Tải bản đầy đủ (.docx) (61 trang)

BÁO CÁO THỰC TẬP TỐT NGHIỆP ĐẠI HỌC Đề tài NGHIÊN CỨU VỀ TƯỜNG LỬA PFSENSE

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.76 MB, 61 trang )

BỘ THÔNG TIN VÀ TRUYỀN THÔNG

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG

BÁO CÁO THỰC TẬP
TỐT NGHIỆP ĐẠI
HỌC
Đề tài:

“NGHIÊN CỨU VỀ TƯỜNG LỬA
PFSENSE”
Người hướng dẫn

: ThS. HUỲNH THANH TÂM

Sinh viên thực hiện : VŨ HỒNG
Mã số sinh viên

: N17DCAT030

Lớp

: D17CQAT01-N

Khóa

: 2017 – 2022

Hệ

: ĐẠI HỌC CHÍNH QUY


TP.HCM, tháng … năm 2021
BỘ THÔNG TIN VÀ TRUYỀN THÔNG


HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG

BÁO CÁO THỰC TẬP
TỐT NGHIỆP ĐẠI
HỌC
Đề tài:

“NGHIÊN CỨU VỀ TƯỜNG LỬA
PFSENSE”
Người hướng dẫn

: ThS. HUỲNH THANH TÂM

Sinh viên thực hiện : VŨ HOÀNG
Mã số sinh viên

: N17DCAT030

Lớp

: D17CQAT01-N

Khóa

: 2017 – 2022


Hệ

: ĐẠI HỌC CHÍNH QUY
TP.HCM, tháng … năm 2021


HỌC VIỆN
CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
CƠ SỞ TẠI TP. HỒ CHÍ MINH
Khoa Cơng nghệ thơng tin 2

CỘNG HỒ XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập – Tự do – Hạnh phúc
TP. Hồ Chí Minh, ngày 24 tháng 07 năm 2021

PHIẾU GIAO ĐỀ CƯƠNG THỰC TẬP TỐT NGHIỆP
Căn cứ Quyết định số ....../QĐ-HVCS ngày ......./07/2021 của Phó Giám đốc Học
viện – Phụ trách Cơ sở tại TP. Hồ Chí Minh về việc “Giao nhiệm vụ thực tập tốt nghiệp
cho sinh viên – Hệ Đại học chính quy – Khóa 2017-2021 – Ngành Công nghệ thông tin,
Đa phương tiện, An toàn thông tin”;
Khoa Công nghệ thông tin 2 giao nhiệm vụ thực hiện đề cương thực tập tốt nghiệp
cho sinh viên:
1. Họ và tên sinh viên : VŨ HOÀNG
Mã SV: N17DCAT030
Lớp: D17CQAT01-N
Ngành: An tồn thơng tin
Hình thức đào tạo: Đại học chính quy
2. Nội dung thực tập chính: Nghiên cứu về tường lửa Pfsense
3. Nơi đăng ký thực tập:
Đơn vị chủ quản:

Đơn vị cơ sở tiếp nhận thực tập: Fujinet System JSC
Địa chỉ: WASECO, 10 Phổ Quang, Q.Tân Bình
Số
ĐT....................................................Số
Fax:………………………………………….
4. Đề cương thực tập:
Lý thuyết:
- Tìm hiểu các chức năng của firewall PFSense (NAT, ROUTING, Proxy, VPN, …)
- Tìm hiểu các mơ hình triển khai Pfsense.
- Tìm hiểu cấu trúc dịng lệnh của firewall PFSense
Thực hành:
Xây dựng mơ hình triển khai và thực nghiệm các kịch bản cấu hình cho firewall
PFSense.
5. Giáo viên hướng dẫn: ThS. Huỳnh Thanh Tâm
6. Yêu cầu kết quả thực hiện: Kết thúc kỳ thực tập tốt nghiệp, sinh viên phải lập
Báo cáo kết quả thực tập, có ý kiến đánh giá của cơ sở thực tập, hình thức theo
quy định của Học viện.
7. Thời gian thực hiện:
Từ ngày 26 tháng 07 năm 2021 đến ngày 03 tháng 09 năm 2021.
Nơi nhận:
- Sinh viên có tên tại khoản 1;
Lưu VP khoa.

