báo cáo Internet gateway với firewall open sources
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.36 MB, 71 trang )
MỤC LỤC
Internet Gateway với Firewall Open Sources Trang 1
CHƯƠNG 1. TỔNG QUAN
1.1. Tổng quan tường lửa
!"#$%!& '&( )
*+"& ,#!-#!
.&/001234& &
+5,+6$#)124
".!7! )*+
&#!8/005*+!#$#19 !
& (':-;&<&
*+"6& ($#(=')*+
>?@9A1@BC$#$#D4(
E',)!=& +F+)*+"D4
.+F+G & H+
$I1
#$++J=)(
)*+".! )*+ +++.
K.8$-!#$#$-"&E
J=',&#!':-4&"L
'"L)&%DE1MH+
C"&%J3.+
N5*+>/OPAC$1@Q
J==<&#)5)&&
'RS).+F+&!<&#:
&Q1
2!&#.!"6!T
:U
• $V0$$%1
• !'%U+N)"'%+#1
Internet Gateway với Firewall Open Sources 2
• )&WHS1
• 9X.1
D#+Y#++$*W1ZG
#4TC$*& *+!#
C"&T)!Y.!4$%H.
+$%4:.1[$.C
.SB +TG&$W
+#$%H1
@4$.!C$U>P+0A\0]0"@^900"
?++^900P0_`)0/+01@34T
&!$L$Q +=
TC!#++')H1
1.1.1. Stac packet-ltering rewall
\0^a0( )*+$Q
0'0Y41";&(7
':.-G/\E"/\&;"W'%1
'!)H+CN:'R
)4N&%& 4&8$-)$-
!-"'b&'c'$%8G4!1
P+0a0& N0I&."
!&#IG+d>G+`!AYSeP/12434&
$%&%)=N0#01
Internet Gateway với Firewall Open Sources 3
Hình 1: Packet-filter trong mô hình OSI
1.1.2. Applicaon-level rewal
`#IG+f'6& (+N)1\N)
#$#);F+48#!
&#!gF+)&E7&W&%D
E&%D&;&$T!-=!
Y.1G+f'7(
!':-'%/00'R&)=*',
1`#+N)00&*+'%L'
#)&Ch"!&5)47+5;4',1
i48$-&W)"B& &
&N&%;4+F+4)&!
#$#)1
9!)I&HY!SX4
&&+& &&N&%G
+F+&!#$#1G+L'& N0
L"B!&#!G+L'>G+jA
YSeP/1
Hình 2: Tường lửa lớp ứng dụng
1.1.3. Circuit-level rewall
Internet Gateway với Firewall Open Sources 4
@^00'R&I!+-.,
'R*)1@B!&#!G+\->G+kAYSeP/1
Pe@iP>Pe@i0P@\V/\A'!^00
& +'H1^006& $&
+N)".':-"L+#
'Y !1@B+F+=8.)+
4':-C4& I&>&%DEV&;"
.+EV&;A1^003& N0
LYSC!&#.G
G+L'
Hình 3: Circuit-level firewall
1.1.4. Stateful inspecon rewall
!&!=$.
!1lQE&%D&;"'
L'"E.".,4!
4GYR#01!4
H+#+!)*+#'R!
m)T"Y�'nJ=':
!&#+F+1!
