BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN
TP.HCM
KHOA CÔNG NGHỆ THÔNG TIN




KHÓA LUẬN TỐT NGHIỆP

NGHIÊN CỨU FIREWALL
PFSENSE


Giảng viên hướng dẩn : TH.S NGUYỄN THẮNG
Sinh viên thực hiện :
1. NGUYỄN NGỌC THUẬN
2. PHẠM HỒNG TIẾN
Ngành : Mạng Máy Tính
Khóa : 2008 – 2011

Tp. Hồ Chí Minh, Tháng 06 năm 2011


MỞ ĐẦU
Ngày nay, máy tính không còn là một phương tiện quý hiếm mà ngày càng trở
thành công cụ làm việc và giải trí thông dụng của con người mặt khác internet
cũng đã quá quen thuộc với chúng ta. Đứng trước vai trò thông tin hoạt động cạnh

tranh gay gắt, các tổ chức doanh nghiệp vừa và nhỏ điều tìm mọi biện pháp xây
dựng hoàn thiện hệ thống thông tin của mình nhằm bảo mật thông tin và dữ liệu
của doanh nghiệp. Ở Việt Nam cũng có rất nhiều doanh nghiệp đã và đang triển
khai cho mình những cơ sở hạ tầng mạng an toàn và bảo mật tối đa nhầm chống
lại những sự tấn công bất hợp pháp từ bên ngoài cũng như bên trông nội bộ doanh
nghiệp. Nhưng vấn đề tài chính luôn là vấn đề doanh nghiệp đặt lên hàng đầu.
Với mục đích đó trong thời gian thực tập nhóm em đã tự tìm hiểu các khái niệm cơ
bản về bảo mật trên tường lửa cùng với những kiến thức được học ở trường, nhóm
em mong muốn triển khai được một hệ thống bảo mật sử dụng công nghệ Firewall
dựa trên phần mềm mã nguồn mở pfSense có nhiều tính năng ứng dụng trong thực
tiễn.
Với sự hướng dẫn tận tình của thầy Nguyễn Thắng nhóm em đã hoàn thành báo
cáo này. Tuy đã cố gắng nhưng chắc rằng không tránh khỏi những thiếu sót.
Nhóm em mong nhận được sư thông cảm và góp ý của quí thầy cô. Nhóm em xin
chân thành cảm ơn.
TP Hồ Chí Minh, ngày 18 thánh 6 năm 2011
Nhóm sinh viên thực hiện:
Phạm Hồng Tiến
Nguyễn Ngọc Thuận








LỜI CẢM ƠN
Sau khoảng thời gian nổ lực thực hiện, tìm hiểu và triển khai “Phần mềm mã
nguồn mở pfSense” đã phần nào hoàn thành. Ngoài sự nổ lực của bản thân, chúng

em đã nhân được sự khích lệ rất nhiều từ phía nhà trường, thầy cô trong khoa.
Chính điều này đã mang lại cho chúng em sự động viên rất lớn để chúng em có thể
hoàn thành tốt báo cáo của mình.
Chúng em xin cảm ơn nhà trường nói chung và khoa CNTT nói riêng đã đem lại
cho chúng em nguồn kiến thức vô cùng quý giá để chúng em có thể hoàn thành tốt
báo cáo.
Em xin chân thành cảm ơn các thầy cô thuộc bộ môn MMT khoa CNTT, đặc biệt
là thầy Nguyễn Thắng – giáo viên hướng dẫn chúng em đã tận tình hướng dẫn và
truyền đạt cho chúng em nhiều kiến thức về lĩnh vực công nghệ trong quá trình
học tập cũng như trong quá trình làm báo cáo.
Một lần nữa, em xin chân thành cảm ơn tất cả mọi người…
TP Hồ Chí Minh, ngày 18 thánh 6 năm 2011
Nhóm sinh viên thực hiện:
Phạm Hồng Tiến
Nguyễn Ngọc Thuận