-

KHOA CÔNG NGHỆ THÔNG TIN 2


LỜI CẢM ƠN
Lời đầu tiên, em xin phép gửi lời tri ân sâu sắc đến các thầy cô trường Học Viện Cơng

Nghệ Bưu Chính Viễn Thơng cơ sở tại TP.HCM đã tận tình dẫn dắt và truyền đạt cho em
rất nhiều kiến thức quý báu trong trong những năm học vừa qua.
Đặc biệt, em xin gửi lời cảm ơn chân thành nhất tới ThS.Huỳnh Thanh Tâm. Thầy đã
truyền đạt kiến thức, hướng dẫn em nghiên cứu và thực hành trong suốt q trình thực
hiện đề tài. Em khơng chỉ tiếp thu thêm được nhiều kiến thức mới mà còn học được tinh
thần và thái độ làm việc nghiêm túc từ thầy. Đó sẽ là những hành trang cần thiết cho quá
trình làm việc trong tương lai.
Em xin chân thành cảm ơn ban lãnh đạo Công ty Cổ phần FUJINET SYSTEMS
(FUJINET SYSTEMS JSC) đã chấp nhận cho em thực tập trục tuyến trong giai đoạn giãn
cách, phòng chống dịch theo chỉ thị 16 và tạo điều kiện cho em tham gia học hỏi, áp dụng
những kiến thức vào thực tế mà em đã được học được tại trường.
Vì lần đầu em được tiếp xúc với môi trường làm việc thực tế tại cơng ty nên bài làm
của em cịn có nhiều thiếu sót. Em rất mong nhận được sự thơng cảm và đóng góp ý kiến
của q thầy cơ và phía công ty cùng toàn thể các bạn.
Sau cùng, em xin chúc quý thầy cô khoa Công nghệ thông tin 2 và thầy Huỳnh Thanh
Tâm thật dồi dào sức khỏe để tiếp tục truyền đạt kiến thức cho thế hệ mai sau.

TP Hồ Chí Minh, ngày 24 tháng 7 năm 2021
SINH VIÊN THỰC HIỆN ĐỀ TÀI

Vũ Hoàng

VŨ HOÀNG - N17DCAT030

4



MỤC LỤC
LỜI CẢM ƠN.................................................................................................................... 4

DANH MỤC CÁC KÍ HIỆU VIẾT TẮT...........................................................................8
DANH MỤC CÁC BẢNG, SƠ ĐỒ, HÌNH.......................................................................9
LỜI MỞ ĐẦU.................................................................................................................. 12
1. Mục tiêu................................................................................................................ 12
2. Phương pháp nghiên cứu..................................................................................... 12
CHƯƠNG I: GIỚI THIỆU VỀ TƯỜNG LỬA PFSENSE............................................... 13
1. Tổng quan về tường lửa....................................................................................... 13
1.1. Tường lửa là gì ?.............................................................................................. 13
1.2. Tác dụng của tường lửa................................................................................... 14
2. Tường lửa PfSense............................................................................................... 15
2.1. Giới thiệu về PfSense........................................................................................ 15
CHƯƠNG II: TÌM HIỂU CÁC CHỨC NĂNG CỦA TƯỜNG LỬA PFSENSE............18
1. Các chức năng và dịch vụ cơ bản của firewall pfSense..................................... 18
1.1.

Aliases (Bí danh)............................................................................................ 18

1.2.

Rules ( Luật).................................................................................................. 19

1.3.

NAT (Biên dịch địa chỉ mạng)...................................................................... 20

1.4.

Routing (Định tuyến)..................................................................................... 20

1.5.


Virtual Ips ( IP ảo)......................................................................................... 21

1.6.

Schedules ( Lịch trình).................................................................................. 22

1.7.

Traffic Sharper ( Quản lý băng thông)........................................................ 23

2. Một số chức năng và dịch vụ khác...................................................................... 24
2.1.

VPN................................................................................................................ 24

2.1.1.

