TRƯỜNG ĐẠI HỌC MỎ -ĐỊA CHẤT
KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN MÔN HỌC
AN NINH MẠNG

ĐỀ TÀI
Tìm hiểu về pfsense và triển khai thử nghiệm
Nhóm:07

SINH VIÊN THỰC HIỆN

1

1621050882

LÊ MINH TRƯỜNG

2

1621050864

TRẦN VĂN HIỆP

3

162105062
2

BẠCH QUỐC TOẢN

1


4

1621050297

TRẦN ĐÌNH CƯỜNG

Người hướng dẫn: ĐỖ NHƯ HẢI

2


Đồ án môn học AN NINH MẠNG

PHỤ LỤC

3


Đồ án môn học AN NINH MẠNG

CHƯƠNG I: GIỚI THIỆU CHUNG VỀ PFSENSE
1.1Khái niệm về pfsense
PfSense là một ứng dụng có chức năng định tuyến vào tường lửa mạnh và miễn
phí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa
hiệp về sự bảo mật. Bẳt đầu vào năm 2004, khi m0n0wallmới bắt đầu chập
chững– đây là một dự án bảo mật tập trung vào các hệ thống nhúng – pfSense đã
có hơn 1 triệu download và được sử dụng để bảo vệ các mạng ở tất cả kích cỡ, từ

các mạng gia đình đến các mạng lớn của của các công ty. Ứng dụng này có một
cộng đồng phát triển rất tích cực và nhiều tính năng đang được bổ sung trong
mỗi phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn định và khả năng linh
hoạt của nó.
1.2Tường lửa và các tính năng nổi bật
Pfsense bao gồm nhiều tính năng mà bạn vẫn thấy trên các thiết bị tường lửa
hoặc router thương mại, chẳng hạn như GUI trên nền Web tạo sự quản lý một
cách dễ dàng.
PfSense được dựa trên FreeBSD và giao thức Common Address Redundancy
Protocol (CARP) của FreeBSD, cung cấp khả năng dự phòng bằng cách cho
phép các quản trị viên nhóm hai hoặc nhiều tường lửa vào một nhóm tự động
chuyển đổi dự phòng. Vì nó hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên có
thể thực hiện việc cân bằng tải.
Đặc điểm khá quan trọng là cấu hình để cài đặt sử dụng phần mềm Pfsense
không đòi hỏi cao .Chúng ta chỉ cần một máy tính P3,Ram 128 MB ,HDD 1GB
cũng đủ để dựng được tường lửa Pfsense.
Tuy nhiên đặc thù Pfsense là tường lửa ngăn các nguy hại giữa mạng WAN và
mạng LAN nên máy cài đặt Pfsense yêu cầu tối thiểu 2 card mạng.
PfSense là tường lửa mềm, tức là bạn chỉ cần một máy tính bất kì, hoặc tốt hơn
là một máy chủ, rồi cài đặt pfSense là đã có ngay một tường lửa mạnh mẽ cho hệ
thống mạng trong doanh nghiệp. Trong phân khúc tường lửa cho doanh nghiệp
vừa và nhỏ, với khoảng dưới 1000 người sử dụng, pfSense được đánh giá là
tường lửa nguồn mở tốt nhất hiện nay với khả năng đáp ứng lên tới hàng triệu
kết nối đồng thời. Không những thế, tường lửa pfSense còn có nhiều tính năng
mở rộng tích hợp, tất cả trong một, vượt xa các tưởng lửa thông thường, kể cả
các tường lửa cứng của các hãng nổi tiếng về thiết bị mạng.

4



Đồ án môn học AN NINH MẠNG
Các tính năng nổi bật:

•
•
•
•
•
•
•
•
•
•
•
•
•
•

lửa tầng L3, L4, L7
Chặn truy cập theo khu vực địa lý
Quản lý chất lượng QoS
Proxy
Quản trị mạng không dây
Hỗ trợ VLAN
Cân bẳng tải
VPN theo 4 giao thức
Giám sát/Phân tích mạng
Quản lý tên miền (DC), hỗ trợ tên miền động (DynDNS)
Cho phép chạy song hành, failover
Hỗ trợ ngôn ngữ tiếng Việt (*)

