OPNsense 是一款以 FreeBSD 為基礎的 Open Source 防火牆軟體,為什麼還需要再安裝 Next-Generation Firewall ( NGFW , 次世代防火牆 ) 呢?兩者之間有什麼差異呢?對於剛踏入軟路由這個領域的新手而言,怎麼做最適當的呢?
在這篇文章中,對於太深入的 OSI 模型( Open System Interconnection Model , 開放式系統互聯模型),並不會著墨太多。因為在網路上可以找到很多繁體中文資料來了解,例如:【CloudFlare – 什麼是 OSI 模型?】。在這裡,文章的內容反而會著重在:
1). 如何在 OPNsense 安裝次世代防火牆
2). OPNsense 不足的地方在哪裡?
3). 免費的次世代防火牆有那些限制呢?
4). 推薦在軟路由軟體上安裝次世代防火牆的理由是什麼?
如何在 OPNsense 安裝 NGFW Firewall
Zenarmor 是 OPNsense 軟路由所提供的外掛軟體,讓使用者可以自行決定是否要安裝在 OPNsense 來提高防護力。畢竟大部分免費的 Open Source 軟路由軟體(包含 OPNsense )都屬於 OSI 模型中 Layer 4 的防火牆,然而 Zenarmor 是屬於次世代防火牆等級的軟體,可以將封包檢視到應用層的內容,然後採取相對應的措施。
Zenarmor 主要功能:
- Application Control
- 就是針對應用程式來封鎖或開放
- Cloud Application Control
- Web 2.0 Controls
- Advanced Network Analytics
- 進階的網路分析
- All-ports full TLS Inspection
- 針對所有 TCP 的 port 都進行檢視
- Cloud Threat Intelligence
- 智慧型雲端威脅情報
- Encrypted Threats Prevention
- 加密威脅防護
- Web Filtering & Security
- 網頁過濾與安全
- Active Directory Integration
- 整合微軟 Windows Server 中,負責架構中大型網路環境的集中式目錄管理服務
Step 1:安裝 OPNsense
- 安裝 OPNsense 的細節,可以參考前一篇文章:安裝 OPNsense 教學
- 關於基本設定,請參考影片範例( 3 分鐘):OPNsense 基本設定範例
Step 2:安裝次世代防火牆
1、前往 Sunny Valley Networks 官網註冊 Zenarmor 的帳號。
2、登入 OPNsense 後,在 System -> Firmware -> Status 底下需要先更新 OPNsense 是否有更新程式,然後才能安裝 Zenarmor。
3、在 System -> Firmware ->Plugins 底下,搜尋【os-sunnyvalley】並完成安裝
4、再次檢查是否有更新程式,才能安裝【os-sensei】與【os-sensei-updater】外掛程式
5、當以上 3 個外掛都安裝成功後,在畫面左手邊就會出現【Zenarmor】的分類
6、跟著安裝精靈的引導,大致上都可以完成安裝
下面提供安裝 Zenarmor 設定過程的影片給有需要的人參考,影片的時間長度不到 5 分鐘,算是非常簡單的安裝。
影片的內容章節:
0:20 安裝 3 個外掛程式
1:25 Zenarmor安裝完成
1:35 Zenarmor設定精靈
1:39 Hardware Check
1:59 Reporting Database
2:20 Interface Selection
2:35 Cloud Reputation
2:41 Update & Health Check
2:56 Deployment Size
3:09 Finish
3:31 Status
3:39 Dashboard
3:54 Enable Cloud Agent
在 OPNsense 安裝 NGFW Firewall 的原因
講到封鎖廣告, OPNsense 的確比 pfSense 更方便,不用額外安裝 DNSBL( Domain Name System Blacklists ) 相關外掛(例如:pfBlocker-NG),直接啟用功能就可以達到封鎖目的。難道這樣子還有缺點嗎?以下就列出 3 個本身的做法,心得就是:【花了好多時間念書後才設定完成】!