Open VPN................................................................................................ 25

2.1.2.

IPSec (Giao thức bảo mật internet)....................................................... 26

2.1.3.

L2TP (Giao thức đường hầm 2 lớp)...................................................... 27

2.2.


Package Manager ( Trình quản lý gói)......................................................... 28

2.3.

Captive Portal ( Cổng cố định)..................................................................... 29


2.4.

DHCP (Giao thức Cấu hình Host Động)...................................................... 31

2.4.1.

DHCP Server........................................................................................... 31

2.4.2.

DHCP relay............................................................................................. 32

CHƯƠNG III: TÌM HIỂU VÀ XÂY DỰNG MƠ HÌNH TRIỂN KHAI PFSENSE........33
1. Cài đặt PfSense..................................................................................................... 33
2. Triển khai mô hình với tường lửa pfSense......................................................... 38
2.1.

Mơ hình Firewall topology cho mạng doanh nghiệp................................... 38

2.1.1.

Chuẩn bị.................................................................................................. 38


2.1.2.

Cài đặt máy ảo........................................................................................39

2.1.3.

Cấu hình interface..................................................................................40

2.2.

Thực nghiệm một số kịch bản.......................................................................44

2.2.1.

Cấu hình rules cho các máy kết nối với nhau.......................................44

2.2.2.

Cấu hình rules chặn một số kết nối.......................................................48

2.2.3.

Cấu hình NAT để máy trong LAN kết nối đến internet.......................50

2.2.4.

Cấu hình NAT Port Forward để đưa web server lên internet.............52

2.2.5.


Cấu hình dịch vụ Captive Portal cho các máy trong LAN..................55

2.2.6.

Thiết lập lịch trình cho luật....................................................................57

CHƯƠNG IV: ĐÁNH GIÁ VÀ KẾT LUẬN................................................................... 60
TÀI LIỆU THAM KHẢO................................................................................................ 61


DANH MỤC CÁC KÍ HIỆU VIẾT
KÍ HIỆU

Ý NGHĨA

ACL

Access Control List

VLAN

Virtual Local Area Network

VPN

Virtual Private Network

DNS

Domain Name System


DynDNS

Dynamic DNS

DC

Domain Controller

NAT

Network Address Translation

QoS

Quality of Service

VOIP

Voice Over IP

P2P

Peer to Peer

PPTP

Point to Point Tunneling Protocal

L2TP


Layer 2 Tunneling Protocal

WAN

Wide Area Network

LAN

Local Area Network

DMZ

Demilitarized Zone

DHCP

Dynamic Host Configuration Protocol

IIS

Internet Information Service
URL

Uniform Resource Locator

MAC

Media Access Control



DANH MỤC CÁC BẢNG, SƠ ĐỒ,
Hình 1- 1. Tường lửa.......................................................................................................13
Hình 1- 2. Cơng dụng của tường lửa...............................................................................14
Hình 2- 1. Tường lửa PfSense..........................................................................................15
Hình 2- 2. pfSense Firewall.............................................................................................16
Hình 2- 3. Giao diện web của PfSense............................................................................17
Hình 3- 1. Aliases pfSense...............................................................................................18
Hình 3- 2. Edit Aliases.....................................................................................................18
Hình 3- 3. Rules pfSense..................................................................................................19
Hình 3- 4. NAT Port Forward pfSense.............................................................................20
Hình 3- 5. NAT 1:1 pfSense.............................................................................................20
Hình 3- 6. NAT Outbound pfSense...................................................................................20
Hình 3- 7. Routing pfSense..............................................................................................21
Hình 3- 8. Virtual IPs pfSense..........................................................................................22
Hình 3- 9. Firewall Schedules..........................................................................................22
Hình 3- 10. Schedule details............................................................................................23
Hình 3- 11. Traffic Sharper pfSense.................................................................................23
Hình 4- 1. VPN................................................................................................................24
Hình 4- 2. Available VPN Service....................................................................................25
Hình 4- 3. OpenVPN pfSense...........................................................................................25
Hình 4- 4. OpenVPN pfSense – Cryptographic Setting 1.................................................26
Hình 4- 5. OpenVPN pfSense – Cryptographic Setting 2.................................................26
Hình 4- 6. IPSec pfSense - Tunnel....................................................................................27
Hình 4- 7. L2TP pfSense..................................................................................................28
Hình 4- 8. Package Manage............................................................................................28
Hình 4- 9. Captive portal example...................................................................................29
Hình 4- 10. Captive portal configuration.........................................................................30
Hình 4- 11. Captive portal configuration 2......................................................................30
Hình 4- 12. Captive portal configuration 3......................................................................30

