防火墙和路由平台-OPNsense
2015-02-04 13:39:35 
阿炯
OPNsense 是一个开源易用,而且易于构建的基于 FreeBSD 的防火墙和路由平台。包括大多数商业防火墙的特性,提供功能完整却易用的 Web GUI 管理界面(采用php开发)及详细的参考文档,采用BSD协议授权。
OPNSense于2014年开始作为pfSense和m0n0wall的分支版本,于2015年1月正式发布,是一个开源易用且易于构建的基于Hardened BSD的防火墙和路由平台。尽管该项目已经快速发展,但它仍然保留了m0n0wall和pfSense熟悉的方面,登录Web界面后可以自由地执行希望实现的任何配置,从防火墙、VPN、安全等,该项目的发展动力在于其对安全性和代码质量的高要求。它还有负载均衡和虚拟专用网络等功能,也可以通过插件添加更多功能。其核心功能:
流量整形器。
整个系统的双因子身份验证。
强制门户网站。
支持黑名单的转发缓存代理(透明)。
虚拟专用网络(IPsec,OpenVPN和传统L2TP、PPTP支持)。
高可用性和硬件故障转移(具有配置同步和同步状态表)。
入侵检测和预防。
内置报告和监控工具,包括RRD图。
Netflow导出器。
网络流量监控。
支持插件。
DNS服务和DNS转发与动态DNS。
DHCP服务和中继。
加密配置备份到Google云端硬盘。
状态检查防火墙。
对状态表进行粒度控制。
802.1Q VLAN支持。
官方网站提供了4种镜像模式:
1.dvd: ISO installer image with live system capabilities running in VGA mode. On amd64, UEFI boot is supported as well.
2.vga: USB installer image with live system capabilities running in VGA mode as GPT boot. On amd64, UEFI boot is supported as well.
3.serial: USB installer image with live system capabilities running in serial console (115200) mode as MBR boot.
4.nano: a preinstalled serial image for USB sticks, SD or CF cards as MBR boot. These images are 3G in size and automatically adapt to the installed media size after first boot.
最小硬件要求:
1GHz dual core cpu
1 GB RAM
40GB SSD
Serial console or video
最新版本:16.1
此版本添加了 NanoBSD 镜像,使用基于 MVC 的重写替代 GUI 菜单和 ACL,还有大量的新特性。值得关注的是 opnsense-bootstrap 工具,可以在 FreeBSD 10.2 上安装最新的 OPNsense 版本。
最新版本:21.7
v21.7版本于2021年7月末发布,版本代号为“Noble Nightingale”。官方表示这是其近期历史上“最大的代码更改迭代之一”;也是基于 HardenedBSD v12.1 的最后一个版本。OPNsense 的开发者计划最快在下周开始向 FreeBSD v13 过渡,以便在明年年初发布 v22.1。该版本带来了一个新的安装程序,以提供原生的 ZFS 安装支持,并防止使用 UEFI 的虚拟机出现故障。同时还有固件更新部分重新设计,UI 布局在静态和 MVC 页面之间进行了整合。live log 现在包含实际的规则 ID,以避免在调整规则集后出现不匹配;防火墙别名现在也支持通配符网络掩码,以及更新的插件和一些软件包更新等等。更多详情可查看发行说明。
最新版本:22.1
2022年1月下旬,代号为"Observant Owl"正式发布,其主要特点是升级到了 FreeBSD v13、具有日志记录改进、改进的可调整的 sysctl 值集成、更快的启动顺序和接口启动和动态 IPv6 主机别名支持等等。另一方面,主要的操作系统更改会带来回归和功能删除的风险;例如不再支持 IPsec 内核中的不安全加密,并将 Realtek 供应商驱动程序切换回其尚未支持较新 2.5G 模型的 FreeBSD 对应项。循环日志支持也已被删除。官方提醒,在尝试升级之前,请务必阅读已知问题和限制。完整信息可查看此处。
最新版本:22.7
于2022年7月下旬发布,更新内容如下:
升级到 FreeBSD 13.1,PHP 8.0,Phalcon 5,QLite 3.39.0,Suricata 6.0.6,Unbound 1.16.1
