第三届全国技能大赛网络安全(模块A)复现与练习(十)— pfSense 二阶段配置(网络隔离)

原创 已于 2025-11-26 09:40:38 修改 · 869 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #全国技能大赛网络安全 #天枢一体化虚拟仿真靶场平台 #网络安全竞赛 #pfsense配置 #防火墙配置

于 2025-11-26 09:39:52 首次发布

为让 pfSense 二阶段配置(网络隔离)更完整,我将从基础信息配置细化、端口转发全规则落地、防火墙规则精准配置等完成对 pfSense 配置。

一、 基础环境

设备 / 区域

核心配置

pfSense 防火墙

pfSense

复现平台支持

天枢一体化虚拟仿真靶场平台

内网服务器

APP 服务器(DMZ):10.0.1.1

Office 区域: 

DC服务器:10.0.8.1

Wazuh 服务器:10.0.8.2

终端设备

Office 区域: 

PC1:10.0.9.1

PC2:10.0.9.2

二、基础信息配置(接口重命名)

2.1 配置目标

         将 pfSense 的 FW 接口 0-3 分别重命名为Internet(WAN)、Inside(LAN)、DMZ(OPT1)、Office(OPT2),实现接口标识与业务区域一一对应,简化后续配置管理。

2.2 详细配置步骤

  • 登录 pfSense Web 控制台(https://10.0.8.254),使用管理员账户登录;
  • 进入Interfaces → Assignments,确认接口与物理网卡的绑定关系(FW0=WAN、FW1=LAN、FW2=OPT1、FW3=OPT2);

  • 依次编辑每个接口:

2.3 验证配置结果

修改好全部后可以在面板看到对应接口名称和ip。

三、端口转发配置(NAT 规则)

3.1 配置目标

通过端口转发实现外网访问内网业务服务DMZ 与 Inside 区域的服务映射,共需配置 4 条转发规则,具体如下:

①将APP的21端口转发到Internet address接口的21端口。

②将APP的80端口转发到Internet address接口的80端口。

③将APP的443端口转发到Internet address接口的443端口。

④将ADCS的389端口绑定到DMZ address的389端口。

3.2 通用配置步骤

进入 pfSenseFirewall → NAT → Port Forward,点击Add新建转发规则;

3.3 具体规则配置

配置项

设置示例

说明

Interface

WAN(Internet)

接收外网请求的接口

Protocol

TCP

FTP 控制端口使用 TCP 协议

Destination

WAN Address(3.4.5.1)

外网访问的公网 IP

Destination Port Range

From:21 / To:21

外网访问的端口

Redirect Target IP

10.0.1.1

DMZ 区 APP 服务器内网 IP

Redirect Target Port

21

内网 FTP 服务端口

Description

FTP Port Forward(Internet→APP)

规则备注,便于识别

自动生成防火墙规则结果如下所示:

四、防火墙规则配置(网络隔离)

4.1 配置原则

pfSense 防火墙规则遵循从上到下匹配原则,需按「安全优先级」排序规则(先精确规则,后通用规则);同时通过规则实现区域隔离,仅允许授权流量跨区域访问。

4.2 具体规则配置

共需配置 6 条核心防火墙规则,分别对应不同的访问控制需求,以下为详细配置步骤与参数:

  • 规则 1:允许 Internet 区域访问防火墙 Internet 接口的 21/80/443 端口
  • 规则 2:允许 Internet 区域 ping 检测防火墙 Internet 接口
  • 规则 3:允许 Office/Inside 区域通过 NAT 访问 Internet 任意主机
  • 规则 4:允许 Office 与 Inside 区域相互访问
  • 规则 5:允许 DMZ 区 APP 主机访问 Inside 区 Wazuh 主机
  • 规则 6:仅允许 Office 区 PC1 访问 Office 接口 4598 端口

① 允许 Internet 区域访问防火墙 Internet address 的 21、80、443 端口

Interface

Source

Destination

Port

Action

Notes

WAN

Any

WAN address

TCP 21,80,443

Allow

FTP/HTTP/HTTPS

② 允许 Internet 区域用 ping 检测防火墙 Internet 接口状态

Interface

Source

Destination

Protocol

Action

Notes

WAN

Any

WAN address

ICMP (Echo Request)

Allow

ping 可达

③ 允许 Office 区域和 Inside 区域通过 NAT 访问 Internet 区域任意主机

Interface

Source

Destination

Protocol

Action

Notes

LAN1 / LAN2

Office / Inside network

Any

Any

Allow

NAT 出口(源 NAT 或 MASQUERADE)

