BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƢỜNG ĐẠI HỌC NHA TRANG
KHOA CÔNG NGHỆ THÔNG TIN


ĐỒ ÁN TỐT NGHIỆP







GVHD: Thạc sỹ Ngô Văn Công
Sinh viên: Nguyễn Thị Luyến
Lớp: 50
TH
1
MSSV: 50130815

Đề tài:
TÌM HIỂU CÂN BẰNG TẢI VÀ XÂY DỰNG MÔ HÌNH
CÂN BẰNG TẢI TRÊN FIREWALL PFSENSE

Nha Trang, tháng 6 năm 2012



BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƢỜNG ĐẠI HỌC NHA TRANG

KHOA CÔNG NGHỆ THÔNG TIN


ĐỒ ÁN TỐT NGHIỆP









GVHD: Thạc sỹ Ngô Văn Công
Sinh viên: Nguyễn Thị Luyến
Lớp: 50
TH
1
MSSV: 50130815


Đề tài:
TÌM HIỂU CÂN BẰNG TẢI VÀ XÂY DỰNG MÔ HÌNH
CÂN BẰNG TẢI TRÊN FIREWALL PFSENSE

Nha Trang, tháng 6 năm 2012



LỜI MỞ ĐẦU

Mỗi ngày có hàng ngàn người truy cập vào trang web của doang nghiệp, tổ chức,
hàng triệu thuê bao sử dụng điện thoại và các dịch vụ gia tăng của nhà cung cấp, hàng
nghìn tỷ đồng giao dịch giữa các ngân hàng. Điều gì sẽ xảy nếu các dịch vụ đó hoạt động
kém cỏi, ì ạch hay trong một giờ tất cả những hoạt động đó bị ngừng lại? Doanh nghiệp
sẽ mất đi cả trăm khách hàng, đối tác tiềm năng, nhà cung cấp bị phàn nàn, các hoạt động
giao dịch, kinh doanh của khách hàng bị ảnh hưởng, hàng nghìn nhà đầu tư bị mất chi
phí, cơ hội. Đó không chỉ là thiệt hại về kinh tế mà còn về uy tín, hình ảnh, sức cạnh
tranh.
Nguyên nhân gây ra tình trạng trên có thể do hạ tầng mạng, phần cứng, phần mềm
hiệu năng thấp, cũng có thể do hệ thống bị tấn công, hệ thống không được sử dụng tối ưu,
không có cơ chế tăng tốc. Đối với lỗi gây đình trệ hệ thống, phần lớn do hệ thống nội bộ
trong các doang nghiệp, tổ chức có lỗi, chẳng hạn như đường mạng bị đứt, thiết bị bị
hỏng, mất điện cục bộ, ứng dụng bị lỗi, máy chủ bị lỗi hay bị tấn công và có thể xảy ra ở
bất cứ hệ thống nào, bất cứ lúc nào.
Để tránh tình trạng trên, các doanh nghiệp đều đã và đang đầu tư hệ thống hạ tầng
một cách bài bản nhằm đạt hiệu năng cao. Đó là việc trang bị các máy chủ ứng dụng
mạnh, có dự phòng. Tuy nhiên, nếu tại mỗi thời điểm mỗi chức năng chi có một server
hoạt động hoặc không có giải pháp chuyên dụng để cân bằng tải cho các server thì không
thể đáp ứng được nhu cầu của hệ thống ứng dụng đồ sộ, đòi hỏi hoạt động liên tục như
các trang web thương mại điện tử, các ứng dụng nhiều người dùng, các hoạt động tiền tệ,
tài chính, các cửa ngõ giao tiếp với khách hàng của ngân hàng, chứng khoán, nhà cung
cấp dịch vụ. Do đó, cần phải có nhiều server cùng đồng thời cung cấp một dịch vụ cho hệ
thống, cung cấp hiệu năng và tính sẳn sàng cao hơn, tính tin cậy cao hơn. Làm sao để các
server đó có thể phối hợp với nhau hiệu quả, đảm bảo tính sẳn sàng, liên tục, an toàn. Đó
là lý do ra đời của các giải pháp cân bằng tải.
Hiện nay, để cân bằng tải cho hệ thống mạng của doanh nghiệp thì chúng ta có
nhiều giải pháp như sử dụng Router Cisco, dùng tường lửa của Microsoft như ISA….




