tìm hiểu và triển khai hệ thống tường lửa pfsense
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.72 MB, 31 trang )
LOGO
TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG
TƯỜNG LỬA PFSENSE
Mục Lục
MP3 là gì…… ………………………………………………… ….1
MP3 được tạo ra khi nào? Ai là người tạo ra MP3?….………2
Tại sao mp3 lại phổ biến?…………………………………… …3
Cấu trúc MP3……………………………………………………… 4
Mp3 giảm dung lượng như thế nào? ……………………… 8
Tốt hơn nữa với bitrate…………………………………… 11
Mã hóa……………………………………….………………………12
Giải mã……………………………….…………………………… 13
Các loại chuẩn âm thanh khác…………………….……………14
Đánh giá chất lượng………………………………………… 18
Xem thông tin file audio 22
Chuyển đổi file audio 23
Sự khác nhau về bitrate 24
Tổng Quan………………………………………………………… 27
Kết Luận…………………………………………………………… 28
1.1. Định nghĩa, chức năng, cấu trúc và phân loại
•
1.1.1. Định nghĩa rewall
!"!#$%"#%&'()*%"+
,-"-,%$+ ./0/!'1 2%3#-,4)546/456
-7% -8&$'5-"%9:;'%<%=>;%%?-".
•
1.1.2. Chức năng của rewall
@)AB"#C-% &$%/@>"%#D/!E!$%"#%F+
>&G.H#I
-,-*)5%J-&.
K-9L%F9&%-8&.
M#C-NCO9HJJ%NCO9H.
M#C-9%+>%%#;.
1.1. Định nghĩa, chức năng, cấu trúc và phân loại
1.1.3. Cấu trúc của firewall
Không hoàn toàn giống nhau giữa các sản phẩm được thiết kế bởi các hãng bảo mật, tuy nhiên có những thành phần cơ bản sau trong cấu
trúc của một firewall nói chung (mà một số trong đó sẽ được tìm hiểu rõ hơn trong phần 2.2 về các công nghệ firewall):
Bộ lọc gói (packet filtering)
Application gateways / Proxy server
Circuit level gateway
Các chính sách mạng (network policy)
Các cơ chế xác thực nâng cao (advanced authentication mechanisms)
Thống kê và phát hiện các hoạt động bất thường (logging and detection of suspicious activity)
1.1.4. Phân loại firewall
Có rất nhiều tiêu chí có thể được sử dụng phân loại các sản phẩm firewall, ví dụ như cách chia ra thành firewall cứng (thiết bị được
thiết kế chuyên dụng hoạt động trên hệ điều hành dành riêng cùng một số xử lý trên các mạch điện tử tích hợp) và firewall mềm (phần mềm
firewall được cài đặt trên máy tính thông thường)…Nhưng có lẽ việc phân loại firewall thông qua công nghệ của sản phẩm firewall đó được
xem là phổ biến và chính xác hơn tất cả.
Step
giải pháp firewall tiêu biểu dành cho doanh nghiệp
•
Một số giải pháp rewall êu biểu dành cho doanh nghiệp
•
M+/A#'1!'1'5-P>$0%;%;'5-)C/-9-
4$%/"+/Q1N'5-9-!%&>$)-E"9-.
R5S9-0/&@'%J$-'5-4JTCUC'V>$#'1
!'1'5--342;5!'1/5W@2 .%291JH'5-6
'PJ-#-C5?%2-X25Y-YZ<YY-=-+48@.5
//#@0$*#8/ -;[[%%--
"9-9-.\ %-HACO9H49-"+!
@J[--4T]/#'5-JTJD[';-4FNT
0% $%)#/#"DC5?'5-/.R(#^%CC5?
4/#D/1&%AD%;'5-J[J2$-9-
.
