Tải bản đầy đủ (.docx) (104 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Chuyên ngành kinh tế

ĐỒ án môn học THỰC tập cơ sở đề tài nghiên cứu, triển khai tường lửa pfsense và ứng dụng trong doanh nghiệp

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (7.15 MB, 104 trang )

HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN MÔN HỌC

THỰC TẬP CƠ SỞ
Đề tài:

Nghiên cứu, triển khai tường lửa Pfsense và ứng
dụng trong doanh nghiệp

Sinh viên thực hiện:

QUẢN ĐỨC THẮNG

AT150552
BÙI THỊ HẢI YẾN

AT150364

NGUYỄN VĂN LÂM AT150531
Nhóm 78
Giảng viên hướng dẫn:

ThS. LÊ THỊ HỒNG VÂN

Hà Nội, 10-2021


ĐÁNH GIÁ QUYỂN ĐỒ ÁN THỰC TẬP CƠ SỞ


(Dùng cho giảng viên hướng dẫn)
Tên giảng viên đánh giá:.................................................................................................
Họ và tên Sinh viên:......................................................MSSV:.....................................
Tên đồ án:.......................................................................................................................
........................................................................................................................................
Chọn các mức điểm phù hợp cho sinh viên trình bày theo các tiêu chí dưới đây:
Rất kém (1); Kém (2); Đạt (3); Giỏi (4); Xuất sắc (5)
Có sự kết hợp giữa lý thuyết và thực hành (20)
1
2
3
4

Nêu rõ tính cấp thiết và quan trọng của đề tài, các vấn đề và các giả
thuyết (bao gồm mục đích và tính phù hợp) cũng như phạm vi ứng dụng
của đồ án
Cập nhật kết quả nghiên cứu gần đây nhất (trong nước/quốc tế)
Nêu rõ và chi tiết phương pháp nghiên cứu/giải quyết vấn đề
Có kết quả mơ phỏng/thưc nghiệm và trình bày rõ ràng kết quả đạt được

1

2

3

4

5


1
1
1

2
2
2

3
3
3

4
4
4

5
5
5

1

2

3

4

5


1

2

3

4

5

1

2

3

4

5

1

2

3

4

5


1

2

3

4

5

Có khả năng phân tích và đánh giá kết quả (15)
Kế hoạch làm việc rõ ràng bao gồm mục tiêu và phương pháp thực hiện
dựa trên kết quả nghiên cứu lý thuyết một cách có hệ thống
Kết quả được trình bày một cách logic và dễ hiểu, tất cả kết quả đều
6
được phân tích và đánh giá thỏa đáng.
Trong phần kết luận, tác giả chỉ rõ sự khác biệt (nếu có) giữa kết quả đạt
7
được và mục tiêu ban đầu đề ra đồng thời cung cấp lập luận để đề xuất
hướng giải quyết có thể thực hiện trong tương lai.
Kỹ năng viết quyển đồ án (10)
Đồ án trình bày đúng mẫu quy định với cấu trúc các chương logic và đẹp
mắt (bảng biểu, hình ảnh rõ ràng, có tiêu đề, được đánh số thứ tự và
8
được giải thích hay đề cập đến trong đồ án, có căn lề, dấu cách sau dấu
chấm, dấu phẩy v.v), có mở đầu chương và kết luận chương, có liệt kê tài
liệu tham khảo và có trích dẫn đúng quy định
Kỹ năng viết xuất sắc (cấu trúc câu chuẩn, văn phong khoa học, lập luận
9
logic và có cơ sở, từ vựng sử dụng phù hợp v.v.)

5

Thành tựu nghiên cứu khoa học (5) (chọn 1 trong 3 trường hợp)
10a

10b
10c

Có bài báo khoa học được đăng hoặc chấp nhận đăng/đạt giải SVNC
khoa học giải 3 cấp Viện trở lên/các giải thưởng khoa học (quốc tế/trong
nước) từ giải 3 trở lên/ Có đăng ký bằng phát minh sáng chế
Được báo cáo tại hội đồng cấp Viện trong hội nghị sinh viên nghiên cứu
khoa học nhưng không đạt giải từ giải 3 trở lên/Đạt giải khuyến khích
trong các kỳ thi quốc gia và quốc tế khác về chuyên ngành như TI
contest.
Không có thành tích về nghiên cứu khoa học

Điểm tổng
Điểm tổng quy đổi về thang 10

5

2
0
/50


Nhận xét khác (về thái độ và tinh thần làm việc của sinh viên)
........................................................................................................................................
........................................................................................................................................

........................................................................................................................................
........................................................................................................................................
........................................................................................................................................
........................................................................................................................................
Ngày: … / … / 20…
Người nhận xét
(Ký và ghi rõ họ tên)


LỜI CẢM ƠN
Sau hơn một tháng nỗ lực tìm hiểu và thực hiện thực tập cơ sở “Nghiên cứu, triển
khai tường lửa Pfsense và ứng dụng trong doanh nghiệp” đã được hồn thành, ngồi sự
cố gắng hết mình của các thành viên, chúng em còn nhận được sự giúp đỡ tận tình của
cán bộ hướng dẫn là ThS. Lê Thị Hồng Vân – Khoa Công nghệ thông tin Học viện Kỹ
thuật Mật Mã,…
Chúng em xin gửi lời cảm ơn trận trọng nhất tới thầy cơ đã tận tình hướng dẫn, chỉ
bảo, cũng như tạo những điều kiện tốt nhất để chúng em có thể hồn thành được thực
tập cơ sở này!

