BỘ GIAO THÔNG VẬN TẢI
TRƯỜNG ĐẠI HỌC GIAO THÔNG VẬN TẢI THÀNH PHỐ HỒ CHÍ MINH
KHOA CƠNG NGHỆ THƠNG TIN

BÁO CÁO CHUYÊN ĐỀ THỰC TẾ 2
Đề tài
TÌM HIỂU VỀ TƯỜNG LỬA PFSENSE.
THỰC HIỆN CÀI ĐẶT VÀ CẤU HÌNH TƯỜNG
LỬA TRÊN VMWAREWORKSTATIONS
Nhóm sinh viên thực hiện:

Nguyễn Hồi An
Đồn Văn Danh
Đỗ Chi Quốc Bảo
Trương Hoàng Trung Kiên
Phạm Hoài Ân

GV hướng dẫn:

Trần Đức Doanh

Hồ Chí Minh, ngày 21 tháng 04 năm 2022


MỤC LỤC
1 GIỚI THIỆU CHUNG VỀ TƯỜNG LỬA PFSENSE ............................................... 4
1.1 Tường lửa là gì ....................................................................................................... 4
1.2 Tường lửa PfSense ................................................................................................. 4
1.3 Lợi ích mà pfSense đem tới .................................................................................... 4
2 CÀI ĐẶT PFSENSE TRÊN MÁY ẢO ...................................................................... 5
2.1 Cài đặt tường lửa Pfsense ....................................................................................... 6

2.2 Tính năng và lợi ích của PfSense ......................................................................... 12
2.2.1

Aliases ..................................................................................................... 12

2.2.2

NAT ......................................................................................................... 13

2.2.3

Firewall Rules .......................................................................................... 17

2.2.4

Traffic shaper ........................................................................................... 20

2.2.5

VPN ......................................................................................................... 23

2.2.6

Monitor băng thông ................................................................................. 24

2.3 Một số dịch vụ của Pfsense .................................................................................. 25
2.3.1

Captive porta............................................................................................ 25


2.3.2

DHCP Server ........................................................................................... 26

2.3.3

Load Balancer .......................................................................................... 27

3 ỨNG DỤNG PFSENSE VÀO MẠNG NỘI BỘ CỦA CÔNG TY.......................... 27
3.1 Một vài trường hợp ứng dụng PfSense vào mạng nội bộ của công ty ................. 27
3.2 Thực hành demo với Pfsense ................................................................................ 30
4 NHẬN XÉT .............................................................................................................. 48
5 TÀI LIỆU THAM KHẢO ........................................................................................ 49


Yêu cầu đặt ra:
-

Tìm hiểu về tường lửa Pfsense, cách cài đặt và cấu hình tường lửa trên máy ảo
VMWARE WORKSTATION

-

Có thể vận dụng các kiến thức cơ bản được tìm hiểu ở trên để áp dụng vào
thực tế giải quyết các tình huống thường gặp

Phương pháp nghiên cứu:
-

Phương pháp học tập tích cực (Tìm hiểu lý thuyết và áp dụng vào thực tiễn)


3


1 GIỚI THIỆU CHUNG VỀ TƯỜNG LỬA PFSENSE
1.1 Tường lửa là gì
Tường lửa, firewall, là rào chắn mà một số cá nhân, tổ chức, doanh nghiệp
thiết lập để ngăn chặn người dùng mạng Internet truy cập các thông tin không mong
muốn hoặc/và ngăn chặn người dùng từ bên ngoài truy nhập các thông tin bảo mật
nằm trong mạng nội bộ. Nói cách khác, tường lửa là một thiết bị giúp kiểm sốt các
truy cập giữa mạng cơng cộng và mạng nội bộ, để bảo đảm an toàn cho sự vận hành
của mạng nội bộ.

