TRƯỜNG ĐẠI HỌC MỎ -ĐỊA CHẤT
KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN MƠN HỌC
AN NINH MẠNG

ĐỀ TÀI
Tìm hiểu về pfsense và triển khai thử nghiệm
Nhóm:07

SINH VIÊN THỰC HIỆN

1

162105**
**

LÊ M*** T*****

2

162105**
**

T*** V** H***


3

162105**
**

BẠCH Q*** T***

4

162105**
**

T*** Đ*** C****

Người hướng dẫn: ĐỖ NHƯ HẢI


Đồ án môn học AN NINH MẠNG

PHỤ LỤC

PHỤ LỤC...........................................................................................2
CHƯƠNG I: GIỚI THIỆU CHUNG VỀ PFSENSE...................................3
1.1Khái niệm về pfsense..............................................................3
1.2Tường lửa và các tính năng nổi bật.........................................3
1.3Lợi ích của pfsense đem lại.....................................................4
CHƯƠNG 2: CÁC TÌNH HUỐNG ỨNG DỤNG.....................................5
2.1Cấm/Cho phép các truy cập từ bên ngoài hoặc bên trong mạng
nội bộ...........................................................................................5
2.2Cấm truy cập theo thời gian biểu............................................5
2.3Cho phép truy cập máy chủ nội bộ từ internet.......................5
2.4Mỗi người dùng có một tài khoản riêng để truy cập wireless..6
2.5Sử dụng tên miền động miễn phí............................................7
2.6Kết nối mạng nội bộ của các chi nhánh với nhau....................8

CHƯƠNG III: CÁCH CÀI ĐẶT PFSENSE..............................................8
3.1Chuẩn bị bộ cài pfsense..........................................................8
3.2Cài đặt pfSense trên vmware workstation..............................9
3.3Cấu hình pfsense...................................................................15
3.4Đăng nhập pfsense và cấu hình cơ bản................................26

3


Đồ án môn học AN NINH MẠNG

CHƯƠNG I: GIỚI THIỆU CHUNG VỀ PFSENSE
1.1Khái niệm về pfsense
PfSense là một ứng dụng có chức năng định tuyến vào tường
lửa mạnh và miễn phí, ứng dụng này sẽ cho phép bạn mở rộng
mạng của mình mà khơng bị thỏa hiệp về sự bảo mật. Bẳt đầu
vào năm 2004, khi m0n0wallmới bắt đầu chập chững– đây là
một dự án bảo mật tập trung vào các hệ thống nhúng – pfSense
đã có hơn 1 triệu download và được sử dụng để bảo vệ các
mạng ở tất cả kích cỡ, từ các mạng gia đình đến các mạng lớn
của của các công ty. Ứng dụng này có một cộng đồng phát triển
rất tích cực và nhiều tính năng đang được bổ sung trong mỗi
phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn định và
khả năng linh hoạt của nó.
1.2Tường lửa và các tính năng nổi bật
Pfsense bao gồm nhiều tính năng mà bạn vẫn thấy trên các
thiết bị tường lửa hoặc router thương mại, chẳng hạn như GUI
trên nền Web tạo sự quản lý một cách dễ dàng.
PfSense được dựa trên FreeBSD và giao thức Common Address
Redundancy Protocol (CARP) của FreeBSD, cung cấp khả năng

dự phòng bằng cách cho phép các quản trị viên nhóm hai hoặc
nhiều tường lửa vào một nhóm tự động chuyển đổi dự phịng. Vì
nó hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên có thể thực
hiện việc cân bằng tải.
Đặc điểm khá quan trọng là cấu hình để cài đặt sử dụng phần
mềm Pfsense khơng địi hỏi cao .Chúng ta chỉ cần một máy tính
P3,Ram 128 MB ,HDD 1GB cũng đủ để dựng được tường lửa
Pfsense.
Tuy nhiên đặc thù Pfsense là tường lửa ngăn các nguy hại giữa
mạng WAN và mạng LAN nên máy cài đặt Pfsense yêu cầu tối
thiểu 2 card mạng.
PfSense là tường lửa mềm, tức là bạn chỉ cần một máy tính bất
kì, hoặc tốt hơn là một máy chủ, rồi cài đặt pfSense là đã có
ngay một tường lửa mạnh mẽ cho hệ thống mạng trong doanh
nghiệp. Trong phân khúc tường lửa cho doanh nghiệp vừa và
nhỏ, với khoảng dưới 1000 người sử dụng, pfSense được đánh
4


Đồ án môn học AN NINH MẠNG

giá là tường lửa nguồn mở tốt nhất hiện nay với khả năng đáp
ứng lên tới hàng triệu kết nối đồng thời. Không những thế, tường
lửa pfSense cịn có nhiều tính năng mở rộng tích hợp, tất cả
trong một, vượt xa các tưởng lửa thông thường, kể cả các tường
lửa cứng của các hãng nổi tiếng về thiết bị mạng.