增加了对 Intel QuickAssist(QAT)的支持,对 Stacked Vlan 技术的支持
使用 SYN cookies 实现了 DDoS 保护,提高了 set_single_sysctl () 的性能
在所有服务启动后完全重启 syslog,并且只重启一次
/tmp MFS 现在默认使用最多 50% 的内存,并可以进行调整
在更新时刷新所有核心 Python pyc 文件
保护 syslog-ng 免受内存不足的影响
为系统日志小工具添加过滤器
默认禁用 RRD 和 NetFlow 的关机备份功能
自动检测默认路由的远端网关要求
更多详情可查看此处。
最新版本:23.1
v23.1 于2023年1月下旬正式发布,其版本绰号 “Quintessential Quail”,更新内容如下:
具有未绑定的 DNS 统计数据
用 Python 重写了黑名单
改进了 WAN SLAAC 可操作性
防火墙别名 BGP ASN 类型支持
PHP 8.1 支持
各种 FreeBSD 网络更新
用于数据包捕获的 MVC/API 页面 / 虚拟 IP/ IPsec 连接管理
IPsec 配置文件迁移到 swanctl.conf
新的 sslh 插件
ddclient 自定义后端支持(包括 Azure)
作为新默认值的 WireGuard 内核模块插件
更多信息可参考更新公告。
最新版本:25.1
开源防火墙和路由软件OPNsense在2025年1月迎来了它的十周年庆典,并在这个特殊时刻推出了新版本 v25.1,代号为“Ultimate Unicorn”(终极独角兽)。作为这个重要的里程碑版本,OPNsense 25.1 不仅带来了许多新特性,还进行了全面改进,旨在提升用户在安全管理和网络配置方面的效率与流畅度。该版本的发布不仅标志着 OPNsense 成长的十年,也意味着它将为用户提供更加强大、稳定和易用的网络解决方案。
核心更新与技术基础
v25.1 现在依赖于 FreeBSD 14.2、PHP 8.3 以及一系列更新的端口,例如 OpenVPN 2.6.13、Lighttpd 1.4.77 和 radvd 2.20,为系统提供了更加稳定和高效的基础架构。在这次版本更新中,用户、组和权限管理 已经迁移到了 MVC/API 结构,淘汰了旧版功能,像是手动 LDAP 导入器被移除。为了增强灵活性,管理员现在可以接收持久化的通知,并且新增了对 sshd_config 自定义项的支持。
网络和防火墙功能增强
v25.1 改进了 PPP 设备配置,并整合了各类网络日志。同时它还新增了对 RFC 5549 路由的支持,增强了对现代网络协议的兼容性。此外,防火墙的管理界面也进行了简化,新增了源地址和目标地址的多选选项,大大提升了防火墙规则创建的效率。内联流量整形支持选项的加入,将进一步增强流量管理的能力。
用户界面升级
用户界面(UI)也是本次更新的亮点之一。v25.1 为其界面带来了焕然一新的设计,更新了 Font Awesome 6 图标,并提供了 亮色与暗色主题。例如,重新设计的默认主题在整个仪表盘中实现了更响应式的搜索和编辑功能,使用户在操作时更加流畅便捷。
结构性与行为上的变化
在进行 v25.1 升级 时,管理员需要注意一些结构性和行为上的变化,主要包括:
1.访问管理部分 已经重写为 MVC 结构,旧功能(如手动 LDAP 导入器)已被移除。用户和组的创建改为按需创建,权限编辑器也进行了合并,废弃的权限项也被移除。
2.PPP 设备的配置 已不再出现在标准接口配置页面,这些设置现在转移到专门的 PPP 设备编辑页面。
3.FreeBSD 14.2 中的默认 pf 行为现在包括对 ICMPv6 邻居发现的状态跟踪,这是在某些 24.7.x 用户中避免使用的功能。
重要注意事项:Let's Encrypt 与 OCSP Must Staple
一个值得特别注意的变动是,Let's Encrypt 在 2025 年 1 月 30 日 后停止对 OCSP Must Staple 扩展的支持。如果您的证书请求启用了此扩展,那么在该日期之后,这些请求将无法成功。管理员需要提前做好相应的证书管理和更新工作,以避免未来的服务中断。如需了解关于 v25.1 版本的所有更改和更新详情,请访问官方发布公告。完整的更新日志也可以在此查看,以便深入了解每个功能和修复。可以通过访问项目官方网站的 下载页面,轻松获取 OPNsense 25.1 并进行安装。
OPNsense v25.1 作为该项目的十周年纪念版本,带来了许多激动人心的新特性和改进,包括更强的网络和防火墙管理功能、焕然一新的用户界面设计以及对更高版本技术的支持。这些变化无疑会为系统管理员和网络安全专家带来更加高效和稳定的工作体验。然而,随着新功能的加入,也有一些结构性变化需要管理员提前适应,尤其是访问管理和 PPP 配置的变化。v25.1 是一次值得庆祝的更新,它不仅体现了项目的成长与成熟,也展示了其在网络安全和防火墙管理方面的持续创新。对于已有用户来说,升级到新版本后将能够体验到更加流畅的管理操作与更高效的网络保护。
