pfSense Firewall คืออะไร? Open Source Firewall ที่องค์กรไว้วางใจ
pfSense คือ Firewall และ Router แบบ Open Source ที่พัฒนาบนพื้นฐาน FreeBSD รองรับฟีเจอร์ระดับ Enterprise ทั้ง Stateful Firewall, VPN (OpenVPN, IPSec, WireGuard), IDS/IPS (Snort/Suricata), Load Balancer, Traffic Shaping, DHCP, DNS และ High Availability pfSense เป็นทางเลือกที่คุ้มค่ามากสำหรับองค์กรที่ต้องการ Firewall ระดับ Enterprise โดยไม่ต้องจ่ายค่า License ราคาแพงของ Cisco ASA, Fortinet FortiGate หรือ Palo Alto สามารถติดตั้งบน PC/Server x86 ทั่วไป หรือซื้อ Appliance สำเร็จรูปจาก Netgate
Hardware Requirements สำหรับ pfSense
| ขนาดองค์กร | CPU | RAM | Storage | NIC | Throughput |
|---|---|---|---|---|---|
| Home / SOHO | Intel N5105 / Celeron J4125 | 4 GB | 32 GB SSD | 2x GbE | 500 Mbps – 1 Gbps |
| SME 50-200 คน | Intel i3/i5 Gen 10+ | 8 GB | 64 GB SSD | 4x GbE | 1-5 Gbps |
| Enterprise 200+ คน | Intel Xeon E-2300+ | 16+ GB | 128+ GB SSD | 4-6x GbE/10GbE | 5-10+ Gbps |
หมายเหตุ: ถ้าจะเปิด IDS/IPS (Snort/Suricata) ต้องเพิ่ม RAM อีก 4-8 GB และ CPU ที่แรงขึ้น เพราะ Deep Packet Inspection ใช้ Resource สูง
การติดตั้ง pfSense
Step 1: ดาวน์โหลดและเตรียม USB Boot
ดาวน์โหลด pfSense CE (Community Edition) จาก pfsense.org/download เลือก Architecture: AMD64, Installer: USB Memstick, Console: VGA ใช้ Rufus หรือ Etcher เขียน ISO ลง USB Drive แล้ว Boot จาก USB เลือก Install pfSense ทำตามขั้นตอนจนเสร็จ
Step 2: Initial Configuration
หลังติดตั้งเสร็จ pfSense จะถามให้กำหนด WAN และ LAN Interface ปกติ WAN = em0 (พอร์ตแรก) LAN = em1 (พอร์ตที่สอง) ระบบจะกำหนด LAN IP เป็น 192.168.1.1 โดยอัตโนมัติ เชื่อมต่อ PC เข้า LAN Port แล้วเข้า Web GUI ที่ https://192.168.1.1 Login ด้วย admin / pfsense
Step 3: Setup Wizard
- Hostname: ตั้งชื่อ เช่น fw-main
- Domain: ตั้ง Domain เช่น company.local
- DNS Servers: 8.8.8.8 / 1.1.1.1
- NTP Server: pool.ntp.org
- WAN Configuration: DHCP (สำหรับ ISP ทั่วไป) หรือ PPPoE (สำหรับ ISP บางราย)
- LAN Configuration: 192.168.1.1/24 หรือ Subnet ที่ต้องการ
- Admin Password: เปลี่ยนจาก pfsense เป็น Password ที่แข็งแรง
Firewall Rules — หัวใจของ pfSense
pfSense ใช้หลัก First Match คือ Rule แรกที่ตรงเงื่อนไขจะถูกใช้ ที่เหลือจะถูกข้าม ดังนั้นลำดับของ Rule สำคัญมาก และ Default Policy บน WAN คือ Block All (ปลอดภัย) ส่วน LAN คือ Allow All (ต้องปรับเอง)
LAN Rules ที่แนะนำ
| ลำดับ | Action | Source | Destination | Port | หมายเหตุ |
|---|---|---|---|---|---|
| 1 | Pass | LAN Net | LAN Address | 443, 22 | อนุญาตเข้า pfSense Web GUI + SSH |
| 2 | Block | LAN Net | LAN Address | * | Block อื่นๆ ทั้งหมดไป pfSense |
| 3 | Pass | LAN Net | * | 80, 443 | อนุญาต HTTP/HTTPS |
| 4 | Pass | LAN Net | * | 53 | อนุญาต DNS |
| 5 | Pass | LAN Net | * | 993, 587 | อนุญาต Email (IMAPS, SMTP) |
| 6 | Block | LAN Net | * | * | Block ที่เหลือทั้งหมด |
VPN — เชื่อมต่อจากระยะไกลอย่างปลอดภัย
OpenVPN Remote Access
OpenVPN เป็น VPN Protocol ที่ปลอดภัยและเสถียรที่สุดสำหรับ Remote Access รองรับทุก Platform ทั้ง Windows, macOS, Linux, iOS, Android pfSense มี OpenVPN Wizard ที่ช่วยตั้งค่าได้ง่าย
- ไปที่: VPN → OpenVPN → Wizards
- Authentication: Local User Access (หรือ RADIUS/LDAP สำหรับองค์กรใหญ่)
- Certificate: สร้าง CA และ Server Certificate อัตโนมัติ