Hình 5- 1. pfSense download page...................................................................................33
Hình 5- 2. Installing-mode...............................................................................................33
Hình 5- 3. Installing-Accept.............................................................................................34
Hình 5- 4. Installing-Purpose..........................................................................................34
Hình 5- 5. Installing-Select Keymap................................................................................35
Hình 5- 6. Installing 5......................................................................................................35


Hình 5- 7. Installing-Process bar.....................................................................................36
Hình 5- 8. Installing-Manual Configuration....................................................................36
Hình 5- 9. Installing-Conplete.........................................................................................37
Hình 5- 10. pfSense main screen......................................................................................37
Hình 6- 1. Setup VMWare pfSense...................................................................................39
Hình 6- 2. Setup VMWare LAN........................................................................................39
Hình 6- 3. Setup VMWare DMZ.......................................................................................39
Hình 6- 4. Assign Interfaces.............................................................................................40
Hình 6- 5. VLANs set up..................................................................................................40
Hình 6- 6. Enter WAN interface name.............................................................................40
Hình 6- 7. LAN and DMZ interface names......................................................................40
Hình 6- 8. pfSense's web interface...................................................................................41
Hình 6- 9. Dash board.....................................................................................................41
Hình 6- 10. System setting...............................................................................................42
Hình 6- 11. WAN interface...............................................................................................42
Hình 6- 12. LAN interface................................................................................................43
Hình 6- 13. DMZ interface...............................................................................................43
Hình 6- 14. pfSense interfaces.........................................................................................44
Hình 7- 1. WAN's rules....................................................................................................44
Hình 7- 2 Allow WAN to any............................................................................................45
Hình 7- 3. Allow LAN to any rules...................................................................................45
Hình 7- 4. DMZ’s rule......................................................................................................45

Hình 7- 5. Allow DMZ to any...........................................................................................46
Hình 7- 6. Ping from LAN to WAN...................................................................................46
Hình 7- 7. Ping from LAN to DMZ..................................................................................46
Hình 7- 8. Ping from DMZ to LAN..................................................................................47
Hình 7- 9. Ping from DMZ to WAN..................................................................................47
Hình 7- 10. Ping from WAN to LAN.................................................................................48
Hình 7- 11. Ping from WAN to DMZ................................................................................48
Hình 7- 12. Block WAN to LAN........................................................................................49
Hình 7- 13. Ping fail from WAN to LAN...........................................................................49
Hình 7- 14. Block DMZ to LAN.......................................................................................49
Hình 7- 15. Ping fail from DMZ to LAN..........................................................................50
Hình 7- 16. NAT Outbound rule.......................................................................................50
Hình 7- 17. NAT Outbound rule 2....................................................................................51
Hình 7- 18. NAT Outbound rule 3....................................................................................51
Hình 7- 19. NAT Outbound ping test................................................................................51


Hình 7- 20. Access internet..............................................................................................52
Hình 8- 1. Basic html web................................................................................................52
Hình 8- 2. IIS index file....................................................................................................52
Hình 8- 3. Searching IIS..................................................................................................53
Hình 8- 4. Start running server........................................................................................53
Hình 8- 5. Open NAT.......................................................................................................53
Hình 8- 6. Port Forward rule setting...............................................................................54
Hình 8- 7. Access website................................................................................................54
Hình 9- 1. Captive Portal configuration..........................................................................55
Hình 9- 2. Custom Login page.........................................................................................55
Hình 9- 3.Captive Portal Authentication........................................................................56
Hình 9- 4. Captive Portal Zones......................................................................................56
Hình 9- 5. Login page......................................................................................................56

