TRƯỜNG ĐẠI HỌC – MỎ ĐỊA CHẤT
KHOA CÔNG NGHỆ THÔNG TIN

_______*_______

ĐỒ ÁN MƠN HỌC
AN NINH MẠNG

Tìm hiểu về Pfsense và triển khai thử nghiệm
một số tính năng cơ bản
Sinh viên thực hiện: Nguyễn V** H*** – 172105****
DCC (lớp)
Giáo viên hướng dẫn: Đỗ Như Hải

HÀ NỘI 11-2020


MỤC LỤC

CHƯƠNG I: GIỚI THIỆU CHUNG VỀ PFSENSE
1. Khái niệm về pfsense
PfSense là một ứng dụng có chức năng định tuyến vào tường lửa mạnh và miễn
phí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về
sự bảo mật. Bẳt đầu vào năm 2004, khi m0n0wall mới bắt đầu chập chững– đây là một
dự án bảo mật tập trung vào các hệ thống nhúng – pfSense đã có hơn 1 triệu download
và được sử dụng để bảo vệ các mạng ở tất cả kích cỡ, từ các mạng gia đình đến các
mạng lớn của của các cơng ty. Ứng dụng này có một cộng đồng phát triển rất tích cực
và nhiều tính năng đang được bổ sung trong mỗi phát hành nhằm cải thiện hơn nữa tính
bảo mật, sự ổn định và khả năng linh hoạt của nó.
2. Tường lửa và các tính năng nổi bật
Pfsense bao gồm nhiều tính năng mà bạn vẫn thấy trên các thiết bị tường lửa

hoặc router thương mại, chẳng hạn như GUI trên nền Web tạo sự quản lý một cách dễ
dàng.
PfSense được dựa trên FreeBSD và giao thức Common Address Redundancy
Protocol (CARP) của FreeBSD, cung cấp khả năng dự phòng bằng cách cho phép các
quản trị viên nhóm hai hoặc nhiều tường lửa vào một nhóm tự động chuyển đổi dự

2


phịng. Vì nó hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên có thể thực hiện việc cân
bằng tải.
Đặc điểm khá quan trọng là cấu hình để cài đặt sử dụng phần mềm Pfsense
khơng địi hỏi cao. Chúng ta chỉ cần một máy tính P3, Ram 128 MB, HDD 1GB cũng
đủ để dựng được tường lửa Pfsense.
Tuy nhiên đặc thù Pfsense là tường lửa ngăn các nguy hại giữa mạng WAN và
mạng LAN nên máy cài đặt Pfsense yêu cầu tối thiểu 2 card mạng.
PfSense là tường lửa mềm, tức là bạn chỉ cần một máy tính bất kì, hoặc tốt hơn
là một máy chủ, rồi cài đặt pfSense là đã có ngay một tường lửa mạnh mẽ cho hệ thống
mạng trong doanh nghiệp. Trong phân khúc tường lửa cho doanh nghiệp vừa và nhỏ,
với khoảng dưới 1000 người sử dụng, pfSense được đánh giá là tường lửa nguồn mở
tốt nhất hiện nay với khả năng đáp ứng lên tới hàng triệu kết nối đồng thời. Không
những thế, tường lửa pfSense cịn có nhiều tính năng mở rộng tích hợp, tất cả trong
một, vượt xa các tưởng lửa thông thường, kể cả các tường lửa cứng của các hãng nổi
tiếng về thiết bị mạng.
Các tính năng nổi bật:

−
−
−
−

−
−
−
−
−
−
−
−
−
−

Lửa tầng L3, L4, L7.
Chặn truy cập theo khu vực địa lý.
Quản lý chất lượng QoS.
Proxy.
Quản trị mạng không dây.
Hỗ trợ VLAN.
Cân bẳng tải.
VPN theo 4 giao thức.
Giám sát/Phân tích mạng.
Quản lý tên miền (DC), hỗ trợ tên miền động (DynDNS).
Cho phép chạy song hành, failover.
Hỗ trợ ngôn ngữ tiếng Việt (*).
Tự động cập nhật black list.
Tự động nâng cấp phiên bản.

