推薦1款免費的軟路由 NGFW Firewall(次世代防火牆)

OPNsense 是一款以 FreeBSD 為基礎的 Open Source 防火牆軟體,為什麼還需要再安裝 Next-Generation Firewall ( NGFW , 次世代防火牆 ) 呢?兩者之間有什麼差異呢?對於剛踏入軟路由這個領域的新手而言,怎麼做最適當的呢?

在這篇文章中,對於太深入的 OSI 模型( Open System Interconnection Model , 開放式系統互聯模型),並不會著墨太多。因為在網路上可以找到很多繁體中文資料來了解,例如:【CloudFlare – 什麼是 OSI 模型?】。在這裡,文章的內容反而會著重在:1). 如何在 OPNsense 安裝次世代防火牆 2). OPNsense 不足的地方在哪裡?3). 免費的次世代防火牆有那些限制呢?4). 推薦在軟路由軟體上安裝次世代防火牆的理由是什麼?

如何在 OPNsense 安裝 NGFW Firewall

Zenarmor 是 OPNsense 軟路由所提供的外掛軟體,讓使用者可以自行決定是否要安裝在 OPNsense 來提高防護力。畢竟大部分免費的 Open Source 軟路由軟體(包含 OPNsense )都屬於 OSI 模型中 Layer 4 的防火牆,然而 Zenarmor 是屬於次世代防火牆等級的軟體,可以將封包檢視到應用層的內容,然後採取相對應的措施。

Zenarmor 主要功能:

  1. Application Control
    • 就是針對應用程式來封鎖或開放
  2. Cloud Application Control
    • Web 2.0 Controls
  3. Advanced Network Analytics
    • 進階的網路分析
  4. All-ports full TLS Inspection
    • 針對所有 TCP 的 port 都進行檢視
  5. Cloud Threat Intelligence
    • 智慧型雲端威脅情報
  6. Encrypted Threats Prevention
    • 加密威脅防護
  7. Web Filtering & Security
    • 網頁過濾與安全
  8. Active Directory Integration
    • 整合微軟 Windows Server 中,負責架構中大型網路環境的集中式目錄管理服務

Step 1:安裝 OPNsense

Step 2:安裝次世代防火牆

01 NGFW Firewall(次世代防火牆) Zenarmor register
Zenarmor 註冊

1、前往 Sunny Valley Networks 官網註冊 Zenarmor 的帳號。
2、登入 OPNsense 後,在 System -> Firmware -> Status 底下需要先更新 OPNsense 是否有更新程式,然後才能安裝 Zenarmor。
3、在 System -> Firmware ->Plugins 底下,搜尋【os-sunnyvalley】並完成安裝
4、再次檢查是否有更新程式,才能安裝【os-sensei】與【os-sensei-updater】外掛程式
5、當以上 3 個外掛都安裝成功後,在畫面左手邊就會出現【Zenarmor】的分類
6、跟著安裝精靈的引導,大致上都可以完成安裝

02 NGFW Firewall(次世代防火牆) Zenarmor wizard
Zenarmor 安裝精靈

下面提供安裝 Zenarmor 設定過程的影片給有需要的人參考,影片的時間長度不到 5 分鐘,算是非常簡單的安裝。
影片的內容章節:
0:20 安裝 3 個外掛程式
1:25 Zenarmor安裝完成
1:35 Zenarmor設定精靈
1:39 Hardware Check
1:59 Reporting Database
2:20 Interface Selection
2:35 Cloud Reputation
2:41 Update & Health Check
2:56 Deployment Size
3:09 Finish
3:31 Status
3:39 Dashboard
3:54 Enable Cloud Agent

在 OPNsense 安裝 NGFW Firewall 的原因

講到封鎖廣告, OPNsense 的確比 pfSense 更方便,不用額外安裝 DNSBL( Domain Name System Blacklists ) 相關外掛(例如:pfBlocker-NG),直接啟用功能就可以達到封鎖目的。難道這樣子還有缺點嗎?以下就列出 3 個本身的做法,心得就是:【花了好多時間念書後才設定完成】!

