您还记得购买 Wi-Fi 路由器的时间吗?可能不记得了。如果您和大多数人一样,您可能是很多年前从您的互联网服务提供商那里得到的。这里还有另一个问题:您上次更新其固件是什么时候?从未?很有可能。

我已经使用出色的(且免费的)pfSense CE和OPNsense防火墙和路由器软件有一段时间了,而且我不会再用现成的路由器了。以下是六个原因。

开源安全

开源安全

pfSense CE 和 OPNsense 都基于 FreeBSD,这是一个基于 Unix 的开源操作系统,因其对安全性的关注而出名。因为它们是开源应用程序,安全研究人员可以审查代码库,以确保软件按预期运行并且不包含任何明显的错误或漏洞。

相比之下,大多数现成的商业路由器使用专有代码,无法进行审查。您需要希望该软件的开发人员有强大的网络安全实践并严格测试。

频繁更新

频繁更新

许多商业路由器制造商很少更新其产品的固件。他们往往更倾向于将下一款型号推向市场,而非对旧产品进行更新。这在商业上或许说得通,但却是一种糟糕的安全操作方式。人们常常将其商业路由器保留十多年,且从不更新固件。

如果您使用 pfSense CE 或 OPNsense,您会得到频繁的更新以保护您免受新出现的威胁。例如:在发现‘幽灵’和‘熔断’这两个主要漏洞后不久,pfSense CE 和 OPNsense 便发布了更新以缓解这些漏洞。那您购买的商店路由器呢?

大量定制

大量定制

这是为您内心的极客准备的。虽然大多数现成的路由器提供了日常用户所需的所有功能,但那些喜欢通过设置服务器、尝试各种配置(实验室设置)来摆弄自家网络的人,使用 pfSense CE 和 OPNsense 能够获得更优质的服务。

通过浏览其各自的用户界面,您很快就能发现这款软件的可定制程度有多高。两者都能适应任何网络场景。这也是了解网络知识的绝佳方式。

大量的附加组件

大量的附加组件

开箱即用,pfSense CE 和 OPNsense 均具备众多功能。但它们还附带了一个规模较大的可选附加软件库。这些是可选的,因为如果您不需要额外的功能,最好不要安装附加组件,要是配置不当,它们可能会增大您的攻击面。

但要是您想要,它们就在那儿。

一些流行的附加程序包(两种操作系统都支持)有:

  • HAProxy: 一种反向代理,您可以使用它从互联网访问您的本地服务器
  • Squid: 一种缓存代理服务器,您可以使用它来过滤和缓存内容。
  • Avahi: 一种 mDNS 代理,允许您 在子网之间路由 mDNS 流量。
  • ACME: ACME 协议的一种实现,能让您为服务器获取免费有效的 SSL 证书。

还有很多很多。所以值得花时间去浏览挑选。

便于故障排除的详细日志记录

便于故障排除的详细日志记录

当大多数人遇到互联网连接问题时,他们会尝试通过重启路由器来解决,如果失败,他们会立即联系他们的互联网服务提供商。当然,这没有什么错。大多数现成的路由器的日志记录功能有限,并且不提供按关键字过滤日志的能力,让查看路由器日志的体验变得混乱不堪。

使用 pfSense CE 和 OPNsense,您会获得 高度详细的日志记录,按类别组织,并具备您想要的所有筛选功能。这使得解决问题容易了许多,哪怕是对于那些不太懂技术的人来说也是这样。

它可在旧硬件上运行

它可在旧硬件上运行

pfSense CE 和 OPNsense 是免费和开源的,但您仍然需要一些硬件来安装它们。好消息是您不需要出去购买高端机器。pfSense CE 和 OPNsense 能够在 您可能已经闲置不用的旧硬件上运行。

请注意,您可以将任一防火墙作为虚拟机运行,但这跟在专用硬件上运行防火墙不是一回事。另外,为此您将需要一个强大的基础系统。

以下是最低硬件要求:

  • 64 位 amd64(x86-64)兼容 CPU
  • 1GB 及以上内存
  • 8GB 及更大容量的磁盘驱动器(如 SSD、HDD 等)
  • 一个及多个兼容的网络接口卡
  • 用于初始安装的可引导 USB 驱动器或大容量光驱(DVD 或 BD)

若有可能,我的建议如下:

  • 64 位 amd64(x86-64)兼容 CPU
  • 4GB 的内存
  • 64GB 磁盘驱动器(SSD、HDD 等)
  • 两张兼容的网络接口卡(WAN、LAN)
  • 用于初始安装的可引导 USB 驱动器或大容量光驱(DVD 或 BD)

这些就是我觉得 pfSense CE 和 OPNsense 吸引人的一些原因,实际上这两个我都在用。还有其他原因,但就当前的互联网状况而言,营销人员、大型科技公司、政府以及恶意行为者都想获取您的部分数据,所以额外的安全优势就显得最为重要了。