Nouman-J-Nizami/pfSense-Firewall-Segmentazione-OPT1

## pfSense 防火墙实现与网络分段实验室 ## 概述 本项目记录了以 pfSense 作为核心防火墙和路由器的分段虚拟网络基础设施的设计与实现。 该实验室环境旨在演示网络分段、防火墙策略执行、路由验证和数据包级别的流量分析。我们创建了一条专门的防火墙规则，用于阻断网段之间的 HTTP 通信，并通过连接性测试和 Wireshark 数据包检查验证了该控制措施的有效性。 ## 目标 - 将 pfSense 作为防火墙和路由器进行部署和配置 - 使用 LAN 和 OPT1 接口创建隔离的网段 - 配置静态 IP 寻址和路由 - 实施防火墙过滤策略 - 阻断发往特定目标主机的 HTTP 流量 - 通过网络测试验证防火墙行为 - 使用 Wireshark 分析数据包流向 - 执行故障排除和规则优化 ## 实验室环境 ### 基础设施 | 组件 | IP 地址 | 用途 | |------------|------------|------------| | pfSense LAN | 192.168.50.1 | LAN 的网关 | | pfSense OPT1 | 192.168.51.1 | OPT1 的网关 | | Kali Linux | 192.168.50.100 | 客户端系统 | | Metasploitable2 | 192.168.51.101 | 目标服务器 | ### 网段 - LAN: 192.168.50.0/24 - OPT1: 192.168.51.0/24 - WAN: 共享网络 (NAT) ## 使用的技术 - pfSense - UTM 虚拟化 - Kali Linux - Metasploitable2 - Wireshark - TCP/IP 网络 - 状态防火墙规则 - 网络地址转换 (NAT) ## 实施过程 ### 阶段 1 – 基础设施部署 - pfSense 虚拟机部署 - WAN 接口配置 - LAN 网络创建 - OPT1 网络创建 - 网络适配器分配 - 连接性故障排除 ### 阶段 2 – pfSense 配置 - 接口分配 - LAN 配置 - OPT1 配置 - 网关验证 - 静态 IP 配置 - 路由验证 ### 阶段 3 – 防火墙策略实施 - 创建 DNS 允许规则 - 测试 HTTP 访问规则 - 实施 HTTP 阻断规则 - 验证规则排序 - 重新加载并验证防火墙 ## 实施的安全控制 ### 网络分段 该环境被划分为两个隔离的网络区域： - 用户网络 (LAN) - 服务器网络 (OPT1) 这种架构限制了横向移动，并允许在网段之间进行精细的流量控制。 ### 防火墙过滤 实施了一项特定的防火墙策略来阻断： - TCP 流量 - 目标端口 80 (HTTP) - 目标主机：192.168.51.101 该规则根据 pfSense 自上而下的处理逻辑进行定位，以确保正确执行。 ## 验证和测试 ### 连接性验证 成功的测试： - 网关可达性 - Internet 连接性 - 路由验证 - WebConfigurator 访问 ### 防火墙验证 在规则激活前： - 成功访问 Metasploitable2 的 HTTP 服务 在规则激活后： - 观察到浏览器超时 - HTTP 连接被阻断 - 没有成功建立 TCP 会话 ### 数据包分析 Wireshark 分析证实： - 重复的 TCP SYN 重传 - 缺少 SYN/ACK 响应 - 由 pfSense 执行的流量过滤 ## 故障排除活动 部署过程中遇到的问题： - Host-only 网络配置错误 - 路由不一致 - 防火墙规则排序问题 - LAN 和 OPT1 之间的连接失败 解决技术包括： - 子网验证 - 网关验证 - 防火墙规则重新排序 - 使用 Wireshark 进行数据包级别的分析 ## 展示的核心技能 - 防火墙管理 - 网络分段 - 路由和交换基础 - pfSense 配置 - 安全策略执行 - 状态防火墙管理 - 数据包分析 - 网络故障排除 - 流量过滤 - 网络安全基础设施管理 ## 结果 该项目成功演示了使用 pfSense 实现网络分段和防火墙执行的过程。发往目标主机的 HTTP 流量被有效阻断，并通过浏览器测试和数据包捕获分析进行了验证。 本次练习增强了在防火墙配置、路由、数据包检查、网络安全控制和基础设施故障排除方面的实践技能。 ## 作者 Nouman Javed Nizami 网络安全分析师

标签：Docker 部署, pfSense, Wireshark, 句柄查看, 并发处理, 网络架构, 网络运维, 网络隔离, 防火墙