!&#CGLf'"& N0
Internet Gateway với Firewall Open Sources 5
L$"!&#IG+`!G+o*
>G+dpAYSeP/1
Hình 4:Stateful inspection firewall
1.2. Các mô hình triển khai tường lửa
@4$'!B& U#G+"
G+"$G+>6& (TG+A1iB
#G+& .#0&/00>=,
R!A1`S#G+,
;J=#HC$"B)
:& C$*.1
iBG+'#4$0q
0_0I-"+F+*+-#RO`r=
sN0&+G!$-1O`r& '&=
,.)Y'R$-4
)*+1
`#B$G+YT!,
!#$#/00J$I1`X
4)K(-=C&!)T)*+$H
+.!',!)1`!R
& #RO`r19G+!L4
#G+!)+Q+;
Internet Gateway với Firewall Open Sources 6
J+L!+0)-Y)Y!RO`r>;'U
'$0"q0$00tA1`!L$=$^0'4X
!#$#1iB)H")-L&#
+L!+CGB6!1
Hình 5: Mô hình tường lửa một lớp
Hình 6: Two-tier
Hình 7: Three-tier
1.3. Tổng quan pfSense
\_P00#':EI':-T&T
]00lPO& '#=#$%&%
)1@l00Pu*+':
vvqJwvvp1)-!&wvvp"+=+
H&T4J<EY(C;.G
++; ++L>$%'xp`ly?`A1
\_P00G:+0&<X #<T
+L& :&44+G8#&#
'<EIG1@RGLJ
!7"5G'R-+_P00& #&E
'#<'+8z1\_P00
)-HS+LH+-+R +; +
Internet Gateway với Firewall Open Sources 7
$%; +QJ;&#
HS*1
\-$+_P00!& $.w1{"*++
;JX !/\x1
1.4. Một số phương pháp triển khai thực tế
ZG;J!"+_P00& 'T
&;-:1oH+CG
,$%R!"X ,;JC$5
Z\2"lo\"|00"5$Q"}Pt
@LJ& '$EU
• UG;JN4@\V/\!7"
-+_P00& 'R#Q(
,. +++&#+5R!
D&%1
• $%&%)!|?2V9?2U&46#
0"+_P00X LJ&%)
\\s"lo\t+R +'+G
H+&-0RL
J1!9?2"+_P00X
L~vw1{+F+5-•*4!
&%+5R!#$#1\_P004
X $Jdo$+=NCkvv1vvv4
V5)"S*)+_P004')#
$%qG+d>)-4-'!A1
• |00?0\1
• `)YZ\2VO2PVOM@\VP€0U+_P00& ;
+-<EI)O2P
>+UVV)'1A"+'+>+UVVqqq1+'+1VA
Q+G6)YO2P=)Y
€0>*+4+5;A1
Internet Gateway với Firewall Open Sources 8
1.5. Các nền tảng phần cứng hỗ trợ
90@OU5-%.4'+_P00$Q
I&#<E+_P00':+-@O=
uPl1)-"+C++)& )'
'#.;J7&E% )*+:
1
@&=$%4B);>+0$0''00AU
&5)+C++& )'1\_P00&
&=-$%);7X &)&Y;J
&<; +1)-"5-%B+_P00
X I&#TT&T>`^$A"S
*)$&Q$%,>MOO"PPOA4$%N4
KS&=1
; +>0$0''0'AU+_P00& &=-h@]4&
'$%+L; +1)-'!
T,"-'-HS
'$#Gy?`.&,$*
S*1
Internet Gateway với Firewall Open Sources 9
CHƯƠNG 2. TRIỂN KHAI HỆ THỐNG PFSENSE
TRONG MÔI TRƯỜNG MẠNG DOANH NGHIỆP
2.1. Sơ đồ triển khai cơ bản
Hình 8: Sơ đồ hệ thống
{•w1{x~1v1v
Vwp
Z20v
>?$'A
\5R
!.
/00
{jw1{x1{v1v
Vwp
Z20~>M^
)A
\5R&=
)Y
q0$1
!
{v1v1v1vVwp
Z20{>M^
)A
\5R
!#$#1
2.2. Cài đặt pfSense
:@O&=\_00!q0$0qqq1+_00112
'R4'q'+-$&=+R +G
:!Oq'1M!+_P00&<X T
Internet Gateway với Firewall Open Sources 10
4Z`q0"'4; +:+!
'c'1
;'$-'G"B:&=+_P008*+
/Pe&<& &‚@O1@HS+L'$
EU"#$%"&''"()*+,(-+.(#
()"1
Hình 9: PfSense thông báo thông tin đăng nhập mặc định
2.3. Cấu hình pfSense cơ bản
!+)"B:HSLJC$
Y+_P00$Q'%|0$>|0$ou/A1:)
*+&%D/\.&<H+)+_P00Sj"
&J*+G=&%0U'"+q'U+_001
P&<&J*+"+_P007)-HS#
.C$+R +G.!'1
Internet Gateway với Firewall Open Sources 11
Hình 10: Cấu hình thông tin IP
!HS/\'!.G.|?2"
%-HS;N.G.|?2
'H+'%>/P\A&<H+1\_P00X '!