Tuy nhiên những thành phần kể trên tương đối tốn kém. Vì vậy đối với người
dùng không muốn tốn tiền nhưng lại muốn có một tường lửa bảo vệ hệ thống mạng bên
trong (mạng nội bộ) khi mà chúng ta giao tiếp vối hệ thống mạng bên ngoài (Internet) thì
PFSENSE là một giải pháp tiết kiệm và hiệu quả tương đối tốt nhất đối với người dùng.
Firewall pfSense sẽ giải quyết các vấn đề bảo mật cho doanh nghiệp vừa và nhỏ.
Sau bài giới thiệu Trong luận văn này sẽ hiểu rõ hơn về các tính năng của pfsense cũng
như các điểm mạnh và yếu của pfsense với các phần mềm khác.
Luận văn bao gồm năm chương:
Chương 1: Tìm hiểu tổng quan về firewall.
Chương 2: Lý thuyết cân bằng tải.
Chương 3: Tìm hiểu pfsense.
Chương 4: Xây dựng mô hình.
Chương 5: Triển khai và đánh giá hệ thống.



LỜI CẢM ƠN
Trong thời gian thực hiện đồ án vừa qua, em đã rút ra được rất nhiều kinh nghiệm
thực tế mà khi ngồi trên ghế nhà trường không thể có được. Để hoàn thành bài thực tập
này ngoài sự nỗ lực của bản thân, em còn nhận được sự giúp đỡ và động viên của nhiều
người.
Đầu tiên em xin gửi lời cảm ơn đến quý thầy cô trong khoa Công nghệ thông tin đã
trang bị cho em những kiến thức vô cùng quý giá trong suốt quá trình học. Đặc biệt là
nhờ sự chỉ bảo hướng dẫn và góp ý tận tình của thầy Ngô Văn Công trong quá trình thực
hiện đồ án này. Bên cạnh đó, em gửi lời cảm ơn đến gia đình, bạn bè, những người đã
luôn động viên, cổ vũ tinh thần và luôn tạo những điều kiện thuận lợi để em hoàn thành
đề tài này.
Trong quá trình thực hiện đồ án và làm báo cáo, do còn thiếu nhiều kinh nghiệm
thực tế nên không tránh khỏi những sai sót. Em mong các thầy cô chỉ bảo thêm giúp em
hoàn thành và xây dựng đồ án thành một ứng dụng thực tế.

Em xin chân thành cảm ơn!

Nha Trang, ngày 20 tháng 6 năm 2012
Sinh viên thực tập
Nguyễn Thị Luyến








LỜI NHẬN XÉT CỦA GIẢNG VIÊN HƢỚNG DẪN
































LỜI NHẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN
































MỤC LỤC
Chƣơng 1: Tổng quan firewall 1
I. Khái quát về firewall 1
1. Khái niệm firewall 1
2. Chức năng 1
2.1 Quản lý và điều khiển luồng dữ liệu trên mạng 2
2.2 Chuyển đổi địa chỉ mạng (NAT) 2
2.3 Xác thực quyền truy cập 4
2.4 Hoạt động như một thiết bị trung gian 4
2.5 Bảo vệ tài nguyên 5
2.6 Ghi nhận và báo cáo các sự kiện 6
3. Hạn chế 6
II. Phân loại firewall 7

1. Phân loại theo các sản phầm firewall 8
1.1 Firewall phần mềm (Software firewalls) 8
1.2 Firewall phần cứng (Appliance firewalls) 9
1.3 Firewall tích hợp (Intergrated firewalls) 10
2. Phân loại theo các công nghệ firewall 10
3. Firewall mã nguồn mở và firewall mã nguồn đóng 14
III. Các thành phần của firewall 14
1. Bộ lọc gói tin(Packet filleting route) 14
2. Cổng ứng dụng( Application level gateway hay proxy server) 16
3. Cổng mạch (Circuite level gateway). 18
IV. Các kiến trúc firewall cơ bản 19
1. Kiến trúc Dual – Homed Host(Máy chủ trung gian) 21
2. Kiến trúc Screend Host 22
3. Kiến trúc Screened Subnet 24
V. Lựa chọn giải pháp firewall 26
Chƣơng 2: Lý thuyết cân bằng tải 27