1.2 Tường lửa PfSense
PfSense là tường lửa mềm, tức là bạn chỉ cần một máy tính bất kì, hoặc tốt
hơn là một máy chủ, rồi cài đặt PfSense là đã có ngay một tường lửa mạnh mẽ cho
hệ thống mạng trong doanh nghiệp. Trong phân khúc tường lửa cho doanh nghiệp
vừa và nhỏ với khoảng dưới 1000 người sử dụng, PfSense được đánh giá là tường
lửa nguồn mở tốt nhất hiện nay với khả năng đáp ứng lên tới hàng triệu kết nối đồng
thời. Không những thế, tường lửa PfSense cịn có nhiều tính năng mở rộng tích hợp,
tất cả trong một, vượt xa các tưởng lửa thông thường, kể cả các tường lửa cứng của
các hãng nổi tiếng về thiết bị mạng.

1.3 Lợi ích mà pfSense đem tới
Hồn tồn miễn phí, giá cả là ưu thế vượt trội của tường lửa pfSense. Tuy
nhiên, rẻ khơng có nghĩa là kém chất lượng, tường lửa pfSense hoạt động cực kỳ ổn
định với hiệu năng cao, đã tối ưu hóa mã nguồn và cả hệ điều hành. Cũng chính vì
thê, PfSense khơng cần nền tảng phần cứng mạnh. Nếu doanh nghiệp khơng có đường
truyền tốc độ cao, tường lửa PfSense chỉ cần cài đặt lên một máy tính cá nhân là có
thể bắt đầu hoạt động. Điều đó càng góp phần làm giảm chi phí triển khai, đồng thời


4


tạo nên sự linh hoạt, tính mở rộng/sẵn sàng chưa từng có, khi doanh nghiệp muốn có
nhiều hơn một tường lửa.
Không chỉ là một tường lửa, pfSense hoạt động như một thiết bị mạng tổng
hợp với đầy đủ mọi tính năng toàn diện sẵn sàng bất cứ lúc nào. Khi có một vấn đề
về hệ thống mạng phát sinh, thay vì phải loay hoay tìm thiết bị và mất thời gian đặt
hàng, doanh nghiệp có thể kết hợp các tính năng đa dạng trên PfSense để tạo thành
giải pháp hợp lý, khắc phục sự cố ngay lập tức.
Không kém phần quan trọng là khả năng quản lý. Tường lửa pfSense được
quản trị một cách dễ dàng, trong sáng qua giao diện web.
Như vậy, tường lửa pfSense là sự kết hợp hoàn hảo và mạnh mẽ, đem lại sự
hợp lý cho các nhà tài chính, và sự tin tưởng cho các nhà quản trị.

2 CÀI ĐẶT PFSENSE TRÊN MÁY ẢO

5


Sơ đồ hệ thống mạng kết hợp với Pfsense

2.1 Cài đặt tường lửa Pfsense
Chuẩn bị:
-

PC, Server, hoặc phần cứng có thể cài đặt VMWare Worksation

-


Máy ảo VMWare WorkStaiton

-

File ISO Pfsense

Bắt đầu cài đặt Pfsense

Chọn Accept để bắt đầu cài đặt

6


Chọn OK → Install

Chọn Continue with default keymap → Select

7


Chọn Auto (UFS) BIOS → OK

Chọn No để hoàn thành cài đặt

8


Chọn Reboot để khởi động lại phần mềm


Chọn 2 để đặt lại địa chỉ IP cho mạng LAN (Mặc định IP công cộng do nhà cung
cấp là 192.168.1.1)

9


Đặt địa chỉ IP 192.168.10.1 tại Enter the new LAN Ipv4 address
Subnet: 24

DHCP Server chọn n → Enter

10


Vào trình duyệt, truy cập vào giao diện GUI của Pfsense theo địa chỉ IP
192.168.10.1

Truy cập thành công. (Username: admin, Password: pfsense)

11


2.2 Tính năng và lợi ích của PfSense
2.2.1 Aliases

Trong pfsense, firewall khơng thể có 1 rule gồm nhiều nhóm IP hoặc 1 nhóm
port. Vì vậy, điều ta cần làm là gom nhóm các IP, Port hoặc URL vào thành 1 alias .
Một alias sẽ cho phép thay thế 1 host, 1 dải mạng, nhiều IP riêng biệt hay 1 nhóm
port, URL … Alias giúp ta tiết kiệm được phần lớn thời gian nếu bạn sử dụng một
cách chính xác như thay vì sử dụng hàng loạt rule để thiết lập cho nhiều địa chỉ, ta có

thể sử dụng 1 rule duy nhất để gom nhóm lại.