NHẬN XÉT
CỦA GIÁO VIÊN HƯỚNG DẨN
























NHẬN XÉT
CỦA GIÁO VIÊN PHẢN BIỆN

























Mục Lục
I. Giới thiệu Firewall pfSense Trang 01
II. Cài đặt và cấu hình Trang 02
1. Cài đặt pfSense Trang 02
2. Cấu hình Card mạng LAN và WAN cho pfSense Trang 06
3. Cấu hình pfSense qua giao diện WebGUI Trang 08
4. Cài đặt packages Trang 11
5. Backup And Recovery Trang 12
III. Một số dịch vụ của pfSense Trang 13
1. DHCP Server Trang 13
1.1. Giới Thiệu Trang 13
1.2. Các tính năng trong menu DHCP Server Trang 13
1.3. Cấu hình DHCP Trang 14

2. Captive portal Trang 15
2.1. Giới thiệu Trang 15
2.2. Tính năng chính trong Captive portal Trang 16
2.3. Các tính năng trong menu Captive portal Trang 16
2.4. Cấu hình Captive portal dùng tính năng local uses Trang 19
3. Load Balancer Trang 21
3.1. Giới thiệu Trang 21
3.2. Các tính năng trong menu Load Balancer Trang 22
3.3. Cấu hình Load Balancer Trang 23
4. VPN Trang 26


4.1. Giới thiệu Trang 26
4.2. PPTP VPN Server Trang 27
4.2.1. Các tính năng trong menu PPTP VPN Server Trang 27
4.2.2. Cấu hình PPTP VPN Trang 28
5. PPPoE Server Trang 33
5.1. Giới Thiệu Trang 33
5.2. Các tính năng trong menu của PPPoE Server Trang 33
5.3. Cấu hình PPPoE Server Trang 34
6. Dynamic DNS Trang 37
6.1. Giới thiệu Trang 37
6.2. Các tính năng trong menu Dynamic DNS Trang 38
IV. Một số ứng dụng trong Firewall pfSense…………………Trang 39
1. Firewall Rules Trang 39
2. NAT……………………………………………………… Trang 41
3. Traffic Shaper……………………………………………… Trang 41
4. Virtual IP…………………………………………………….Trang 47
5. Firewall Schedules……………………………………… …Trang 49
6. State Table………………………………………………… Trang 50

V. Thiết kế và cài đặt hệ thống mạng sử dụng pfSense làm
Firewall………………………………………………….……Trang 52
1. Sơ đồ hệ thống mạng……………………………………… Trang 52
2. Tóm tắt sơ lược về mô hình……………………………….…Trang 55
3. Triển khai tính năng DHCP Server………………………….Trang 55


4. Triển khai tính năng VPN……………………………………Trang 58
5. Triển khai tính năng Captive Portal chứng thực Radius…….Trang 66
6. Triển khai tính năng Load Balancer… …………… ………Trang 76
7. Triển khai tính năng VPN Ipsec………………………… …Trang 81

DANH SÁCH HÌNH
Hình 1 Màn hình Wellcom to pfSense Trang 02
Hình 2 Màn hình chính của pfSense Trang 06
Hình 3 Giao diện chính của pfSense trên Web Trang 11
Hình 4 Giao diện Install Package Trang 11
Hình 5 Giao diện Backup and Recovery Trang 12
Hình 6 Giao diện tính năng dịch vụ DHCP Server Trang 13
Hình 7 Giao diện tính năng dịch vụ Captive Portal Trang 16
Hình 8 Tính năng chính trong dịch vụ Load Balancer Trang 22
Hình 9 Các tính năng dịch vụ PPTP VPN Server Trang 27
Hình 10 Các tính năng dịch vụ PPPoE Server Trang 33
Hình 11 Mô hình dịch vụ Dynamic DNS Trang 37
Hình 12 Giao diện Firewall Rules Trang 39
Hình 13 Giao diện Firewall NAT Trang 41
Hình 14 Giao diện Traffic Shaper Trang 42
Hình 15 Các tính năng Virtual Ips Trang 47
Hình 16 Giao diện Firewall Schedules Trang 49
Hình 17 Giao diện State Table Trang 50

