MỤC LỤC
Internet Gateway với Firewall Open Sources Trang 1
CHƯƠNG 1. TỔNG QUAN
1.1. Tổng quan tường lửa
!"#$%!& '&( )
*+"& ,#!-#!
.&/001234& &
+5,+6$#)124
".!7! )*+
&#!8/005*+!#$#19 !
& (':-;&<&
*+"6& ($#(=')*+
>?@9A1@BC$#$#D4(
E',)!=& +F+)*+"D4
.+F+G & H+
$I1
#$++J=)(
)*+".! )*+ +++.
K.8$-!#$#$-"&E
J=',&#!':-4&"L
'"L)&%DE1MH+
C"&%J3.+
N5*+>/OPAC$1@Q
J==<&#)5)&&
'RS).+F+&!<&#:
&Q1
2!&#.!"6!T
:U
• $V0$$%1
• !'%U+N)"'%+#1
Internet Gateway với Firewall Open Sources 2
• )&WHS1
• 9X.1
D#+Y#++$*W1ZG
#4TC$*& *+!#
C"&T)!Y.!4$%H.
+$%4:.1[$.C
.SB +TG&$W
+#$%H1
@4$.!C$U>P+0A\0]0"@^900"
?++^900P0_`)0/+01@34T
&!$L$Q +=
TC!#++')H1
1.1.1. Stac packet-ltering rewall
\0^a0( )*+$Q
0'0Y41";&(7
':.-G/\E"/\&;"W'%1
'!)H+CN:'R
)4N&%& 4&8$-)$-
!-"'b&'c'$%8G4!1
P+0a0& N0I&."
!&#IG+d>G+`!AYSeP/12434&
$%&%)=N0#01
Internet Gateway với Firewall Open Sources 3
Hình 1: Packet-filter trong mô hình OSI
1.1.2. Applicaon-level rewal
`#IG+f'6& (+N)1\N)
#$#);F+48#!
&#!gF+)&E7&W&%D
E&%D&;&$T!-=!
Y.1G+f'7(
!':-'%/00'R&)=*',
1`#+N)00&*+'%L'
#)&Ch"!&5)47+5;4',1
i48$-&W)"B& &
&N&%;4+F+4)&!
#$#)1
9!)I&HY!SX4
&&+& &&N&%G
+F+&!#$#1G+L'& N0
L"B!&#!G+L'>G+jA
YSeP/1
Hình 2: Tường lửa lớp ứng dụng
1.1.3. Circuit-level rewall
Internet Gateway với Firewall Open Sources 4
@^00'R&I!+-.,
'R*)1@B!&#!G+\->G+kAYSeP/1
Pe@iP>Pe@i0P@\V/\A'!^00
& +'H1^006& $&
+N)".':-"L+#
'Y !1@B+F+=8.)+
4':-C4& I&>&%DEV&;"
.+EV&;A1^003& N0
LYSC!&#.G
G+L'
Hình 3: Circuit-level firewall
1.1.4. Stateful inspecon rewall
!&!=$.
!1lQE&%D&;"'
L'"E.".,4!
4GYR#01!4
H+#+!)*+#'R!
m)T"Y�'nJ=':
!&#+F+1!