NHÓM SINH VIÊN THỰC HIỆN
Quản Đức Thắng
Bùi Thị Hải Yến
Nguyễn Văn Lâm


LỜI NĨI ĐẦU
Như đã biết, cơng nghệ thơng tin phát triển giúp ích rất nhiều cho các doanh
nghiệp. Thay vì lưu trữ thông tin trên sổ sách như trước gây tốn kém thì ngày nay chỉ
cần nhập thơng tin lên phần mềm tất cả sẽ được ghi nhận lại. Tất cả nhân sự có thẩm
quyền đều được xem thơng tin liên quan mọi lúc mọi nơi qua internet mà không cần

đến sự hỗ trợ trực tiếp của bất kỳ bộ phận nào. Chính nhờ sự tiện lợi như thế mà công
nghệ càng được phát triển và áp dụng vào tất cả quy trình tại doanh nghiệp. Tuy nhiên,
khi tất cả bị phụ thuộc nhiều vào công nghệ sẽ tồn tại những lỗ hổng mà tại đó các
thơng tin, dữ liệu có thể bị đánh cắp gây thiệt hại về lợi ích, lợi nhuận và danh tiếng
của công ty. Sau hàng loạt những vụ tấn công mạng quy mô lớn diễn ra gần đây, vấn
đề bảo mật dữ liệu của doanh nghiệp trở nên nóng hơn bao giờ hết. Bên cạnh
những phần mềm diệt virus, các cổng giao tiếp trong hệ thống,chúng ta còn cần chú ý
đến một yếu tố nữa đó là tường lửa - Firewall.
Tường lửa là hàng phịng vệ đầu tiên chống lại những kẻ hay đi xâm nhập trộm, đây là
một hệ thống bảo mật mạng, giám sát và kiểm soát lưu lượng mạng đến và đi dựa trên
các quy tắc bảo mật được xác định trước. Firewall được chia làm 2 loại, gồm Firewall
cứng thông dụng như: NAT, Cisco ASA 5500,… và Firewall mềm như: Norton 360
Premium, Avast Premium Security, Bitdefender Total Security.
Tuy nhiên, các loại Firewall được kể trên đều tương đối tốn kém. Đối với các doanh
nghiệp vừa và nhỏ, với khoảng dưới 1000 người sử dụng, họ muốn một công cụ tường
lửa miễn phí nhưng hoạt động cực kỳ ổn định với hiệu năng cao, đã tối ưu hóa mã
nguồn và khơng cần nền tảng phần cứng mạnh thì PfSense là một giải pháp hợp lý.
Xuất phát từ nhu cầu thực tế nêu trên, chúng em đã quyết định chọn và nghiên cứu đề
tài “Nghiên cứu, triển khai tường lửa Pfsense và ứng dụng trong doanh nghiệp” với
mục đích tìm hiểu về cơ chế hoạt động của Firewall Pfsense cũng như phát hiện ra
những nhược điểm tìm giải pháp khắc phục những nhược điểm này để hệ thống mạng
trong doanh nghiệp luôn được vấn hành trơn tru, an toàn và hạn chế sự cố xảy ra.
 Mục tiêu đạt được sau khi hoàn thành thực tập cơ sở:
 Nắm được các khái niệm, đặc điểm, chức năng của tường lửa và tường lửa thế
hệ mới Pfsense.
 Khai thác được các tính năng của Firewall Pfsense.
 Triển khai và áp dụng được mơ hình tường lửa Pfsense cho doanh nghiệp
AriesGroup.



 Phạm vi nghiên cứu:



Nghiên cứu cơng cụ tường lửa Pfsense.
Nghiên cứu triển khai hệ thống tường lửa Pfsense cho doanh nghiệp.


MỤC LỤC


DANH MỤC HÌNH VẼ


CHƯƠNG 1: TỔNG QUAN VỀ TƯỜNG LỬA VÀ TƯỜNG LỬA
THẾ HỆ MỚI PFSENSE
1.1. Khái quát về an ninh mạng
1.1.1. An ninh mạng và các nguy cơ mất an toàn mạng máy tính
An ninh mạng (Cyber Security): là hành động bảo vệ máy tính, máy chủ, các thiết
bị di động, hệ thống điện tử, mạng và dữ liệu khỏi những tấn công độc hại. An ninh
mạng cũng được biết đến như đảm bảo an ninh công nghệ hoặc thông tin điện tử. Cụm
từ này được áp dụng cho mọi lĩnh vực, từ kinh doanh cho đến điện tốn và có thể được
chia thành nhiều danh mục phổ biến.
An ninh máy tính: Là một tập hợp con của an ninh mạng. Loại bảo mật này sử
dụng phần cứng và phần mềm để bảo vệ bất kỳ dữ liệu nào được gửi từ máy tính cá
nhân hoặc các thiết bị khác đến hệ thống mạng lưới thơng tin. An ninh máy tính thực
hiện chức năng bảo vệ cơ sở hạ tầng công nghệ thông tin và chống lại các dữ liệu bị
chặn, bị thay đổi hoặc đánh cắp bởi tội phạm mạng.
Với một mạng máy tính bạn sẽ có bao nhiêu nguy cơ bị xâm phạm ? Câu trả lời
chính xác đó là ở mọi thời điểm, mọi vị trí trong hệ thống đều có khả năng xuất hiện,