Hình 9- 6. Destination page.............................................................................................57
Hình 10- 1. Schedule information....................................................................................57
Hình 10- 2. Setup Date/Time............................................................................................58
Hình 10- 3. Advanced options..........................................................................................58
Hình 10- 4. Select schedule..............................................................................................58
Hình 10- 5. Rule has applied schedule.............................................................................59


LỜI MỞ ĐẦU
Sự phát triển của cuộc cách mạng công nghiệp 4.0 khiến cho thông tin trở thành
một trong những thứ giá trị nhất. Việc bảo mật thông tin cũng như quản lý hệ thống đã là
một phần không thể thiếu trong thời đại hiện nay. Các doanh nghiêp, tổ chức đều có nhu
cầu quản lý mạng nội bộ và giữ cho thông tin được bảo vệ một cách chặt chẽ để tránh cho
thơng tin bị rị rỉ hay khai thác bất hợp pháp. Chính vì thế mà đã có nhiều cách thức được
sử dụng để thực hiện điều này, một trong số đó chính là sử dụng tường lửa.
Thơng qua đề tài “NGHIÊN CỨU TƯỜNG LỬA PFSENSE” của bản thân. Em
mong muốn góp một phần nhỏ vào việc nghiên cứu và tìm hiểu phân tích các phương
thức bảo mật và quản lý hệ thống bằng tường lửa cho việc học tập và nghiên cứu. Từ đó
nâng cao trình độ cũng như kiến thức của bản thân.
Tuy nhiên, vì thời gian và kiến thức còn hạn chế nên trong quá trình làm đề tài em
khơng thể tránh khỏi những thiếu xót, kính mong nhận được những thời nhận xét và góp
ý của q thầy cơ.

1. Mục tiêu
-

Tìm hiểu về các chức năng của firewall PfSense.

-


Nắm được ý nghĩa và cách sử dụng các dịng lệnh của firewall PfSense.

-

Tìm hiểu các mơ hình triển khai PfSense.

2. Phương pháp nghiên cứu
-

Về mặt lý thuyết: Thu thập, khảo sát, phân tích các tài liệu và thơng tin có
liên quan đến firewall, cụ thể là PfSense.

-

Về mặt thực nghiệm: Xây dựng mơ hình triển khai và thực nghiệm các kịch
bản cấu hình cho firewall PfSense.


CHƯƠNG I: GIỚI THIỆU VỀ TƯỜNG LỬA PFSENSE
1. Tổng quan về tường lửa
1.1. Tường lửa là gì ?
-

Tường lửa (firewall) là rào chắn được thiết lập để ngăn chặn người dùng mạng
Internet truy cập các thông tin không mong muốn hoặc ngăn chặn người dùng
từ bên ngoài truy nhập các thơng tin bảo mật nằm trong mạng nội bộ. Nói
cách khác, tường lửa là một thiết bị giúp kiểm soát các truy cập giữa một
mạng riêng và một mạng kết nối đến Internet.

Hình 1- 1. Tường lửa


-

Nếu khơng có tường lửa, hệ thống mạng sẽ không thể hạn chế lưu lượng
truy cập độc hại từ Internet thâm nhập vào mạng nội bộ.

-

Firewall không nhất thiết phải là phần mềm mà cịn có thể là một thành phần
phần cứng, vốn thường được tìm thấy trong nhiều mẫu router từ phổ thơng
đến cao cấp.


1.2. Tác dụng của tường lửa
-

Một tường lửa có thể lọc lưu lượng từ các nguồn truy cập nguy hiểm như
hacker, một số loại virus tấn công để chúng không thể phá hoại hay làm tê liệt
hệ thống của người dùng. Ngoài ra vì các nguồn truy cập ra vào giữa mạng nội
bộ và mạng khác đều phải thông qua tường lửa nên tường lửa cịn có tác dụng
theo dõi, phân tích các luồng lưu lượng truy cập và quyết định sẽ làm gì với
những luồng lưu lượng đáng ngờ như khố lại một số nguồn dữ liệu khơng
cho phép truy cập hoặc theo dõi một giao dịch đáng ngờ nào đó.