!&#CGLf'"& N0
Internet Gateway với Firewall Open Sources 5
L$"!&#IG+`!G+o*
>G+dpAYSeP/1
Hình 4:Stateful inspection firewall
1.2. Các mô hình triển khai tường lửa
@4$'!B& U#G+"
G+"$G+>6& (TG+A1iB
#G+& .#0&/00>=,
R!A1`S#G+,
;J=#HC$"B)
:& C$*.1
iBG+'#4$0q
0_0I-"+F+*+-#RO`r=
sN0&+G!$-1O`r& '&=
,.)Y'R$-4
)*+1
`#B$G+YT!,
!#$#/00J$I1`X
4)K(-=C&!)T)*+$H
+.!',!)1`!R
& #RO`r19G+!L4
#G+!)+Q+;
Internet Gateway với Firewall Open Sources 6
J+L!+0)-Y)Y!RO`r>;'U
'$0"q0$00tA1`!L$=$^0'4X
!#$#1iB)H")-L&#
+L!+CGB6!1
Hình 5: Mô hình tường lửa một lớp
Hình 6: Two-tier
Hình 7: Three-tier
1.3. Tổng quan pfSense
\_P00#':EI':-T&T
]00lPO& '#=#$%&%
)1@l00Pu*+':
vvqJwvvp1)-!&wvvp"+=+
H&T4J<EY(C;.G
++; ++L>$%'xp`ly?`A1
\_P00G:+0&<X #<T
+L& :&44+G8#&#
'<EIG1@RGLJ
!7"5G'R-+_P00& #&E
'#<'+8z1\_P00
)-HS+LH+-+R +; +
Internet Gateway với Firewall Open Sources 7
$%; +QJ;&#
HS*1
\-$+_P00!& $.w1{"*++
;JX !/\x1
1.4. Một số phương pháp triển khai thực tế
ZG;J!"+_P00& 'T
&;-:1oH+CG
,$%R!"X ,;JC$5
Z\2"lo\"|00"5$Q"}Pt
@LJ& '$EU
• UG;JN4@\V/\!7"
-+_P00& 'R#Q(
,. +++&#+5R!
D&%1
• $%&%)!|?2V9?2U&46#
0"+_P00X LJ&%)
\\s"lo\t+R +'+G
H+&-0RL
J1!9?2"+_P00X
L~vw1{+F+5-•*4!
&%+5R!#$#1\_P004
X $Jdo$+=NCkvv1vvv4
V5)"S*)+_P004')#
$%qG+d>)-4-'!A1
• |00?0\1
• `)YZ\2VO2PVOM@\VP€0U+_P00& ;
+-<EI)O2P
>+UVV)'1A"+'+>+UVVqqq1+'+1VA
Q+G6)YO2P=)Y
€0>*+4+5;A1
Internet Gateway với Firewall Open Sources 8
1.5. Các nền tảng phần cứng hỗ trợ
90@OU5-%.4'+_P00$Q
I&#<E+_P00':+-@O=
uPl1)-"+C++)& )'
'#.;J7&E% )*+:
1
@&=$%4B);>+0$0''00AU
&5)+C++& )'1\_P00&
&=-$%);7X &)&Y;J
&<; +1)-"5-%B+_P00
X I&#TT&T>`^$A"S
*)$&Q$%,>MOO"PPOA4$%N4
KS&=1
; +>0$0''0'AU+_P00& &=-h@]4&
'$%+L; +1)-'!
T,"-'-HS
'$#Gy?`.&,$*
S*1
Internet Gateway với Firewall Open Sources 9
CHƯƠNG 2. TRIỂN KHAI HỆ THỐNG PFSENSE
TRONG MÔI TRƯỜNG MẠNG DOANH NGHIỆP
2.1. Sơ đồ triển khai cơ bản
Hình 8: Sơ đồ hệ thống
{•w1{x~1v1v
Vwp
Z20v
>?$'A
\5R
!.
/00
{jw1{x1{v1v
Vwp
Z20~>M^
)A
\5R&=
)Y
q0$1
!
{v1v1v1vVwp
Z20{>M^
)A
\5R
!#$#1
2.2. Cài đặt pfSense
:@O&=\_00!q0$0qqq1+_00112
'R4'q'+-$&=+R +G
:!Oq'1M!+_P00&<X T
Internet Gateway với Firewall Open Sources 10
4Z`q0"'4; +:+!
'c'1
;'$-'G"B:&=+_P008*+
/Pe&<& &‚@O1@HS+L'$
EU"#$%"&''"()*+,(-+.(#
()"1
Hình 9: PfSense thông báo thông tin đăng nhập mặc định
2.3. Cấu hình pfSense cơ bản
!+)"B:HSLJC$
Y+_P00$Q'%|0$>|0$ou/A1:)
*+&%D/\.&<H+)+_P00Sj"
&J*+G=&%0U'"+q'U+_001
P&<&J*+"+_P007)-HS#
.C$+R +G.!'1
Internet Gateway với Firewall Open Sources 11
Hình 10: Cấu hình thông tin IP
!HS/\'!.G.|?2"
%-HS;N.G.|?2
'H+'%>/P\A&<H+1\_P00X '!
