在我的网络中,pfsense 是整个网络的防火墙和路由器。它是唯一具有直接 WAN 访问权限的机器。所有其他机器都在它后面(并通过交换机连接)。我正在尝试确定什么是无线访问分配最安全的选项:
- 在具有无线功能的盒子上运行 pfSense,并让无线客户端直接连接到 pfSense 路由器/防火墙。
- 在仅具有有线连接的盒子上运行 pfSense,并将 WAP(无线接入点)连接到我的局域网上的交换机,该交换机将来自 pfSense 盒子的连接分配到我的局域网。
因此,重新表述我的问题:在带有无线电的盒子上运行 pfSense 是否存在安全风险,是否可以通过将无线接入点移动到网络上的另一个位置(pfSense 盒子后面)来解决这些问题?
答案1
您描述的场景中的差异如下:
- 如果您的 pfSense 具有专用的无线接口,您可以按照适合您的方式调整防火墙规则。
- 如果您将接入点连接到交换机,并且有人侵入您的无线网络,那么他将获得该 VLAN 的完全访问权限。
让我描述一下我们去年建立新总部时所做的事情。
- 在交换机上创建了两个新的 VLAN,一个用于访客访问,一个用于内部访问
- 我们的接入点可以使用此“多 SSID”功能(我认为这是 Cisco 品牌术语)- 因此我们有一个“来宾”SSID,它被推到来宾 VLAN,还有一个“内部”SSID,它被放到“内部”VLAN。这两个 SSID/VLAN 都有自己的专用 IP 网络。
- 不允许其他机器进入这些 VLAN。
- 网络终止于内部 pfSense 的 VLAN 接口,该接口负责处理路由和防火墙。
- 访客 LAN 仅被允许使用互联网,而内部 LAN 则被允许访问我们 DMZ 中的某些服务器(Exchange 等)。
因此,为您的 pfSense 提供无线适配器并不太坏,但如果您想运行多个 SSID,您需要找到一个实际支持它的适配器(我现在不知道)。
回答您的最后一个问题:如果您将接入点连接到有线网络,请将其放在专用安全区域(意味着:VLAN 和 IP 网络),并让您的 pfSense 处理路由和防火墙。