Chọn Firewall → Aliases

Trong Pfsense có các nhóm như: IP, Ports, URLs
➔ Để tạo 1 Aliases chọn Add

12


Ví dụ về tạo Aliase

• Name: tên của Aliases
• Description: mơ tả cho aliases
• Tyes: có thể chọn các loại như: Host(s), Network, Port, URL
• IP or FQDN: tại đây nhập địa chỉ IP hay tên miền muốn gom chung 1 nhóm
2.2.2 NAT

Pfsense có hỗ trợ nat static dưới dạng nat 1:1 và outbound, pfsense còn hỗ
trợ NAT Npt. Phương thức này thực hiện NAT đối với Ipv6.
NAT trên Pfsense

Chọn Firewall → NAT

13


• Port Forward: là một tính năng của pfSense cho phép chuyển tiếp các kết nối
từ một cổng mạng đến một địa chỉ IP và cổng khác trong mạng nội bộ.
• 1:1: là loại chuyển đổi địa chỉ mạng (NAT) cho phép tạo một kết nối trực tiếp

giữa một địa chỉ IP công cộng với một địa chỉ IP riêng tư trên mạng nội bộ
• Outbound: là một khái niệm được sử dụng để mơ tả các gói tin mạng đi từ
mạng nội bộ đến mạng bên ngồi (Internet).
• Npt: là viết tắt của "Network Prefix Translation", được sử dụng để chuyển đổi
địa chỉ IP của một mạng từ một loại địa chỉ IP sang loại địa chỉ IP khác. NPt
thường được sử dụng để kết nối hai mạng khác nhau có các địa chỉ IP khác
nhau, ví dụ như kết nối một mạng IPv6 với một mạng IPv4 hoặc ngược lại.
➔ Để tạo NAT chọn Add

14


Ví dụ về tạo NAT Port Forward trong Pfsense

NAT Port Forward trong Pfsense
• Interface: Chứa các interface của Pfsense mà bạn muốn áp dụng vào NAT
• Address Family: Chứa các giao thức mà bạn muốn áp dụng vào NAT như
Ipv4, Ipv6
• Protocol: Chứa các giao thức truyền thơng giữa các thiết bị như TCP……
• Destination: là địa chỉ IP của các kết nối mạng được chuyển hướng từ địa chỉ
IP bên ngoài đến một địa chỉ IP bên trong trong mạng nội bộ của bạn.
• Destinaiton port range: là cổng đích của các kết nối mạng được chuyển
hướng từ cổng bên ngoài đến một cổng bên trong trong mạng nội bộ của bạn.

15


• Redirect tagert IP: là địa chỉ IP của thiết bị mà các kết nối mạng từ địa chỉ IP
và cổng bên ngoài được chuyển hướng đến trong mạng nội bộ của bạn.
• Redirect target port: (chuyển hướng cổng NAT) là cổng đích mà các kết nối

mạng từ cổng bên ngoài được chuyển hướng đến trong mạng nội bộ của bạn.
• Destination: Mơ tả về NAT sẽ được viết ở đây
• Chọn Save → Apply changes thì lưu mới được lưu lại và có hiệu lực
Ví dụ về tạo NAT 1:1 trong Pfsense

NAT 1:1 trong NAT Pfsense
• Interface: Chứa các interface của Pfsense mà bạn muốn áp dụng vào NAT
• Address Family: Chứa các giao thức mà bạn muốn áp dụng vào NAT như
Ipv4, Ipv6
• Protocol: Chứa các giao thức truyền thơng giữa các thiết bị như TCP……
• External subnet IP: là địa chỉ IP công khai được cấp cho mạng của bạn bởi
nhà cung cấp dịch vụ Internet (ISP). Đây là địa chỉ IP được sử dụng để giao
tiếp với Internet thông qua router của bạn.