官方主页:https://opnsense.org/
OPNSense于2014年开始作为pfSense和m0n0wall的分支版本,于2015年1月正式发布,是一个开源易用且易于构建的基于Hardened BSD的防火墙和路由平台。尽管该项目已经快速发展,但它仍然保留了m0n0wall和pfSense熟悉的方面,登录Web界面后可以自由地执行希望实现的任何配置,从防火墙、VPN、安全等,该项目的发展动力在于其对安全性和代码质量的高要求。它还有负载均衡和虚拟专用网络等功能,也可以通过插件添加更多功能。其核心功能:
流量整形器。
整个系统的双因子身份验证。
强制门户网站。
支持黑名单的转发缓存代理(透明)。
虚拟专用网络(IPsec,OpenVPN和传统L2TP、PPTP支持)。
高可用性和硬件故障转移(具有配置同步和同步状态表)。
入侵检测和预防。
内置报告和监控工具,包括RRD图。
Netflow导出器。
网络流量监控。
支持插件。
DNS服务和DNS转发与动态DNS。
DHCP服务和中继。
加密配置备份到Google云端硬盘。
状态检查防火墙。
对状态表进行粒度控制。
802.1Q VLAN支持。
官方网站提供了4种镜像模式:
1.dvd: ISO installer image with live system capabilities running in VGA mode. On amd64, UEFI boot is supported as well.
2.vga: USB installer image with live system capabilities running in VGA mode as GPT boot. On amd64, UEFI boot is supported as well.
3.serial: USB installer image with live system capabilities running in serial console (115200) mode as MBR boot.
4.nano: a preinstalled serial image for USB sticks, SD or CF cards as MBR boot. These images are 3G in size and automatically adapt to the installed media size after first boot.
最小硬件要求:
1GHz dual core cpu
1 GB RAM
40GB SSD
Serial console or video
最新版本:16.1
此版本添加了 NanoBSD 镜像,使用基于 MVC 的重写替代 GUI 菜单和 ACL,还有大量的新特性。值得关注的是 opnsense-bootstrap 工具,可以在 FreeBSD 10.2 上安装最新的 OPNsense 版本。
最新版本:21.7
v21.7版本于2021年7月末发布,版本代号为“Noble Nightingale”。官方表示这是其近期历史上“最大的代码更改迭代之一”;也是基于 HardenedBSD v12.1 的最后一个版本。OPNsense 的开发者计划最快在下周开始向 FreeBSD v13 过渡,以便在明年年初发布 v22.1。该版本带来了一个新的安装程序,以提供原生的 ZFS 安装支持,并防止使用 UEFI 的虚拟机出现故障。同时还有固件更新部分重新设计,UI 布局在静态和 MVC 页面之间进行了整合。live log 现在包含实际的规则 ID,以避免在调整规则集后出现不匹配;防火墙别名现在也支持通配符网络掩码,以及更新的插件和一些软件包更新等等。更多详情可查看发行说明。
最新版本:22.1
2022年1月下旬,代号为"Observant Owl"正式发布,其主要特点是升级到了 FreeBSD v13、具有日志记录改进、改进的可调整的 sysctl 值集成、更快的启动顺序和接口启动和动态 IPv6 主机别名支持等等。另一方面,主要的操作系统更改会带来回归和功能删除的风险;例如不再支持 IPsec 内核中的不安全加密,并将 Realtek 供应商驱动程序切换回其尚未支持较新 2.5G 模型的 FreeBSD 对应项。循环日志支持也已被删除。官方提醒,在尝试升级之前,请务必阅读已知问题和限制。完整信息可查看此处。
最新版本:22.7
于2022年7月下旬发布,更新内容如下:
升级到 FreeBSD 13.1,PHP 8.0,Phalcon 5,QLite 3.39.0,Suricata 6.0.6,Unbound 1.16.1
增加了对 Intel QuickAssist(QAT)的支持,对 Stacked Vlan 技术的支持
使用 SYN cookies 实现了 DDoS 保护,提高了 set_single_sysctl () 的性能