Các tính năng nổi bật:
















lửa tầng L3, L4, L7
Chặn truy cập theo khu vực địa lý
Quản lý chất lượng QoS
Proxy
Quản trị mạng không dây
Hỗ trợ VLAN
Cân bẳng tải
VPN theo 4 giao thức
Giám sát/Phân tích mạng
Quản lý tên miền (DC), hỗ trợ tên miền động
(DynDNS)
Cho phép chạy song hành, failover
Hỗ trợ ngôn ngữ tiếng Việt (*)
Tự động cập nhật black list.
Tự động nâng cấp phiên bản

1.3Lợi ích của pfsense đem lại

Hoàn toàn miễn phí, giá cả là ưu thế vượt trội của tường lửa
pfSense. Tuy nhiên, rẻ khơng có nghĩa là kém chất lượng, tường
lửa pfSense hoạt động cực kỳ ổn định với hiệu năng cao, đã tối
ưu hóa mã nguồn và cả hệ điều hành. Cũng chính vì thê,
pfSense khơng cần nền tảng phần cứng mạnh. Nếu doanh
nghiệp khơng có đường truyền tốc độ cao, tường lửa pfSense chỉ
cần cài đặt lên một máy tính cá nhân là có thể bắt đầu hoạt
động. Điều đó càng góp phần làm giảm chi phí triển khai, đồng
thời tạo nên sự linh hoạt, tính mở rộng/sẵn sàng chưa từng có,
khi doanh nghiệp muốn có nhiều hơn một tường lửa.
Không chỉ là một tường lửa, pfSense hoạt động như một thiết
bị mạng tổng hợp với đầy đủ mọi tính năng tồn diện sẵn sàng
bất cứ lúc nào. Khi có một vấn đề về hệ thống mạng phát sinh,
thay vì phải loay hoay tìm thiết bị và mất thời gian đặt hàng,
doanh nghiệp có thể kết hợp các tính năng đa dạng trên
5


Đồ án môn học AN NINH MẠNG

pfSense để tạo thành giải pháp hợp lý, khắc phục sự cố ngay lập
tức.
Không kém phần quan trọng là khả năng quản lý. Tường lửa
pfSense được quản trị một cách dễ dàng, trong sáng qua giao
diện web. Hơn thế nữa, pfSense đã có giao diện web quản trị
duy nhất bằng tiếng Việt, được các chuyên gia hệ thống mạng
của Techlink biên dịch, nên việc sử dụng càng trở nên đơn giản
và rõ ràng, giúp các nhà quản trị mạng thực sự thoải mái và
thấu hiểu về mọi hoạt động của tường lửa.
Như vậy, tường lửa pfSense là sự kết hợp hoàn hảo và mạnh

mẽ, đem lại sự hợp lý cho các nhà tài chính, và sự tin tưởng cho
các nhà quản trị.

CHƯƠNG 2: CÁC TÌNH HUỐNG ỨNG DỤNG
2.1Cấm/Cho phép các truy cập từ bên ngồi hoặc bên trong
mạng nội bộ
Mơ tả: Hiện tại, doanh nghiệp có các máy chủ dịch vụ và nhiều
người dùng bên trong mạng nội bộ. Doanh nghiệp muốn:
- Từ bên ngoài mạng internet, người dùng chỉ được phép
truy cập vào một số dịch vụ bên trong nhất định
- Từ bên trong mạng nội bộ, người dùng chỉ được phép truy
cập tới các dịch vụ internet nhất định.
Giải pháp: Đây là tính năng cơ bản của mọi tường lửa, pfSense
hồn tồn đáp ứng yêu cầu này. pfSense có thể tiến hành
cấm/cho phép các truy cập thông qua các thông số về địa chỉ IP,
port, tên miền…
2.2Cấm truy cập theo thời gian biểu
Mô tả: Doanh nghiệp qui định, thời gian làm việc từ 8h tới 12h
sáng, và 13h00 tới 17h00. Trong khoảng thời gian làm việc,
nhân viên không được sử dụng mạng internet để chat yahoo
messenger, skype, hay xem phim. Trong khoảng thời gian nghỉ
trưa, từ 12h tới 13h, nhân viên có thể thoải mái truy cập
internet.

