با پایان یافتن نصب PfSense ، اولین گام پس از اجرای دوباره (Restart) سیستم عامل تازه نصب شده ، اختصاص کارتهای شبکه موجود در ماشین PfSense به رابط های تعریف شده در نرم افزار PfSense است.رابط یک ابزار مفهومی برای دادن نقش های گوناگون به کارتهای شبکه نصب شده در ماشین است ، برخی از مهمترین این نقشها عبارتند از LAN ، WAN و OPT کاربرد دیگر این مفهوم ارزشمند ساخت و مدیریت قواعد دیواره آتش به تفکیک هر رابط است. برای درک بهتر مفهوم رابط نیاز است بدانید که از دید امنیتی یک شبکه به سه بخش یا ناحیه اصلی افراز می شود :
بخشی از شبکه است که مدیریت و مالکیت آن در اختیار ماست و امکان اعمال سیاست ها و خط مشی های امنیتی دقیق و نیز نظارت و دسترسی مستقیم به سخت افزار و نرم افزار های نصب شده درآن برای مدیران شبکه فراهم است. شبکه های محلی (LAN ) و شبکه های محلی بی سیم ( WLAN) در این دسته قراردارند. سرورها و سرویسهای حساس و مهمی چون پایگاه داده ، Active Directory و ... در این ناحیه از شبکه جای خواهند گرفت. و قواعد بسیار سخت گیرانه ای برای ارتباط شبکه های ناامن خارجی به این ناحیه از شبکه در دیواره آتش ساخته می شود.
به هر شبکه جدا و مستقل از شبکه داخلی که مدیریت و مالکیت آن در اختیار ما نیست و در دست دیگری است شبکه خارجی گفته می شود ، شبکه جهانی Internet یا هر شبکه دیگری که الزامات کسب و کار ، قوانین و مقررات ملی یا بین المللی و سایر عوامل محیطی ما را ناگزیر از ارتباط و برهم کنش با آنها می کند در این گروه جای خواهند گرفت ، تامین کنندگان و توزیع کنندگان عمده ، سازمانهای دولتی و حتی گاهی بخشهای مستقل سازمان خودی نمونه هایی از این دست هستند.شبکه خارجی ، به تمامی ناامن و غیر قابل اعتماد در نظر گرفته می شود.
به بخشی از شبکه گفته می شود که مدیریت و مالکیت آن در اختیار ماست و محل قرار گیری سرورها و سرویسهایی است که کاربران شبکه های نا امن خارجی مانند Internet می توانند با آنها ارتباط برقرارکرده و از خدمات ارائه شده توسط آنها استفاده کنند سرورهایی چون Web Server ، VPN Server و بطور کلی هر سرویسی که نیاز است تا توسط کاربران مستقر در یک شبکه خارجی مورد دستیابی قرار گیرد در این ناحیه جای خواهد گرفت.
به این دسته از سرورها سرورهای عمومی گفته می شود. مهم ترین علت پیش بینی این ناحیه ، نیاز به حفظ امنیت شبکه داخلی است چرا که اگر سرورهای عمومی درون شبکه خصوصی قرار گیرند چنانجه این سرورها به هر دلیلی توسط یک مهاجم خارجی مورد نفوذ قرارگرفته و اختیار آنها در دستان مهاجم قرارگیرد آنگاه تمامی سرورها و ماشینهای موجود در شبکه داخلی در معرض خطر قرار خواهند گرفت در حالی که اگر این شرایط برای سرورهای موجود در ناحیه DMZ پیش آید ، خطر تنها متوجه ماشینهای موجود در این ناحیه خواهد بود و آسیب به ناحیه داخلی گسترش نخواهد یافت.
نمای مفهومی از نواحی امنیتی شبکه
اکنون که با نواحی امنیتی آشنا شده ایم زمان آن است که با انواع رابطها در نرم افزار PfSense آشنا شویم :
به اولین رابطی که وظیفه اتصال PfSense به ناحیه داخلی (خصوصی) شبکه را بر عهده دارد LAN Interface گفته می شود به طور معمول کارت شبکه فیزیکی نصب شده در ماشین Pfsense که ماشین را به طور مستقیم به شبکه محلی (LAN) موجود در ناحیه داخلی متصل می کند به این رابط اختصاص می یابد و دارای این نقش خواهد شد.
