🧭 1. What is Zenarmor? Zenarmor (formerly Sensei) by Sunny Valley Networksis a Layer-7 Next-Generation Firewall (NGFW) plugin for OPNsense. It adds Deep Packet Inspection (DPI) and application-aware controlon top of traditional Layer-3/Layer-4 filtering. Category Example Apps Social Media Facebook, Instagram, LINE Video Streaming YouTube, Netflix Cloud Services Google Drive, Dropbox Messaging WhatsApp, Telegram Gaming…
Blog
在 OPNsense 安裝 Zenarmor:打造應用層 (L7) 防火牆
🧭 一、什麼是 Zenarmor? Zenarmor(原名 Sensei)是由 Sunny Valley Networks 開發的Layer-7 應用層防火牆插件,能將 OPNsense 升級為 次世代防火牆 (Next-Generation Firewall, NGFW)。 傳統防火牆僅能根據 IP、Port、協定過濾(L3/L4),而 Zenarmor 可識別封包中實際的應用與內容,如: 類別 範例 社群媒體 Facebook、Instagram、LINE 視訊串流 YouTube、Netflix 雲端服務 Google Drive、Dropbox 即時通訊 WhatsApp、Telegram 遊戲平台 Steam、Fortnite 透過深度封包檢測(DPI, Deep Packet Inspection),管理者可根據 應用名稱、服務類型或內容分類 直接控管流量,實現真正的 L7 Policy Control。 ⚙️ 二、Zenarmor 運作原理 Zenarmor 在 OPNsense 防火牆內部運作,以「內嵌 DPI 引擎」即時分析封包,不需額外代理伺服器或外掛程式。 流程簡介: 🧩 三、Zenarmor 正確安裝流程…
OPNsense VPN Overview: IPsec, OpenVPN, and WireGuard
🧭 1. Introduction OPNsense offers three major VPN solutions, each suited for different connectivity models: Type Protocol Use Case Highlights IPsec IKEv2 / ESP Site-to-Site Enterprise-grade, interoperable OpenVPN SSL/TLS Remote Access Flexible, user-friendly WireGuard UDP / Curve25519 Cloud / Mobile Fast, lightweight, modern 🧩 2. IPsec VPN 🔹 Overview Operates on the network layer (Layer…
OPNsense VPN 系統完整介紹:IPsec、OpenVPN、WireGuard
🧭 一、前言 在現代企業環境中,VPN(Virtual Private Network)是實現跨地安全連線的核心技術。OPNsense 內建三種主流 VPN 解決方案: VPN 類型 加密協定 適用場景 特點 IPsec IKEv2 / ESP 網站對網站、企業 VPN 穩定、相容性高 OpenVPN SSL/TLS 使用者遠端存取 易管理、多平台 WireGuard UDP + Curve25519 現代化輕量 VPN 高速、設定簡單 以下將分別介紹三者的運作原理與在 OPNsense 的實際應用。 🧩 二、IPsec VPN 1️⃣ 原理與特色 IPsec (Internet Protocol Security) 是最傳統且被廣泛採用的 VPN 協定,運作在 OSI 第三層(Network Layer),直接對 IP 封包進行加密與認證。 它透過 IKE (Internet Key…
OPNsense Firewall Schedules — Overview and Usage
🧭 1. Overview In OPNsense, Firewall Schedules allow you to control when a firewall rule is active.You can define specific days and time ranges during which a rule should apply. Common use cases: Essentially, it’s a time-based control mechanism for your firewall rules. ⚙️ 2. How It Works When a schedule is assigned to a…
OPNsense 防火牆排程 (Firewall Schedules) 功能說明