Hình 1- 2. Cơng dụng của tường lửa

-

Lưu lượng mạng thông qua tường lửa được lọc dựa trên các chính sách đã
được thiết lập, cịn được gọi là các bộ lọc hoặc danh sách kiểm soát truy cập

(ACL). Chúng là một bộ các chỉ lệnh có nhiệm vụ lọc ra các luồng dữ liệu
nguy hại hoặc không được cho phép truy cập, chỉ có các kết nối cho phép
mới vượt qua hàng rào an ninh của tường lửa.

-

Do đó, việc thiết lập tường lửa là hết sức quan trọng, đặc biệt là đối với
những máy tính thường xuyên kết nối internet.


2. Tường lửa PfSense
2.1. Giới thiệu về PfSense

Hình 2- 1. Tường lửa PfSense

-

PfSene là một dự án nguồn mở dựa trên nền tảng hệ điều hành FreeBSD và
được sử dụng như một tường lửa (firewall) hoặc một thiết bị định tuyến
(router). Cùng với các chức năng quản lý mạnh mẽ, thân thiện với người
dùng nên pfSense được cộng đồng sử dụng rộng rãi trong môi trường doanh
nghiệp vừa và nhỏ.

-

PfSense yêu cầu cấu hình phần cứng thấp nên phù hợp cho việc tích hợp vào
các thiết bị tích hợp khác nhau nhằm tăng tính linh động và hiệu suất trong
quá trình vận hành.

-


PfSense là tường lửa mềm, tức là ta chỉ cần một máy tính bất kì, hoặc tốt hơn
là một máy chủ, rồi cài đặt pfSense là đã có ngay một tường lửa mạnh mẽ cho
hệ thống mạng trong doanh nghiệp. Trong phân khúc tường lửa cho doanh
nghiệp vừa và nhỏ, với khoảng dưới 1000 người sử dụng, pfSense được đánh
giá là tường lửa nguồn mở tốt nhất hiện nay với khả năng đáp ứng lên tới
hàng triệu kết nối đồng thời. Khơng những thế, tường lửa pfSense cịn có
nhiều tính năng mở rộng tích hợp, tất cả trong một, vượt xa các tưởng lửa
thông thường, kể cả các tường lửa cứng của các hãng nổi tiếng về thiết bị
mạng.


Hình 2- 2. pfSense Firewall

-

PfSense bao gồm một số tính năng:
o Tường lửa tầng L3, L4, L7
o Chặn truy cập theo khu vực địa lý
o Quản lý chất lượng QoS
o Proxy
o Quản trị mạng không dây
o Hỗ trợ VLAN
o Cân bẳng tải
o VPN theo 4 giao thức
o Giám sát/Phân tích mạng
o Quản lý tên miền (DC), hỗ trợ tên miền động (DynDNS)
o Cho phép chạy song hành, failover
o Hỗ trợ ngôn ngữ tiếng Việt
o Tự động cập nhật black list

o Tự động nâng cấp phiên bản

-

PSense được nhiều nhà quản trị hệ thống tin tưởng vì tính tin cậy, cung cấp
nhiều tính năng chỉ có thể được tìm thấy trên các thiết bị vật lý chuyên làm
firewall như Cisco, FView Postortigate, sophos, Draytek, … hoặc phần mềm
Firewall khác.


-

Do tính linh hoạt khi nâng cấp máy chủ, hoàn toàn miễn phí, dễ sử dụng
quản trị của Firewall pfSense là một trong những điểm mạnh nhất, khi nó cho
phép người dùng cài đặt thêm các gói tiện ích mở rộng từ bên thứ 3 cung cấp
dịch vụ.

2.2. Một số ưu điểm của PfSense
-

Miễn phí, đó chính là ưu thế vượt trội của tường lửa pfSense. Những thiết bị
Firewall chuyên dụng đến từ các hãng chuyên nghiệp như Cisco, Juniper,
Fortigate, Check Point… đều là những thiết bị mạnh mẽ, nhưng lại có chi phí
cao. Do vậy nếu muốn tối ưu về chi phí sử dụng, người dùng nên cân nhắc
giải pháp pfSense.