có thể kể đến:
• Người bên ngồi và các hacker.
• Người đang làm việc trong cơng ty.
• Các ứng dụng mà cán bộ và nhân viên của công ty sử dụng để thực hiện các
nhiệm vụ thương mại của họ.
• Các hệ điều hành chạy trên các máy tính cá nhân, các máy chủ, cũng như các
thiết bị khác.
• Hạ tầng cơ sở mạng được sử dụng để truyền tải dữ liệu qua mạng, như là các bộ
định tuyến (router), các bộ chuyển mạch (switch), các bộ tập trung (hub)….
• Các điểm yếu trong giao thức mạng.
• Các điểm yếu trong việc hoạch định chính sách.
• Các điểm yếu trong các cơng nghệ máy tính.
• Các điểm yếu trong các cấu hình thiết bị.

9


1.1.2. Các mức bảo vệ an tồn mạng
Vì khơng thể có một giải pháp nào là an tồn tuyệt đối, nên người ta phải sử dụng
đồng thời nhiều mức bảo vệ khác nhau để tạo thành nhiều lớp “rào chắn” đối với các
hoạt động xâm phạm. Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông tin cất
giữ trên các máy tính, đặc biệt là trong các Server của mạng. Vì thế mọi cố gắng tập
trung vào việc xây dựng các mức “rào chắn” từ ngoài vào trong cho các hệ thống kết
nối vào mạng.

Hình 1-1: Các mức bảo vệ an tồn mạng
• Quyền truy nhập (Access Rights): Đây là lớp bảo vệ sâu nhất, nhằm kiểm sốt
các tài ngun (thơng tin) của mạng và quyền hạn (có thể thực hiện các thao tác
gì) trên tài ngun đó. Hiện tại việc xác lập các quyền thường do người quản trị
mạng quyết định. Tuy nhiên, kiểm soát được cấu trúc dữ liệu càng chi tiết thì

mức độ an tồn càng cao.
• Đăng nhập/Mật khẩu (Login/Password): Lớp bảo vệ này thực ra cũng là kiểm
soát quyền truy nhập nhưng ở mức hệ thống (tức là truy nhập vào mạng). Đây là
phương pháp bảo vệ phổ biến nhất vì nó đơn giản ít phí tổn và rất có hiệu quả.
Mỗi người sử dụng (kể cả người quản trị mạng) muốn được vào mạng để sử dụng
các tài nguyên của mạng đều phải có tên đăng ký và mật khẩu.
• Mã hóa dữ liệu (Data Encryption): Để bảo mật thơng tin truyền trên mạng, người
ta sử dụng các phương pháp mã hoá (Encryption). Dữ liệu được biến đổi từ dạng
nhận thức được sang dạng không nhận thức được theo một thuật tốn nào đó (tạo
mật mã) và sẽ được biến đổi ngược lại (giải mã) ở trạm nhận. Đây là lớp bảo vệ
thông tin rất quan trọng và được sử dụng rộng rãi trong môi trường mạng .
10


• Bảo vệ vật lý (Physical Protection): Đây là lớp bảo vệ rất quan trọng, nhằm ngăn
cản các truy nhập vật lý bất hợp pháp vào hệ thống. Thường dùng các biện pháp
truyền thống như ngăn cấm tuyệt đối người khơng phận sự vào phịng đặt máy
mạng, dùng ổ khố máy tính, hoặc cài đặt cơ chế báo động khi có truy nhập vào
hệ thống ...
• Bức tường lửa (Firewall): Để bảo vệ từ xa một máy tính hay cho cả một mạng
nội bộ (Intranet), ngăn chặn các truy nhập trái phép (theo danh sách truy nhập đã
xác định trước) và thậm chí có thể lọc các gói tin mà ta khơng muốn gửi đi hoặc
nhận vào vì một lý do nào đó. Phương thức bảo vệ này được dùng nhiều trong
môi trường liên mạng Internet.

1.2. Tổng quan về tường lửa (Firewall)
1.2.1. Định nghĩa
Tường lửa (Firewall) là một hệ thống an ninh mạng, có thể dựa trên phần cứng
hoặc phần mềm, sử dụng các quy tắc để kiểm soát lưu lượng truy cập vào, ra khỏi hệ
thống. Tường lửa hoạt động như một rào chắn giữa mạng an toàn và mạng khơng an

tồn. Nó kiểm sốt các truy cập đến nguồn lực của mạng thơng qua một mơ hình kiểm
sốt chủ động. Nghĩa là, chỉ những lưu lượng truy cập phù hợp với chính sách được
định nghĩa trong tường lửa mới được truy cập vào mạng, mọi lưu lượng truy cập khác
đều bị từ chối.