🧭 一、功能概述 在 OPNsense 中,防火牆排程 (Schedules) 可讓你設定「規則啟用與停用的時間表」。它能與任何防火牆規則綁定,讓該規則只在特定時間內生效。 這項功能常用於: 簡單來說,它就是 防火牆規則的時間控制開關 (time-based rule control)。 ⚙️ 二、原理與設定方式 防火牆規則在建立時可以指定一個「Schedule」。當排程時間內,該規則會啟用;時間一到,規則自動停用,不需人工介入。 OPNsense 的 Schedule 設定在: 點選「+Add」即可新增一個排程。 🧩 三、建立排程步驟 Step 1️⃣ 建立 Schedule 進入: 填寫以下項目: 欄位 說明 Name 排程名稱,例如「WorkHours」 Description 說明用途,例如「允許上班時間內上網」 Time Range 設定開始與結束時間,例如 08:00 ~ 18:00 Days 選擇星期幾生效,例如 Mon–Fri Color 顯示於介面時的標識顏色(方便辨識) Step 2️⃣ 在防火牆規則中套用 Schedule 建立完成後,前往: 新增或編輯規則,在下方找到: 選擇剛建立的排程名稱,例如: 套用後,該規則僅會在排程時間內生效。 Step…
OPNsense High Availability with CARP — Overview and Setup Guide
🧭 1. What is CARP? CARP (Common Address Redundancy Protocol) allows multiple firewalls to share a virtual IP address so that if one device fails, another automatically takes over.This ensures continuous network availability and seamless failover. In OPNsense, a typical HA setup includes: When the master stops responding, the backup promotes itself to master and…
OPNsense 高可用架構:CARP 原理與設定說明
🧭 一、什麼是 CARP? CARP(Common Address Redundancy Protocol) 是一種用來建立防火牆高可用 (High Availability, HA) 的協定。它允許多台防火牆共用一個虛擬 IP (Virtual IP),並在主機發生故障時自動切換,確保外部網路連線不中斷。 OPNsense 中可利用 CARP 將兩台或多台設備組成 HA 群組: 當主機停止運作或失去心跳(Heartbeat)時,備援主機會自動接管虛擬 IP 地址與所有連線。 ⚙️ 二、運作原理 🔹 1️⃣ 虛擬 IP (Virtual IP) CARP 使用虛擬 IP 作為服務對外提供的位址,例如: 外部網路僅知道 203.66.10.10,不論哪台防火牆在運作,連線都會透過這個虛擬 IP 進入。 🔹 2️⃣ VHID 與 AdvSkew 機制 🔹 3️⃣ 心跳訊號 (pfsync + CARP) CARP 會使用 Layer…
OPNsense Firewall Normalization — Principle & Configuration Guide
🧭 1. What is Packet Normalization? In OPNsense, Firewall Normalization (or “scrubbing”) is a low-level packet filtering featureimplemented by the pf firewall engine, which cleans, verifies, and adjusts packets before they are processed by rules. Its main purposes are: You can find it under: ⚙️ 2. How It Works When a packet passes through the…
OPNsense 防火牆封包正規化(Firewall Normalization)原理與應用
🧭 一、什麼是封包正規化 (Packet Normalization)? 在 OPNsense 中,Normalization(封包正規化) 是一項低層級的防火牆安全機制,透過 pf(packet filter)防火牆內建的 scrub 功能,在封包進入或離開防火牆時,強制進行格式檢查與結構修正,確保所有 TCP/IP 封包都符合標準協定格式。 主要目的: 這個功能位於: ⚙️ 二、運作原理 封包通過防火牆時,pf 會先執行「scrub」動作,對封包進行結構檢查、重組與正規化,確保後續規則匹配與流量分析的可靠性。 🔧 常見 scrub 動作: 動作 功能說明 reassemble tcp 將 TCP 分段封包重新組合,防止利用分段繞過偵測。 random-id 隨機化 IP 封包 ID,防止外部主機透過 IP ID 進行流量分析。 min-ttl 64 強制封包 TTL 不低於指定值,避免因過低 TTL 被中途丟棄。 max-mss 1460 限制 TCP 最大封包段長度,避免過大封包造成傳輸錯誤。 no-df 移除「Don’t Fragment」標記,允許防火牆重新分段。 🧩…