ĐỀ TÀI: Tìm hiểu pfsense và
triển khai thử nghiệm.
Thực hiện:
Lê Minh Trường
Nhóm: 07

Trần văn Hiệp
Bạch Quốc Toản
Trần Đình Cường


Tìm hiểu về Pfsense

1.Giới thiệu
2.Các tính năng nổi bật
3.Lợi ích

4.Các gói dịch vụ
5.Các tình huống ứng dụng


PfSense là tường lửa mềm, là một ứng dụng có chức năng định tuyến vào tường lửa và
miễn phí.

Pfsense khởi được khởi động vào năm 2004 là một phần của dự án m0n0wall được triển
khai bởi Chris Buechler và Scott Ullrich, phiên bản đầu tiên ra mắt vào năm 2006.

1.Giới thiệu
Phiên bản mới nhất là 2.4.5

Download pfSense.iso tại trang chủ của pfSense  

Chặn truy cập theo khu

Tường lửa tầng L3, L4, L7

2.Các tính năng
nổi bật

Quản lý chất lượng QoS

vực địa lý

Proxy

Quản trị mạng không dây

Hỗ trợ VLAN

Cân bẳng tải

VPN theo 4 giao thức

Giám sát/Phân tích mạng

Cho phép chạy song hành,

Hỗ trợ ngôn ngữ tiếng Việt

failover


(*)

Quản lý tên miền (DC), hỗ
trợ tên miền động
(DynDNS)

Tự động cập nhật black

Tự động nâng cấp phiên

list.

bản


3.Lợi ích


4.Các gói dịch vụ

•Gói triển khai phù hợp với các doanh nghiệp

muốn áp dụng ngay hệ thống tường lửa mềm
pfSense, để đáp ứng  với nhu cầu hiện tại, giảm
thiểu thời gian chi phí tìm hiểu công cụ.

•

Gói bảo trì là sự lựa chọn  dài hạn và hợp lý khi doanh nghiệp muốn được hỗ trợ bởi đội ngũ chuyên gia hệ thống mạng thường trực giám sát, phát hiện sự cố

và lên cấu hình phù hợp cho mọi vấn đề phát sinh, bảo đảm sự hoạt động ổn định của toàn hệ thống.

•

Gói phát triển dành cho các doanh nghiệp có những đặc thù riêng, cần phải tùy biến tường lửa pfSense cho phù hợp, chẳng hạn như tích hợp tường lửa vào một
công cụ quản trị chung của doanh nghiệp, đưa logo lên thiết bị…


5.1 Cấm/Cho phép các truy cập từ bên ngoài hoặc bên trong mạng nội
bộ
5.2 Cấm truy cập theo thời gian biểu

5.Các tình
huống ứng
dụng

5.3 Cho phép truy cập máy chủ nội bộ từ internet

5.4 Mỗi người dùng có một tài khoản riêng để truy cập wireless

5.5 Sử dụng tên miền động miễn phí

5.6 Kết nối mạng nội bộ của các chi nhánh với nhau


5.1 Cấm/Cho phép các truy cập từ bên ngoài hoặc bên trong mạng nội bộ

Mô tả: Hiện tại, doanh nghiệp có các máy chủ
dịch vụ và nhiều người dùng bên trong mạng
nội bộ. Doanh nghiệp muốn:


-Từ bên ngoài mạng internet,
người dùng chỉ được phép truy cập
vào một số dịch vụ bên trong nhất
định

-Từ bên trong mạng nội bộ, người
dùng chỉ được phép truy cập tới
các dịch vụ internet nhất định.

Giải pháp: Đây là tính năng cơ bản của mọi tường lửa,
pfSense hoàn toàn đáp ứng yêu cầu này. pfSense có thể
tiến hành cấm/cho phép các truy cập thông qua các
thông số về địa chỉ IP, port, tên miền…


5.2 Cấm truy cập theo thời gian
biểu

Mô tả: Doanh nghiệp qui định, thời gian làm việc từ 8h tới
12h sáng, và 13h00 tới 17h00. Trong khoảng thời gian
làm việc, nhân viên không được sử dụng mạng internet
để chat yahoo messenger, skype, hay xem phim. Trong
khoảng thời gian nghỉ trưa, từ 12h tới 13h, nhân viên có
thể thoải mái truy cập internet. 

Giải pháp: pfSense không chỉ đặt các luật cấm/cho phép, mà còn có thể thiết lập lịch biểu tác dụng cho các luật này. Trong trường hợp trên, quản trị mạng có thể xây dựng các luật cấm truy cập chat/xem
phim, đồng thời tạo ra một lịch biểu theo thời gian làm việc, cuối cùng là đem kết hợp giữa luật và lịch biểu. Đây là một đặc tính rất hữu ích, nên được triển khai để tạo ra sự thoải mái nhất định trong
doanh nghiệp. Nhà quản trị mạng cũng không phải thao tác thủ công hàng ngày.