光是上面這一點的小結論,就真的很建議新手們直接考慮安裝 NGFW Firewall – Zenarmor。省時、精準、又有專業公司維護清單內容~

Unbound DNS: Blocklist – 了解內容相當耗時

在 Services -> Unbound DNS -> Blocklist 底下,將【Enable】前的方塊打勾,接著在【Type of DNSBL】中選擇要啟用的黑名單即可。

03 OPNsense Unbound DNS Blacklist example
啟用 OPNsense Unbound DNS Blacklist

但是,這些資料內容,畢竟都是由熱心人士在維護,所以要確認內容是否過時或應用在那些領域的網域,的確相當耗時間。以下分享幾個 Blacklist 造成本身上網時不便的地方:

Blacklist影響範圍
Crypto
NoCoin List
Steven Black List
1. Google Adsense 廣告單元可以完全被封鎖
2. 無法連上 Line server
WindowsSpyBlocker (extra)造成 OpenVPN 無法連線成功
Blacklist 影響日常上網

Spamhaus (E)DROP List – 防護範圍有限

OPNsense 官方提供的教學網址:https://docs.opnsense.org/manual/how-tos/edrop.html
基本上照著做,都可以設定成功。只是這些黑名單只侷限在【惡意流量網域】,似乎不足以應付所有使用者的需求。

Web Filtering – 設定複雜不適合新手嘗試

OPNsense 官方提供的教學網址:https://docs.opnsense.org/manual/how-tos/proxywebfilter.html
設定相當繁瑣,容易出錯。再者,一些參考網址已經失效了,無法閱讀更深入的內容,來評估 BlackList 是否符合自己的需求。

安裝 NGFW Firewall 的限制有哪些?

安裝 Zenarmor 會遇到的限制就是:【硬體規格要求稍微高一點】。不過,在安裝過程中,Zenarmor 會偵測硬體資源,然後顯示出:
– 不良的硬體規格
– 堪用的硬體規格
– 優良的硬體規格
偵測的結果,就如同影片中【1:39 Hardware Check】的內容一樣。
Zenarmor 硬體需求:https://www.sunnyvalley.io/docs/introduction/hardware-requirements

以本身的例子來分享,上線運作的機器(#1)與影片中出現的示範機器(#2),都可以成功安裝 Zenarmor 來使用,即使機器 #1 被偵測成【堪用的硬體規格】,但是,Zenarmor 還是會自動調整參數設定,讓硬體能夠正常運作。

CPUIntel N3710,
1.6GHz, 4C4T
Memory4GB *1,
DDR3-1600
網路卡內建
Intel Quad i210-AT
磁碟SATA SSD
Micron MX500
顯示卡CPU 內建
耗電量18W – 21W
上線運作的機器(#1)
CPUIntel i5-9600KF,
3.7GHz, 6C6T
Memory8GB *1,
DDR4-2666
網路卡PCIe 外接卡
Intel Quad I350-AM4
磁碟SATA SSD
SanDisk Ultra 3D
顯示卡N710 亮機卡
耗電量22W – 25W
影片的示範機器(#2)

推薦安裝免費 NGFW Firewall(次世代防火牆)的理由

  1. Zenarmor 是 OPNsense 內建的外掛
  2. Zenarmor(Sensei) 由 SunnyValley Networks 在維護,簡單說,簡化許多在 Open Source 軟路由防火牆設定的過程,相當適合新手使用
  3. 對家用而言,完全免費
  4. 封包分析幾乎零延遲,因為在本機中有建立資料庫,不需要將封包傳到遠端伺服器作分析

使用 Zenarmor 的話,有哪些應用層程式可以設定呢?
收先來到 Zenarmor -> Policies 底下,點選預設 Policy 來編輯或新增 Policy 設定封鎖或開放應用層程式、時間限制、IP / MAC 指定、…等。