Hình 1-2: Firewall
1.2.2. Chức năng
Firewall hỗ trợ máy tính kiểm sốt luồng thơng tin giữa Intranet và Internet,
Firewall sẽ quyết định dịch vụ nào từ bên trong được phép truy cập ra bên ngoài,
11


những người nào bên ngoài được phép truy cập vào bên trong hệ thống, hay là giới hạn
truy cập những dịch vụ bên ngoài của những người bên trong hệ thống.
• Cho phép hoặc vơ hiệu hóa các dịch vụ truy cập ra bên ngồi, đảm bảo thơng tin
chỉ có trong mạng nội bộ.
• Cho phép hoặc vơ hiệu hóa các dịch vụ bên ngồi truy cập vào trong.
• Phát hiện và ngăn chặn các cuộc tấn công từ bên ngồi.
• Hỗ trợ kiểm sốt địa chỉ truy cập (bạn có thể đặt lệnh cấm hoặc là cho phép).
• Kiểm sốt truy cập của người dùng.
• Quản lý và kiểm sốt luồng dữ liệu trên mạng.
• Xác thực quyền truy cập.
• Hỗ trợ kiểm sốt nội dung thơng tin và gói tin lưu chuyển trên hệ thống mạng.
• Lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số Port ( hay cịn cổng),
giao thức mạng.
• Người quản trị có thể biết được kẻ nào đang cố gắng để truy cập vào hệ thống
mạng.
• Firewall hoạt động như một Proxy trung gian.
• Bảo vệ tài nguyên của hệ thống bởi các mối đe dọa bảo mật.
• Cân bằng tải: Bạn có thể sử dụng nhiều đường truyền internet cùng một lúc, việc

chia tải sẽ giúp đường truyền internet ổn định hơn rất nhiều.
• Tính năng lọc ứng dụng cho phép ngăn chặn một số ứng dụng mà bạn muốn.
Tuy Firewall cung cấp nhiều tính năng hữu ích để bảo vệ người dùng, song nó vẫn
có những hạn chế:
• Firewall khơng thể bảo vệ các mối nguy hiểm từ bên trong nội bộ.
• Firewall khơng có đủ thơng minh để có thể đọc và hiểu từng loại thơng tin và tất
nhiên là nó khơng thể biết được đâu là nội dung tốt và đâu là nội dung xấu. Mà
đơn thuần Firewall chỉ hỗ trợ chúng ta ngăn chặn sự xâm nhập của những nguồn
thông tin không mong muốn nhưng phải xác định rõ các thơng số địa chỉ.
• Firewall không thể ngăn chặn các cuộc tấn công nếu như cuộc tấn cơng đó khơng
“đi qua” nó. Ví dụ cụ thể đó là Firewall khơng thể chống lại một cuộc tấn cơng từ
một đường dial-up, hoặc là sự dị rỉ thông tin do dữ liệu bị sao chép bất hợp pháp
ra đĩa mềm.

12


• Firewall cũng không thể chống lại các cuộc tấn cơng bằng dữ liệu (data-drivent
attack). Khi có một số ứng dụng hay phần mềm.. được chuyển qua thư điện tử (ví
dụ như Gmail, Yahoo mail…), nó có thể vượt qua Firewall vào trong mạng được
bảo vệ.
• Firewall khơng thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua
nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều
cách để mã hóa dữ liệu để có thể thốt khỏi khả năng kiểm soát của Firewall.
Tuy nhiên, chúng ta không thể phủ nhận một điều rằng Firewall vẫn là giải pháp
hữu hiệu được áp dụng khá rộng rãi hiện nay.
1.2.3. Cấu trúc
Các sản phẩm được thiết kế bởi các hãng bảo mật đều có những đặc điểm riêng,
tuy nhiên một tường lửa sẽ những thành phần cơ bản sau:
• Bộ lọc gói (Packet filtering)

• Cổng ứng dụng (Application gateways/Proxy server)
• Cổng mạch (Circuit level gateway)
• Các chính sách mạng (Network policy)
• Các cơ chế xác thực nâng cao (Advanced authentication mechanisms)
• Thống kê và phát hiện các hoạt động bất thường (Logging and detection of
suspicious activity)
1.2.4. Tập luật của tường lửa
Tường lửa điều khiển truy cập bằng việc cho phép hoặc từ chối các dòng dữ liệu
vào/ra, dựa trên một tập luật, mà ta thường gọi là chính sách tường lửa.
Tuy nhiên, việc quản lý hiệu quả các luật của tường lửa có thể trở thành vấn đề
khó trong các hệ thống mạng lớn, phức tạp và có nhiều biến động. Tập luật của
Firewall thường được tạo ra bằng cách thủ cơng, tn thủ theo các chính sách an ninh
của các tổ chức và kinh nghiệm của những người làm công tác quản trị mạng. Việc tạo
ra tập luật bằng cách thủ cơng có thể có những nhầm lẫn và tạo ra các tập luật không
nhất quán, dẫn đến các vấn đề như dư thừa các luật, các luật bao trùm lẫn nhau hoặc
mâu thuẫn nhau… điều này có thể làm giảm năng lực xử lý của Firewall và bỏ qua
những truy cập bất hợp pháp vào trong hệ thống mạng.
Các hoạt động truy cập vào/ra của người dùng thường được firewall lưu trữ vào
tập log. Dữ liệu log Firewall bao gồm các thông tin về một phiên làm việc từ các kết
nối vào/ra được Firewall tập hợp thành các tệp dữ liệu thường có định dạng ASCII.
Như vậy, trong một dòng log sẽ chứa đựng đầy đủ các thông tin liên quan đến một luật
13


