在帶有無線電的盒子上執行 pfsense 有哪些安全風險？

在我的網路中，pfsense 是我整個網路的防火牆和路由器。它是唯一具有直接 WAN 訪問權限的機器。所有其他機器都在它後面（並通過交換機連接）。我正在嘗試確定無線訪問分配最安全的選擇：

1. 在具有無線功能的盒子上執行 pfsense，並讓無線客戶端直接連接到 pfsense 路由器/防火牆。
2. 在僅具有有線連接的盒子上執行 pfsense，並將 WAP（無線接入點）連接到我的區域網路上的交換機，它將連接從 pfsense 盒子分發到我的區域網路。

所以換個說法：在帶有無線電的盒子上執行 pfsense 是否存在安全風險，是否可以通過將無線接入點移動到網路上的另一個位置（在 pfsense 盒子後面）來解決這些風險？

您描述的場景的差異如下：

• 如果您的 pfsense 具有專用的無線介面，您可以以適合您的方式調整防火牆規則。
• 如果您將接入點連接到交換機，並且有人要侵入您的無線網路，那麼他將獲得對該 VLAN 的完全訪問權限。

讓我描述一下我們去年設立新總部時所做的事情。

1. 在交換機上創建了兩個新 VLAN，一個用於訪客訪問，一個用於內部訪問
2. 我們的接入點能夠使用這種“多 SSID”功能（我認為這是 Cisco 的品牌術語）——所以我們有一個“訪客”SSID，它被推到訪客 VLAN 和一個“內部”SSID，它被接通到“內部”VLAN。兩個 SSID/VLAN 都有自己的專用 IP 網路。
3. 不允許其他機器在這些 VLAN 上。
4. 網路在處理路由和防火牆的內部 pfsense 的 VLAN 介面上終止。
5. 訪客 LAN 只被允許使用網際網路，內部 LAN 被允許訪問我們 DMZ 中的一些伺服器（Exchange 等）。

所以，給你的 pfsense 一個無線適配器不會太糟糕，但如果你想執行的不僅僅是一個 SSID，你需要找到一個真正支持它的適配器（我現在不知道）。

要回答您的最後一個問題：如果您將接入點連接到有線網路，請將其放在專用的安全區域（意味著：VLAN 和 IP 網路），並讓您的 pfsense 處理路由和防火牆。

引用自：https://serverfault.com/questions/435281