HS/\.|?2UOM@\VPV\\sV\\\1
@HS\_P00H+OM@\)0R!
9?21
@B:&J#'!R9?2G&%
D`?@CL!0/0_0ƒ?
Hình 11: Lựa chọn địa chỉ MAC tương ứng
Internet Gateway với Firewall Open Sources 12
+0"BHS/\"O2P'!
.GR!#$#1@BU +5-
%.'+_P00#)YOM@\S$K$#
'9?2+& HS&%D/\‚1
Hình 12: Thông tin mô tả card mạng
Hình 13: Địa chỉ IP được cấu hình tại card LAN
PHSC$"HBP0„?++)
0…1@)0P00ƒOM@\P00"(h
9?21
Hình 14: Cung cấp dãy IP mà pfSense cấp cho người dùng
Hình 15: Cung cấp DNS tại phía người dùng
Hình 16: Cung cấp Default gateway
PHS"!+;0:)-00
H+/\&)T1
Internet Gateway với Firewall Open Sources 13
Hình 17: Client đã được cấp IP từ pfSense
Hình 18: Kiểm tra kết nối mạng LAN
Hình 19: Kiểm tra kết nối Internet
Internet Gateway với Firewall Open Sources 14
Hình 20: Trạng thái cấp phát IP tại pfSense
2.4. Cấu hình tường lửa
2.4.1. Alias
?#+C++&=$;'#=T
/\V20qVuy9tQB+%-'c'&%
D!=$01
:)*+0ƒ?0&!G=D
1
Hình 21: Giao diện tạo alias
Hình 22: Alias Webserver1
+_P00X !$Q#'&%D/\& ,
8N":*+*':�&<
& HS1
Internet Gateway với Firewall Open Sources 15
Hình 23: URL Table Alias
Hình 24: Danh mục IP Trung Quốc
Hình 25: Alias danh mục website
2.4.2. NAT
20q?''0>2?A#C)&W/\&
'#<"Q. /\+$.G
.!/001@C2?' '0#
':G)T',$'$'1
e$'2?'R)&W/\+0/\+$G
&;+F+);!#$#4.
/001/$'2?'R)&W/\8$-)
;#$#1
Internet Gateway với Firewall Open Sources 16
*/0/*/$ "1"2
!0ƒ2?ƒ(h\]q'":!
G#02?+F+);8/00)*+)
Yq0$RO`r1
Hình 26: NAT Webserver1 - DMZ
Internet Gateway với Firewall Open Sources 17
Hình 27: Truy cập máy chủ web từ Public IP
*/0/*/* )3&4"$5$
@HS2?0†0{U{& 'RN!{&%D/\+$
{/\+01
Hình 28: Cấu hình NAT Reflection 1:1
Internet Gateway với Firewall Open Sources 18
*/0/*/# 678"72
i'HS=&%2?e$'"+_P007
:&#!$2?+F+/\+0)*+
00/\+$1@HSb)$E
0+F+.Z\2&.")-%-
B!-0+R +G!!1
Hình 29: Automatic outbound NAT
[.G,!!+L!+)-HS,0
&#C&+R +GB!'+"4
(`e$'2?G&;R)$0
41
2.4.3. Rules
y0+C$.B+!
;!':-S@\V/\10HS=
&%Y+_P00"0+F+R!.G
")-)=+:')-
Internet Gateway với Firewall Open Sources 19
$*"5-%!R)$0+R
+G;)*+!Y'+1
Hình 30: Rule mặc định được cấu hình tại card WAN
@BU +'2?+_q'S+_P00:
&#!0+R ++F+.8!|?2&R
O`r1
Hình 31: Rule được tạo tự động khi sử dụng NAT
@+C$Y0U
• ?U+_P004dR)(\Vl>Y)4
AVy0‡0>IyPT+;'RAg
• O$0'UK!&#Y0!