16


• Internal IP: là địa chỉ IP nội bộ của thiết bị hoặc máy tính trong mạng nội
bộ của bạn. Đây là địa chỉ IP được sử dụng để truy cập từ các thiết bị hoặc
máy tính trong mạng nội bộ của bạn.
• Destination: là địa chỉ IP được chuyển đến
Ví dụ về tạo NAT Outbound trong Pfsense

NAT Outbound trong Pfsense
• Interface: Chứa các interface của Pfsense mà bạn muốn áp dụng vào NAT
• Address Family: Chứa các giao thức mà bạn muốn áp dụng vào NAT như
Ipv4, Ipv6
• Protocol: Chứa các giao thức truyền thông giữa các thiết bị như TCP……
• Source: Lớp mạng nội bộ muốn NAT ra bên ngoài
2.2.3 Firewall Rules


Là nơi lưu trữ tất cả các luật ra, vào trên pfsense.
17


Rules trong Pfsenses

Chọn Firewall → Rules

• Floating: là các quy tắc tường lửa được áp dụng trên tất cả các giao diện mạng
trên thiết bị, không chỉ áp dụng cho một giao diện cụ thể như các quy tắc LAN
hoặc WAN. Các quy tắc tường lửa Floating Rules được áp dụng trước các quy
tắc LAN hoặc WAN, vì vậy chúng có thể được sử dụng để ghi đè hoặc điều
chỉnh các quy tắc LAN hoặc WAN của một giao diện cụ thể. Các quy tắc
Floating Rules được sử dụng để xử lý các trường hợp đặc biệt như các truy
cập từ xa vào thiết bị pfSense hoặc các truy cập giữa các mạng nội bộ khác
nhau
• WAN: Các quy tắc WAN cho phép bạn kiểm soát các truy cập vào và ra khỏi
mạng nội bộ, bao gồm cả các truy cập từ Internet vào mạng nội bộ và các truy
cập từ mạng nội bộ ra Internet.
18


• LAN: Các quy tắc LAN cho phép bạn kiểm soát các truy cập giữa các thiết bị
trong mạng nội bộ, bao gồm cả các truy cập từ một thiết bị trong mạng nội bộ
đến một thiết bị khác trong mạng nội bộ hoặc các truy cập từ mạng bên ngoài
vào một thiết bị trong mạng nội bộ qua giao diện mạng LAN.
➔ Để tạo 1 Rules chọn Add
Ví dụ về tạo Rules trong Pfsense


Giao diện Rules của Pfsense
• Action: Gồm 3 lựa chọn
Pass: cho phép gói tin đi qua
Block: Chặn khơng cho gói tin đi qua
Reject: Từ chối cho gói tin đi qua và gửi phản hồi từ chối về người gửi
19


• Interface: Chứa các interface của Pfsense mà bạn muốn áp dụng
• Address Family: Chứa các giao thức mà bạn muốn áp dụng vào Rules như
Ipv4, Ipv6, hoặc cả Ipv4 và Ipv6
• Protocol: Chứa các giao thức truyền thơng giữa các thiết bị trong mạng như
TCP, ICMP…….
• Source: Nguồn của các gói tin mạng, được xác định bằng địa chỉ IP của thiết
bị hoặc mạng.
• Destination: Đích của các gói tin mạng, được xác định bằng địa chỉ IP của
thiết bị hoặc mạng.
• Destination Port Range: Chứa các cổng mà gói tin đi đến
• Log: Cho phép ghi lại tất cả sự kiện liên quan đến Rules đó
• Destination: Mơ tả về Rules sẽ được viết ở đây
• Chọn Save → Apply changes thì lưu mới được lưu lại và có hiệu lực
2.2.4 Traffic shaper