在所有服务启动后完全重启 syslog,并且只重启一次
/tmp MFS 现在默认使用最多 50% 的内存,并可以进行调整
在更新时刷新所有核心 Python pyc 文件
保护 syslog-ng 免受内存不足的影响
为系统日志小工具添加过滤器
默认禁用 RRD 和 NetFlow 的关机备份功能
自动检测默认路由的远端网关要求
更多详情可查看此处。
最新版本:23.1
v23.1 于2023年1月下旬正式发布,其版本绰号 “Quintessential Quail”,更新内容如下:
具有未绑定的 DNS 统计数据
用 Python 重写了黑名单
改进了 WAN SLAAC 可操作性
防火墙别名 BGP ASN 类型支持
PHP 8.1 支持
各种 FreeBSD 网络更新
用于数据包捕获的 MVC/API 页面 / 虚拟 IP/ IPsec 连接管理
IPsec 配置文件迁移到 swanctl.conf
新的 sslh 插件
ddclient 自定义后端支持(包括 Azure)
作为新默认值的 WireGuard 内核模块插件
更多信息可参考更新公告。
最新版本:25.1
开源防火墙和路由软件OPNsense在2025年1月迎来了它的十周年庆典,并在这个特殊时刻推出了新版本 v25.1,代号为“Ultimate Unicorn”(终极独角兽)。作为这个重要的里程碑版本,OPNsense 25.1 不仅带来了许多新特性,还进行了全面改进,旨在提升用户在安全管理和网络配置方面的效率与流畅度。该版本的发布不仅标志着 OPNsense 成长的十年,也意味着它将为用户提供更加强大、稳定和易用的网络解决方案。
核心更新与技术基础
v25.1 现在依赖于 FreeBSD 14.2、PHP 8.3 以及一系列更新的端口,例如 OpenVPN 2.6.13、Lighttpd 1.4.77 和 radvd 2.20,为系统提供了更加稳定和高效的基础架构。在这次版本更新中,用户、组和权限管理 已经迁移到了 MVC/API 结构,淘汰了旧版功能,像是手动 LDAP 导入器被移除。为了增强灵活性,管理员现在可以接收持久化的通知,并且新增了对 sshd_config 自定义项的支持。
网络和防火墙功能增强
v25.1 改进了 PPP 设备配置,并整合了各类网络日志。同时它还新增了对 RFC 5549 路由的支持,增强了对现代网络协议的兼容性。此外,防火墙的管理界面也进行了简化,新增了源地址和目标地址的多选选项,大大提升了防火墙规则创建的效率。内联流量整形支持选项的加入,将进一步增强流量管理的能力。
用户界面升级
用户界面(UI)也是本次更新的亮点之一。v25.1 为其界面带来了焕然一新的设计,更新了 Font Awesome 6 图标,并提供了 亮色与暗色主题。例如,重新设计的默认主题在整个仪表盘中实现了更响应式的搜索和编辑功能,使用户在操作时更加流畅便捷。
结构性与行为上的变化
在进行 v25.1 升级 时,管理员需要注意一些结构性和行为上的变化,主要包括:
1.访问管理部分 已经重写为 MVC 结构,旧功能(如手动 LDAP 导入器)已被移除。用户和组的创建改为按需创建,权限编辑器也进行了合并,废弃的权限项也被移除。
2.PPP 设备的配置 已不再出现在标准接口配置页面,这些设置现在转移到专门的 PPP 设备编辑页面。
3.FreeBSD 14.2 中的默认 pf 行为现在包括对 ICMPv6 邻居发现的状态跟踪,这是在某些 24.7.x 用户中避免使用的功能。
重要注意事项:Let's Encrypt 与 OCSP Must Staple
一个值得特别注意的变动是,Let's Encrypt 在 2025 年 1 月 30 日 后停止对 OCSP Must Staple 扩展的支持。如果您的证书请求启用了此扩展,那么在该日期之后,这些请求将无法成功。管理员需要提前做好相应的证书管理和更新工作,以避免未来的服务中断。如需了解关于 v25.1 版本的所有更改和更新详情,请访问官方发布公告。完整的更新日志也可以在此查看,以便深入了解每个功能和修复。可以通过访问项目官方网站的 下载页面,轻松获取 OPNsense 25.1 并进行安装。
OPNsense v25.1 作为该项目的十周年纪念版本,带来了许多激动人心的新特性和改进,包括更强的网络和防火墙管理功能、焕然一新的用户界面设计以及对更高版本技术的支持。这些变化无疑会为系统管理员和网络安全专家带来更加高效和稳定的工作体验。然而,随着新功能的加入,也有一些结构性变化需要管理员提前适应,尤其是访问管理和 PPP 配置的变化。v25.1 是一次值得庆祝的更新,它不仅体现了项目的成长与成熟,也展示了其在网络安全和防火墙管理方面的持续创新。对于已有用户来说,升级到新版本后将能够体验到更加流畅的管理操作与更高效的网络保护。
官方主页:https://opnsense.org/
该文章最后由 阿炯 于 2025-02-24 21:43:11 更新,目前是第 2 版。