N4g
• @\V/\0U+_P00!&#G+-$/\p
/\xg
• \U+_P00+F+R)(L)T
',>@\"uO\"/@`\tAL&%)>eP\]"
/o`\Ag
• P0VO0>+AUD&%/\EV&;g
• 9U$*LJ0'n!&#Y0!1
2.4.4. Schedules
@LJ*+%+_P00+F+HS!
&#Y.#:&#$&<
& *+ˆ1lQ)".+_P007:&#&T
Da0q00*+%1
Internet Gateway với Firewall Open Sources 20
Hình 32: Giao diện lập lịch pfSense
@B:HSD+F+)*+q0$00Y
)&<& D&%P0'01!
0HS0":D&%$&<
& !G&41
Hình 33: Chỉ định thời gian biểu Working
Hình 34: Rule hoạt động khi thời gian biểu phù hợp
2.5. QoS
‰P+06& (}P>})_P00A& '
4T!'%!R!&#
Z/\"'0q"0t"N5)':}P
Internet Gateway với Firewall Open Sources 21
!'+(Q$&;W
&%'%&#-1
Z}P& '+_P00':-T?}
>?900}00A1?}& ; +'lPOu2/Š
QH+CN43E$J
&1[.GE',@\V/\=&%S4
& N0L:&>+C++]/]eA1
[)&WL:4& N"?}'*N
4':-L&#-1@*& ?}
'RC*+%4$E@l0'
}0>@l}A"\)^$0'00>\y/}AM0]
P00@0>M]P@A1
• @l}U@^$0'00!&#':D.
$J!.+J$J&
'=W' & '0&C%
$"0$=$G;$Q
5)1@l}:+5L-48v
&j"44&#-C7& N
GG44&#-H+C1Z;'U
9&:;<.4"
:=&
>:?@A&'B
2<
8 dv‹
- wv‹
w‹
dv‹
C:D& {~‹
• \y/}UC\y/}':L&#-&
Lv&{k"'%4%
-C7& NG1
• M]P@U*M0]P00@0&
'Q$&.&T4I#LW
Internet Gateway với Firewall Open Sources 22
&%8!'%1o"$!!#.
&-&#q0$00S5)&
-$J'.&Œ{vvilV5)"
5)+0S$J7N.+#
HSŒwkilV01Z*) +
'R:#*+' k`l7&
+_P00G!I.&#H+Q$&&Y$J
.1
@+-$+_P008w1v; +-CO)0"&5)
C& ';+a0q1`#;J!
7+_P00H+&'R+F+$J
&.GLG+jP)+0"/y@"•"t+_q^
_)'L'%+5!4L
G+j& !$I#CS1
@C(}P!G+j& :$.$G;U
• \5!4LG+jUS)& N
C4!?}=
O)0Q+5!4@\V/\1
• @)GE',U4&
& !G+d>&%DEV&;A7&
+_P00)N!S+_q^_)'1
• !bLG+jUb)&
+_P00&%‚*+4'!
01+Q!
VVV0V+"&5)+(
B++_P004N&%L!&#!
G+j1
Internet Gateway với Firewall Open Sources 23
Hình 35: Các tập tin lưu trữ các mẫu dữ liệu giao thức lớp ứng dụng
Hình 36: Mẫu dữ liệu giao thức lớp 7 chương trình Half-Life 2
• @D&%U4& R!
$Gd"S+_q^_)'7:Y)V
+F+4+#HS8'R1
Hình 37: Quy trình xử lý gói tin tại pfSense
@HS!+_P00
Internet Gateway với Firewall Open Sources 24
)*+0ƒ‰P+0ƒ(h|Ž'"
+_P00H+ˆ#.HS'R
B!$EUP09|"P0|
9"`9V|O0'0'1
Hình 38: Các cấu hình tham khảo do pfSense cung cấp
@B:({HSbC&E!P•[•
y/‘2iM?/P0|91
Hình 39: Số lượng card LAN
Hình 40: Nhập thông số băng thông cho phép Upload/Download
Internet Gateway với Firewall Open Sources 25
