###### tags: `IDS/IPS Systems, Firewall` # Настройка pfSense Структурная схема сети  Смысл разделения сети на зоны DMZ и LAN в ограничивании доступа к ресурсам локальной сети из DMZ или из глобальной сети. DMZ - Demilitarized Zone — демилитаризованная зона, сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных. Цель DMZ— добавить дополнительный уровень безопасности в локальной сети, позволяющий минимизировать ущерб в случае атаки на один из общедоступных сервисов: внешний злоумышленник имеет прямой доступ только к оборудованию в DMZ ## Настройка WAN Firewall Изменение IP адреса интерфейса.  1 — Выбор необходимого действия (установка IP адреса на интерфейс) 2 — Выбор интерфейса на котором будет производиться смена IP адреса 3 — Ввод IP адреса 4 — Установка маски подсети  5 — Gateway (указывается при необходимости) 6 — IPv6 адрес 7 — Нужен ли DHCP сервер на интерфейсе 8 — Использовать HTTP протокол для WEB интерфейса 9 — Завершение настройки Web конвигуратор будет доступен по указанному адресу. Настройка доверенной зоны  Выбрать пункт меню «Firewall → Aliases», добавить новый Aliases - «Add»  1 — Название Aliases 2 — Подпись (Описание Aliases) 3 — Тип Aliases 4 — Сети входящие в Aliases 5 — Кнопка добавления сетией 6 — Сохранение Применить настройки  Настройка маршрутизации:   Interface — Интерфейс через который будет проходит маршрут Address Family — Версия IP Name — Название правила Gateway — IP адрес на который будут идти запросы Сохранить правило Указать дефолтные значения маршрутизации  Сохранить и применить изменения Создание статической маршрутизации: «Routing → Static Routes → add»  Distantion network — доверенные удаленные сети Gateway — ранее созданное правило маршрутизации Discription — Описание правила Сохранить правило Добавить разрешающее правило в Firewall: «Firewall → Rules → LAN → add»  Interface — Интерфейс на котором будет работать правило Address Family — версия IP адреса Protocol — Протокол Source — IP с которого приходит запрос или список адресов Destintion — Адрес назначения или список адресов Сохранить и применить настройки Настройка WAN Firewall завершена ## Настройка LAN Firewall: Первоначальные настройки идентичны настройке WAN Firewall. Отключение NAT: «Firewall → NAT → Outbound → Disable Outbound NAT» Сохранить настройки В случае установки двух независимых взаимозаменяемых фаерволов для доступа к глобальной сети можно сгруппировать их и при отказе одного из них маршруты пойдут через резервный. Для настройки групповых маршрутов нжно создать второй Gatawey «System → Routing → add»  Сохранить настройки Создать группу «System → Routing → Gateway Groups → add»  Сохранить настройки Указать в настройках поумодчанию созданую группу  Сохранить и применить настройки Просмотр состаяния