Hình 18 Mô hình triển khai Firewall pfSense Trang 52

Trang 1

I. Giới thiệu pfSense Firewall
 An toàn thông tin, dữ liệu là vấn đề cấp thiết đặt ra cho các tổ chức, doanh nghiêp vừa
và nhỏ, nhưng đồng thời đó cũng là một gánh nặng chi phí trong trường hợp tài chính
hạn hẹp. Phải làm thế nào, và liệu các thiết bị “Tường lửa tất cả trong một “ có phải là
giải pháp ?
 Để bảo vệ cho hệ thống mạng bên trong thì chúng ta có nhiều giải pháp như sử dụng
Router Cisco, dùng tường lửa của Microsoft như ISA. Tuy nhiên những thành phần kể
trên tương đối tốn kém. Vì vậy đối với người dùng không muốn tốn tiền nhưng lại
muốn có một tường lửa bảo vệ hệ thống mạng bên trong (mạng nội bộ) khi mà chúng
ta giao tiếp vối hệ thống mạng bên ngoài (Internet) thì PFSENSE là một giải pháp tiết
kiệm và hiệu quả tương đối tốt nhất đối với người dùng. PfSense là một ứng dụng có
chức năng định tuyến vào tường lửa mạnh và miễn phí, ứng dụng này sẽ cho phép bạn
mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo mật. Bẳt đầu vào năm 2004,
khi m0n0wall mới bắt đầu chập chững, đây là một dự án bảo mật tập trung vào các hệ
thống nhúng. pfSense đã có hơn 1 triệu download và được sử dụng để bảo vệ các
mạng ở tất cả kích cỡ, từ các mạng gia đình đến các mạng lớn của của các công ty.
Ứng dụng này có một cộng đồng phát triển rất tích cực và nhiều tính năng đang được
bổ sung trong mỗi phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn định và khả
năng linh hoạt của nó. PfSense bao gồm nhiều tính năng mà bạn vẫn thấy trên các
thiết bị tường lửa hoặc router thương mại, chẳng hạn như GUI trên nền Web tạo sự
quản lý một cách dễ dàng. Trong khi đó phần mềm miễn phí này còn có nhiều tính
năng ấn tượng đối với firewall/router miễn phí, tuy nhiên cũng có một số hạn chế.
PfSense hỗ trợ lọc bởi địa chỉ nguồn và địa chỉ đích, cổng nguồn hoặc cổng đích hay
địa chỉ IP. Nó cũng hỗ trợ chính sách định tuyến và có thể hoạt động trong các chế độ
bridge hoặc transparent, cho phép bạn chỉ cần đặt pfSense ở giữa các thiết bị mạng mà
không cần đòi hỏi việc cấu hình bổ sung. pfSense cung cấp network address

translation (NAT) và tính năng chuyển tiếp cổng, tuy nhiên ứng dụng này vẫn còn
một số hạn chế với Point-to-Point Tunneling Protocol (PPTP), Generic Routing
Encapsulation (GRE) và Session Initiation Protocol (SIP) khi sử dụng NAT. PfSense
được dựa trên FreeBSD và giao thức Common Address Redundancy Protocol
(CARP) của FreeBSD, cung cấp khả năng dự phòng bằng cách cho phép các quản trị
viên nhóm hai hoặc nhiều tường lửa vào một nhóm tự động chuyển đổi dự phòng. Vì
nó hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên có thể thực hiện việc cân bằng tải.


Trang 2
II. Cài đặt và cấu hinh
1. Cài đặt pfSense
 Sử dụng máy ảo VMWare 7.1 để tiến hành cài đặt pfSense
Hình 1 Màn hình wellcom to pfSense !!