I. Khái niệm cân bằng tải 27
1. Cân bằng tải chiều ra - Outbound Load-balancing 27
2. Cân bằng tải chiều vào - Load-balancing Inbound 28
3. Cân bằng tải cho server - Server Loadbacing 29
II. Các tính năng cân bằng tải 30
III. Các giải pháp cân bằng tải 32
1. Cân bằng tải bằng phần mềm cài trên máy chủ 32
2. Cân bằng tải nhờ proxy 32
3. Cân bằng tải nhờ thiết bị chia kết nối 33
IV. Một số kịch bản cân bằng tải 34
1. Kịch bản Active - Standby (hoạt động - chờ) 34

2. Kịch bản Active – Active 35
3. VRRP 36
4. xxRP 37
5. Cáp Fail – Over 37
6. Stateful Fail – Over (Fail – Over có trạng thái) 38
Chƣơng 3: Tổng quan về pfsense 39
I. Giới thiệu pfsense 39
II. Cài đặt và cấu hình 41
1. Yêu cầu phần cứng 41
2. Cài đặt pfsense 41
3. Thiết lập card mạng cho máy pfsense 44
4. Đặt IP và thiết lập DHCP cấp phát vào bên trong mạng LAN 45
5. Cấu hình Pfsense qua giao diện web – WebGUI 46
6. Cài đặt Packages 51
7. Backup and Recovery 53
III. Một số dịch vụ và ứng dụng của Pfsense 54
1. Một số tính năng của Pfsense firewall 54
1.1 Pfsense Aliases 54



1.2 Network Address Translation(NAT) 55
1.3 Pfsense rules 56
1.4 Pfsense schedules 57
1.5 Traffic Shapers 58
1.6 Virtual IPs 62
2. Một số dịch vụ của Pfsense 63
2.1 Captive Portal 63
2.2 DHCP Server 67
2.3 Load Balancer 67

3. VPN trên Pfsense 71
3.1 VPN PPTP 71
3.2 Open VPN 74
Chƣơng 4: Xây dựng mô hình 79
I. Xây dựng mô hình cân bằng tải cho các farm server 79
1. Mô hình thực tế 79
2. Mô hình Lab 80
II. Xây dựng mô hình cân bằng tải đường WAN 81
1. Mô hình thực tế 81
2. Mô hình Lab 82
III. Xây dựng mô hình cân bằng tải firewall 83
Chƣơng 5: Triển khai và đánh giá hệ thống 85
I. Triển khai mô hình cân bằng tải cho các farm server 85
1. Cài đặt server Apache 85
2. Triển khai mô hình 88
3. Kiểm tra, đánh giá 91
II. Triển khai mô hình cân bằng tải đường WAN 93
1. Cấu hình Routing and remote access trên server 2003 93
2. Cài đặt, cấu hình pfsense 99
3. Cấu hình cân bằng tải đường WAN trên máy pfsense 102



3.1 Kiểm tra, chỉnh sửa Gateway 103
3.2 Thêm Gateway Group 104
3.3 Sử dụng Gateway Group trong rules firewall của interface LAN. 107
4. Kiếm tra, đánh giá 114
III. Triển khai mô hình cân bằng tải firewall 116
1. Cài đặt, cấu hình primary firewall 116
2. Cài đặt, cấu hình Backup firewall 119

3. Kiểm tra, đánh giá 120
Chƣơng 6: Tổng kết 122
TÀI LIỆU THAM KHẢO 123




DANH MỤC HÌNH
Hình 1-1 Firewall cơ bản 1
Hình 1-2 Ví dụ về firewall NAT 4
Hình 1-3 Proxy Firewall 5
Hình 1-4 Phân loại firewall 7
Hình 1-5 Packet filtering firewall 11
Hình 1-6 Circuit-level firewalls 12
Hình 1-7 Proxy firewalls 12
Hình 1-8 Stateful firewalls 13
Hình 1-9 Packet filtering router 15
Hình 1-10 Application gateway 16
Hình 1-11 Hành động sử dụng telnet qua cổng vòng 19
Hình 1-12 Kiến trúc firewall cơ bản 20
Hình 1-13 Cấu trúc chung của một hệ thống Firewall 20
Hình 1-14 Kiến trúc Dual-homed host 22
Hình 1-15 Kiến trúc Screened host 24
Hình 1-16 Kiến trúc Screened subnet 25
Hình 2-1 Outbound Load-balancing 28
Hình 2-2 Load-balancing Inbound 29
Hình 2-3 Server Loadbalancing 29
Hình 2-4 Kịch bản Active- Standby 34
Hình 2-5 Hoạt động của kịch bản active - standby 35
Hình 2-6 Kịch bản Active - Active 35