5.3 Cho phép truy cập máy
chủ nội bộ từ internet

•

Mô tả: Hiện tại, doanh nghiệp đã có một địa chỉ IP tĩnh. Thông qua  đó, doanh nghiệp muốn đưa các dịch vụ
web, chia sẻ file, CRM, ERP ra bên ngoài mạng internet, để các đối tác, nhà cung cấp… có thể truy nhập vào.
Đây là nhu cầu rất phổ biến.

Giải pháp 1 : pfSense hỗ trợ NAT (PAT) với khả năng ánh xạ các cổng dịch vụ với các máy chủ khác nhau, đáp ứng
được yêu cầu trên. Cách thực hiện này đơn giản, và phần lớn các tường lửa đều có thể thực hiện được. Nhược điểm là
người dùng phải nhớ được số hiệu cổng truy nhập.

Giải pháp 2 : pfSense hỗ trợ reverve proxy với khả năng ánh xạ ánh xạ tên miền về  các máy chủ khác nhau, đáp ứng
được yêu cầu trên. Các tường lửa khác không có tính năng này, hoặc bắt buộc phải có nhiều IP tĩnh.

 


5.4 Mỗi người dùng có một tài khoản riêng
để truy cập wireless

Mô tả: Hiện tại, doanh nghiệp đang sử dụng mạng
wireless để các nhân viên sử dụng. Doanh nghiệp
cũng có một mạng wireless riêng dành cho các khách
hàng đến công ty.

Giải pháp: để kiểm soát truy cập wireless, doanh nghiệp có thể mua các thiết bị wireless controller với giá thành không hề rẻ. Như thế, nhà quản trị mạng phải làm việc với loại thiết
bị mới, phải làm quen với các trang web và phần mềm quản trị của các loại thiết bị khác nhau.

pfSense tích hợp chức năng quản trị mạng wireless với số lượng mạng không hạn chế.  Thông qua pfSense, doanh nghiệp có thể tạo ra các tài khoản truy cập wireless riêng cho
từng người dùng, cho phép băng thông tối đa cho từng người dùng. Doanh nghiệp cũng có thể tạo ra các voucher, có tác dụng giống như thẻ cào truy cập wireless, để phát cho các
khách hàng vãng lai tới sử dụng, và chỉ có hạn mức sử dụng trong ngày.


5.5 Sử dụng tên miền động miễn phí

•

Mô tả: Trong doanh nghiệp, có một chi nhánh nào đó có hệ thống
mạng, nhưng không mua địa chỉ IP tĩnh và tên miền. Vì vậy, người
dùng/khách hàng từ bên ngoài internet không thể truy cập được vào
hệ thống mạng nội bộ bên trong để truy cập thông tin cần thiết.

Giải pháp: hoàn toàn miễn phí, doanh nghiệp có thể sử dụng tên miền động được cung cấp bởi noip, dyndns… Cách này có ưu điểm là việc sử dụng hoàn toàn giống như tên miền tĩnh và IP tĩnh, và nhược điểm là phải cài
một phần mềm được cung cấp bởi noip, dyndns lên một máy tính nào đó trong mạng nội bộ, để phần mềm đó cập nhật thường xuyên địa chỉ IP, rồi lại phải cấu hình tường lửa để cho phép phần mềm đó hoạt động.
Với pfSense, vẫn theo cơ chế tên miền động như trên, nhưng tất cả các nhược điểm đều được khắc phục. Thay vì phải tải về phần mềm cung cấp địa chỉ IP với nguồn gốc không rõ ràng, pfSense có chức năng riêng để tự
tiến hành việc này, mà không phải cài đặt lên bất cứ một máy tính nào khác. Như vậy, pfSense vừa là tường lửa, vừa tự động cập nhật IP động cho hệ thống quản lý tên miền toàn cầu, rất nhanh chóng và bảo đảm an toàn.


5.6 Kết nối mạng nội bộ của
các chi nhánh với nhau

•

Mô tả: Doanh nghiệp có nhiều chi nhánh ở khắp
nơi trong cả nước. Doanh nghiệp muốn kết nối
mạng nội bộ của tất cả các chi nhánh với nhau để
hoạt động chia sẽ thông tin giữa các chi nhánh
diễn ra nhanh chóng, an toàn và tin cậy.


Giải pháp: phương pháp chung của mọi tường lửa là triển khai mạng LAN ảo – VPN – giữa các chi nhánh. Thông
thường, người ta sử dụng IPsec để tạo VPN. Nhưng không chỉ dừng lại ở đó, pfSense hỗ trợ thêm cả 4 phương
thức khác để tạo VPN, là IPsec, L2TP, PPTP và OpenVPN. Đặc biệt OpenVPN rất được thịnh hành trên môi trường
Linux, hoàn toàn miễn phí và không đòi hỏi người dùng đầu cuối phải hiểu rõ về kỹ thuật...


Thank you for watching