了OPNsense的安装和基本设置，现在开始OPNsense的各项常用功能设置。本文主要是讨论OPNsense的系统管理部分的常用内容。

内容列表

• 基本设置
• 证书颁发机构（CA）管理
• 证书管理
• 授权管理
• 系统软件管理
• 其他管理

基本设置

这里写图片描述

这是首次进入配置模式时才能见到的欢迎页面，然后就会进入设置过程。为能方便起见 ，我们先把界面设成中文了。

这里写图片描述

简单click“Next”，进入下一步。

这里写图片描述

这里我们可以把界面语言设成中文[Chinese(Simplified)]，方便使用。其他必须设置的是电脑名和域名 （域名用了lswin.cn，应该是未注册的域名，如您已注册该域名，抱歉了！）。如使用DHCP方式获取WAN的IP地址，那DNS地址可以不设，但也可以根据自己的喜好设置DNS。这个DNS地址可能被DHCP/PPP覆盖，如您不希望被覆盖，请不要勾选“Override DNS”。后面三项设置是为默认的DNS服务器的，应根据您的需求选择，一般情况下可以保持不变。点击Next进入下一个设置页面。这时页面可能还是英文的，只要重新加载就会变成中文界面。

这里写图片描述

默认的网络时间服务器池用的是opnsense.pool.ntp.org，建议换成asia.pool.ntp.org，时区用Asia/Shanghai。完成后click下一步，进行WAN设置。

这里写图片描述

WAN端口设置非常通用，除了最后二项。

这里写图片描述

分别是：阻止RFC1918私有网络 和 拦截bogon网络，如您的WAN地址是私网地址，这二项 不得勾选！如不是，为了安全，最好勾选。 后面是LAN设置和管理员密码设置。

这里写图片描述

这里写图片描述

和安装时一样，不用输入密码，直接click下一步就可以，保持密码不变。

这里写图片描述

到此基本设置已经完成，click重新加载，加载新的配置。

这里写图片描述

证书颁发机构（CA）管理

为了方便企业内部的SSL加密通讯，我们将在OPNsense配置企业内部的证书颁发机构（CA），所有内部用到的证书，将由此机构签发。

这里写图片描述

从【系统：信任：认证】进入证书颁发机构管理页面

这里写图片描述

已有的颁发机构会在列出，如我们这已经有了一个（LSWIN-ROOT-CA）。我们下面将示范如何建立颁发机构和中级颁发机构。 首先点击右上角的【+添加或导入CA】

这里写图片描述

首先建立颁发机构：

这里写图片描述

除了【描写名字】外，尽量用英文填写，并不是所有软件都能很好处理证书中的UTF-8编码。click【保存】，一个颁发机构的证书就形成了。

这里写图片描述

下面是使用刚生成的颁发机构颁发一张中级颁发机构证书，这二种颁发机构都有权颁发客户端 / 服务器证书，不同处是颁发机构有权颁发中级颁发机构证书，中级颁发机构没有权利签发任何颁发机构证书。

这里写图片描述

证书管理

从【系统：信任：证书】进入证书管理页面，页面上显示的是现有各类证书。

这里写图片描述

颁发的证书一般分为二类，服务器证书和终端证书，顾名思义，服务器证书给提供服务的设备使用，终端证书给接入服务的终端设备使用。证书一经签发，不可修改。 点击右上角的【+添加或导入证书】，进入签发页面。 证书管理提供三种功能，导入现有证书、形成签发证书请求和颁发证书，我们只讨论颁发证书 – 颁发服务器证书和颁发终端证书。 将用于OpenVPN服务的证书

这里写图片描述

张三的个人证书

这里写图片描述

在管理中心，我们可以看到这二张证书。

这里写图片描述

授权管理

授权管理主要是管理二类用户，一个是OPNsense管理员，另一类是远程接入用户，我们在这只讨论OpenVPN用户。 入口：【系统：访问：用户】

这里写图片描述

点击用户右边的小铅笔符号是修改，小垃圾桶是删除。新增用户是点击右下角的 + 号。 新增用户 新增用户张三，登录名是zhang.san，邮箱是zhang.san@exampleco.cn，远程接入（OpenVPN）用户，账号有效期到2020年12月31里。 因为我们的VPN接入将采用个人证书加密码的形式，所以我们勾选了【 点击以生成一个用户证书 】，信息填好后点击【保存】。

这里写图片描述

因勾选了【 点击以生成一个用户证书 】，保存用户信息后，自动跳转到证书页面。

这里写图片描述

我们已经为张三生成了个人证书，所以在此选用了【选择一个现存的证书】。选好后点击【保存】，重新回到新增用户页面。我们可以看到用户证书一栏已经更新，再点击【save and goback】，新增用户张三的任务就完成了。

这里写图片描述

完成后将返还用户管理页面。

这里写图片描述

系统软件管理

系统软件菜单上被称为固件

这里写图片描述

更新表 如有更新，可更新部件会被列出。

设置表

这里写图片描述

【固件镜像】选用Aivian。这是唯一的一个国内镜像，明显比其他镜像快。 【固件Flavor】其实就有二种，一种是用OpenSSL，一种是用LibreSSL，可根据自己的喜好选择。（default）是使用OpenSSL。 【Release Type】也是有二种选择生产版（Production）和开发版（Development）。OPNsense的开发版也很稳定。OPNsense的质量，在开源项目中有明显优势，这是我们选择它的重要原因之一。

软件包表

这里写图片描述

这里列出的是系统中已经安装的插件包。

插件表

这里写图片描述

排在上面，使用粗体字的表示是已安装的插件包，其余的表示是未安装的插件包。图中，每种插件包都有二个版本，生产版和开发版。这是因为我们在设置中的【Release Type】选了开发版，否则不显示开发版。

【现在审查】功能是很有用的独特功能组，有二个功能，分别是安全审查（Security）和健康审查（Health）。 下图是安全审查的结果。

这里写图片描述

下图是健康审查的结果。

这里写图片描述

看了这二个图，安全审查和健康审查的意思应该是很明确了。

其他管理在这里我们不做讨论。几个高级配置（网关、高可靠和路由）在后面配置其他应用是可能会碰到，到时再讨论。其他的配置，没什么可以多说的，多玩玩就行了。

OPNsense的系统配置到此告一段落，下一个主题是VPN的配置和使用。IPsec和OpenVPN是最常用和可靠的二个加密通讯开放标准。相对来说，业界更偏好OpenVPN，我们也归于这一类。我们的系统，只支持OpenVPN远程接入，所以下一讲的标题会是 “ OpenVPN的配置和使用 ”。

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/126120.html原文链接：https://javaforall.cn