🧭 一、功能定位總覽
| 功能 | 所屬層級 | 主要用途 | 是否影響流量行為 |
|---|---|---|---|
| Category (分類) | 防火牆規則層 | 用於「標記與組織」規則,方便視覺化與搜尋 | ❌ 不影響封包行為 |
| Group (群組) | 介面層 / 使用者層 | 用於「彙整多個介面」或「統一管理多個使用者」 | ✅ 直接影響流量過濾 |
⚙️ 二、Category(分類)
🧩 功能說明
Category 是 防火牆規則的標籤系統。
它不會改變規則運作方式,只是提供一個邏輯分類,方便管理與視覺整理。
每一條防火牆規則可以被分配到一個或多個 Category。
在 GUI 介面中,這些分類會以彩色標籤顯示在規則列表中。
📘 用途範例
- 區分用途:
VPN,LAN,WAN,DMZ,Logging - 分群維護:同部門規則(如:
IT-Team,HR-Team) - 搜尋快速:在防火牆規則頁面中可用「Filter by category」快速篩選
🧰 設定位置
防火牆 → 規則 → (選擇介面) → 編輯規則 → Category 欄位
✅ 實務建議
| 管理場景 | 建議分類方式 |
|---|---|
| 多部門共享同一防火牆 | 以部門命名分類(如 HR、IT、LOGISTICS) |
| 專案導向 | 以專案名稱分類(如 D365、SAP、MAIL) |
| 規則量大 | 用顏色快速區分不同功能性(例如紅色代表封鎖類規則) |
🔹 重點:Category 是「管理輔助」工具,不會影響流量或優先權。
⚙️ 三、Group(群組)
🧩 功能說明
Group 在 OPNsense 中有兩種常見應用場景:
| 類型 | 說明 |
|---|---|
| 介面群組 (Interface Group) | 把多個介面(如 LAN、DMZ、VPN)組合成一個邏輯群組,統一套用防火牆規則。 |
| 使用者群組 (User Group) | 整合多個使用者帳號(例如 Captive Portal 或 VPN 使用者),用於授權控制。 |
📘 用途範例
介面群組示例:
- 建立群組
Internal_Net
包含介面:LAN,VLAN10,VLAN20
然後在Firewall → Rules → Groups → Internal_Net建立一組統一的內部流量規則。
→ 未來新增 VLAN 介面時,只要加入群組即可自動繼承規則。
使用者群組示例:
- 建立群組
VPN_Users
包含帳號:rico.wu,sam.lin,ada.chuang
→ 可用於 Captive Portal、OpenVPN ACL 或代理伺服器 (Proxy) 的權限控管。
✅ 實務建議
| 管理場景 | 建議做法 |
|---|---|
| 多個內網子介面共用相同政策 | 建立 Interface Group 管理 LAN/VLAN 流量 |
| VPN 或遠端使用者控管 | 建立 User Group 對應權限 |
| 減少規則重複 | 在群組層設規則代替逐介面設定 |
🔹 重點:Group 是「規則作用層」,會直接影響封包過濾行為。
⚖️ 四、差異總結
| 項目 | Category(分類) | Group(群組) |
|---|---|---|
| 功能定位 | 規則管理工具 | 規則執行單位 |
| 層級 | 應用於單條規則 | 可套用整個介面或使用者集合 |
| 對流量影響 | ❌ 無 | ✅ 有 |
| 用途 | 標記、分類、搜尋 | 集中管理、共用規則 |
| 常見應用 | 規則分類標籤 | LAN/VPN/VLAN 整合管理 |
| 設定位置 | Firewall → Rules | Firewall → Groups / Interfaces |
💡 五、最佳實務建議
| 管理場景 | 建議組合用法 |
|---|---|
| 多地區分支 | 使用 Interface Groups 讓防火牆規則同步應用於所有分支網段 |
| 系統架構大型 | 用 Category 給不同部門/用途上色、分群 |
| 維運效率 | Category 幫助查找規則;Group 幫助簡化設定 |