④ 允许 Office 区域和 Inside 区域相互访问

Interface

Source

Destination

Protocol

Action

Notes

LAN1

Office network

Inside network

Any

Allow

双向规则

LAN2

Inside network

Office network

Any

Allow

双向规则

⑤ 允许 DMZ 区域 APP 主机访问 Inside 区域的 Wazuh 主机

Interface

Source

Destination

Protocol

Port

Action

Notes

DMZ

APP host IP

Inside / Wazuh host IP

TCP/UDP

根据 Wazuh 端口(默认 1514/1515)

Allow

仅允许访问 Wazuh 主机端口

⑥ 仅允许 Office 区域的 PC1 访问 Office address 的 4598 端口

Interface

Source

Destination

Protocol

Port

Action

Notes

LAN1

PC1 IP

Office network / 防火墙地址

TCP

4598

Allow

精确限制单机访问

lightningyang
关注
pfSense2.4.4系统安装和网络配置
12-31
pfSense2.4.4系统安装和网络配置 pfSense2.4.4系统安装和网络配置是一篇详细的安装和配置指南,旨在帮助用户安装和配置pfSense2.4.4系统。下面是从文章中提取的知识点: 1. 安装pfSense2.4.4系统需要准备的工作...
pfSense-pkg-zeek:用于pfSense路由器的Zeek(以前为Bro)网络安全监视器软件包
01-28
用于pfSense路由器/防火墙的Zeek网络安全监视器程序包 兼容性 该软件包已在pfSense 2.4.5-RELEASE(amd64)上进行了测试。 也许它不适用于较早版本的pfSense。 安装 通过下载生成的软件包 将程序包从本地计算机复制...
第三届全国技能大赛网络安全项目(模块A)复现练习()——pfsense网络配置
lightningyang的博客
11-18 307
本文介绍了pfsense防火墙配置操作,主要包括:1)为新增接口opt1、opt2添加流量放行规则;2)通过连接router-pfsense的DoubleNat设备实现内网设备的互联网访问;3)指出未配置网关和DNS的特定设备无法访问外网。操作均在web界面完成,使用天枢平台搭建实验环境。
第三届全国技能大赛网络安全模块A)复现练习(七)— 域内Web服务器的创建和证书申请流程
lightningyang的博客
11-21 414
Organization Name []:DubheLjsec # 组织名称(DC/CA一致)State or Province Name []:Chongqing # 省/州(DC/CA一致)Common Name []:www.skills.cn # 核心:必须域名一致。# 显示www.skills.cn.key(密钥)和www.skills.cn.csr(请求文件)即为成功。
第三届全国技能大赛网络安全项目(模块A)复现练习(四)—根 CA配置指南
lightningyang的博客
11-19 703
crlDistributionPoints = URI:http://www.testpki.com/crl/root.ca.crl.pem # CRL查询地址(HTTP)-rw-------. 1 root root 3456 Nov 18 05:40 private/root.ca.key.pem # 权限应为600。# -------------------------- 中间CA证书扩展属性(预留) --------------------------
第三届全国技能大赛网络安全项目(模块A)复现练习(一)
lightningyang的博客
11-17 554
一、前期比赛环境准备硬件环境主控配置40核80线程、内存128GB;节点服务器2台配置分别为40核80线程、内存256GB,48核96线程、内存256GB;支持多设备拓扑部署。2、软件环境:搭载兼容linux等设备镜像模板。3、网络要求:规划多区域网络(Inside、Office、DMZ、Internet),确保各区域网络互通基础。、基础环境搭建1、拓扑还原:1:1复刻大赛网络拓扑,划分Internet、Inside、DMZ、Office四大区域。
2024网络信息安全管理员职工职业技能竞赛crypto解密脚本
Geek极安云科-致力于网络安全事业
08-16 590
【代码】2024网络信息安全管理员职工职业技能竞赛crypto解密脚本。
4、pfSense网络安全硬件配置全解析
yyy34的博客
10-17 4
本文深入解析了pfSense网络安全系统的架构硬件配置要点,涵盖网络接口类型、硬件兼容性、最低要求及性能影响因素。详细分析了不同网络适配器、CPU、RAM对吞吐量和功能(如VPN、大型状态表、Snort、Squid)的影响,并提供了家庭、中小企业到大型企业的硬件配置建议。文章还介绍了硬件升级策略未来展望,帮助用户构建安全、稳定、高效的pfSense防火墙系统。