3


3. Lợi ích của pfsense đem lại

Hồn tồn miễn phí, giá cả là ưu thế vượt trội của tường lửa pfSense. Tuy nhiên,
rẻ khơng có nghĩa là kém chất lượng, tường lửa pfSense hoạt động cực kỳ ổn định với
hiệu năng cao, đã tối ưu hóa mã nguồn và cả hệ điều hành. Cũng chính vì thê, pfSense
khơng cần nền tảng phần cứng mạnh. Nếu doanh nghiệp khơng có đường truyền tốc độ
cao, tường lửa pfSense chỉ cần cài đặt lên một máy tính cá nhân là có thể bắt đầu hoạt
động. Điều đó càng góp phần làm giảm chi phí triển khai, đồng thời tạo nên sự linh
hoạt, tính mở rộng/sẵn sàng chưa từng có, khi doanh nghiệp muốn có nhiều hơn một
tường lửa.
Khơng chỉ là một tường lửa, pfSense hoạt động như một thiết bị mạng tổng hợp
với đầy đủ mọi tính năng tồn diện sẵn sàng bất cứ lúc nào. Khi có một vấn đề về hệ
thống mạng phát sinh, thay vì phải loay hoay tìm thiết bị và mất thời gian đặt hàng,
doanh nghiệp có thể kết hợp các tính năng đa dạng trên pfSense để tạo thành giải pháp
hợp lý, khắc phục sự cố ngay lập tức.
Không kém phần quan trọng là khả năng quản lý. Tường lửa pfSense được quản
trị một cách dễ dàng, trong sáng qua giao diện web. Hơn thế nữa, pfSense đã có giao
diện web quản trị duy nhất bằng tiếng Việt, được các chuyên gia hệ thống mạng của
Techlink biên dịch, nên việc sử dụng càng trở nên đơn giản và rõ ràng, giúp các nhà
quản trị mạng thực sự thoải mái và thấu hiểu về mọi hoạt động của tường lửa.
Như vậy, tường lửa pfSense là sự kết hợp hoàn hảo và mạnh mẽ, đem lại sự hợp
lý cho các nhà tài chính, và sự tin tưởng cho các nhà quản trị.

4


CHƯƠNG II: CÁC TÌNH HUỐNG ỨNG DỤNG
1. Cấm/Cho phép các truy cập từ bên ngoài hoặc bên trong mạng nội bộ
Mơ tả: Hiện tại, doanh nghiệp có các máy chủ dịch vụ và nhiều người dùng bên
trong mạng nội bộ. Doanh nghiệp muốn:

− Từ bên ngoài mạng internet, người dùng chỉ được phép truy cập vào một

số dịch vụ bên trong nhất định.
− Từ bên trong mạng nội bộ, người dùng chỉ được phép truy cập tới các
dịch vụ internet nhất định.
Giải pháp: Đây là tính năng cơ bản của mọi tường lửa, pfSense hoàn toàn đáp
ứng yêu cầu này. pfSense có thể tiến hành cấm/cho phép các truy cập thông qua các
thông số về địa chỉ IP, port, tên miền…
2. Cấm truy cập theo thời gian biểu
Mô tả: Doanh nghiệp qui định, thời gian làm việc từ 8h tới 12h sáng, và 13h00
tới 17h00. Trong khoảng thời gian làm việc, nhân viên không được sử dụng mạng
internet để chat yahoo messenger, skype, hay xem phim. Trong khoảng thời gian nghỉ
trưa, từ 12h tới 13h, nhân viên có thể thoải mái truy cập internet.