Đây là tính năng giúp quản trị mạng có thể tinh chỉnh, tối ưu hóa đường truyền
trong pfsense. Trong pfsense, 1 đường truyền băng thông sẽ chia ra các hàng khác
nhau. Có 7 loại hàng trong pfsense:
Hàng qACK: dành cho các gói ACK (gói xác nhận) trong giao thức TCP ở
những ứng dụng chính cần được hỗ trợ như HTTP, SMTP … luồng thông tin
ACK tương đối nhỏ nhưng lại rất cần thiết để duy trì tốc độ lưu thông lớn.
Hàng qVoIP: dành cho những loại lưu thông cần đảm bảo độ trễ nghiêm ngặt,

thường dưới 10ms như VoIP, video conferences.
Hàng qGames: dành cho những loại lưu thông cần đảm bảo độ trễ rất chặt
chẽ, thường dưới 50ms như SSH, game online …
Hàng qOthersHigh: dành cho các loại ứng dụng quan trọng có tính tương tác
rất cao, cần đáp ứng nhanh, cần độ trễ thấp như: NTP, DNS, SNMP
Hàng qOthersDefault: dành cho các giao thức ứng dụng quan trọng có tính
tương tác vừa, cần độ đáp ứng nhất định như HTTP, IMAP …
Hàng qOthersLow: dành cho các giao thức ứng dụng quan trọng nhưng có
tính tương tác thấp như SMTP, POP3, FTP
20


Hàng qP2P: dành cho cho các ứng dụng không tương tác, không cần đáp ứng
nhanh như bittorrent
Traffic shaper trong Pfsense

Chọn Firewall → Traffic Shaper

• By interface: trong Traffic Shaper của tường lửa pfSense là một phương pháp
để cấu hình Traffic Shaper cho các giao diện mạng trên thiết bị. Phương pháp
này cho phép bạn cấu hình Traffic Shaper cho mỗi giao diện mạng một cách
độc lập.
• By Queue: trong Traffic Shaper của tường lửa pfSense là một phương pháp
để cấu hình Traffic Shaper cho các hàng đợi (queues) trong mỗi giao diện mạng
21


trên thiết bị. Phương pháp này cho phép bạn cấu hình Traffic Shaper cho từng
hàng đợi (queue) trên mỗi giao diện mạng.
• Limiters: trong Traffic Shaper của tường lửa pfSense là một tính năng cho

phép bạn giới hạn tốc độ tải xuống và tải lên của các giao diện mạng trên thiết
bị pfSense. Tính năng này được sử dụng để đảm bảo rằng lưu lượng mạng
được phân bổ một cách hợp lý và không quá tải cho các giao diện mạng.
• Wizards: trong Traffic Shaper của tường lửa pfSense là một cơng cụ giúp bạn
cấu hình Traffic Shaper trên thiết bị pfSense một cách nhanh chóng và dễ dàng.
Wizard cung cấp cho người dùng các trình hướng dẫn đơn giản để thiết lập
Traffic Shaper cho các mục đích sử dụng khác nhau, ví dụ như giảm độ trễ
(latency), tăng tốc độ truyền dữ liệu (throughput), hoặc ưu tiên lưu lượng mạng
cho các ứng dụng quan trọng.
➔ Để tạo 1 traffic shaper cấu hình trên Interface → chọn Interface muốn áp
dụng→ chọn add
Ví dụ về tạo 1 Traffic shaper áp dụng trên Interfacae

Giao diện traffic shaper
• Name: Tên của Traffic
• Scheduler Type: loại lịch trình mà bạn muốn sử dụng để quản lý băng thơng.
Pfsense hỗ trợ nhiều loại lịch trình khác nhau để giúp bạn quản lý băng thông
một cách hiệu quả, bao gồm: PRIQ, CBQ, HFSC, FAIRQ và RRUL.
• Bandwidth: tổng băng thơng có sẵn trong mạng của bạn, được chia sẻ và quản
lý bởi traffic shaper.
22