6


Đồ án môn học AN NINH MẠNG

Giải pháp: pfSense không chỉ đặt các luật cấm/cho phép, mà cịn

có thể thiết lập lịch biểu tác dụng cho các luật này. Trong trường
hợp trên, quản trị mạng có thể xây dựng các luật cấm truy cập
chat/xem phim, đồng thời tạo ra một lịch biểu theo thời gian làm
việc, cuối cùng là đem kết hợp giữa luật và lịch biểu. Đây là một
đặc tính rất hữu ích, nên được triển khai để tạo ra sự thoải mái
nhất định trong doanh nghiệp. Nhà quản trị mạng cũng không
phải thao tác thủ công hàng ngày.
2.3Cho phép truy cập máy chủ nội bộ từ internet
Mô tả: Hiện tại, doanh nghiệp đã có một địa chỉ IP tĩnh. Thơng
qua đó, doanh nghiệp muốn đưa các dịch vụ web, chia sẻ file,
CRM, ERP ra bên ngoài mạng internet, để các đối tác, nhà cung
cấp… có thể truy nhập vào. Đây là nhu cầu rất phổ biến.
Giải pháp 1 : pfSense hỗ trợ NAT (PAT) với khả năng ánh xạ các
cổng dịch vụ với các máy chủ khác nhau, đáp ứng được yêu cầu
trên. Cách thực hiện này đơn giản, và phần lớn các tường lửa đều
có thể thực hiện được. Nhược điểm là người dùng phải nhớ được
số hiệu cổng truy nhập.

7


Đồ án môn học AN NINH MẠNG

Giải pháp 2 : pfSense hỗ trợ reverve proxy với khả năng ánh
xạ ánh xạ tên miền về các máy chủ khác nhau, đáp ứng được
u cầu trên. Các tường lửa khác khơng có tính năng này, hoặc
bắt buộc phải có nhiều IP tĩnh.

2.4Mỗi người dùng có một tài khoản riêng để truy cập
wireless

Mơ tả: Hiện tại, doanh nghiệp đang sử dụng mạng wireless để
các nhân viên sử dụng. Doanh nghiệp cũng có một mạng
wireless riêng dành cho các khách hàng đến công ty. Đơi khi,
khách hàng hoặc một cá nhân nào đó trong mạng wireless sử
dụng băng thông quá nhiều, chẳng hạn để xem phim online,
làm ảnh hưởng tới công việc của người khác, nhưng doanh
8


Đồ án môn học AN NINH MẠNG

nghiệp không thể xác định được đó là ai. Hoặc sau một thời gian
định kỳ, để an toàn, doanh nghiệp thay đổi mật khẩu truy nhập
wireless và phải báo lại cho tất cả ngươi dùng nội bộ rất phiền
phức.
Bấm vào đây để xem "một số trường hợp ứng dụng captiveportal"

Giải pháp: để kiểm soát truy cập wireless, doanh nghiệp có
thể mua các thiết bị wireless controller với giá thành không hề
rẻ. Như thế, nhà quản trị mạng phải làm việc với loại thiết bị
mới, phải làm quen với các trang web và phần mềm quản trị
của các loại thiết bị khác nhau.
pfSense tích hợp chức năng quản trị mạng wireless với số
lượng mạng không hạn chế. Thơng qua pfSense, doanh nghiệp
có thể tạo ra các tài khoản truy cập wireless riêng cho từng
người dùng, cho phép băng thông tối đa cho từng người dùng.
Doanh nghiệp cũng có thể tạo ra các voucher, có tác dụng
giống như thẻ cào truy cập wireless, để phát cho các khách
hàng vãng lai tới sử dụng, và chỉ có hạn mức sử dụng trong
ngày. Hơn thế nữa, doanh nghiệp có thể quảng cáo dựa trên

mạng wireless này, bằng cách định hướng các truy nhập của
người dùng chưa được xác thực về một trang web giới thiệu
cơng ty (tính năng này hay được áp dụng trong các bệnh viện,
khách sạn, trường học, nơi có nhiều khách vãng lai).
2.5Sử dụng tên miền động miễn phí
Mơ tả: Trong doanh nghiệp, có một chi nhánh nào đó có hệ
thống mạng, nhưng khơng mua địa chỉ IP tĩnh và tên miền. Vì
vậy, người dùng/khách hàng từ bên ngồi internet khơng thể
truy cập được vào hệ thống mạng nội bộ bên trong để truy cập
thông tin cần thiết.