Giải pháp: pfSense không chỉ đặt các luật cấm/cho phép, mà cịn có thể thiết
lập lịch biểu tác dụng cho các luật này. Trong trường hợp trên, quản trị mạng có thể xây
dựng các luật cấm truy cập chat/xem phim, đồng thời tạo ra một lịch biểu theo thời

5


gian làm việc, cuối cùng là đem kết hợp giữa luật và lịch biểu. Đây là một đặc tính rất
hữu ích, nên được triển khai để tạo ra sự thoải mái nhất định trong doanh nghiệp. Nhà
quản trị mạng cũng không phải thao tác thủ công hàng ngày.
3. Cho phép truy cập máy chủ nội bộ từ internet
Mô tả: Hiện tại, doanh nghiệp đã có một địa chỉ IP tĩnh. Thơng qua đó, doanh
nghiệp muốn đưa các dịch vụ web, chia sẻ file, CRM, ERP ra bên ngoài mạng internet,
để các đối tác, nhà cung cấp… có thể truy nhập vào. Đây là nhu cầu rất phổ biến.
Giải pháp 1: pfSense hỗ trợ NAT (PAT) với khả năng ánh xạ các cổng dịch vụ
với các máy chủ khác nhau, đáp ứng được yêu cầu trên. Cách thực hiện này đơn giản,
và phần lớn các tường lửa đều có thể thực hiện được. Nhược điểm là người dùng phải
nhớ được số hiệu cổng truy nhập.


Giải pháp 2: pfSense hỗ trợ reverve proxy với khả năng ánh xạ ánh xạ tên miền
về các máy chủ khác nhau, đáp ứng được yêu cầu trên. Các tường lửa khác khơng có
tính năng này, hoặc bắt buộc phải có nhiều IP tĩnh.

6


4. Mỗi người dùng có một tài khoản riêng để truy cập wireless
Mô tả: Hiện tại, doanh nghiệp đang sử dụng mạng wireless để các nhân viên sử
dụng. Doanh nghiệp cũng có một mạng wireless riêng dành cho các khách hàng đến
công ty. Đôi khi, khách hàng hoặc một cá nhân nào đó trong mạng wireless sử dụng
băng thơng q nhiều, chẳng hạn để xem phim online, làm ảnh hưởng tới công việc của
người khác, nhưng doanh nghiệp không thể xác định được đó là ai. Hoặc sau một thời
gian định kỳ, để an toàn, doanh nghiệp thay đổi mật khẩu truy nhập wireless và phải
báo lại cho tất cả ngươi dùng nội bộ rất phiền phức.
Bấm vào đây để xem "một số trường hợp ứng dụng captive-portal"

Giải pháp: để kiểm sốt truy cập wireless, doanh nghiệp có thể mua các thiết bị
wireless controller với giá thành không hề rẻ. Như thế, nhà quản trị mạng phải làm việc

7


với loại thiết bị mới, phải làm quen với các trang web và phần mềm quản trị của các
loại thiết bị khác nhau.
pfSense tích hợp chức năng quản trị mạng wireless với số lượng mạng không
hạn chế. Thông qua pfSense, doanh nghiệp có thể tạo ra các tài khoản truy cập
wireless riêng cho từng người dùng, cho phép băng thông tối đa cho từng người dùng.
Doanh nghiệp cũng có thể tạo ra các voucher, có tác dụng giống như thẻ cào truy cập

wireless, để phát cho các khách hàng vãng lai tới sử dụng, và chỉ có hạn mức sử dụng
trong ngày. Hơn thế nữa, doanh nghiệp có thể quảng cáo dựa trên mạng wireless này,
bằng cách định hướng các truy nhập của người dùng chưa được xác thực về một trang
web giới thiệu cơng ty (tính năng này hay được áp dụng trong các bệnh viện, khách
sạn, trường học, nơi có nhiều khách vãng lai).
5. Sử dụng tên miền động miễn phí
Mơ tả: Trong doanh nghiệp, có một chi nhánh nào đó có hệ thống mạng, nhưng
khơng mua địa chỉ IP tĩnh và tên miền. Vì vậy, người dùng/khách hàng từ bên ngồi
internet khơng thể truy cập được vào hệ thống mạng nội bộ bên trong để truy cập thơng
tin cần thiết.