Hình 2-7 Hoạt động của kịch bản Active - Active 36
Hình 2-8 Hoạt động của VRRP 36
Hình 3-1 Logo Pfsense 39
Hình 3-2 Cấu trúc fireưall pfsense 40
Hình 3-3 Màn hình wellcome to FressBSD 41
Hình 3-4 Chọn I để bắt đầu cài đặt Pfsense 42



Hình 3-5 Chọn Accept these Setting để cài đặt 42
Hình 3-6 Chọn quick/ Easy Install để cài đặt vào ổ cứng 43
Hình 3-7 Chọn Reboot để khởi động lại hệ thống 43
Hình 3-8 Giao diện textmode 44
Hình 3-9 Thiết lập card mạngcho máy pfsense 44
Hình 3-10 Thông tin card mạng sau khi thiết lập 45
Hình 3-11 Thiết lập địa chỉ IP cho LAN 45
Hình 3-12 Đặt IP và thiết lập DHCP cho mạng LAN 46
Hình 3-13 Màn hình đăng nhập 46
Hình 3-14 Giao diện WEBGUI 47
Hình 3-15 Khai báo DNS 47
Hình 3-16 Chọn múi giờ cho máy pfsense 48
Hình 3-17 Cấu hình interface WAN 48
Hình 3-18 Đặt địa chỉ IP cho LAN trên giao diện web 49
Hình 3-19 Cấu hình DHCP LAN trên giao diện web 49
Hình 3-20 Thiết lập lại mật khẩu cho admin 50
Hình 3-21 Reload lại hệ thống 50
Hình 3-22 Giao diện pfsense trên nền web 51
Hình 3-23 Giao diện cài đặt packages 51
Hình 3-24 Cài đặt packages 52
Hình 3-25 Danh sách các packages được cài đặt 52

Hình 3-26 Sao lưu hệ thống 53
Hình 3-27 Phục hồi hệ thống 53
Hình 3-28 Pfsense Aliases 54
Hình 3-29 Tạo alias webport quy định các cổng cho server 55
Hình 3-30 Pfsense rules 56
Hình 3-31 Hai rules được mặc định trong tab LAN 56
Hình 3-32 Tạo rule cấm truy cập web sử dụng cổng 80 cho các máy LAN 57
Hình 3-33 Pfsense schedules 57



Hình 3-34 Lịch giờ làm việc 58
Hình 3-35 Chi tiết lịch làm việc 58
Hình 3-36 Traffic Sharper 59
Hình 3-37 Cấu hình Traffic Sharper 59
Hình 3-38 Voice over IP 60
Hình 3-39 Penalty Box 60
Hình 3-40 Peer to peer netwworking 61
Hình 3-41 Network Games 61
Hình 3-42 Raise of lower other Applications 62
Hình 3-43 Captive portal 63
Hình 3-44 Các tính năng trong menu Captive Portal 64
Hình 3-45 Các tính năng trong menu Captive Portal 65
Hình 3-46 Các tính năng trong menu Captive Portal 66
Hình 3-47 DHCP server 67
Hình 3-48 Load balancer 68
Hình 3-49 Tạo pool cân bằng tải 68
Hình 3-50 Chọn monitor cho pool load balacing 69
Hình 3-51 Tạo một rules áp dụng pool cân bằng tải 69
Hình 3-52 Các thông số tùy chỉnh trong firewall rules 70

Hình 3-53 Tình trang cân bằng tải khi 2 đường truyền online 70
Hình 3-54 Cân bằng tải khi 1 đường truyền offline, 1 đường truyền online 71
Hình 3-55 Cấu hình PPTP VPN 72
Hình 3-56 Chọn mã hóa 128 bit 72
Hình 3-57 Tạo rule cho phép PPTP client kết nối đến mạng LAN 73
Hình 3-58 Tạo kết nối VPN 73
Hình 3-59 Nhập IP PPTP server 74
Hình 3-60 Nhập username, password để kết nối 74
Hình 3-61 Chọn loại server chứng thực 74
Hình 3-62 Tạo một CA mới 75