 Hiển thị địa chỉ MAC của 3 card mạng

Trang 3

 Lần lượt nhập :le0(Enter),le1(Enter),le2(Enter),(Enter)
 Nhập Y để tiếp tục

 Nhập 99 để cài đặt pfSense vào ổ cứng

Trang 4

 Chọn Accept these setting để chấp nhận cài đặt



 Chọn Quick/Easy Install để cài đặt vào ổ cứng

Trang 5

 Chọn Uniprocessor kernel(one processor) để tiếp tục


 Quá trình cài đặt đã hoàn thành. Chọn Reboot để khởi động lại pfSense









Trang 6
2. Cấu hình card mạng LAN và WAN cho pfsense


Hình 2 Màng hình chính của pfsense


 Chọn 2 để cấu hình địa chỉ ip cho card LAN
 Nhập địa chỉ : 172.16.1.1
 Nhập Subnet Masks: 24
 Nhập N để bỏ qua bước cấu hình DHCP



Trang 7

 Từ Menu Interface chọn WAN


 SelectedType : static
 IP Address : 192.168.1.10/24
 Gateway : 192.168.1.1
 Chọn Save để lưu lại cấu hình






Trang 8
3. Cấu hình pfSense qua giao diện WebGUI


 Gõ địa chỉ IP Card mạng LAN để đăng nhập vào pfsense


 Nhập địa chỉ DNS cho pfSense
 Chọn Next để tiếp tục

Trang 9

 Chọn muối thời gian cho pfSense
 Chọn Next để tiếp tục


 Cấu hình địa chỉ IP cho card mạng WAN
 SelectedType : static
 IP Address : 192.168.1.10/24
 Gateway : 192.168.1.1
 Chọn Next để tiếp tục

Trang 10

 Cấu hình địa chỉ IP cho card mang LAN
 Nhấn Next để tiếp tục

 Nhập mật khẩu của Admin


 Khởi động lại pfSense
 Sau đó đăng nhập bằng mật khẩu mới

Trang 11

Hình 3 Giao diện màn hình chính của pfSense trên nền Web
4. Cài đặt Packages


Hình 4 Giao diện Install Package
 Để mở rộng chương trình tôi có thể thêm gói cài đặt cần thiết
 Để cài đặt tôi nhấp vào “Add”

Trang 12

 Quá trình cài đặt Package đang được thực hiện

 Sau khi cài thành công Package sẽ được hiển thị ở Tab “Installed
packages”
5. Backup And Recovery
 Từ Menu Diagnostics chọn Backup/restore

Hinh 5 Giao diện Backup and Recovery
 Việc sao lưu và phục hồi tương đối đễ dàng. Chỉ cần chọn khu vực cần sao
lưu hay phục hồi.


Trang 13
III. Một số dịch vụ của pfSense
1. DHCP Server
1.1 Giới Thiệu
DHCP viết tắt của từ Dynamic Host Configuration Protocol - Giao thức cấu hình
Host động. Giao thức cung cấp phương pháp thiết lập các thông số cần thiết cho
hoạt động của mạng TCP/IP giúp giảm khối lượng công việc cho quản trị hệ thống
mạng. DHCP server là một máy chủ có cài đặt dịch vụ DHCP. Nó có chức năng
quản lý sự cấp phát địa chỉ IP động và các dữ liệu cấu hình TCP/IP.
Pfsense cung cấp dịch vụ DHCP server dùng để tự động cấu hình cho mạng
TCP/IP bằng cách tự động gán các địa chỉ IP cho các máy client khi nó tham gia
vào mạng.
1.2 Các tính năng trong menu DHCP Server

Hình 6 Giao diện tính năng dịch vụ DHCP Server


Trang 14
 Enable DHCP server on LAN interface : Cho phép dịch vụ DHCP
server trong pfsense hoạt động.