Giải pháp: hồn tồn miễn phí, doanh nghiệp có thể sử dụng tên miền động
được cung cấp bởi noip, dyndns… Cách này có ưu điểm là việc sử dụng hoàn toàn
giống như tên miền tĩnh và IP tĩnh, và nhược điểm là phải cài một phần mềm được
cung cấp bởi noip, dyndns lên một máy tính nào đó trong mạng nội bộ, để phần mềm

8


đó cập nhật thường xuyên địa chỉ IP, rồi lại phải cấu hình tường lửa để cho phép phần
mềm đó hoạt động.
Với pfSense, vẫn theo cơ chế tên miền động như trên, nhưng tất cả các nhược
điểm đều được khắc phục. Thay vì phải tải về phần mềm cung cấp địa chỉ IP với nguồn
gốc khơng rõ ràng, pfSense có chức năng riêng để tự tiến hành việc này, mà khơng phải
cài đặt lên bất cứ một máy tính nào khác. Như vậy, pfSense vừa là tường lửa, vừa tự
động cập nhật IP động cho hệ thống quản lý tên miền tồn cầu, rất nhanh chóng và bảo
đảm an tồn.
6. Kết nối mạng nội bộ của các chi nhánh với nhau
Mơ tả: Doanh nghiệp có nhiều chi nhánh ở khắp nơi trong cả nước. Doanh
nghiệp muốn kết nối mạng nội bộ của tất cả các chi nhánh với nhau để hoạt động chia

sẽ thông tin giữa các chi nhánh diễn ra nhanh chóng, an tồn và tin cậy.

Giải pháp: phương pháp chung của mọi tường lửa là triển khai mạng LAN ảo –
VPN – giữa các chi nhánh. Thông thường, người ta sử dụng IPsec để tạo VPN. Nhưng
không chỉ dừng lại ở đó, pfSense hỗ trợ thêm cả 4 phương thức khác để tạo VPN, là
IPsec, L2TP, PPTP và OpenVPN. Đặc biệt OpenVPN rất được thịnh hành trên môi
trường Linux, hồn tồn miễn phí và khơng địi hỏi người dùng đầu cuối phải hiểu rõ
về kỹ thuật...

9


CHƯƠNG III: CÁCH CÀI ĐẶT PFSENSE
1. Chuẩn bị bộ cài pfsense

− Download và cài đặt Vmware Workstation 15 tại địa chỉ
.
− Download pfSense.iso tại trang chủ của pfSense .
2. Cài đặt pfSense trên vmware workstation

− Tạo 1 máy ảo mới ( New Virtual Machine Wizard (Ctrl+N) ). Chọn
“Custom”“Next”.

− Chọn “Next”.

10


− Chọn “Browse” chọn file cài đặt đuôi “iso” đã dow về như hình bên dưới.


− Tiếp tục “Next” tới bước bên dưới.
− Chọn “Customize Hardware”.

11


− Chọn “add”.
− Chọn “Network Adapter” để tạo thêm 1 card mạng nữa ”Next”.

12


13


− Card 1 chọn kiểu “NAT”.
− Card 2 chọn “Lan segment” chọn “Lan”.

14


− Tiếp theo chọn “Finish”.

15


Qúa trình tạo mơi trường máy ảo thành cơng.

16



3. Cấu hình pfsense

− Khởi động máy ảo click ”Power on this virtual machine”.

− Bấm ”Accept”.

17


− Chọn “Install” chọn “OK”.

− Chọn “Continue with default keymap”.
− Chọn “Select”.

− Chọn “Auto (UFS).
− Chọn “OK”.
18


− Chọn “No”.

19


− Chọn “Reboot”.

− Chọn option 1 ”Enter”.

20



− Chọn “Y” ”Enter”.

21


− Tiếp tục “Enter”.

− Đặt tên cho card WAN: gõ “em0” ”enter”.

− Đặt tên cho card LAN: gõ “le0” “Enter’’.
22


− Chọn “y” “Enter”.

− Chọn option 2 ”Enter”.

23


− Chọn 1 “Enter”.

− Cấu hình IP tĩnh cố định cho card WAN: chọn “n” ”Enter”.

24


− Đặt IP card WAN là: 192.168.24.144 Enter.


− Chọn subnet ở lớp C: chọn 24 Enter.

25