Hình 3-63 Tạo server chứng thực 76
Hình 3-64 Thông tin cấu hinh server certificate 76
Hình 3-65 Cấu hình Tunneling network 77
Hình 3-66 Thêm rule cho OpenVPN server 77
Hình 3-67 Kết quả sau khi cấu hình 77
Hình 3-68 OpenVPN client đã được cài đặt 78
Hình 4-1 Mô hình cân bằng tải server thực tế 79
Hình 4-2 Mô hình cân bằng tải webserver trong bài LAB 80
Hình 4-3 Mô hình cân bằng tải đường WAN thực tế 81
Hình 4-4 Mô hình LAB cân bằng tải đường WAN 82
Hình 4-5 Mô hình cân bằng tải firewall 83
Hình 5-1 Giao diện cài đặt Apache 85
Hình 5-2 Chọn "I accept the terms in the license agreement" để tiếp tục cài đặt 85
Hình 5-3 Thiết lập thông tin cho Apache 86
Hình 5-4 Chọn kiểu cài đặt Apache 86
Hình 5-5 Chọn nơi lưu Appche 87
Hình 5-6 Chọn Install để cài đặt Apache 87

Hình 5-7 Giao diện web localhost 88
Hình 5-8 Tạo Monitor 89
Hình 5-9 Monitor sau khi tạo 89
Hình 5-10 Tạo Server Pool 90
Hình 5-11 Thêm webserver vào pool 90
Hình 5-12 Pool sau khi tạo 90
Hình 5-13 Tạo virtual server 91
Hình 5-14 Server ảo sau khi tạo 91
Hình 5-15 Tình trang webserver khi online 91
Hình 5-16 Trạng thái khi có 1 server offline 92
Hình 5-17 Client nhận phản hồi từ server apache 1 92
Hình 5-18 Client nhận phản hồi từ server apache 1 93



Hình 5-19 Thiết lập card mạng cho máy ảo 2003 94
Hình 5-20 Thiết lập IP cho interfaces 2 94
Hình 5-21 Thiết lập ip cho interfaces 3 95
Hình 5-22 Bật chức năng Rooting and remote access 95
Hình 5-23 Chọn customconfigution 96
Hình 5-24 Chọn NAT and basic firewall 96
Hình 5-25 Thêm interface cho NAT 97
Hình 5-26 Cấu hình interface brigde làm public interface 97
Hình 5-27 Cấu hình 2 interface còn lại làm private interface 98
Hình 5-28 Các interface sau khi cấu hình NAT 98
Hình 5-29 Địa chỉ MAC của các interface 99
Hình 5-30 Gán IP cho interface WAN 100
Hình 5-31 Gán IP cho interface OPT1 100
Hình 5-32 Đặt địa chỉ IP cho interface LAN 101
Hình 5-33 Cấp phát DHCP cho các máy trong LAN 101

Hình 5-34 Kiểm tra trạng thái Gateway 102
Hình 5-35 Khai báo DNS cho pfsense 102
Hình 5-36 Kiểm tra Gateway 103
Hình 5-37 Tạo Gateway Group Load Balancing 105
Hình 5-38 Tạo Gateways WANFailToOPT1 106
Hình 5-39 Tạo Gateways OPT1FailToWAN 106
Hình 5-40 Tạo Rule Load Balancing 107
Hình 5-41 Chọn Gateways Load Balancing 108
Hình 5-42 Tạo Rule WANFailToOPT1 108
Hình 5-43 Chọn Gateways WANFailToOPT1 109
Hình 5-44 Tạo Rule OPT1FailToWAN 109
Hình 5-45 Chọn Gateways OPT1FailToWAN 110
Hình 5-46 Tạo rule LANtoWAN 111
Hình 5-47 Chọn Gateway LANtoWAN 111



Hình 5-48 Tạo Rule LANtoOPT1 112
Hình 5-49 Chọn gateway LANtoOPT1 112
Hình 5-50 Rule LAN 113
Hình 5-51 Cấu hình DNS 113
Hình 5-52 Kiểm tra cân bằng tải 114
Hình 5-53 Cân bằng tải chuyển qua WAN 2 115
Hình 5-54 Tạo IP WAN ảo 116
Hình 5-55 Tạo IP LAN ảo 117
Hình 5-56 IP mạng ảo sau khi tạo 117
Hình 5-57 Đồng bộ hóa CARP trên tường lửa chính 118
Hình 5-58 Đồng bộ hóa CARP trên tường lửa chính 118
Hình 5-59 Tạo một firewall rule mới 119
Hình 5-60 Cấu hình firewall rules 119