•
•
1.2.1. Phần mềm nguồn mở pfSense rewall
•
•
-CC5?B%FW -24/--_A.\
D9:7S9:C5?``-G4abC %[[J*J81
;+N.R5SabC$;'J[$%RbcVT
!"!;J//d4$%-,abC*J:>!;+N"+
5*[$%$-".M!D)D``4abC6##W
BeJ[)@ %%D&349-V-!
[J[!'1"!.\#/ +/C:#J "]D$5T/
J1%!%G49C9);^%J/*&%A '8C%-;
-JJ&P.
•
b%S9CC*J)8'BabCI
•
@)NOT/.
•
+Ca%
•
c11]<fK=
•
M5)9:g<9%9=
•
S'(5I-%'-%9h'-%9
•
i;5-Ibbjk4lkbbY-YCjk4kkKkjk
•
mCJ";
•
ccb
•
cnkbJ9o
•
kkk-pbJ
•
cba-9
•
q
GIỚI THIỆU VỀ PFSENSE
abC 9:;RbcJ-@--f99CCo9%9k---<fok=Rbc4%2"5)9:g'(-
,^%51J;/-*$%NOJ-/:%#89:g.j3/r $%"!9<sf=
;/#:JS'(5.K%;/!J[/Wr]/#:S'(% S&"!sf
J'"+#]1 % -^%"!.
2.2. Một số tính năng của Pfsense
•
2.2.1. pfSense Aliases
•
fCC/#G'>!" [N!%'CO9HGA7.
•
ifCCP-,'CO9H--C48-*/# CO9H"-%C-abC.bO9HfCCCe
G'-,'%&$%H-E9%2/Q'"+-$%%C-/-*8.
•
2.2.2. NAT
•
kabC%2-"99CCC>-<fK=J)%#>!84%;@9HJtgC!J[
k-Y-Yk-K%k---<kkKk=4mo-%>pC%>-<mop=JbCC-l>>-k---<blk="CO9HfK.
•
K-'0/#2%3!fK!%CO9H8%#>!-91JH-*2%3fKu<vIv=-
-CH#.K!*1fK-"!-%'-%9%->h94%;'/#8"#%%!%
.
•
2.2.3. Firewall Rules
•
E%%C<%=.\#J-o%CaCCJ-wo%C.
•
i*1aCC-,TBhJ-.R5-%C#^%5A';-B.
•
2.2.4. Firewall Schedules
•
%C/# CP7!#//]-J-N#21--*J-&21H#
-*-%.
•
Cài đặt Pfsense
•
2.3. Một số dịch vụ của Pfsense
•
•
2.3.1. DHCP Server
•
cnkbJ]2%3-Kkhlk'(:1]lk-""TJ-.
•
•
•
•
2.3.2. Cài đặt Packages
•
N9d/%%;@)WE3*abC4'/#;/D:T$.
•
m//# *'(CO9Hk"i4(%bC.k"iCe#125//CU'-F+5PT
J$@)/
•
•
2.3.3. Backup and Recovery
•
c1JHGN9d/#C-%"+H2%3aCC.
•
•
2.3.4. Load Balancer
•
@)S')5aCC/&*#
Ưu điểm
Yi_A.
Y/"5)'8C%;)'(/91JH;.
Yc_*42%3.
Hạn chế
Yk5'1;-9!%"+/CU.
YM+ r DC57%2!'1S'(5".
Yjt/)Txo!'1E.
Y\gVNCO9H5/"!@E'5J$#2%3.
•
•
2.3.5. VPN trên Pfsense
•
jk;CO9H+<Nl=#"!1#-*NCO9HD7J[fWHCW
%S.KJ39d"!"@N9S%;'-C4jk-;"!5- %$^%l&;8@
J[1#-*NCO9HW7.
•
2.3.6. Remote Desktop
•
o-cC"-G'/#$%"#D7-3.
2.4. Cài đặt Pfsense
•
K;kaCCG'VQabCJclC J-8chcjc#>!*.