• Queue Limit: giới hạn số lượng gói tin tối đa được lưu trữ trong hàng đợi của
lớp. Giới hạn này được sử dụng để đảm bảo rằng hàng đợi khơng q tải và
các gói tin khơng bị mất hoặc bị trễ.
• TBR Size: là kích thước tối đa của băng thông được cấp phát cho một lớp
trong traffic shaper.
2.2.5 VPN


Một tính năng khác khơng thể thiếu đối với các gateway là VPN. Pfsense cũng
hỗ trợ VPN qua 4 giao thức: IPSec, L2TP và OpenVPN.
VPN trên Pfsense

• Ipsec: (Internet Protocol Security) là một giao thức bảo mật được sử dụng để
thiết lập kết nối mạng an toàn (VPN) giữa hai hoặc nhiều thiết bị. PfSense hỗ
trợ IPsec và cho phép bạn cấu hình kết nối VPN IPsec giữa các thiết bị PfSense
và thiết bị khác hoặc giữa các thiết bị pfSense.
• L2TP: L2TP (Layer 2 Tunneling Protocol) là một giao thức VPN cho phép
định tuyến dữ liệu giữa hai mạng khác nhau qua một kết nối VPN. PfSense hỗ
trợ L2TP và cho phép bạn cấu hình kết nối VPN L2TP giữa các thiết bị PfSense
và thiết bị khác hoặc giữa các thiết bị pfSense.
• Open VPN: OpenVPN là một giao thức VPN mã nguồn mở được sử dụng để
thiết lập kết nối mạng an toàn giữa các thiết bị. PfSense hỗ trợ OpenVPN và
cho phép bạn cấu hình kết nối VPN OpenVPN giữa các thiết bị PfSense và
thiết bị khác hoặc giữa các thiết bị pfSense.

23


2.2.6 Monitor băng thơng

Pfsense có rất nhiều plugin hỗ trợ monitor băng thông. Sau đây là 1 số plugin
thông dụng:
RRD Graphs: Đây là tool mặc định có sẵn khi cài pfsense. Với RRD graphs,
ta có thể theo dõi được trạng thái của server: memory, process … hay với băng
thông của các đường truyền LAN, WAN …Một nhược điểm của RRD Graphs
là không theo dõi được dung lượng từng IP
Lightsquid: Lightsquid là package hỗ trợ xem report trên pfsense sau khi đã
cài gói squid. Với Lightsquid, ta có thể check dung lượng mỗi IP sử dụng theo

ngày. Tổng dung lượng ngày hơm đó sử dụng hay các trang web đã vào
BandwidthD: 1 plugin nữa có thể monitor dung lượng sử dụng của IP là
BandwidthD. BandwidthD thống kê dữ liệu theo từng IP, dung lượng gửi,
nhận, các giao thức sử dụng như FTP, HTTP …
Ntop: 1 plugin thường được sử dụng nữa là Ntop. Với Ntop, ta có thể theo dõi
băng thơng hiện tại IP nào sử dụng lớn nhất, dung lượng tải của cổng, kết nối
tới internet …
Monitor trong Pfsense

Chọn Status → Monitoring

24


Ngồi ra, PfSense cịn có những tính năng nổi bật như:
• Tường lửa tầng L3, L4, L7
• Chặn truy cập theo khu vực địa lý
• Quản lý chất lượng QoS
• Proxy
• Quản trị mạng khơng dây
• Hỗ trợ VLAN
• Cân bẳng tải
• VPN theo 4 giao thức
• Giám sát/Phân tích mạng
• Quản lý tên miền (DC), hỗ trợ tên miền động (DynDNS)
• Cho phép chạy song hành, failover
• Tự động cập nhật black list.
• Tự động nâng cấp phiên bản

2.3 Một số dịch vụ của Pfsense

2.3.1 Captive porta

Captive portal là 1 tính năng thuộc dạng flexible, chỉ có trên các firewall
thương mại lớn. Tính năng này giúp redirect trình duyệt của người dùng vào 1
25