9


Đồ án mơn học AN NINH MẠNG

Giải pháp: hồn tồn miễn phí, doanh nghiệp có thể sử dụng
tên miền động được cung cấp bởi noip, dyndns… Cách này có
ưu điểm là việc sử dụng hoàn toàn giống như tên miền tĩnh và
IP tĩnh, và nhược điểm là phải cài một phần mềm được cung
cấp bởi noip, dyndns lên một máy tính nào đó trong mạng nội
bộ, để phần mềm đó cập nhật thường xuyên địa chỉ IP, rồi lại
phải cấu hình tường lửa để cho phép phần mềm đó hoạt động.
Với pfSense, vẫn theo cơ chế tên miền động như trên, nhưng
tất cả các nhược điểm đều được khắc phục. Thay vì phải tải về
phần mềm cung cấp địa chỉ IP với nguồn gốc khơng rõ ràng,
pfSense có chức năng riêng để tự tiến hành việc này, mà
không phải cài đặt lên bất cứ một máy tính nào khác. Như vậy,
pfSense vừa là tường lửa, vừa tự động cập nhật IP động cho hệ
thống quản lý tên miền toàn cầu, rất nhanh chóng và bảo đảm

an tồn.
2.6Kết nối mạng nội bộ của các chi nhánh với nhau
Mô tả: Doanh nghiệp có nhiều chi nhánh ở khắp nơi trong cả
nước. Doanh nghiệp muốn kết nối mạng nội bộ của tất cả các
chi nhánh với nhau để hoạt động chia sẽ thông tin giữa các chi
nhánh diễn ra nhanh chóng, an tồn và tin cậy.

10


Đồ án môn học AN NINH MẠNG

Giải pháp: phương pháp chung của mọi tường lửa là triển khai
mạng LAN ảo – VPN – giữa các chi nhánh. Thông thường, người
ta sử dụng IPsec để tạo VPN. Nhưng không chỉ dừng lại ở đó,
pfSense hỗ trợ thêm cả 4 phương thức khác để tạo VPN, là
IPsec, L2TP, PPTP và OpenVPN. Đặc biệt OpenVPN rất được
thịnh hành trên mơi trường Linux, hồn tồn miễn phí và khơng
địi hỏi người dùng đầu cuối phải hiểu rõ về kỹ thuật...
CHƯƠNG III: CÁCH CÀI ĐẶT PFSENSE
3.1Chuẩn bị bộ cài pfsense
– Download và cài đặt Vmware Workstation 15 tại địa
chỉ />tion+15.rar
– Download pfSense.iso tại trang chủ của
pfSense
3.2Cài đặt pfSense trên vmware workstation
– Tạo 1 máy ảo mới ( New Virtual Machine Wizard (Ctrl+N) ). Chọn
“Custom” -> “Next”

11



Đồ án môn học AN NINH MẠNG

Chọn “Next”

Chọn “Browse” chọn file cài đặt đi “iso” đã dow về như hình
bên dưới

12


Đồ án môn học AN NINH MẠNG

-Tiếp tục “Next” tới bước bên dưới.
chọn “Customize Hardware”.

-Chọn “add”.
-Chọn “Network Adapter” để tạo them 1 card mạng nữa
->”Next”.

13


Đồ án môn học AN NINH MẠNG

14


Đồ án môn học AN NINH MẠNG


15


Đồ án môn học AN NINH MẠNG

- Card 1 chọn kiểu “NAT”.
- Card 2 chọn “Lan segment” ->chọn “Lan”.

16


Đồ án môn học AN NINH MẠNG

-Tiếp theo chọn “Finish”.

-Qúa trình tạo mơi trường máy ảo thành cơng.

17


Đồ án mơn học AN NINH MẠNG

3.3Cấu hình pfsense
-khởi động máy ảo click ”Power on this virtual machine”.

- Bấm Accept.

18



Đồ án môn học AN NINH MẠNG

-chọn “Install” ->chọn “OK”.

-Chọn “Continue with default keymap”.
-Chọn “Select”
19


Đồ án môn học AN NINH MẠNG

-Chọn “Auto (UFS)
-Chọn “OK”

20


Đồ án môn học AN NINH MẠNG

-Chọn “No”

21


Đồ án môn học AN NINH MẠNG

-chọn “Reboot”

-Chọn “Y” -> ”Enter”


22


Đồ án môn học AN NINH MẠNG

-tiếp tục “Enter”

23


Đồ án môn học AN NINH MẠNG

-Đặt tên cho card WAN: gõ “me0” ->”enter”

-Đặt tên cho card LAN: gõ “le0”-> “Enter’’

24


Đồ án môn học AN NINH MẠNG

-chọn “y” -> “Enter”

-Chọn option 2 ->”Enter”

25