Tự động cập nhật black list.
Tự động nâng cấp phiên bản

1.3Lợi ích của pfsense đem lại
Hoàn toàn miễn phí, giá cả là ưu thế vượt trội của tường lửa
pfSense. Tuy nhiên, rẻ không có nghĩa là kém chất lượng, tường
lửa pfSense hoạt động cực kỳ ổn định với hiệu năng cao, đã tối
ưu hóa mã nguồn và cả hệ điều hành. Cũng chính vì thê,
pfSense không cần nền tảng phần cứng mạnh. Nếu doanh
nghiệp không có đường truyền tốc độ cao, tường lửa pfSense chỉ
cần cài đặt lên một máy tính cá nhân là có thể bắt đầu hoạt
động. Điều đó càng góp phần làm giảm chi phí triển khai, đồng
thời tạo nên sự linh hoạt, tính mở rộng/sẵn sàng chưa từng có,
khi doanh nghiệp muốn có nhiều hơn một tường lửa.
Không chỉ là một tường lửa, pfSense hoạt động như một thiết
bị mạng tổng hợp với đầy đủ mọi tính năng toàn diện sẵn sàng
bất cứ lúc nào. Khi có một vấn đề về hệ thống mạng phát sinh,
thay vì phải loay hoay tìm thiết bị và mất thời gian đặt hàng,
doanh nghiệp có thể kết hợp các tính năng đa dạng trên
pfSense để tạo thành giải pháp hợp lý, khắc phục sự cố ngay lập
tức.
Không kém phần quan trọng là khả năng quản lý. Tường lửa
pfSense được quản trị một cách dễ dàng, trong sáng qua giao
diện web. Hơn thế nữa, pfSense đã có giao diện web quản trị
duy nhất bằng tiếng Việt, được các chuyên gia hệ thống mạng
của Techlink biên dịch, nên việc sử dụng càng trở nên đơn giản
và rõ ràng, giúp các nhà quản trị mạng thực sự thoải mái và
thấu hiểu về mọi hoạt động của tường lửa.
5



Đồ án môn học AN NINH MẠNG

Như vậy, tường lửa pfSense là sự kết hợp hoàn hảo và mạnh
mẽ, đem lại sự hợp lý cho các nhà tài chính, và sự tin tưởng cho
các nhà quản trị.

CHƯƠNG 2: CÁC TÌNH HUỐNG ỨNG DỤNG
2.1Cấm/Cho phép các truy cập từ bên ngoài hoặc bên trong mạng nội bộ
Mô tả: Hiện tại, doanh nghiệp có các máy chủ dịch vụ và nhiều
người dùng bên trong mạng nội bộ. Doanh nghiệp muốn:
- Từ bên ngoài mạng internet, người dùng chỉ được phép
truy cập vào một số dịch vụ bên trong nhất định
- Từ bên trong mạng nội bộ, người dùng chỉ được phép truy
cập tới các dịch vụ internet nhất định.
Giải pháp: Đây là tính năng cơ bản của mọi tường lửa, pfSense
hoàn toàn đáp ứng yêu cầu này. pfSense có thể tiến hành
cấm/cho phép các truy cập thông qua các thông số về địa chỉ IP,
port, tên miền…

2.2Cấm truy cập theo thời gian biểu
Mô tả: Doanh nghiệp qui định, thời gian làm việc từ 8h tới 12h
sáng, và 13h00 tới 17h00. Trong khoảng thời gian làm việc,
nhân viên không được sử dụng mạng internet để chat yahoo
messenger, skype, hay xem phim. Trong khoảng thời gian nghỉ
trưa, từ 12h tới 13h, nhân viên có thể thoải mái truy cập
internet.

6



Đồ án môn học AN NINH MẠNG

Giải pháp: pfSense không chỉ đặt các luật cấm/cho phép, mà còn có thể thiết lập
lịch biểu tác dụng cho các luật này. Trong trường hợp trên, quản trị mạng có thể
xây dựng các luật cấm truy cập chat/xem phim, đồng thời tạo ra một lịch biểu theo
thời gian làm việc, cuối cùng là đem kết hợp giữa luật và lịch biểu. Đây là một đặc
tính rất hữu ích, nên được triển khai để tạo ra sự thoải mái nhất định trong doanh
nghiệp. Nhà quản trị mạng cũng không phải thao tác thủ công hàng ngày.