-

PfSense hoạt động ổn định với hiệu năng cao và đã được tối ưu hóa mã nguồn
và cả hệ điều hành. Cũng chính vì thê, pfSense khơng cần nền tảng phần cứng

mạnh.

-

Nếu doanh nghiệp khơng có đường truyền tốc độ cao, tường lửa pfSense chỉ
cần cài đặt lên một máy tính cá nhân là có thể bắt đầu hoạt động. Điều đó
góp phần làm giảm chi phí triển khai, đồng thời tạo nên sự linh hoạt khi
doanh nghiệp muốn có nhiều hơn một tường lửa.

-

Có thể cấu hình pfSense một cách dễ dàng, thơng qua giao diện web

Hình 2- 3. Giao diện web của PfSense


CHƯƠNG II: TÌM HIỂU CÁC CHỨC NĂNG CỦA TƯỜNG
LỬA PFSENSE
1. Các chức năng và dịch vụ cơ bản của firewall pfSense
1.1. Aliases (Bí danh)
- Với tính năng này chúng ta có thể gom nhóm các ports, host hoặc Network(s)
khác nhau và đặt cho chúng một cái tên chung để thiết lập những quy tắc
được dễ dàng và nhanh chóng hơn.

Hình 3- 1. Aliases pfSense

-

Các thành phần trong Aliases:
o Host: tạo nhóm các địa chỉ IP.

o Network: tạo nhóm các mạng.
o Port: Cho phép gom nhóm các port nhưng khơng cho phép tạo
nhóm các protocol. Các protocol được sử dụng trong các rule.

Hình 3- 2. Edit Aliases


1.2.

Rules ( Luật)

-

Là nơi lưu các luật của tường lửa.

-

Mặc định pfSense cho phép mọi lưu thông ra/vào hệ thống. Chúng ta phải
tạo các rules để quản lý mạng bên trong firewall.

Hình 3- 3. Rules pfSense

-

Một số lựa chọn trong Destination và Source.
o Any: Tất cả
o Single host or alias: Một địa chỉ ip hoặc là một bí danh.
o Lan subnet: Đường mạng Lan.
o Network: địa chỉ mạng.
o Lan address: Tất cả địa chỉ mạng nội bộ.

o Wan address: Tất cả địa chỉ mạng bên ngoài.
o PPTP clients: Các clients thực hiện kết nối VPN sử dụng giao thức
PPT.
o

PPPoE clients: Các clients thực hiện kết nối VPN sử dụng giao
thức PPPoE.


1.3.
-

NAT (Biên dịch địa chỉ mạng)

Trong Firewall cũng có thể cấu hình các thiết lập NAT nếu cần sử dụng cổng
chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1) cho các host cụ thể.

Hình 3- 4. NAT Port Forward pfSense

Hình 3- 5. NAT 1:1 pfSense

-

Thiết lập mặc định của NAT cho các kết nối outbound là Automatic outbound
NAT…, tuy nhiên ta có thể thay đổi kiểu Manual outbound NAT nếu cần.

Hình 3- 6. NAT Outbound pfSense

1.4.


Routing (Định tuyến)


-

Một trong những tính năng chính của một Firewall ngoài việc lọc và thực hiện
NAT là định tuyến được lưu thông trong mạng. Chức năng này bao gồm :
o Gateways
o Static routes
o Gateway groups

-

Thông thường mỗi interface trên pfSense sẽ đại diện cho một miền riêng với
một subnet IP duy nhất, giống như một vùng riêng biệt. Trong một số trường
hợp cần kết hợp nhiều interfaces thành một miền mới, lúc đó chức năng này sẽ
kết hợp hai cổng trên tường lửa sẽ hoạt động giống như nó đang trên cùng một
miền, ngoại trừ lưu lượng giữa các interface được kiểm sốt bởi các quy luật
(rule) đã được cấu hình.