光是上面這一點的小結論,就真的很建議新手們直接考慮安裝 NGFW Firewall – Zenarmor。省時、精準、又有專業公司維護清單內容~
Unbound DNS: Blocklist – 了解內容相當耗時
在 Services -> Unbound DNS -> Blocklist 底下,將【Enable】前的方塊打勾,接著在【Type of DNSBL】中選擇要啟用的黑名單即可。
但是,這些資料內容,畢竟都是由熱心人士在維護,所以要確認內容是否過時或應用在那些領域的網域,的確相當耗時間。以下分享幾個 Blacklist 造成本身上網時不便的地方:
| Blacklist | 影響範圍 |
|---|---|
| Crypto NoCoin List Steven Black List | 1. Google Adsense 廣告單元可以完全被封鎖 2. 無法連上 Line server |
| WindowsSpyBlocker (extra) | 造成 OpenVPN 無法連線成功 |
Spamhaus (E)DROP List – 防護範圍有限
OPNsense 官方提供的教學網址:https://docs.opnsense.org/manual/how-tos/edrop.html
基本上照著做,都可以設定成功。只是這些黑名單只侷限在【惡意流量網域】,似乎不足以應付所有使用者的需求。
Web Filtering – 設定複雜不適合新手嘗試
OPNsense 官方提供的教學網址:https://docs.opnsense.org/manual/how-tos/proxywebfilter.html
設定相當繁瑣,容易出錯。再者,一些參考網址已經失效了,無法閱讀更深入的內容,來評估 BlackList 是否符合自己的需求。
安裝 NGFW Firewall 的限制有哪些?
安裝 Zenarmor 會遇到的限制就是:【硬體規格要求稍微高一點】。不過,在安裝過程中,Zenarmor 會偵測硬體資源,然後顯示出:
– 不良的硬體規格
– 堪用的硬體規格
– 優良的硬體規格
偵測的結果,就如同影片中【1:39 Hardware Check】的內容一樣。
Zenarmor 硬體需求:https://www.sunnyvalley.io/docs/introduction/hardware-requirements
以本身的例子來分享,上線運作的機器(#1)與影片中出現的示範機器(#2),都可以成功安裝 Zenarmor 來使用,即使機器 #1 被偵測成【堪用的硬體規格】,但是,Zenarmor 還是會自動調整參數設定,讓硬體能夠正常運作。
| CPU | Intel N3710, 1.6GHz, 4C4T |
| Memory | 4GB *1, DDR3-1600 |
| 網路卡 | 內建 Intel Quad i210-AT |
| 磁碟 | SATA SSD Micron MX500 |
| 顯示卡 | CPU 內建 |
| 耗電量 | 18W – 21W |
| CPU | Intel i5-9600KF, 3.7GHz, 6C6T |
| Memory | 8GB *1, DDR4-2666 |
| 網路卡 | PCIe 外接卡 Intel Quad I350-AM4 |
| 磁碟 | SATA SSD SanDisk Ultra 3D |
| 顯示卡 | N710 亮機卡 |
| 耗電量 | 22W – 25W |
推薦安裝免費 NGFW Firewall(次世代防火牆)的理由
- Zenarmor 是 OPNsense 內建的外掛
- Zenarmor(Sensei) 由 SunnyValley Networks 在維護,簡單說,簡化許多在 Open Source 軟路由防火牆設定的過程,相當適合新手使用
- 對家用而言,完全免費
- 封包分析幾乎零延遲,因為在本機中有建立資料庫,不需要將封包傳到遠端伺服器作分析
使用 Zenarmor 的話,有哪些應用層程式可以設定呢?