 Deny unknown clients : không cấp phát ip cho các máy client không được
xác định.
 Range : giới hạng địa chỉ cấp phát cho các máy client.
 Default lease time : mặc định thời gian dhcp cấp phát IP cho client ngừng
hoạt động (mặc định nếu không nhập vào là 7200 giây).
 Maximun lease time : thời gian tối đa máy client được sử dụng IP do dhcp
cấp phát (mặc định là 86400 giờ ).
1.3 Cấu hình
 Tính năng DHCP Server nằm ở mục Service/DHCP Server.


Trang 15
 Chọn Enable DHCP server on LAN interface để bật chức năng DHCP
server.
 Range: giới hạn vùng địa chỉ IP mà DHCP Server cấp cho các máy client.
 DNS Server : cấp phát địa chỉ phân giải tên miền DNS.
 Gateway: địa chỉ IP thông ra ngoài mạng.
 Chọn Save để lưu lại cấu hình.

Bên máy Client
 Máy Client đã nhận được IP từ pfSense.

2. Captive portal
2.1 Giới thiệu
 Captive portal là một tính năng thuộc dạng flexible, chỉ có trên các firewall thương
mại lớn. tính năng này giúp chuyển hướng trình duyệt của người dùng vào một
trang Web định sẵn, từ đó giúp chúng ta có thể quản lý được người dùng (hoặc
cấm không cho người khác dùng mạng của mình). Tính năng này tiên tiến hơn các
kiểu đăng nhập như WPA, WPA2 ở chỗ người dùng sẽ thao tác trực tiếp với 1
trang web (http, https) chứ không phải là bảng đăng nhập khô khang như kiểu

authentication WPA, WPA2.
 Captive Portal cho phép việc chứng thực có hiệu quả, hoặc chuyển hướng click
chuột thông qua trang web để truy cập vào mạng. Điều này thường được dùng vào

Trang 16
các vị trí mạng nóng, nhưng cũng được sử dụng rộng rãi trong các mạng doanh
nghiệp thêm một lớp bảo mật truy cập mạng không dây hoặc Internet.
2.2 Tính năng chính trong Captive portal
 Captive portal: tinh chỉnh các chức năng của Captive Portal.
 Pass-though MAC: các MAC address được cấu hình trong thư mục này sẽ bỏ
qua, không chứng thực.
 Allowed IP address: các IP address được cấu hình sẽ không chứng thực.
 User : tạo local user để dùng kiểu chứng thực local user.
 Hai tính năng Pass-though MAC và Allowwed IP address được dùng để cấu
hình server.
 File Manager: tải trang quản lý của Captive portal lên pfSense.
2.3 Các tính năng trong menu Captive portal

Hình 7 Giao diện tính năng dịch vụ Captive Portal

Trang 17
 Enable captive portal : đánh dấu chọn nếu muốn sử dụng captive portal.
 Maximum concurrent connections: giới hạn các connection trên mỗi
ip/user/mac. Giới hạn số lượng kết nối qua các cổng thông tin của mỗi IP
client. Tính năng này ngăn chặng từ chối dịch vụ từ các máy tính client gửi
lưu lượng mạng truy cập liên tục mà không chứng thực.
 Idle timeout: ngắt kết nối sau một thời gian cố định mỗi ip truy cập.
 Hard timeout : buộc ngắt kết nối của tất cả các client sau thời gian đã
được cài đặt sẵn.
 Logout popup windows: lựa chon tới cửa sổ pop up với button đăng nhập

xuất hiện 1 popup thông báo cho ip/user/mac\.
 Redirect URL: địa chỉ URL mà người dùng sẽ được chuyển hướng tới sau
khi đăng nhập.

 MAC filtering: đánh dấu vào nếu pfsense nằm trước router. Bởi vì pfsense
quản lý kết nối theo MAC (mặc định). Mà khi dữ liệu qua Router sẽ bị thay
đổi mac address nên nếu timeout thì toàn bộ người dùng sẽ mất kết nối.