Hình 5-61 Trạng thái CARP primary firewall khi 2 firewall hoạt động 120
Hình 5-62 Trạng thái CARP bckup firewall khi 2 firewall hoạt động 120
Hình 5-63 Trạng thái CARP primary firewall khi tắt primary firewall 121
Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense

GVHD: Ngô Văn Công Page 1

Chƣơng 1: Tổng quan firewall
I. Khái quát về firewall
1. Khái niệm firewall
Firewall là một hệ thống hay một hệ thống kết hợp trong đó có thiết lập một
đường biên giữa hai hay nhiều mạng. Firewall cài đặt các luật về bảo mật để phân
cách giữa mạng với các kết nối không mong muốn để giữ cho những thông tin
quan trọng tránh sự hiểm trong khi vẫn cho lưu thông cũng như hạn chế sự xâm
nhập vào hệ thống của một số thông tin khác không mong muốn. Cũng có thể hiểu
rằng Firewall là một cơ chế để bảo vệ mạng tin tưởng(trusted network) khỏi các
mạng không tin tưởng(untrusted network).

Hình 1-1 Firewall cơ bản
Firewall có thể hoạt động ở những tầng mạng khác nhau trong mô hình OSI
và TCP/IP. Tầng thấp nhất là tầng mạng và có thể thực hiện các chức năng phức
tạp hơn như lọc băng thông dựa vào gói tin ở tầng ứng dụng.
2. Chức năng
Về cơ bản firewall có khả năng thực hiện các nhiệm vụ sau đây:
Quản lý và điều khiển luồng dữ liệu trên mạng.
Chuyển đổi địa chỉ mạng(Network address tranlation).
Xác thực quyền truy cập.
Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense

GVHD: Ngô Văn Công Page 2


Hoạt động như một thiết bị trung gian.
Bảo vệ tài nguyên.
Ghi nhận và báo cáo các sự kiện.
2.1 Quản lý và điều khiển luồng dữ liệu trên mạng
Việc đầu tiên và cơ bản nhất mà tất cả các firewall đều có là quản lý và
kiểm soát luồng dữ liệu trên mạng, firewall kiểm tra các gói tin và giám sát các kết
nối đang thực hiện và sau đó lọc các kết nối dựa trên kết quả kiểm tra gói tin và
các kết nối được giám sát.
Kiểm tra gói tin (Packet inspection) là quá trình chặn và xử lý dữ liệu trong
một gói tin để xác định xem nó được phép hay không được phép đi qua firewall.
Kiểm tra gói tin có thể dựa vào các thông tin sau:
- Địa chỉ IP, port nguồn hay đích: Hạn chế sự truy cập từ host hay
mạng thông qua địa chỉ IP.
- Trường IP protocol: UDP, TCP, ICMP và IGMP.
- Thông tin chứa trong phần đầu của mỗi gói tin (sequence numbers,
checksums, data flags, payload information…).
Connections và state: Khi hai TCP/IP host muốn giao tiếp với nhau, chúng
cần thiêt lập một số kết nối với nhau. Các kết nối phục vụ hai mục đích. Thứ nhất,
nó dùng để xác thực bản thân các host với nhau. Friewall dùng các thông tin kết
nối này để xác định kết nối nào được phép và các kết nối nào không được
phép.Thứ hai, các kết nối dùng để xác định cách thức mà hai host sẽ liên lạc với
nhau (dùng TCP hay dùng UDP…).
Stateful Packet Inspection (giám sát gói tin theo trạng thái): Statefull packet
inspection không những kiểm tra gói tin bao gồm cấu trúc, dữ liệu gói tin … mà
kiểm tra cả trạng thái gói tin.
2.2 Chuyển đổi địa chỉ mạng (NAT)
Giải pháp bắt nguồn từ sự khan hiếm của địa chỉ mạng cho các host trong
mạng riêng. Firewall chuyển đổi địa chỉ IP trong mạng riêng thành địa chỉ IP
chung, duy nhất có thể được sử dụng trên internet. Nó sẽ che dấu các thông tin về

Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense

GVHD: Ngô Văn Công Page 3

các host bên trong mạng của mạng riêng bằng cách tạo ra tất cả các kênh truyền
thông với một địa chỉ IP duy nhất.
NAT che dấu bất kì địa dải IP nào cho địa chỉ mạng bên trong mạng riêng
bằng cách chuyển đổi các địa chỉ này sang địa chỉ của tường lửa khi gói tin qua
tường lửa này.
Một firewall cài đặt chức năng NAT bằng cách tạo một bảng chuyể đổi để
ánh xạ các socket bên trong với các socket bên ngoài. Khi một host trong mạng
riêng muốn thiết lập một kết nối với mạng bên ngoài, firewall sẽ tự động trao đổi
socket bên trong với socket của firewall và tạo một mục trong bảng chuyển đổi.
Sau đó firewall sẽ gửi yêu cầu tới host bên ngoài thay cho client bên trong mạng.
Khi firewall nhận được câu trả lời từ host bên ngoài nó sẽ thự hiện quá trình chuyể
đổi ngược lại.
Ví dụ: Một host trong mạng với địa chỉ IP 25.0.10.20:1234 muốn truy cập
vào trang web trên mạng với địa chỉ IP 172.17.20.30 tới firewall 127.110.121.1.
Firewall nhận yêu cầu sẽ tạo mục tỏng bảng chuyển đổi:
Source: 25.0.10.20:1234
Destination: 172.17.20.30:80
Tralation: 127.110.121.1:15485
Host đích sẽ nhận gói tin từ 127.110.121.1:15485
Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense

GVHD: Ngô Văn Công Page 4


Hình 1-2 Ví dụ về firewall NAT
2.3 Xác thực quyền truy cập

Firewall có thể xác thực quyền truy cập bằng nhiều cơ cấu xác thực khác
nhau. Thứ nhất, firewall có thể yêu cầu username và password của người dùng khi
người dùng truy cập (thường được biết đến như là extended authentication hoặc
xauth). Sau khi firewall xác thực xong người dùng, firewall cho phép người dùng
thiết lập kết nối và sau đó không hỏi username và password lại cho các lần truy
cập sau (thời gian firewall hỏi lại username và password phụ thuộc vào cách cấu
hình của người quản trị). Thứ hai, firewall có thể xác thực người dùng bằng
certificates và public key. Thứ ba, firewall có thể dùng pre-shared keys (PSKs) để
xác thực người dùng.
2.4 Hoạt động nhƣ một thiết bị trung gian
Khi user thực hiện kết nối trực tiếp ra bên ngoài sẽ đối mặt với vô số nguy
cơ về bảo mật như bị virus tấn công, nhiễm mã độc hại… do đó việc có một thiết
Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense

GVHD: Ngô Văn Công Page 5

bị trung gian đứng ra thay mặt user bên trong để thực hiện kết nối ra bên ngoài là
cần thiết để đảm bảo an toàn. Firewall được cấu hình để thực hiện chức năng này
và firewall được ví như một proxy trung gian.

Hình 1-3 Proxy Firewall
Proxy server thay thế kết nối trực tiếp giữa client và server với dịch vụ của
nó, được thiết kế để lưu bản copy của các web server trên server nhằm giảm sự lặp
lại quá trình truy cập vào một trang web
Khi host bên trong network muốn truy cập vào trang web trên internet,
proxy nhận yêu cầu từ host, tìm trang web trong bộ nhớ đệm, nếu có trong bộ đệm
thì nó sẽ gửi trang web về cho host, nếu không có thì nó sẽ chuyển yêu cầu này
đến đích thay cho host.
2.5 Bảo vệ tài nguyên
Nhiệm vụ quan trọng nhất của một firewall là bảo vệ tài nguyên khỏi các

mối đe dọa bảo mật. Việc bảo vệ này được thực hiện bằng cách sử dụng các quy
tắc kiểm soát truy cập, kiểm tra trạng thái gói tin, dùng application proxies hoặc
Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense

GVHD: Ngô Văn Công Page 6

kết hợp tất cả để bảo vệ tài nguyên khỏi bị truy cập bất hợp pháp hay bị lạm dụng.
Tuy nhiên, firewall không phải là một giải pháp toàn diện để bảo vệ tài nguyên
của chúng ta.
2.6 Ghi nhận và báo cáo các sự kiện
Ta có thể ghi nhận các sự kiện của firewall bằng nhiều cách nhưng hầu hết
các firewall sử dụng hai phương pháp chính là syslog và proprietaty logging
format. Bằng cách sử dụng một trong hai phương pháp này, chúng ta có thể dễ
dàng báo cáo các sự kiện xẩy ra trong hệ thống mạng.
3. Hạn chế
Tuy firewall có những ưu điểm nổi trội nhưng vẫn tồn tại những hạn chế
khiến firewall không thể bảo vệ hệ thống an toàn một cách tuyệt đối. Một số hạn
chế của firewall có thể kể ra như sau:
Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin
không mong muốn nhưng phải xác định rõ các thông số địa chỉ.
Firewall không thể bảo vệ chống lại các cuộc tấn công bỏ qua tường lửa. Ví
dụ như một hệ thống bên trong có khả năng dial-out kết nối với một ISP hoặc
mạng LAN bên trong có thể cung cấp một modem pool có khả năng dial-in cho
các nhân viên di động hay các kiểu tấn công dạng social engineering nhắm đếm
đối tượng là các người dùng trong mạng.
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-
drivent attack). Bởi vì sự đa dạng của các hệ điều hành và các ứng dụng được hỗ
trợ từ bên trong nội bộ. Sẽ không thực thế và có lẽ là không thể cho các firewall
quét các tập tin gởi đến, email… nhằm phát hiện virus. Khi đó một số chương
trình được chuyển theo thư điện tử, vượt qua Firewall vào trong mạng được bảo vệ

và bắt đầu hoạt động ở đây.
Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét
virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên
tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả
năng kiểm soát của Firewall. Firewall có thể ngǎn chặn những kẻ xấu từ bên ngoài
Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense

GVHD: Ngô Văn Công Page 7

nhưng còn những kẻ xấu ở bên trong thì sao. Tuy nhiên, Firewall vẫn là giải pháp
hữu hiệu được áp dụng rộng rãi.
Firewall không bảo vệ chống lại các đe dọa từ bên trong nội bộ ví dụ như
một nhân viên cố ý hoặc một nhân viên vô tình hợp tác với kẻ tấn công bên ngoài.
II. Phân loại firewall
Firewall có thể được phân loại theo hai loại sau:
Personal firewall
Network firewall
Sự khác biệt chính giữa hai loại trên chính là số lượng host được firewall
bảo vệ. Trong khi Personal firewall chỉ bảo vệ cho một máy duy nhất thì Network
firewall lại bảo vệ cho một hệ thống mạng, trong Network firewall nó lại được
chia thành các nhóm chính như sau:
Packet-filtering firewalls (stateful và nonstateful)
Circuit-level gateways
Application-level gateways.Hình dưới đây sẽ mô tả các kiểu firewall chính
hiện có trong hai loại personal firewall và network firewall:

Hình 1-4 Phân loại firewall
Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense

GVHD: Ngô Văn Công Page 8


Personal Firewalls:
Personal firewalls được thiết kế để bảo vệ một máy trước những truy cập
trái phép. Trong quá trình phát triển, personal firewall đã được tích hợp thêm
nhiều chức năng bổ sung như theo dõi phần mềm chống virus, phần mềm phát
hiện xâm nhập để bảo vệ thiết bị. Một số personal firewalls phổ biến như Cisco
Security Agent, Microsoft Internet connection firewall, Symantec personal
firewall…
Personal firewall rất hữu ích đối với người dùng gia đình và cá nhân bởi vì
họ đơn giản chỉ cần bảo vệ từng máy tính riêng rẻ của họ nhưng đối với doanh
nghiệp điều này lại gây bất tiện, khi số lượng host quá lớn thì chi phí cho việc
thiết lập, cấu hình và vận hành personal firewall là một điều cần phải xem xét.
Network Firewalls:
Network firewall được thiết kế để bảo vệ các host trong mạng trước sự tấn
công. Một số ví dụ về appliance-based network firewalls như Cisco PIX, Cisco
ASA, Juniper NetScreen firewall, Nokia firewalls, Symantec’s Enterprise
Firewall. Và một số ví dụ về software-base firewalls include Check Point’s
Firewall, Microsoft ISA Server, Linux-based IPTables.
Cùng với sự phát triển của công nghệ, firewall dần được tích hợp nhiều tính
năng mới như phát hiện xâm nhập, thiết lập kết nối VPN cũng như nhiều sản phẩm
firewall mới ra đời.
1. Phân loại theo các sản phầm firewall
1.1 Firewall phần mềm (Software firewalls)
Software firewalls – firewall mềm – là những firewall được cài đặt trên một
hệ điều hành. Firewall mềm bao gồm các sản phẩm như SunScreen firewall, IPF,
Microsoft ISA server, Check Point NG, Linux’s IPTables …Firewall mềm thường
đảm nhận nhiều vai trò hơn firewall cứng, nó có thể đóng vai trò như một DNS
server hay một DHCP server.