2.3Cho phép truy cập máy chủ nội bộ từ internet
Mô tả: Hiện tại, doanh nghiệp đã có một địa chỉ IP tĩnh. Thông
qua đó, doanh nghiệp muốn đưa các dịch vụ web, chia sẻ file,
CRM, ERP ra bên ngoài mạng internet, để các đối tác, nhà cung
cấp… có thể truy nhập vào. Đây là nhu cầu rất phổ biến.
Giải pháp 1 : pfSense hỗ trợ NAT (PAT) với khả năng ánh xạ các
cổng dịch vụ với các máy chủ khác nhau, đáp ứng được yêu cầu
trên. Cách thực hiện này đơn giản, và phần lớn các tường lửa đều
có thể thực hiện được. Nhược điểm là người dùng phải nhớ được
số hiệu cổng truy nhập.

7


Đồ án môn học AN NINH MẠNG

Giải pháp 2 : pfSense hỗ trợ reverve proxy với khả năng ánh xạ
ánh xạ tên miền về các máy chủ khác nhau, đáp ứng được yêu
cầu trên. Các tường lửa khác không có tính năng này, hoặc bắt
buộc phải có nhiều IP tĩnh.


2.4Mỗi người dùng có một tài khoản riêng để truy cập wireless
Mô tả: Hiện tại, doanh nghiệp đang sử dụng mạng wireless để
các nhân viên sử dụng. Doanh nghiệp cũng có một mạng
8


Đồ án môn học AN NINH MẠNG

wireless riêng dành cho các khách hàng đến công ty. Đôi khi,
khách hàng hoặc một cá nhân nào đó trong mạng wireless sử
dụng băng thông quá nhiều, chẳng hạn để xem phim online,
làm ảnh hưởng tới công việc của người khác, nhưng doanh
nghiệp không thể xác định được đó là ai. Hoặc sau một thời gian
định kỳ, để an toàn, doanh nghiệp thay đổi mật khẩu truy nhập
wireless và phải báo lại cho tất cả ngươi dùng nội bộ rất phiền
phức.
Bấm vào đây để xem "một số trường hợp ứng dụng captiveportal"

Giải pháp: để kiểm soát truy cập wireless, doanh nghiệp có thể
mua các thiết bị wireless controller với giá thành không hề rẻ.
Như thế, nhà quản trị mạng phải làm việc với loại thiết bị mới,
phải làm quen với các trang web và phần mềm quản trị của
các loại thiết bị khác nhau.
pfSense tích hợp chức năng quản trị mạng wireless với số
lượng mạng không hạn chế. Thông qua pfSense, doanh nghiệp
có thể tạo ra các tài khoản truy cập wireless riêng cho từng
người dùng, cho phép băng thông tối đa cho từng người dùng.
Doanh nghiệp cũng có thể tạo ra các voucher, có tác dụng
giống như thẻ cào truy cập wireless, để phát cho các khách

hàng vãng lai tới sử dụng, và chỉ có hạn mức sử dụng trong
ngày. Hơn thế nữa, doanh nghiệp có thể quảng cáo dựa trên
mạng wireless này, bằng cách định hướng các truy nhập của
người dùng chưa được xác thực về một trang web giới thiệu
công ty (tính năng này hay được áp dụng trong các bệnh viện,
khách sạn, trường học, nơi có nhiều khách vãng lai).

9


Đồ án môn học AN NINH MẠNG

2.5Sử dụng tên miền động miễn phí
Mô tả: Trong doanh nghiệp, có một chi nhánh nào đó có hệ
thống mạng, nhưng không mua địa chỉ IP tĩnh và tên miền. Vì
vậy, người dùng/khách hàng từ bên ngoài internet không thể
truy cập được vào hệ thống mạng nội bộ bên trong để truy cập
thông tin cần thiết.