HS/\.|?2UOM@\VPV\\sV\\\1
@HS\_P00H+OM@\)0R!
9?21
@B:&J#'!R9?2G&%
D`?@CL!0/0_0ƒ?
Hình 11: Lựa chọn địa chỉ MAC tương ứng
Internet Gateway với Firewall Open Sources 12
+0"BHS/\"O2P'!
.GR!#$#1@BU +5-
%.'+_P00#)YOM@\S$K$#
'9?2+& HS&%D/\‚1
Hình 12: Thông tin mô tả card mạng
Hình 13: Địa chỉ IP được cấu hình tại card LAN
PHSC$"HBP0„?++)
0…1@)0P00ƒOM@\P00"(h
9?21
Hình 14: Cung cấp dãy IP mà pfSense cấp cho người dùng
Hình 15: Cung cấp DNS tại phía người dùng
Hình 16: Cung cấp Default gateway
PHS"!+;0:)-00
H+/\&)T1
Internet Gateway với Firewall Open Sources 13
Hình 17: Client đã được cấp IP từ pfSense
Hình 18: Kiểm tra kết nối mạng LAN
Hình 19: Kiểm tra kết nối Internet
Internet Gateway với Firewall Open Sources 14
Hình 20: Trạng thái cấp phát IP tại pfSense
2.4. Cấu hình tường lửa
2.4.1. Alias
?#+C++&=$;'#=T
/\V20qVuy9tQB+%-'c'&%
D!=$01
:)*+0ƒ?0&!G=D
1
Hình 21: Giao diện tạo alias
Hình 22: Alias Webserver1
+_P00X !$Q#'&%D/\& ,
8N":*+*':�&<
& HS1
Internet Gateway với Firewall Open Sources 15
Hình 23: URL Table Alias
Hình 24: Danh mục IP Trung Quốc
Hình 25: Alias danh mục website
2.4.2. NAT
20q?''0>2?A#C)&W/\&
'#<"Q. /\+$.G
.!/001@C2?' '0#
':G)T',$'$'1
e$'2?'R)&W/\+0/\+$G
&;+F+);!#$#4.
/001/$'2?'R)&W/\8$-)
;#$#1
Internet Gateway với Firewall Open Sources 16
*/0/*/$ "1"2
!0ƒ2?ƒ(h\]q'":!
G#02?+F+);8/00)*+)
Yq0$RO`r1
Hình 26: NAT Webserver1 - DMZ
Internet Gateway với Firewall Open Sources 17
Hình 27: Truy cập máy chủ web từ Public IP
*/0/*/* )3&4"$5$
@HS2?0†0{U{& 'RN!{&%D/\+$
{/\+01
Hình 28: Cấu hình NAT Reflection 1:1
Internet Gateway với Firewall Open Sources 18
*/0/*/# 678"72
i'HS=&%2?e$'"+_P007
:&#!$2?+F+/\+0)*+
00/\+$1@HSb)$E
0+F+.Z\2&.")-%-
B!-0+R +G!!1
Hình 29: Automatic outbound NAT
[.G,!!+L!+)-HS,0
&#C&+R +GB!'+"4
(`e$'2?G&;R)$0
41
2.4.3. Rules
y0+C$.B+!
;!':-S@\V/\10HS=
&%Y+_P00"0+F+R!.G
")-)=+:')-
Internet Gateway với Firewall Open Sources 19
$*"5-%!R)$0+R
+G;)*+!Y'+1
Hình 30: Rule mặc định được cấu hình tại card WAN
@BU +'2?+_q'S+_P00:
&#!0+R ++F+.8!|?2&R
O`r1
Hình 31: Rule được tạo tự động khi sử dụng NAT
@+C$Y0U
• ?U+_P004dR)(\Vl>Y)4
AVy0‡0>IyPT+;'RAg
• O$0'UK!&#Y0!