Hình 3- 7. Routing pfSense

1.5.
-

Virtual Ips ( IP ảo)

Pfsense cho phép sử dụng nhiều địa chỉ IP công cộng kết hợp với cơ chế NAT
thơng qua IP ảo. Có ba loại IP ảo có sẵn trên pfSense: Proxy ARP, CARP và
một loại khác. Mỗi loại đều rất hữu ích trong các tình huống khác nhau. Trong

hầu hết các trường hợp, pfSense sẽ cung cấp ARP trên IPs, do đó cần phải sử
dụng Proxy ARP hoặc CARP. Trong tình huống mà ARP không cần thiết,
chẳng hạn như khi các IP công cộng bổ sung được định tuyến bởi nhà cung cấp
dịch vụ mạng, sẽ sử dụng IP ảo loại khác.


Hình 3- 8. Virtual IPs pfSense

-

Virtual IP được sử dụng để cho phép pfSense đúng cách chuyển tiếp lưu lượng
cho những việc như chuyển tiếp cổng NAT, NAT Outbound và NAT 1:1. Họ
cũng cho phép các tính năng như failover, và có thể cho phép dịch vụ trên
router để gắn kết với địa chỉ IP khác nhau.

1.6.
-

Schedules ( Lịch trình)

Các rule của firewall có thể được chỉ định hoạt động vào nhưng thời điểm
nhất định trong ngày hoặc các ngày trong tuần. Đây là một chức năng rất hay
và thường được các doanh nghiệp sử dụng để quản lý nhân viên sử dụng
internet theo quy định.

Hình 3- 9. Firewall Schedules


-


Người dùng có thể tùy chỉnh linh hoạt từng ngày trong tháng, từng khoảng
thời gian trong ngày.

Hình 3- 10. Schedule details

1.7.
-

Traffic Sharper ( Quản lý băng thông)

Phần lớn trong các hệ thống mạng, các user phải dùng chung một kết nối
internet. Khi một user sử dụng hết băng thông của hệ thống thì những user
khác sẽ bị ảnh hưởng, khơng thể truy cập internet hoặc rất chậm. Cách giải
quyết vấn đề này đó là triển khai dịch vụ traffic shapping (QoS) cho hệ
thống.

Hình 3- 11. Traffic Sharper pfSense


-

Các tùy chọn cấu hình:
o Traffic sharper: tùy chỉnh schedule, băng thông upload/download của
interface.
o Voice Over Ip (VOIP): sử dụng cho điện thoại VoIP.
o Penalty Box: giám sát những host bị phạt khi dùng quá giới hạn
băng thông.
o Peer to Peer (P2P) networking: dành cho các kết nối peer to peer.
o Network Games: cung cấp các quyền ưu tiên cho các hoạt động
chơi game.

o Raise or lower other application: tối ưu traffic cho các ứng dụng khác.

2. Một số chức năng và dịch vụ khác
2.1. VPN
-

VPN (Virtual Private Network) - mạng riêng ảo là một công nghệ cho phép người
dùng thiết lập mạng riêng ảo với một mạng khác trên Internet. VPN được sử
dụng để truy cập các trang web bị hạn chế, bảo vệ hoạt động duyệt web của
người dùng.

Hình 4- 1. VPN

-

PfSense đã cung cấp Open VPN, IPSec, L2TP có sẵn sau khi cài đặt để
người dùng có thể nhanh chóng sử dụng.


Hình 4- 2. Available VPN Service

2.1.1. Open VPN
-

OpenVPN là một VPN mã nguồn mở sử dụng sử dụng giao thức SSLv3/TLSv1
và OpenSSL để tạo ra các kết nối site-to-site an toàn. Nó cho phép các bên xác
thực lẫn nhau bằng khóa bí mật chia sẻ trước (pre-shared secret key) và chứng
thư khố cơng khai (public key certificate) hoặc tên người dùng/mật khẩu.

Hình 4- 3. OpenVPN pfSense


-

Mã hóa OpenVPN bao gồm một kênh dữ liệu và một kênh điều khiển. Kênh điều
khiển để xử lý việc trao đổi key, trong khi kênh dữ liệu mã hóa lưu lượng truy cập
web của người dùng VPN.


×