6、网络安全实验室搭建配置全解析
08-22 45
本文详细解析了网络安全实验室的搭建配置过程,包括虚拟安全实验室的架构设计、主机虚拟化平台的选择、网络配置以及外部接口集成等关键环节。针对不同虚拟化平台(如 Qemu KVM 和 VirtualBox)的安装、配置及优缺点进行了对比,并提供了具体的网络设置命令和操作步骤,旨在帮助用户构建一个高效、稳定的网络安全实验环境。
pfsense配置网络
weixin_43854618的博客
12-18 7011
文章目录1.配置lan口2.配置wan口2.1 pfsense联网2.2 局域网内部虚拟机联网 1.配置lan口 默认lan口ip是192.168.1.1也可以自己配置: 输入2开始配置ip: 输入2选择lan口: 输入ip地址,不能和已有ip冲突: 输入掩码长度: 输入网关:(可以跳过) 输入ipv6地址:(可以跳过) 是否使用dhcp:(不使用) 使用http还是https服务:(都可以选) 最后配置完成,可以访问web界面进行配置wan,登录页面默认密码账号admin/pfsense
pfsense部署四(静态路由的配置
sveewg的博客
03-22 7973
pfsense开源防火墙经常在进行组网时,通常会用于连接不同的网络,在这个时候进需要给pfsense配置路由,而这篇文章介绍的是静态路由的配置
使用Proxmox、pfSense和Kali Linux构建的网络安全实验环境,用于展示虚拟化、网络攻防及嵌套虚拟化故障排除技能。.zip
11-05
基于Proxmox虚拟化平台构建的网络安全实验环境项目。它通过集成pfSense防火墙和Kali Linux渗透测试系统,完整展示了企业级安全架构的部署流程。该项目不仅提供了可复现的攻防演练环境,还深入解决了嵌套虚拟化场景下...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8822
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
CSS设置视频透明[项目源码]
最新发布
11-25
本文介绍了如何使用CSS的mix-blend-mode属性来实现MP4视频背景色透明效果。通过mix-blend-mode属性,可以对图片或视频进行混色处理,从而达到透明效果。文章提供了详细的代码示例,包括HTML结构和CSS样式,展示了如何将视频背景图混合,并附上了效果图的参考地址。代码示例中,通过设置video元素的mix-blend-mode为screen,实现了视频背景图的混合效果。
CSS防止页面滚动技巧[源码]
11-25
本文介绍了多种CSS技巧来防止页面滚动或控制元素显示。首先,使用`overflow: hidden`可以确保圆角边框效果正常显示。其次,`z-index`属性用于控制元素的层叠顺序,决定其在Z轴上的显示优先级。`fixed`定位使元素脱离文档流,固定在浏览器窗口,不随页面滚动。在uniapp中,可以通过`::-webkit-scrollbar{ display: none }`隐藏滚动条以防止滚动。此外,还演示了如何通过`left:50%`和`transform:translateX(-50%)`实现水平居中,以及通过`top:-22%`向上偏移图片。这些技巧适用于多种场景,帮助开发者更好地控制页面布局和滚动行为。
STM32F103 弹弹球游戏 程序
11-25
提供了STM32F103平台的弹弹球游戏程序,适用于野火指南者STM32F103开发板。该程序经过优化,可方便地移植到其他类似平台。 功能特点 实现了基本的弹弹球游戏逻辑 支持游戏画面显示 支持按键操作 使用说明 确保您已具备STM32F103开发环境,包括开发板、编程器和相关软件。 将程序文件下载到您的计算机。 使用合适的编程工具,将程序烧录到STM32F103开发板。 按照开发板说明书,连接好显示屏和按键。 打开电源,运行程序,即可开始游戏。
高手C+C语言+登顶嵌入式
11-25
高手C,包含C语言高级别用法等
FastGS:3D高斯溅射加速[代码]
11-25
FastGS是一种创新的3D高斯溅射(3DGS)加速框架,由南开大学开发,旨在解决现有方法在训练过程中难以有效控制高斯分布数量的问题。该框架通过多视图一致性机制全面评估高斯基元的重要性,设计了基于多视图一致性的密度增强剪枝策略,摒弃了传统预算分配机制。实验表明,FastGS在Mip-NeRF 360、Tanks & Temples和Deep Blending数据集上实现了显著的训练速度提升,最高可达15.45倍加速,同时保持DashGaussian相当的渲染质量。FastGS还具有强大的通用性,适用于动态场景重建、表面重建、稀疏视图重建、大规模重建及同步定位建图等任务,训练加速比达2-7倍。
PyCharm测试模式修改[源码]
11-25
文章介绍了如何将PyCharm从测试模式运行代码修改为正常模式运行的方法。通过参考转载的链接内容,用户可以找到具体的操作步骤,解决在PyCharm中运行代码时默认进入测试模式的问题。该问题可能影响开发效率,因此掌握修改方法对开发者来说非常实用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值