OPNsense 別名(Aliases)的功能與應用

Posted on by Rico

🧠 什麼是 Aliases?

在防火牆中,我們經常需要針對多個 IP、網段或 Port 建立相同的規則。
如果每條規則都手動輸入,不但難以維護,也容易出錯。

👉 Aliases(別名) 是一種「可重複使用的集合定義」,
讓你可以用一個名稱代表多個 IP、主機、網段或 Port。

⚙️ Aliases 的主要類型

類型功能說明
Host(s)一個或多個 IP 或主機名稱,例如 192.168.1.10mail.company.com
Network(s)一個或多個網段,例如 192.168.10.0/24
Port(s)一組通訊埠,如 80, 443, 22
URL (IPs)從外部 URL 載入 IP 清單。
URL Table (IPs)從外部來源自動更新的大型 IP 清單。
GeoIP依國家或地區的 IP 群組。
MAC Address以網卡 MAC 定義。
Dynamic DNS (FQDN)支援動態 DNS 網域。

🧩 實際應用範例

🔹 範例 1:建立內網伺服器群組

Alias 名稱LAN_SERVERS
內容:

192.168.1.10
192.168.1.11
192.168.1.12

防火牆規則:

Source: any
Destination: LAN_SERVERS
Port: 22 (SSH)
Action: Allow

→ 未來若新增伺服器,只要在 Aliases 裡加一行,不用修改規則。

🔹 範例 2:建立常用服務 Port 群組

Alias 名稱WEB_PORTS
內容:

80
443
8080

用於規則:

Allow LAN → WAN (Port: WEB_PORTS)

🔹 範例 3:封鎖特定國家

Alias 名稱BLOCK_CN_RU
類型:GeoIP
選擇:China, Russia
規則:

Block from BLOCK_CN_RU to any

→ 用於防止海外掃描或攻擊流量。

🔹 範例 4:引用威脅情報黑名單

Alias 名稱Malicious_IPs
類型:URL Table (IPs)
URL:

https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt

→ OPNsense 會自動定期更新此清單,持續阻擋惡意來源。

🧮 技術運作原理

  • Aliases 在底層會轉換成 pf tables(FreeBSD 防火牆表格),
    使系統能高速比對成千上萬筆 IP。
  • 動態更新機制:URL Table 或 GeoIP 會自動定期刷新。
  • 使用方式:在所有 IP / Network / Port 欄位中皆可引用 Alias 名稱。

🧰 企業導入建議

類別策略實際應用
網段管理定義部門網段(HR_NET、IT_NET)精確控管跨部門存取權限
雲端服務建立雲端 IP 集合(AWS、Azure)控制外部連線範圍
安全防護使用威脅情報黑名單自動封鎖惡意來源
多據點同步匯出 / 匯入 Aliases 設定讓各地防火牆規則一致
VPN 管理將遠端網段設為別名快速建立 Site-to-Site VPN 規則

⚡ 管理技巧

1️⃣ 命名規則

NET_ → 網段
SRV_ → 伺服器
PORT_ → 連接埠群組
BLOCK_ → 封鎖清單

2️⃣ 即時生效:更新 Alias 後規則立即生效,無須重啟。
3️⃣ 除錯指令

pfctl -t <alias_name> -T show

✅ 結論

Aliases 是 OPNsense 防火牆管理的核心工具。

它讓規則更簡潔、易讀且好維護;
搭配 GeoIP、URL Table,更能實現自動化的安全策略。

💡 實務建議(企業應用)

類型Alias 名稱用途
NetworkHQ_NET, MY_NET, VN_NET各國辦公室 VPN 網段
HostERP_SERVER, MAIL_SERVER關鍵內部系統
PortSYSADMIN_PORTS管理埠群組:22, 3389, 8443
GeoIPBLOCK_CN_RU阻擋高風險來源國家
URL TableTHREAT_FEED自動更新的惡意 IP 黑名單

📘 Meta Description

本文介紹 OPNsense 別名 (Aliases) 的原理、類型與企業應用,說明如何透過別名簡化防火牆規則並自動化安全管理。