چنانچه در ناحیه داخلی افزون بر شبکه محلی (LAN) شبکه مجزای دیگری چون شبکه محلی بی سیم (WLAN) وجود داشته باشد و یا نیاز به پیش بینی ناحیه DMZ در شبکه است برای اتصالPfSense به این بخشها از OPT Interface یا رابط انتخابی استفاده می گردد که برمبنای تعداد رابط OPT مورد نیاز به صورت OPT1 ، OPT2 و ... نامگذاری می گردد بنابراین کارتهای شبکه فیزیکی نصب شده در ماشین PfSense که ماشین را به صورت مستقیم به این شبکه های مجزای داخلی متصل خواهند کرد نامزد اختصاص به این رابط بوده و پس از تخصیص دارای این نقش خواهند بود.
به رابطی که وظیفه اتصال PfSense به ناحیه خارجی (عمومی) شبکه را بر عهده دارد WAN Interface گفته می شود به طور معمول ناحیه عمومی همان شبکه جهانی Internet است . کارت شبکه فیزیکی نصب شده در ماشین Pfsense که ماشین را به به شبکه خارجی متصل می کند به این رابط اختصاص می یابد و دارای این نقش خواهد شد. ترافیک رسیده از شبکه جهانی اینترنت از طریق این رابط به PfSense وارد می شود. در حالتی که سازمان از قابلیت Multi WAN نرم افزار PfSense استفاده می کند و ماشین PfSense بیش از یک ارتباط فیزیکی با شبکه جهانی Internet دارد به رابط اولیه ای که وظیفه اتصال PfSense به Internet را بر عهده دارد WAN Interface گفته می شود.
رابط OPT WAN به اتصال PfSense از طریق رابط OPT با شبکه خارجی که به طور معمول اینترنت است اشاره دارد .
توصیف تصویری رابط LAN و رابط WAN
با پایان یافتن نصب PfSense ، اولین گام پس از اجرای دوباره سیستم عامل تازه نصب شده ، اختصاص کارتهای شبکه موجود در ماشین PfSense به رابط ها ست بنا براین با نمایش یافتن صفحه زیر و با پیام مناسبی از کاربر خواسته می شود تا کارتهای شبکه شناسایی شده در ماشین را به رابط های LAN و WAN اختصاص دهد و آدرس IP ، Subnet Mask و سایر تنظیمات مورد نیاز رابط را تعریف نماید .
همان گونه که در تصویر مشاهده می کنید Pfsense موفق به شناسایی سه عدد کارت شبکه شده و نام و آدرس سخت افزاری آنها را برای کاربر به نمایش گذاشته است. چنانچه نرم افزار وجود link در هریک از کارتهای شبکه را تشخیص دهد وضعیت وصل بودن (UP) و یا قطع بودن (Down) لینک را نیز نمایش می دهد.در سیستم عامل FreeBSD کارتهای شبکه شناسایی شده در ماشین براساس نام درایور شبکه استفاده شده نامگذاری می شوند.
پس از نام ، شماره ای است که از صفر شروع می گردد و با افزودن هر کارت شبکه که از همان درایور استفاده می کند یک واحد به آن افزوده می شود. برای نمونه یکی از درایورهای شبکه متداول که برای کارتهای Intel Pro//100 استفاده می گردد درایور fxp است بنابراین اولین کارت شبکه Pro100 به نام fxp0 و دومین کارت شبکه Pro100 با نام fxp1 نامگذاری می شود. برخی دیگر از درایورهای شبکه معمول em و rl هستند که اولی مخصوص کارت شبکه Intel Pro1000 و دومی ویژه کارت شبکه Realtek 8129//8139 است بنابراین چنانچه ماشینی دارای یک کارت شبکه Intel Pro//1000 و یک کارت شبکه Realtek 8129/8139 باشد اولی با نام em0 و دومی با نام rl0 شناسایی می شوند.
در صفحه نمایش داده شده از کاریر خواسته می شود تا VLAN ها را پیکربندی کند چنانجه نیازی به تنظیم vlan ندارید با فشردن کلید n صفحه کلید از انجام این تنظیمات صرف نظر کنید.پس از این با نمایش پیامهایی از کاربر خواسته می شود تا به ترتیب کارتهای شبکه موجود را به WAN Interface و LAN Interface اختصاص داده و ip Address ، Subnet Mask و سایر تنظیمات مورد نیاز را در این رابط ها انجام دهد . ناگفته نماند که در فایل پیکربندی پیش فرض PfSense کارت شبکه em0 به Interface WAN و کارت شبکه em1 به رابط LAN Interface اختصاص یافته است بنابراین چنانچه در ماشین PfSense کارتهای شبکه em0 و em1 شناسایی شوند پیام اختصاص کارت شبکه های موجود به رابط ها برای کاربر نمایش داده نمی شود و کاربر به صفحه زیر هدایت می شود.