Подивіться на основні моменти, але пам’ятайте що функцій OPNsense набагато більше.
✓ QoS ✓ 2FA ✓ OpenVPN ✓ IPSec ✓ CARP ✓ Captive Portal ✓ Proxy ✓ Webfilter ✓ IDPS ✓ Netflow ✓ та багато іншого!
OPNsense пропонує функцію інформаційної панелі для швидкої перевірки стану брандмауера OPNsense. Показана остання версія з підтримкою перетягування в кілька стовпців.
Сучасний користувальницький інтерфейс забезпечує чудовий досвід роботи з кількома мовами, вбудованою довідкою та швидкою навігацією за допомогою вікна пошуку.
Показано опцію навігації швидкого пошуку.
Брандмауер із збереженням стану — це брандмауер, який відстежує стан мережевих з’єднань (таких як потоки TCP, UDP-зв’язок), що проходять через нього. OPNsense пропонує групування правил брандмауера за категоріями, чудову функцію для складніших налаштувань мережі.
Формування трафіку в OPNsense є дуже гнучким і організовано навколо каналів, черг і відповідних правил. Канали визначають дозволену пропускну здатність, черги можна використовувати для встановлення ваги в каналі, і, нарешті, правила використовуються для застосування формування до певного потоку пакетів. Правила формування обробляються незалежно від правил брандмауера та інших параметрів.
Керування правилами брандмауера ще ніколи не було таким простим. Використовуючи псевдоніми, ви можете групувати кілька IP-адрес або хостів в один список, який використовуватиметься в правилах брандмауера. Крім того, IP-адресу або імена хостів можна отримати із зовнішніх URL-адрес, наприклад, DROP (Do Not Route Or Peer), засіб відстеження програм-вимагачів Abuse.ch і вбудовану базу даних Maxmind GeoLite2 Country.
Двофакторна автентифікація, також відома як 2FA або 2-етапна перевірка, — це метод автентифікації, для якого потрібні два компоненти, наприклад PIN-код/пароль + маркер. OPNsense пропонує повну підтримку двофакторної автентифікації (2FA) у всій системі за допомогою TOTP, наприклад із Google Authenticator.
Підтримувані послуги 2FA включають:
Графічний інтерфейс користувача OPNsense
Портал захоплення
Віртуальні приватні мережі - OpenVPN і IPsec
Кешування проксі
OPNsense пропонує широкий спектр технологій VPN, починаючи від сучасних SSL VPN і закінчуючи добре відомими IPsec, а також застарілими варіантами (які зараз вважаються небезпечними), такими як L2TP і PPTP. Можливе налаштування Site-to-Site і road warrior, а за допомогою інтегрованого експортера клієнтів OpenVPN клієнт можна налаштувати за лічені хвилини. Шукаєте графічний інтерфейс IPsec або OpenVPN, ви щойно знайшли щось краще!
Проксі-сервер кешування, який пропонує OPNsense, є повнофункціональним і включає веб-фільтрацію на основі категорій, розширені списки контролю доступу та може працювати в прозорому режимі. Проксі-сервер можна об’єднати з формувачем трафіку для покращення взаємодії з користувачем. Інтеграція з більшістю професійних антивірусних рішень можлива через інтерфейс ICAP.
Вбудована система IPS OPNsense базується на Suricata та використовує Netmap для підвищення продуктивності та мінімізації використання ЦП. Ця система глибокої перевірки пакетів є дуже потужною та може використовуватися для пом’якшення загроз безпеці на швидкості з’єднання.
Інтегрована підтримка правил ET Open.
Набір правил ETOpen — це чудовий набір правил IDS/IPS для захисту від зловмисного програмного забезпечення, який дозволяє користувачам із обмеженими витратами значно покращити виявлення зловмисних програм у мережі.
Інтегрований чорний список SSL (SSLBL)
Проект, який підтримує abuse.ch. Мета полягає в тому, щоб надати список «поганих» SSL-сертифікатів, ідентифікованих abuse.ch як пов’язаних зі зловмисним програмним забезпеченням або діяльністю ботнету. SSLBL покладається на відбитки SHA1 шкідливих сертифікатів SSL і пропонує різні чорні списки.
Інтегрований Feodo Tracker
Feodo (також відомий як Cridex або Bugat) — це троян, який використовується для шахрайства з електронними банківськими послугами та викрадення конфіденційної інформації з комп’ютера жертви, наприклад даних кредитної картки чи облікових даних. На даний момент Feodo Tracker відстежує чотири версії Feodo.
Опція IPS, що дозволяє використовувати визначені користувачем правила, включає опцію відбитків SSL. За допомогою цього параметра зв’язок SSL можна заблокувати під час початкової спроби з’єднання, відмінивши обмін ключами SSL.
Краще перестрахуватися, ніж шкодувати, завжди зберігайте резервну копію вашої конфігурації в актуальному стані. З OPNsense це легко.
OPNsense пропонує багато варіантів звітування та моніторингу системи, зокрема:
Стан системи
Сучасний погляд на графіки RRD із можливістю збільшення та експорту даних.
Netflow Exporter
Використовуйте свій улюблений аналізатор netflow, щоб побачити найбільш активних користувачів, інтерфейси, порти та програми.
Insight – інтегрований аналізатор Netflow
OPNsense також пропонує інтегрований аналізатор Netflow без потреби в додаткових плагінах або інструментах, подібних до того, що ви можете знайти в комерційних продуктах високого класу.
Пропонуючи надійний шлях оновлення мікропрограми для реагування на нові загрози; OPNsense оснащено надійним і безпечним механізмом оновлення для забезпечення щотижневих оновлень безпеки. Механізм плагіна можна використовувати для встановлення додаткових пакетів і налаштувань.
Функції детально пояснюються, а приклади надаються у формі інструкцій, що робить налаштування OPNsense максимально простим.
Перегляньте docs.opnsense.org.