đã được cấu hình trong Firewall. Việc rút trích từ tệp log sẽ cho phép ta xác định được
tập luật đã được sử dụng.
Chính sách của Firewall thường được cấu hình bởi người quản trị và trên cơ sở
những phát biểu trong chính sách an ninh của một tổ chức. Chính sách Firewall bao
gồm một tập các luật, nó xác định một hành động từ chối (deny) hoặc chấp nhận
(accept) đối với một gói tin đi qua Firewall. Một số tiêu chí cụ thể thường được quan

tâm trong các hệ thống Firewall, cụ thể như sau:
• Địa chỉ IP nguồn (IP Source)
• Cổng TCP (hoặc UDP) nguồn
• Địa chỉa IP đích (IP Destination)
• Cổng TCP (hoặc UDP) đích
• Protocol của gói tin (HTTP, TCP, ICMP, UDP, …)
• Độ dài gói tin (Length)
• Các thơng tin phụ khác …
Chính sách Filewall là một trong những thành phần quan trọng trong hệ thống an
ninh mạng. Quản lý tốt chính sách Firewall sẽ làm tăng năng lực xử lý của mạng đồng
thời tránh được các nguy cơ tấn công.

1.3. Phân loại
Với nhu cầu sử dụng và đảm bảo hệ thống máy tính ln an tồn trước sự tấn cơng
tinh vi của tội phạm mạng, các sản phẩm tường lửa được phát triển trên nhiều tùy
chọn. Ta có thể dựa vào những tiêu chí đó loại tường lửa.
1.3.1. Phân loại theo mơi trường thực thi

+ Firewall cứng: là một thiết bị phần cứng nằm giữa Internet và máy tính của người
dùng. Hệ thống firewall cứng gồm các thiết bị firewall cứng chuyên dụng hoạt động
trên hệ điều hành dành riêng cùng một số xử lý trên các mạch điện tử tích hợp.
Đặc điểm của Firewall cứng:

- Không được linh hoạt như Firewall mềm (Không thể thêm chức năng, thêm quy
tắc như firewall mềm).

- Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng
Transport).

- Firewall cứng không thể kiểm tra được nột dung của gói tin.

Ưu điểm:
14


- Thời gian phản hồi nhanh hơn do phần cứng và phần mềm được đồng bộ một
cách tối đa giúp phát huy hết hiệu năng giúp nó có thể xử lý nhiều lưu lượng truy
cập hơn.

- Tường lửa có hệ điều hành riêng ít bị tấn cơng hơn, điều này lần làm giảm nguy
cơ bảo mật và ngoài ra, tường lửa phần cứng có các điều khiển bảo mật nâng cao.

+ Firewall mềm được cài đặt trên các máy tính cá nhân trên mạng. Không giống như
Firewall cứng, Firewall mềm được cài đặt trên các máy chủ riêng lẻ giúp chặn mỗi yêu
cầu kết nối và sau đó xác định xem u cầu có hợp lệ hay khơng. Firewall xử lý tất cả
các yêu cầu bằng cách sử dụng tài nguyên máy chủ.
Đặc điểm của Firewall mềm:

- Tính linh hoạt cao (Có thể thêm, bớt các quy tắc, các chức năng).
- Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng).
- Firewall mềm có thể kiểm tra được nội dung của gói tin (thơng qua các từ khóa).
Ưu điểm:

- So với Firewall cứng, Firewall mềm dễ cấu hình và thiết lập hơn.
- Cung cấp cho người dùng quyền kiểm sốt hồn tồn lưu lượng truy cập Internet
của họ thông qua giao diện thân thiện với người dùng u cầu ít hoặc khơng có
kiến thức chun mơn.
1.3.2. Phân loại theo trạng thái

+ Tường lửa trạng thái ( Stateful Firewall): Loại tường lửa tổng hợp kết hợp các loại
tường lửa khác như tường lửa chuyển đổi địa chỉ IP, tường lửa cổng mạch và tường lửa

proxy. Dùng các luật tường lửa của ứng dụng, luân phiên và luật lọc các gói tin để
kiểm tra đặc điểm của gói tin, kiểm tra và lưu trạng thái của các gói tin đi qua tường
lửa.

+ Tường lửa phi trạng thái ( Stateless Firewall): Xem lưu lượng mạng và hạn chế hoặc
chặn các gói dựa trên địa chỉ nguồn và địa chỉ đích hoặc các giá trị khác. Stateless
được sử dụng thích hợp với những thơng tin có lưu lượng lớn. Các ứng dụng có khối
lượng khổng lồ vẫn được truyền tải, kết nối nhanh chóng nhờ loại bỏ máy chủ.
1.3.3. Phân loại theo xu hướng sử dụng

+ Tường lửa cá nhân (Personal Firewall): Được thiết kế để bảo vệ các thiết bị đầu cuối
duy nhất trước sự truy cập trái phép từ bên ngồi, thường được tích hợp sẵn trong các
máy tính, thiết bị di động. Đối tượng sử dụng, người dùng phổ thơng, máy tính cá
nhân….
15


+ Tường lửa mạng (Network Firewall): Chạy trên các thiết bị mạng hoặc máy tính
chuyên dụng đặt tại vùng biên giữa các khu vực mạng. Được thiết kế ra để bảo vệ các
host trong mạng trước sự tấn công từ bên ngoài, Network firewall bảo vệ cho cả một
hệ thống mạng máy tính
1.3.4. Phân loại theo tầng hoạt động

+ Tường lửa lọc gói tin (Packet Filter Firewall): Hoạt động ở lớp mạng của mơ hình OSI
hoặc lớp IP của mơ hình TCP/IP. Nó được tạo ra với mục đích lọc gói tin dựa trên các
đặc điểm đơn giản như địa chỉ nguồn, địa chỉ đích, một số thơng tin trên header để
quyết định cho phép hay khơng cho phép gói tin đi qua tại tầng mạng.