Giải pháp: hoàn toàn miễn phí, doanh nghiệp có thể sử dụng tên miền động
được cung cấp bởi noip, dyndns… Cách này có ưu điểm là việc sử dụng hoàn
toàn giống như tên miền tĩnh và IP tĩnh, và nhược điểm là phải cài một phần
mềm được cung cấp bởi noip, dyndns lên một máy tính nào đó trong mạng nội
bộ, để phần mềm đó cập nhật thường xuyên địa chỉ IP, rồi lại phải cấu hình
tường lửa để cho phép phần mềm đó hoạt động.
Với pfSense, vẫn theo cơ chế tên miền động như trên, nhưng tất cả các nhược
điểm đều được khắc phục. Thay vì phải tải về phần mềm cung cấp địa chỉ IP
với nguồn gốc không rõ ràng, pfSense có chức năng riêng để tự tiến hành việc
này, mà không phải cài đặt lên bất cứ một máy tính nào khác. Như vậy, pfSense
vừa là tường lửa, vừa tự động cập nhật IP động cho hệ thống quản lý tên miền

toàn cầu, rất nhanh chóng và bảo đảm an toàn.

2.6Kết nối mạng nội bộ của các chi nhánh với nhau
Mô tả: Doanh nghiệp có nhiều chi nhánh ở khắp nơi trong cả
nước. Doanh nghiệp muốn kết nối mạng nội bộ của tất cả các
chi nhánh với nhau để hoạt động chia sẽ thông tin giữa các chi
nhánh diễn ra nhanh chóng, an toàn và tin cậy.
10


Đồ án môn học AN NINH MẠNG

Giải pháp: phương pháp chung của mọi tường lửa là triển khai
mạng LAN ảo – VPN – giữa các chi nhánh. Thông thường, người
ta sử dụng IPsec để tạo VPN. Nhưng không chỉ dừng lại ở đó,
pfSense hỗ trợ thêm cả 4 phương thức khác để tạo VPN, là
IPsec, L2TP, PPTP và OpenVPN. Đặc biệt OpenVPN rất được
thịnh hành trên môi trường Linux, hoàn toàn miễn phí và không
đòi hỏi người dùng đầu cuối phải hiểu rõ về kỹ thuật...

CHƯƠNG III: CÁCH CÀI ĐẶT PFSENSE
3.1Chuẩn bị bộ cài pfsense
– Download và cài đặt Vmware Workstation 15 tại địa
chỉ />– Download pfSense.iso tại trang chủ của pfSense

11


Đồ án môn học AN NINH MẠNG


3.2Cài đặt pfSense trên vmware workstation
– Tạo 1 máy ảo mới ( New Virtual Machine Wizard (Ctrl+N) ). Chọn “Custom” -> “Next”

Chọn “Next”

12


Đồ án môn học AN NINH MẠNG
Chọn “Browse” chọn file cài đặt đuôi “iso” đã dow về như hình bên dưới

-Tiếp tục “Next” tới bước bên dưới.
chọn “Customize Hardware”.

13


Đồ án môn học AN NINH MẠNG
-Chọn “add”.
-Chọn “Network Adapter” để tạo them 1 card mạng nữa ->”Next”.

14


Đồ án môn học AN NINH MẠNG

15


Đồ án môn học AN NINH MẠNG

- Card 1 chọn kiểu “NAT”.
- Card 2 chọn “Lan segment” ->chọn “Lan”.

16


Đồ án môn học AN NINH MẠNG
-Tiếp theo chọn “Finish”.

-Qúa trình tạo môi trường máy ảo thành công.

17


Đồ án môn học AN NINH MẠNG

3.3Cấu hình pfsense
-khởi động máy ảo click ”Power on this virtual machine”.

- Bấm Accept.

18


Đồ án môn học AN NINH MẠNG
-chọn “Install” ->chọn “OK”.

-Chọn “Continue with default keymap”.
-Chọn “Select”


19


Đồ án môn học AN NINH MẠNG
-Chọn “Auto (UFS)
-Chọn “OK”

20


Đồ án môn học AN NINH MẠNG
-Chọn “No”

-chọn “Reboot”

21


Đồ án môn học AN NINH MẠNG
-Chọn “Y” -> ”Enter”

-tiếp tục “Enter”

22


Đồ án môn học AN NINH MẠNG
-Đặt tên cho card WAN: gõ “me0” ->”enter”

-Đặt tên cho card LAN: gõ “le0”-> “Enter’’


23


Đồ án môn học AN NINH MẠNG
-chọn “y” -> “Enter”

-Chọn option 2 ->”Enter”

24


Đồ án môn học AN NINH MẠNG
-Chon 1 -> “Enter”

-Cấu hình IP tĩnh cố định cho card WAN: chọn “n” ->”enter”

25