Cấu hình Pfsense
Do you want to setup VLANs nowYyLNYyp.
mLle1#!laLAN
mLle0#!laWAN1
mLle2#!laWAN2
b%"!laG#p.
Cấu hình Pfsense (Tiếp)
Chon “Y” để tiến hành quá trình thiết lập card mạng.
Cài đặt IP cho mạng LAN trước. Chọn Cài đặt IP cho mạng LAN trước. Chọn “2″
Tiếp theo, cài đặt cho các Interface(card mạng). Lựa chọn ”2″.
Cấu hình Pfsense (Tiếp)
Nhập địa chỉ “10.10.10.10″
Đây là subnetmask, chọn “24″
Sau đó, nó xuất hiện một câu có nên kích hoạt chức năng DHCP không?
Chọn yes “y”. Đồng ý Pfsense là DHCP Server.
Gán range IP cần cấp cho mạng LAN. Bắt đầu :”10.10.10.100″
Kết thúc dãy IP cần cấp là “10.10.10.200″
Cấu hình Pfsense (Tiếp)
Có cấu hình Pfsense làm webserver không. Chọn “n” , không đồng ý. Nếu chọn thì chức năng sẽ tái hiện trong cách cài đặt Virtual Server.
TRIỂN KHAI PFSENSE
2.2.1. Aliases
Với tính năng này chúng ta có thể gom nhóm các ports, host hoặc Network(s) khác
nhau và đặt cho chúng một cái tên chung để thiết lập những quy tắc được dễ dàng và
nhanh chóng hơn. Để vào Aliases của pfSense, ta vào Firewall =>Aliases.
TRIỂN KHAI PFSENSE
Các thành phần trong Aliases:
- Host: tạo nhóm các địa chỉ IP
- Network: tạo nhóm các mạng
- Port: Cho phép gom nhóm các port nhưng không cho phép tạo nhóm các
protocol. Các protocol được sử dụng trong các rule
TRIỂN KHAI PFSENSE
•
Any: Tất cả
•
Single host or alias: Một địa chỉ ip hoặc là một bí danh.
•
Lan subnet: Đường mạng Lan
•
Network: địa chỉ mạng
•
Lan address: Tất cả địa chỉ mạng nội bộ
•
Wan address: Tất cả địa chỉ mạng bên ngoài
•
PPTP clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPTP
•
PPPoE clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPPoE
TRIỂN KHAI PFSENSE
Firewall Schedules
Các Firewall rules có thể được sắp xếp để nó chỉ hoạt động vào các thời
điểm nhất định trong ngày hoặc vào những ngày nhất định cụ thể hoặc các
ngày trong tuần.
Đây là một cơ chế rất hay vì nó thực tế với những yêu cầu của các doanh
nghiệp muốn quản lí nhân viên sử dụng internet trong giờ hành chính.
Đề tạo một Schedules mới, ta vào Firewall Schedules: Nhấn dấu +
Ví dụ: ở đây Tạo lịch tên GioLamViec của tháng 6 Từ thứ hai đến thứ bảy
và thời gian từ 7 giờ đến 17 giờ.
Sau khi tạo xong nhấn Add Time => Save
Đánh giá chấtlượng
1.NAT
Trong Firewall bạn cũng có thể cấu hình các thiết lập NAT nếu cần sử dụng cổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1) cho các host cụ thể.
Thiết lập mặc định của NAT cho các kết nối outbound là Automatic outbound NAT …, tuy nhiên bạn có thể thay đổi kiểu Manual outbound NAT nếu cần.
Ví dụ ở đây ta NAT qua port 1723 (PPTP) cho cấu hình VPN với IP NAT là 192.168.2.100
Đánh giá chất lượng (tiếp)
1.Traffic shaper (Quản lí băng thông)
Với tính năng Traffic Shaper giúp bạn theo dõi và quản lí băng thông mạng dễ dàng và hiệu quả hơn.
