OPNsense 防火墙部署教程

OPNsense 是从 pfSense 分支出来的开源防火墙平台，同样基于 FreeBSD 开发。相比 pfSense，OPNsense 采用更现代的 Web 界面（基于 MVC 框架），更频繁的安全更新，以及更开放的开发模式。OPNsense 内置了 Suricata 入侵检测引擎和 Unbound DNS 解析器，是构建安全网络的优秀选择。

一、OPNsense 与 pfSense 对比

• 界面设计：OPNsense 使用基于 Bootstrap 的现代化界面，操作更直观。
• 更新频率：OPNsense 每两周发布一次更新，安全补丁更及时。
• 插件系统：OPNsense 的插件系统更为灵活，支持更多第三方集成。
• 许可证：OPNsense 使用 BSD 2-Clause 许可证，完全开源。
• 安全引擎：OPNsense 默认集成 Suricata IDS/IPS。

二、安装 OPNsense

# 下载 OPNsense ISO 镜像
# 访问 https://opnsense.org/download/ 获取最新版本

# 制作启动 U 盘
dd if=OPNsense-24.7-dvd-amd64.iso of=/dev/sdb bs=4M status=progress

安装流程与 pfSense 类似：从 U 盘引导，使用 installer 用户登录（密码 opnsense），按照向导完成安装。

三、初始配置

# 默认 LAN 地址：192.168.1.1
# 默认用户名：root
# 默认密码：opnsense

# 通过控制台配置接口
# 选项 1：分配网络接口
# 选项 2：设置接口 IP 地址

四、防火墙规则管理

OPNsense 通过 Firewall > Rules 管理防火墙规则。规则按接口分组，支持别名（Aliases）简化管理：

# 创建 IP 别名
# Firewall > Aliases > Add
# Name: WebServers
# Type: Host(s)
# Content: 192.168.1.10, 192.168.1.11

# 在规则中引用别名
# Destination: WebServers
# Port: 80, 443

五、入侵检测配置

# OPNsense 集成 Suricata IDS/IPS
# Services > Intrusion Detection > Administration

# 启用 IDS 模式（检测但不阻断）
# 或 IPS 模式（检测并自动阻断）

# 下载规则集
# 支持 ET Open、Abuse.ch、Snort Community 等规则集

六、DNS 和 DHCP

# Unbound DNS 配置
# Services > Unbound DNS > General
# 启用 DNSSEC 验证
# 配置上游 DNS 服务器

# DHCP 服务配置
# Services > DHCPv4 > [接口名]
# 设置地址池范围和 DNS 服务器

八、插件安装

# 通过 Web 界面安装
# System > Firmware > Plugins

# 常用插件：
# os-haproxy       - 负载均衡
# os-acme-client   - Let's Encrypt 证书
# os-ntopng        - 流量分析
# os-theme-cicada  - 界面主题
# os-crowdsec      - 协同安全引擎

# 命令行安装插件
pkg install os-haproxy

九、高可用性

# OPNsense 支持 CARP 高可用
# System > High Availability > Settings
# 配置主节点和备节点的同步

十、备份与恢复

# Web 界面备份
# System > Configuration > Backups

# 支持自动备份到 Google Drive、Nextcloud 等

总结

OPNsense 是一款界面现代、功能全面的开源防火墙平台，特别适合注重安全性和更新频率的用户。如果你想对比选择，也可以参考 pfSense 防火墙搭建教程。选购搬瓦工 VPS 请参考 全部方案，购买时使用优惠码 NODESEEK2026 可享受 6.77% 的优惠，通过 bwh81.net 进入官网购买。