+ Tường lửa cổng mạch (Circuit-level Firewall): Nó hoạt động ở tầng phiên của mơ hình
OSI thực hiện giám sát các gói tin theo giao thức TCP chạy qua tường lửa. Những lưu

lượng được phép đi ra sẽ được điều chỉnh để xuất phát từ cổng mạch vịng với mục
đích che giấu thơng tin của mạng được bảo vệ. Nếu các lưu lượng không được cho
phép sẽ bị chặn lại ở tầng mạng.

+ Tường lửa cổng cấp ứng dụng (Application-level Gateways/Proxy Firewall): Hoạt
động tại tầng ứng dụng của mơ hình OSI. Đóng vai trị trung gian giữa hai thiết bị đầu
cuối. Khi người dùng truy cập dịch vụ từ bên ngồi nó sẽ đại diện nhận câu trả lời bên
ngồi đó và trả lời lại cho người dùng bên trong. Điều này giúp người dung bên trong
được ẩn danh và tránh được các nguy cơ ví dụ như lộ thơng tin dữ liệu người dùng.

+ Tường lửa trong suốt (Transparent Firewall): Hoạt động ở tầng liên kết dữ liệu của mơ
hình OSI, có chức năng làm cầu nối kết hợp với hỗ trợ khả năng lọc gói tin IP ( có các
giao thức TCP, IP, UDP, ICMP) bằng cách dùng chức năng truy cập theo ngữ cảnh. Vì
tường lửa này hoạt động ở tầng 2 nên khơng cần cấu hình địa chỉ IP cũng như thay đổi
địa chỉ IP của các thiết bị cần bảo vệ.
1.3.5. Một số tường lửa khác
+Tường lửa ứng dụng web - WAF (Web application firewall): Các tường lửa này
được sử dụng cho các ứng dụng cụ thể. Khác với tường lửa dựa trên proxy dùng để
bảo vệ máy khách người dùng cuối, thì tường lửa ứng dụng web bảo vệ máy chủ ứng
dụng.

+ Tường lửa điện toán đám mây (Cloud Firewall): Dạng tường lửa mới hiện nay. Đây là
một giải pháp kiểm soát truy cập đám mây, cụ thể là tường lửa bảo mật trên đám mây,
được cấu hình lọc thông lượng mạng, những thông lượng mạng tốt sẽ được lưu trữ và
đảm bảo cho hoạt động của hệ thống luôn sẵn sàng đáp ứng kịp khối lượng của công
việc khi cần thiết, và mọi thông lượng mạng không tốt sẽ được loại bỏ tức thì.

+ Tường lửa chuyển đổi địa chỉ mạng ( Network Address Translations firewall): có chức
năng dịch địa chỉ mạng , chuyển từ địa chỉ IP công cộng thành địa chỉ IP riêng và
16



ngược lại, nó cho phép dấu địa chỉ IP của các máy bên trong mạng. Tuy nó khơng
được xem như tính năng bảo mật nhưng nó giúp phịng tránh các vấn đề tiềm ẩn khác.

1.4. Tường lửa thế hệ mới (NGFW)
1.4.1. Định nghĩa
Next-generation firewall (NGFW) - tường lửa thế hệ mới, theo định nghĩa của
Gartner (công ty nghiên cứu và tư vấn công nghệ thông tin hàng đầu thế giới) là tường
lửa kiểm tra sâu gói tin, khơng chỉ cổng/giao thức mà còn kiểm tra và chặn ở tầng ứng
dụng, ngăn chặn xâm nhập và lấy cắp thông tin từ bên ngoài tường lửa.
1.4.2. Tường lửa truyền thống và tường lửa thế hệ mới
Ngoài hỗ trợ các chức năng của tường lửa truyền thống:
• Kiểm tra trạng thái lưu lượng mạng bằng cách giám sát trạng thái các kết
nối đang hoạt động để xác định các gói tin được phép.
• Xác định lưu lượng được phép truy cập hoặc từ chối dựa trên trạng thái kết
nối, cổng, và giao thức.
• Sử dụng các quy tắc (Rules) và chính sách quản trị ứng dụng để xác định loại lưu
lượng mạng được phép và không được phép đi qua.
Các sản phẩm tường lửa thế hệ mới cịn có một số chức năng nâng cao phổ biến như:
• Hỗ trợ các tính năng của tường lửa tiêu chuẩn: bao gồm các chức năng tường
lửa như kiểm tra trạng thái giao thức/cổng, Network Address Translation (NAT)
và mạng riêng ảo (VPN),...
• Nhận dạng và lọc lưu lượng dựa trên các ứng dụng cụ thể: ngăn chặn các ứng
dụng độc hại và hoạt động từ việc sử dụng cổng non-standard để tránh tường
lửa. Một NGFW sẽ đóng vai trị kiểm sốt lưu lượng, kiểm tra lưu
lượng gửi, nhận và nội dung của gói tin để ngăn chặn các cuộc tấn công ứng
dụng diễn ra trên các lớp 4-7 của mơ hình OSI.
• Kiểm tra SSL và SSH: NGFW có thể kiểm tra lưu lượng mã hóa SSL và SSH,
cho phép giải mã lưu lượng của ứng dụng được phép, kiểm tra các chính sách

khác, và sau đó tái mã hóa lưu lượng. Điều này cung cấp bảo vệ hệ thống mạng
đối với các ứng dụng độc hại và các hoạt động xâm nhập bằng cách sử dụng mã
hóa để tránh tường lửa.
• Chức năng ngăn chặn xâm nhập: IPS, cung cấp kiểm tra "sâu” lưu lượng, phát
hiện và phịng ngừa xâm nhập.
• Tích hợp Directory: hầu hết các NGFW hỗ trợ Active Directory, LDAP, quản lý
các ứng dụng dựa trên người dùng có thẩm quyền và các nhóm người dùng.
17