05 NGFW Firewall(次世代防火牆) Zenarmor app control
Zenarmor 應用層程式控制

在 Security 頁面中:免費版本可以針對以下類別進行啟用封鎖功能
– Block Malware Activity
– Block Phishing Servers
– Block Spam sites
– Block Hacking Sites
– Block Parked Domains
– Block Potentially Dangerous Sites
– Block Firstly Seen Sites
– Block Undecided Not Safe Sites
– Block Undecided Safe Sites

在 App Controls 頁面中:總共有 30 個大分類,每個大分類底下又包含許多個別項目可以進行封鎖

Ad TrackerFile Transfer
AdGaming
BlogsGeneric TCPIP
Business ToolsInfrastructure Services
Cloud ServiceInstant Messaging
ConferencingMedia Streaming
DatabaseMobile Applications
EmailNetwork Management
File Transfer
NewsSecure Web Browsing
Online EducationSocial Network
Online ShoppingSoftware Updates
Online UtilityStorage & Backup
ProxySystem & OS
Remote AccessVOIP
SearchWeb Browsing

舉個例子,在臺灣主流的即時通訊軟體就是 Line,想要封鎖這個 App 的話,就在【Line】前面按一下就能封鎖了。這種好處就是,新手對於應用層軟體比較熟悉,根本就不需要去尋找 Line App IP, 網域, 有幾台伺服器….之類的資訊,然後再到軟路由軟體去設定 Rule 進行封鎖。即使完成後,實測結果真的也跟你預期的一樣嗎?

06 NGFW Firewall(次世代防火牆) Zenarmor app 封鎖範例
封鎖 Line app

在 Web Controls 頁面中:總共有 48 個大分類,每個大分類底下又包含許多個別項目,但是免費版本只能針對大分類進行封鎖
即使無法針對小分類來做設定,但是對於一般家庭而言,封鎖大分類好像也不會造成太大的不方便才對。

Ad TrackerEducation
AdultEntertainment
AdvertisementsFinancial Services
AlcoholForums
Arts and CultureGambling
BlogsGames
Business ServicesGoverment and Organization
ChatsHate/Violence/Illegal
Clothing and FashionHealth
Content Delivery NetworksIllegal Drugs
CookingInfrastructure Services
DatingJob Search
File Transfer
KidsSociety
MusicSoftware Downloads
NewsSports
Online StorageSwimsuits and Underwear
Online VideoTechnology and Computer
PornographyTobacco
Real EstateUncategorized
ReferenceVacation and Travel
ReligionVehicles
Search EnginesWarez Sites
ShoppingWeapons adn Military
Social NetworksWebmails

在 Exclusions 頁面中:允許用戶新增白名單(Whitelists)或黑名單(Blacklists)

07 NGFW Firewall(次世代防火牆) Zenarmor Exclusion
Zenarmor 新增白名單或黑名單

NGFW Firewall(次世代防火牆) Q&A

Zenarmor 免費版本適合居家使用嗎?

非常適合。尤其是家中有青少年的話,可以藉由 NGFW 來封鎖許多不良的網路內容。最吸引的地方就是:真的不需要太了解 OSI model,也不用被 IP, Pass, Block, direction, port number 給搞得很混亂,最後放棄了。

硬體規格不夠高怎麼辦?

其實不太需要刻意去尋找迷你電腦來安裝軟路由與 Zenarmor,上面表格中可以看到,一般桌上型電腦(Intel平台)安裝一張陽春顯示卡與 4 孔網路卡,其實耗電量並沒有想像中的高。但是擴充性絕對比迷你電腦來的有彈性,而且效能真的不用擔心。

需要在軟路由軟體上安裝 NGFW 的理由是什麼?

設定簡單、資料來源有專門公司在維護、即使是新手也能上手。

OPNsense 搭配 NGFW Firewall,輕鬆提高居家網路安全等級

對大部分的人而言,操作應用層防火牆軟體來控制封鎖或開放特定的程式,絕對是最直觀的做法。當 OPNsense 搭配 Zenarmor,這就是讓新手也能輕鬆提高居家網路安全等級的一個組合,不是嗎?

分享文章
回到頂端