🧭 一、什麼是 Zenarmor?
Zenarmor(原名 Sensei)是由 Sunny Valley Networks 開發的
Layer-7 應用層防火牆插件,能將 OPNsense 升級為 次世代防火牆 (Next-Generation Firewall, NGFW)。
傳統防火牆僅能根據 IP、Port、協定過濾(L3/L4),
而 Zenarmor 可識別封包中實際的應用與內容,如:
| 類別 | 範例 |
|---|---|
| 社群媒體 | Facebook、Instagram、LINE |
| 視訊串流 | YouTube、Netflix |
| 雲端服務 | Google Drive、Dropbox |
| 即時通訊 | WhatsApp、Telegram |
| 遊戲平台 | Steam、Fortnite |
透過深度封包檢測(DPI, Deep Packet Inspection),
管理者可根據 應用名稱、服務類型或內容分類 直接控管流量,
實現真正的 L7 Policy Control。
⚙️ 二、Zenarmor 運作原理
Zenarmor 在 OPNsense 防火牆內部運作,
以「內嵌 DPI 引擎」即時分析封包,不需額外代理伺服器或外掛程式。
流程簡介:
- 封包通過 OPNsense 時被鏡像 (mirror) 至 Zenarmor 引擎;
- 引擎使用應用識別資料庫進行比對;
- 依照 Policy 決定是否允許、封鎖或限速;
- 將結果記錄於 Dashboard,供管理者監控與分析。
🧩 三、Zenarmor 正確安裝流程
⚠️ 由於新版 Zenarmor 採獨立廠商倉庫,
需先安裝 Sunny Valley Vendor Repository (os-sunnyvalley),
才能安裝 Zenarmor 主程式。
Step 1️⃣ 登入 OPNsense 管理介面
以具有管理權限的帳號(例如 root)登入 Web GUI。
Step 2️⃣ 安裝 Vendor Repository
- 前往:
System → Firmware → Plugins - 在搜尋欄輸入:
os-sunnyvalley - 找到項目:
Vendor Repository for Zenarmor Next Generation Firewall Extensions - 點擊 +Install 進行安裝。
✅ 此步驟會在系統中新增 Zenarmor 官方套件來源。
Step 3️⃣ 更新套件清單
安裝完成後,回到:
System → Firmware → Status
按下 Check for updates 讓新倉庫被索引。
Step 4️⃣ 安裝 Zenarmor 主程式
返回:
System → Firmware → Plugins
搜尋:
os-zenarmor
或(在舊版中顯示為):
os-sensei
然後點擊 +Install。
Step 5️⃣ 啟動初始設定精靈
安裝完成後,側邊欄會出現:
Zenarmor
前往:
Zenarmor → Configuration → Initial Setup Wizard
依嚮導完成以下設定:
| 步驟 | 說明 |
|---|---|
| 1️⃣ | 選擇要監控的介面(建議選 LAN) |
| 2️⃣ | 選擇部署模式(Passive / Routed / Transparent) |
| 3️⃣ | 選擇報表資料庫(Local SQLite 或 Remote Elasticsearch) |
| 4️⃣ | 建立管理者帳號 |
| 5️⃣ | 完成後啟動服務 |
Step 6️⃣ 啟動 Zenarmor 引擎
前往:
Zenarmor → Status
點擊 Start Engine 啟動 L7 分析引擎。
💡 四、Zenarmor 主要功能
| 功能分類 | 說明 |
|---|---|
| 應用層識別 | 自動辨識常見 App(如 Facebook、YouTube、LINE) |
| 內容過濾 | 過濾成人內容、惡意網站、廣告來源 |
| 使用者行為分析 | 顯示 Top Users / Applications / Bandwidth Consumers |
| 威脅情報 | 封鎖已知惡意網域與 IP |
| 多層策略管理 | 不同 VLAN 或使用者群組可套用不同 Policy |
🧠 五、授權版本比較
| 版本 | 功能 | 適用對象 |
|---|---|---|
| Community (免費版) | 基本 L7 分析與封鎖、流量報表 | 中小企業 |
| Business (付費版) | 雲端威脅情報、AD 整合、高級報表 | 企業環境 |
| Premium Cloud | 多節點中央控管、雲端報表 | MSP 或跨地部署 |
✅ 六、部署建議
| 項目 | 建議 |
|---|---|
| 監控介面 | 僅勾選 LAN 避免重複鏡像 |
| 模式選擇 | 初期使用 Passive 模式觀察 |
| 報表儲存 | 高流量建議使用外部 Elasticsearch |
| 效能調校 | 在「Configuration → Advanced」調整快取大小 |
| 防火牆整合 | Zenarmor 為 L7 控制層,與 L3/L4 規則互補使用 |
✅ 七、結論
Zenarmor 讓 OPNsense 跨越傳統防火牆的界線,
從僅能「過濾封包」進化為能「辨識應用與內容」的次世代防火牆。
它是企業網路治理與資安可視化的關鍵工具,
能同時兼顧 安全、效率與策略彈性。