• Lọc mã độc: ngăn chặn virus, trang web, các gói tin và các ứng dụng độc hại.
1.4.3. Lợi ích và tầm quan trọng của tường lửa thế hệ mới
Với các tính năng khác biệt so với tường lửa truyền thống, tường lửa thế hệ mới đã
mang đến nhiều lợi ích cho các cơng ty khi sử dụng chúng.
• Có thể ngăn chặn các phần mềm độc hại xâm nhập vào hệ thống mạng, điều mà
Firewall truyền thống chưa làm được.
• Được trang bị tốt hơn trong giải quyết các mối đe dọa cấp tiến mới (APT).
• Là một sự lựa chọn phù hợp với mức chi phí cho các Công ty muốn cải thiện khả
năng bảo mật cơ bản vì NGFW có khả năng kết hợp cơng việc của cả phần mềm
chống vi-rút với tường lửa và các ứng dụng bảo mật khác vào trong cùng một
giải pháp.
Các tính năng này bao gồm cả khả năng nhận dạng ứng dụng, phân tích, cũng như hệ
thống bảo vệ và cơng cụ nhận thức mang đến những lợi ích thấy rõ cho các Tổ chức,
Doanh nghiệp.
Cài đặt tường lửa là một yêu cầu cho bất kỳ Tổ chức hay Doanh nghiệp nào. Trong
môi trường ngày nay, việc ứng dụng NGFW cũng có tầm quan trọng khơng kém khi
các mối đe dọa đối với những thiết bị cá nhân và hệ thống mạng đang ngày càng phát
triển. Cùng với tính linh hoạt cao, nó giúp bảo vệ các thiết bị và hệ thống mạng khỏi
phạm vi bị xâm nhập rộng hơn. Mặc dù NGFW không phải là giải pháp phù hợp cho
tất cả mọi Tổ chức, Doanh nghiệp nhưng các công ty cũng cần cân nhắc đến những lợi

ích mà loại tường lửa này mang lại. Đây cũng có thể là một lựa chọn chi phí thấp cho
các cơng ty muốn cải thiện bảo mật cơ bản vì họ có thể kết hợp công việc của phần
mềm chống vi-rút, tường lửa và các ứng dụng bảo mật khác vào một giải pháp.

18


1.4.4. Giới thiệu tường lửa Pfsense

Hình 1-3: Mơ hình triển khai hệ thống Firewall Pfsense
PfSense là một ứng dụng có chức năng định tuyến, tường lửa và miễn phí, ứng
dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo
mật. Bắt đầu vào năm 2004, khi m0n0wall mới bắt đầu chập chững – đây là một dự án
bảo mật tập trung vào các hệ thống nhúng – pfSense đã có hơn 1 triệu lượt download
và được sử dụng để bảo vệ các mạng có tất cả kích cỡ, từ mạng gia đình đến các mạng
lớn của các công ty/doanh nghiệp. Ứng dụng này có một cộng đồng phát triển rất tích
cực và nhiều tính năng đang được bổ sung trong mỗi lần phát hành nhằm cải thiện hơn
nữa tính bảo mật, sự ổn định và khả năng linh hoạt của nó. Và là một trong số ít những
firewall có tính năng trạng thái, chỉ thường xuất hiện ở những firewall thương mại lớn
như Cisco ASA, Checkpoint, Juniper .…
PfSense bao gồm nhiều tính năng đặc biệt là firewall trạng thái mà bạn vẫn thấy
trên các thiết bị tường lửa hoặc router thương mại lớn, chẳng hạn như giao diện người
dùng (GUI) trên nền Web tạo sự quản lý một cách dễ dàng. Trong khi đó phần mềm
miễn phí này cịn có nhiều tính năng ấn tượng đối với firewall/router miễn phí, tuy
nhiên cũng có một số hạn chế.
PfSense hỗ trợ lọc bởi địa chỉ nguồn và địa chỉ đích, cổng nguồn hoặc cổng đích
hay địa chỉ IP. Nó cũng hỗ trợ chính sách định tuyến và cơ chế hoạt động trong chế độ
brigde hoặc transparent, cho phép bạn chỉ cần đặt pfSense ở giữa các thiết bị mạng mà
khơng cần địi hỏi việc cấu hình bổ sung. PfSense cung cấp cơ chế NAT và tính năng
chuyển tiếp cổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với Point-to-Point

Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và Session
Initiation Protocol (SIP) khi sử dụng NAT.
19


PfSense được dựa trên FreeBSD và giao thức Common Address Redundancy
Protocol (CARP) của FreeBSD, cung cấp khả năng dự phòng bằng cách cho phép các
quản trị viên nhóm hai hoặc nhiều tường lửa vào một nhóm tự động chuyển. Vì nó hỗ
trợ nhiều kết nối mạng diện rộng (WAN) nên có thể thực hiện việc cân bằng tải. Tuy
nhiên có một hạn chế với nó ở chỗ chỉ có thể thực hiện cân bằng lưu lượng phân phối
giữa hai kết nối WAN và không thể chỉ định được lưu lượng cho qua một kết nối.