收先來到 Zenarmor -> Policies 底下,點選預設 Policy 來編輯或新增 Policy 設定封鎖或開放應用層程式、時間限制、IP / MAC 指定、…等。
在 Security 頁面中:免費版本可以針對以下類別進行啟用封鎖功能
– Block Malware Activity
– Block Phishing Servers
– Block Spam sites
– Block Hacking Sites
– Block Parked Domains
– Block Potentially Dangerous Sites
– Block Firstly Seen Sites
– Block Undecided Not Safe Sites
– Block Undecided Safe Sites
在 App Controls 頁面中:總共有 30 個大分類,每個大分類底下又包含許多個別項目可以進行封鎖
| Ad Tracker | File Transfer |
| Ad | Gaming |
| Blogs | Generic TCPIP |
| Business Tools | Infrastructure Services |
| Cloud Service | Instant Messaging |
| Conferencing | Media Streaming |
| Database | Mobile Applications |
| Network Management |
| News | Secure Web Browsing |
| Online Education | Social Network |
| Online Shopping | Software Updates |
| Online Utility | Storage & Backup |
| Proxy | System & OS |
| Remote Access | VOIP |
| Search | Web Browsing |
舉個例子,在臺灣主流的即時通訊軟體就是 Line,想要封鎖這個 App 的話,就在【Line】前面按一下就能封鎖了。這種好處就是,新手對於應用層軟體比較熟悉,根本就不需要去尋找 Line App IP, 網域, 有幾台伺服器….之類的資訊,然後再到軟路由軟體去設定 Rule 進行封鎖。即使完成後,實測結果真的也跟你預期的一樣嗎?
在 Web Controls 頁面中:總共有 48 個大分類,每個大分類底下又包含許多個別項目,但是免費版本只能針對大分類進行封鎖
即使無法針對小分類來做設定,但是對於一般家庭而言,封鎖大分類好像也不會造成太大的不方便才對。
| Ad Tracker | Education |
| Adult | Entertainment |
| Advertisements | Financial Services |
| Alcohol | Forums |
| Arts and Culture | Gambling |
| Blogs | Games |
| Business Services | Goverment and Organization |
| Chats | Hate/Violence/Illegal |
| Clothing and Fashion | Health |
| Content Delivery Networks | Illegal Drugs |
| Cooking | Infrastructure Services |
| Dating | Job Search |
| Kids | Society |
| Music | Software Downloads |
| News | Sports |
| Online Storage | Swimsuits and Underwear |
| Online Video | Technology and Computer |
| Pornography | Tobacco |
| Real Estate | Uncategorized |
| Reference | Vacation and Travel |
| Religion | Vehicles |
| Search Engines | Warez Sites |
| Shopping | Weapons adn Military |
| Social Networks | Webmails |
在 Exclusions 頁面中:允許用戶新增白名單(Whitelists)或黑名單(Blacklists)
NGFW Firewall(次世代防火牆) Q&A
Zenarmor 免費版本適合居家使用嗎?
非常適合。尤其是家中有青少年的話,可以藉由 NGFW 來封鎖許多不良的網路內容。最吸引的地方就是:真的不需要太了解 OSI model,也不用被 IP, Pass, Block, direction, port number 給搞得很混亂,最後放棄了。
硬體規格不夠高怎麼辦?
其實不太需要刻意去尋找迷你電腦來安裝軟路由與 Zenarmor,上面表格中可以看到,一般桌上型電腦(Intel平台)安裝一張陽春顯示卡與 4 孔網路卡,其實耗電量並沒有想像中的高。但是擴充性絕對比迷你電腦來的有彈性,而且效能真的不用擔心。
需要在軟路由軟體上安裝 NGFW 的理由是什麼?
設定簡單、資料來源有專門公司在維護、即使是新手也能上手。
也許你有興趣:搭配 HiNet 光世代 500M / 250M 的平價 Mesh WiFi 無線路由器是哪一款呢?
OPNsense 搭配 NGFW Firewall,輕鬆提高居家網路安全等級
對大部分的人而言,操作應用層防火牆軟體來控制封鎖或開放特定的程式,絕對是最直觀的做法。當 OPNsense 搭配 Zenarmor,這就是讓新手也能輕鬆提高居家網路安全等級的一個組合,不是嗎?