N4g
• @\V/\0U+_P00!&#G+-$/\p
/\xg
• \U+_P00+F+R)(L)T
',>@\"uO\"/@`\tAL&%)>eP\]"
/o`\Ag
• P0VO0>+AUD&%/\EV&;g
• 9U$*LJ0'n!&#Y0!1
2.4.4. Schedules
@LJ*+%+_P00+F+HS!
&#Y.#:&#$&<
& *+ˆ1lQ)".+_P007:&#&T
Da0q00*+%1
Internet Gateway với Firewall Open Sources 20
Hình 32: Giao diện lập lịch pfSense
@B:HSD+F+)*+q0$00Y
)&<& D&%P0'01!
0HS0":D&%$&<
& !G&41
Hình 33: Chỉ định thời gian biểu Working
Hình 34: Rule hoạt động khi thời gian biểu phù hợp
2.5. QoS
‰P+06& (}P>})_P00A& '
4T!'%!R!&#
Z/\"'0q"0t"N5)':}P
Internet Gateway với Firewall Open Sources 21
!'+(Q$&;W
&%'%&#-1
Z}P& '+_P00':-T?}
>?900}00A1?}& ; +'lPOu2/Š
QH+CN43E$J
&1[.GE',@\V/\=&%S4
& N0L:&>+C++]/]eA1
[)&WL:4& N"?}'*N
4':-L&#-1@*& ?}
'RC*+%4$E@l0'
}0>@l}A"\)^$0'00>\y/}AM0]
P00@0>M]P@A1
• @l}U@^$0'00!&#':D.
$J!.+J$J&
'=W' & '0&C%
$"0$=$G;$Q
5)1@l}:+5L-48v
&j"44&#-C7& N
GG44&#-H+C1Z;'U
9&:;<.4"
:=&
>:?@A&'B
2<
8 dv‹
- wv‹
w‹
dv‹
C:D& {~‹
• \y/}UC\y/}':L&#-&
Lv&{k"'%4%
-C7& NG1
• M]P@U*M0]P00@0&
'Q$&.&T4I#LW
Internet Gateway với Firewall Open Sources 22
&%8!'%1o"$!!#.
&-&#q0$00S5)&
-$J'.&Œ{vvilV5)"
5)+0S$J7N.+#
HSŒwkilV01Z*) +
'R:#*+' k`l7&
+_P00G!I.&#H+Q$&&Y$J
.1
@+-$+_P008w1v; +-CO)0"&5)
C& ';+a0q1`#;J!
7+_P00H+&'R+F+$J
&.GLG+jP)+0"/y@"•"t+_q^
_)'L'%+5!4L
G+j& !$I#CS1
@C(}P!G+j& :$.$G;U
• \5!4LG+jUS)& N
C4!?}=
O)0Q+5!4@\V/\1
• @)GE',U4&
& !G+d>&%DEV&;A7&
+_P00)N!S+_q^_)'1
• !bLG+jUb)&
+_P00&%‚*+4'!
01+Q!
VVV0V+"&5)+(
B++_P004N&%L!&#!
G+j1
Internet Gateway với Firewall Open Sources 23
Hình 35: Các tập tin lưu trữ các mẫu dữ liệu giao thức lớp ứng dụng
Hình 36: Mẫu dữ liệu giao thức lớp 7 chương trình Half-Life 2
• @D&%U4& R!
$Gd"S+_q^_)'7:Y)V
+F+4+#HS8'R1
Hình 37: Quy trình xử lý gói tin tại pfSense
@HS!+_P00
Internet Gateway với Firewall Open Sources 24
)*+0ƒ‰P+0ƒ(h|Ž'"
+_P00H+ˆ#.HS'R
B!$EUP09|"P0|
9"`9V|O0'0'1
Hình 38: Các cấu hình tham khảo do pfSense cung cấp
@B:({HSbC&E!P•[•
y/‘2iM?/P0|91
Hình 39: Số lượng card LAN
Hình 40: Nhập thông số băng thông cho phép Upload/Download
Internet Gateway với Firewall Open Sources 25