- Tunnel Network: 10.0.8.0/24 (แยกจาก LAN)
- Local Network: 192.168.1.0/24 (เพื่อเข้าถึง LAN ผ่าน VPN)
- DNS: กำหนด DNS Server สำหรับ VPN Client
- Firewall Rule: Wizard จะสร้าง Rule อัตโนมัติ
- Export Config: ใช้ Package openvpn-client-export เพื่อ Export .ovpn Config สำหรับ Client
Site-to-Site IPSec VPN
สำหรับเชื่อมต่อ 2 สาขาเข้าด้วยกัน ใช้ IPSec Phase 1 (IKEv2) + Phase 2 (ESP) ตั้งค่าที่ VPN → IPSec กำหนด Remote Gateway, Pre-Shared Key, Encryption Algorithm (AES-256-GCM), Hash (SHA-256), Phase 2 Local/Remote Subnet จากนั้นสร้าง Firewall Rule บน IPSec Interface เพื่ออนุญาต Traffic ระหว่าง 2 สาขา
IDS/IPS — ระบบตรวจจับและป้องกันการบุกรุก
pfSense รองรับ Snort และ Suricata เป็น IDS/IPS ทั้งคู่วิเคราะห์ Traffic แบบ Real-Time และ Block Traffic ที่เป็นอันตราย ติดตั้งผ่าน System → Package Manager → Available Packages
- Snort: IDS/IPS ที่ได้รับความนิยมมากที่สุด มี Rule จาก Snort Community, Emerging Threats (ET) และ Snort Subscriber Rules
- Suricata: IDS/IPS รุ่นใหม่ที่รองรับ Multi-Threading ประสิทธิภาพสูงกว่า Snort บน Hardware ที่มีหลาย Core
- Rule Categories: เลือก Enable เฉพาะ Category ที่เกี่ยวข้อง เช่น malware, exploit, policy, scan เพื่อลด False Positive
- Block Mode: เริ่มจาก Detection Mode ก่อน (แค่ Alert) เมื่อ Tune Rule เสร็จแล้วค่อยเปิด Block Mode
High Availability — ระบบสำรองสำหรับ Uptime 99.9%
pfSense รองรับ CARP (Common Address Redundancy Protocol) สำหรับ High Availability ใช้ pfSense 2 เครื่อง เครื่องหนึ่งเป็น Primary อีกเครื่องเป็น Secondary เมื่อ Primary ล่ม Secondary จะ Take Over ทันทีโดยอัตโนมัติ ภายใน 1-3 วินาที State Table จะ Sync ผ่าน pfsync ทำให้ Connection ที่มีอยู่ไม่หลุด
Monitoring และ Logging
- Dashboard: หน้า Dashboard แสดง System Info, Traffic Graph, Firewall Log, Gateway Status แบบ Real-Time
- RRD Graphs: กราฟแสดง Traffic, Quality, CPU, Memory, States ย้อนหลัง 4 ชั่วโมง ถึง 4 ปี
- Syslog: ส่ง Log ไปยัง Syslog Server ภายนอก (เช่น Graylog, ELK Stack) เพื่อเก็บ Log ระยะยาว
- ntopng: Package เสริมสำหรับ Deep Traffic Analysis แสดง Top Talkers, Protocol Distribution, Flow Analysis
Best Practices สำหรับ pfSense ในองค์กร
- อัพเดท pfSense เป็นประจำ: ตรวจสอบ Update อย่างน้อยเดือนละครั้ง ก่อน Update ให้ Backup Config เสมอ
- Backup Config อัตโนมัติ: ตั้ง AutoConfigBackup หรือส่ง Config ไป TFTP/SCP Server ทุกวัน
- ใช้ HTTPS สำหรับ Web GUI: ปิด HTTP เปิดเฉพาะ HTTPS พร้อม Certificate ที่ถูกต้อง
- จำกัด Management Access: อนุญาตเฉพาะ IP ที่เชื่อถือได้ในการเข้าถึง Web GUI
- แยก VLAN: แบ่ง VLAN สำหรับ Management, LAN, Guest, IoT, Server แต่ละ VLAN มี Firewall Rule แยก
- ตั้ง Aliases: ใช้ Aliases จัดกลุ่ม IP, Port, URL เพื่อให้ Firewall Rule อ่านง่ายและจัดการง่าย
- ทำ Documentation: บันทึก Network Diagram, Firewall Rule, VPN Config, Change Log ไว้ให้ครบ
สรุป pfSense Firewall — Enterprise Security ในราคา Open Source
pfSense เป็น Firewall Open Source ที่ให้ฟีเจอร์ระดับ Enterprise ครบครัน ทั้ง Firewall, VPN, IDS/IPS, Load Balancer และ High Availability โดยไม่มีค่า License รายปี เหมาะสำหรับองค์กรที่ต้องการ Security ระดับสูงในงบประมาณที่จำกัด หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับ Network Security สามารถติดตามได้ที่ SiamLancard.com และ iCafeForex.com