20


CHƯƠNG 2: TÍNH NĂNG VÀ DỊCH VỤ CỦA FIREWALL
PFSENSE
2.1. Một số tính năng chính của Firewall Pfsense
2.1.1. Pfsense Rules
Fireall pfSense hoạt động dựa vào những rule mà người quản trị đã qui định.
Những rule này giúp pfSense hiểu được gói tin nào sẽ bị chặn lại, gói tin nào sẽ được
thơng qua. Vì vậy cơng việc cấu hình rule trong pfSense là một công việc cơ bản mà
người quản trị nào cũng phải thông thạo.
Ở pfSense, mặc định các vùng mạng được kết nối với nhau thông qua Rule, tuy
nhiên tùy theo yêu cầu thực tế về tính bảo mật, nhà quản trị mạng cần tùy biến lại các
rule này cho phù hợp.
 Xem các Rule trong Firewall chọn Firewall -> Rules :

Hình 2-4: Firewall Rules
 Add thêm Rule Firewall:


+ Add thêm rule lên đầu danh sách chọn icon
+ Add thêm rule xuống cuối danh sách chọn icon
Sau khi chọn Add sẽ xuất hiện giao diện sau:

21

.


Hình 2-5: Cấu hình Rule
 Những thuật ngữ chính của Rule:
+ Action : tạo hành động khi gói tin khơng hợp với Rule. Mặc định pfSense có
các tùy chọn Action : Pass/Block ( Hủy gói tin đi tới Firewall )/Reject ( từ chối
gói tin và gắn cờ, gửi lại người dùng ).

+ Disable : tạm thời tắt hiệu lực của Rule, khi cần sẽ có thể Enable lên lại.
22


+ TCP/IP Version : phiên bản IP mà pfSense làm việc, đó là IPv4 và IPv6.
+ Protocol : những giao thức truyền dữ liệu mà pfSense có thể sử dụng ( ICMP, TDP…)
và những giao thức định tuyến ( OSPF, Eirgp).

+ Source/Destination : quy định các IP nguồn/đích.
+ Log : cho phép theo dõi và ghi lại hoạt động của Rule.
2.1.2. NAT
Cơ chế NAT ( Network Address Translation ) là cơ chế quen thuộc và khơng thể
thiếu trong bất kì hệ thống mạng nào để ra ngoài Internet. Với số lượng IP Public hạn
chế, cơ chế NAT giúp các máy con trong mạng nội bộ chuyển đổi từ IP Private sang IP

Public để truy cập Internet. Có hai cơ chế Nat chính đó là :
-

Nat Inbound : chuyển đổi địa chỉ IP từ Public thành Private.

-

Nat Outbound : chuyển đổi địa chỉ IP từ Private thành Public.

Thiết lập mặc định của NAT cho các kết nối outbound là Automatic outbound
NAT…, tuy nhiên bạn có thể thay đổi kiểu Manual outbound NAT nếu cần.
 Port Forward :

Đây là một hình thức của Nat inbound. Tại menu Firewall –> Nat –> Port
Forward.

Hình 2-6: NAT Port Forward
 Nat 1:1 :

23


Cấu hình này dùng cho trường hợp muốn gán cứng một IP Private với một IP
Public.

Hình 2-7: NAT 1:1
 Nat oubound :

Tab Outbound để cho phép các máy con trong hệ thống mạng nội bộ ra được
Internet. Ở pfSense, mặc định Firewall đã có sẵn các rule Nat outbound để chuyển đổi

IP Private thành IP Public, giúp truy cập ra Internet.

Hình 2-8: NAT Outbound
Những rule mặc định này gần như đã đáp ứng được những mơ hình mạng bình
thường, tuy nhiên với những mơ hình phức tạp hơn, sẽ cần đến sự tùy biến của người
quản trị bằng việc chọn Manual Outbound Nat.
2.1.3. Firewall Aliases
Firewall là một trong những tính năng quan trọng của Pfsense, dùng để kiểm soát
truy cập, điều chỉnh hướng đi của các kết nối trong hệ thống mạng thông qua các thiết
24


lập trên Firewall rules. Vấn đề là các Filrewall rulese mặc định chỉ cho phép ta định
nghĩa một host hoặc một dịch vụ, việc này sẽ dẩn đến nếu muốn tạo ra rất nhiều rule
nếu muốn thiết thiết lập các chính sách cho Filrewall, càng nhiều rule thì sẽ ảnh hưởng
đến khả năng xử lý của Firewall. Vì lý do trên nên nhu cầu đặt ra là phải thiết lập các
rule một cách hiệu quả bằng một danh sách các host, địa chỉ, dịch vụ… Để làm được
điều này Pfsense Firewall cho phép chúng ta thiết lập các danh sách này được gọi là
các Aliases.
Tất cả các Aliases được định nghĩa và quản lý trong Firewall -> Aliases:

Hình 2-9: Aliases
Để tạo ra một Aliases mới, ta chọn nút Add, sau khi chọn xuất hiện giao diện
sau:

Hình 2-10: Cấu hình Aliases
25



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×