Để cấu hình Traffic Shaper ta chọn Firewall => Traffic Shaper => Next
Đánh giá chất lượng (tiếp)
1.Virtual IPs
Virtual IP được sử dụng để cho phép pfSense đúng cách chuyển tiếp lưu lượng cho những việc như chuyển tiếp cổng NAT, NAT Outbound và NAT 1:1. Họ cũng cho phép các tính năng
như failover, và có thể cho phép dịch vụ trên router để gắn kết với địa chỉ IP khác nhau.
•
CARP
•
Proxy ARP
Đánh giá chất lượng (tiếp)
3.2.1. DHCP Server
3.2.2. Cài đặt Packages
3.2.3. Backup and Recovery
3.2.4. Load Balancer
3.2.5. VPN trên Pfsense
3.2.6. Cấu hình Remote Desktop
System log: theo dõi hoạt động của hệ thống pfSense và các dịch vụ
mà pfSense cung cấp. Mọi hoạt động của hệ thống và dịch vụ đều
được ghi lại.
System Status: Liệt kê các thông tin và tình trạng của hệ thống.
Service Status: Hiển thị trạng thái của tất cả các service có trong hệ
thống. Mỗi service có hai trạng thái là: running, stopped.
Interface Status: Hiển thị thông tin của tất cả card mạng.
RRD Graph: Hiển thị các thông tin dưới dạng đồ thị. Các thông tin mà
RRD Graph sẽ thể hiện là: System, Traffic, Packet, Quality, Queues.
Đánh giá chất lượng (tiếp)
1 Kết quả đạt được
Nắm được tình hình an ninh mạng và yêu cầu về hệ thống firewall đối với doanh nghiệp, các công nghệ và sản phẩm firewall trên thị trường bảo
mật hiện nay.
Nắm được quy trình xây dựng hệ thống dựa trên pfSense.
Bổ sung thêm các dịch vụ bảo mật cao cấp khác hỗ trợ cho firewall.
2. Những mặt hạn chế
Do phát triển trên nền FreeBSD, hệ thống gặp khó khăn trong việc tương thích với một số phần cứng khi triển khai.
Tuy đã được phát triển tốt nhưng chưa thực sự tối ưu đối với những yêu cầu phức tạp đặt ra.
Với chức năng của một firewall all-in-one, hệ thống cần thời gian để kiểm tra kỹ lưỡng mọi sai sót mắc phải trước khi triển khai rộng rãi.
Đánh giá chất lượng (tiếp)
Đặc điểm cũng khá quan trọng là cấu hình để cài đặt và sử dụng phần mềm
pfSense không đòi hỏi phải cao như những phần mềm mới hiện nay. Chúng ta chỉ cần
một máy tính P3, Ram 128, HDD 1GB thì cũng đủ để dựng nên một tường lửa pfSense
bảo vệ mạng bên trong.
pfSense là một ứng dụng có chức năng định tuyến vào tường lửa mạnh và ứng
dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo
mật. Phần mềm được thiết kế nhỏ gọn, dễ dàng cấu hình thông qua giao diện web và
đặc
biệt là có khả năng cài đặt thêm gói dịch vụ để mở rộng tính năng.
Tường lửa pfSense có thể đáp ứng được nhu cầu của một mạng doanh nghiệp nhỏ
và nó cũng dễ dàng trong quản lý và cung cấp nhiều tính năng như trong các sản phẩm
thương mại. Mặc dù vậy một số tính năng đã được sử dụng trong các doanh nghiệp lớn
vẫn còn nhiều hạn chế. Với thời gian và điều kiện thực tế còn nhiều hạn chế, đề tài chỉ
dừng lại ở khả năng nghiên cứu và triển khai được những chức năng cần thiết, chưa
triển khai trên mô hình thực tế do đó không đánh giá hết được những ưu nhược điểm
của ứng dụng này.
Xem thông tin file audio
Chuyển đổi file audio
