1. Trang chủ
  2. » Công Nghệ Thông Tin

ĐỒ ÁN CHUYÊN NGÀNH GIẢI PHÁP VÀ CẤU HÌNH TƯỜNG LỬA TRONG HỆ THỐNG MẠNG MÃ NGUỒN MỞ

68 59 1

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 68
Dung lượng 4,58 MB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Cấu trúc

  • CHƯƠNG 1: TÌM HIỂU VỀ CÔNG NGHỆ FIREWALL VÀ CÁC GIẢI PHÁP (14)
    • 1.1. TÌM HIỂU VỀ CÔNG NGHỆ FIREWALL (14)
      • 1.1.1. Khái niệm về firewall (14)
      • 1.1.2. Mục đích của firewall (15)
    • 1.2. CÁC LỰA CHỌN FIREWALL (18)
      • 1.2.1. Firewall phần cứng (18)
      • 1.2.2. Firewall phần cứng (18)
    • 1.3. CHỨC NĂNG CỦA FIREWALL (19)
    • 1.4. KIẾN TRÚC CƠ BẢN CỦA FIREWALL (20)
      • 1.4.1. Kiến trúc Dual – Homed Host (21)
      • 1.4.2. Kiến trúc Screend Host (22)
      • 1.4.3. Kiến trúc Screend Subnet (23)
    • 1.5. PHÂN LOẠI FIREWALL (24)
      • 1.5.1. Packet Feltering Firewall (25)
      • 1.5.2. Application – Proxy Firewall (26)
    • 1.6. NHIỆM VỤ VÀ HẠN CHẾ CỦA FIREWALL (27)
      • 1.6.1. Nhiệm vụ cơ bản của Firewall (27)
      • 1.6.2. Những hạn chế của firewall (28)
    • 1.7. CÁC GIẢI PHÁP CỦA FIREWALL (29)
      • 1.7.1. Phần mềm mã nguồn mở Pfsense firewall (29)
      • 1.7.2. Phần mềm mã nguồn mở IPCop firewall (30)
      • 1.7.3. Phần mềm Firewall Check Point Technologies’ Safe@Office (31)
      • 1.7.4. Phần mềm FortiGate Antivirus Firewall (32)
  • CHƯƠNG 2: PFSENSE FIREWALL (34)
    • 2.1. TƯỜNG LỬA PFSENSE (34)
    • 2.2. LỢI ÍCH CỦA PFSENSE (35)
    • 2.3. CÁC GÓI DỊCH VỤ PFSENSE (36)
    • 2.4. MỘT SỐ TÍNH NĂNG CỦA PFSENSE (37)
      • 2.4.1. Pfsense Aliases (37)
      • 2.4.2. NAT (38)
      • 2.4.3. Firewall Rules (38)
      • 2.4.4. Firewall Schedules (39)
    • 2.5. MỘT SỐ DỊCH VỤ CỦA PFSENSE (40)
      • 2.5.1. DHCP Server (40)
      • 2.5.2. Cài đặt Packages (40)
      • 2.5.3. Backup and Recovery (41)
      • 2.5.4. Load Balancer (41)
      • 2.5.5. VPN trên Pfsense (41)
      • 2.5.6. Remote Desktop (41)
  • CHƯƠNG 3: TRIỂN KHAI PFSENSE (42)
    • 3.1. CHUẨN BỊ CÀI ĐẶT PFSENSE (42)
    • 3.2. CÀI ĐẶT PFSENSE (42)
    • 3.3. TRIỂN KHAI PFSENSE (46)
      • 3.1.1. Cấu hình DHCP Server (55)

Nội dung

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN CHUYÊN NGÀNH GIẢI PHÁP VÀ CẤU HÌNH TƯỜNG LỬA TRONG HỆ THỐNG MẠNG MÃ NGUỒN MỞ Giảng viên hướng dẫn VƯƠNG XUÂN CHÍ S.

TÌM HIỂU VỀ CÔNG NGHỆ FIREWALL VÀ CÁC GIẢI PHÁP

TÌM HIỂU VỀ CÔNG NGHỆ FIREWALL

Firewall (bức tường lửa) là hệ thống bảo vệ dựa trên cả phần mềm và phần cứng, được dùng để ngăn chặn truy cập trái phép và bảo vệ thông tin trước các mối đe dọa từ hacker Nó kiểm tra dữ liệu đi từ bên ngoài vào máy tính hoặc từ máy tính ra ngoài Internet, đồng thời quản lý lưu lượng giữa mạng nội bộ và Internet và giữa các mạng con trong hệ thống mạng của công ty Firewall hoạt động như một người bảo vệ chịu trách nhiệm kiểm tra “giấy thông hành” của mỗi gói dữ liệu đi vào hoặc đi ra, chỉ cho phép các gói dữ liệu hợp lệ đi qua và loại bỏ những gói dữ liệu không hợp lệ.

Sự ra đời của firewall

Firewall là thuật ngữ bắt nguồn từ kỹ thuật thiết kế trong xây dựng nhằm ngăn chặn và hạn chế hỏa hoạn; khi được đưa vào công nghệ mạng thông tin, Firewall là một cơ chế được tích hợp vào hệ thống mạng để chống truy cập trái phép, bảo vệ nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào mạng Hiểu một cách đơn giản, Firewall bảo vệ mạng tin cậy khỏi các mạng không tin tưởng, giúp kiểm soát lưu lượng và phân tách các khu vực an toàn với các khu vực rủi ro để bảo vệ dữ liệu.

Firewall được đặt giữa mạng nội bộ (Intranet) của một tổ chức và Internet, đóng vai trò bảo mật thông tin và ngăn chặn các truy cập trái phép từ bên ngoài Đồng thời, nó kiểm soát và cấm truy cập từ bên trong tới một số địa chỉ trên Internet, giảm thiểu rủi ro an ninh mạng và bảo vệ dữ liệu của công ty.

Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) giữa mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet: (INTRANET

Trong một số trường hợp, Firewall có thể được thiết lập ở trong cùng một mạng nội bộ và cô lập các miền an toàn Ví dụ như một mạng cục bộ sử dụng Firewall để ngăn cách phòng máy và hệ thống mạng ở tầng dưới

Firewall hoạt động bằng cách kiểm tra lưu lượng đến và đi trên Internet, nhận diện và chặn các nguồn nguy hiểm hoặc có dấu hiệu nghi ngờ Khi được cài đặt đúng cách, Firewall giúp ngăn tin tặc tìm kiếm các máy tính dễ bị tấn công và làm cho máy tính của bạn khó bị phát hiện.

Firewall là một giải pháp bảo mật dựa trên phần mềm hoặc phần cứng để kiểm tra và lọc dữ liệu đi và đến máy tính cũng như mạng Do đó nên bật firewall cho bất kỳ máy tính hoặc mạng nào có kết nối với Internet để tăng cường bảo vệ Đối với các kết nối Internet băng thông rộng, firewall trở nên càng quan trọng vì đây là loại kết nối luôn bật, cho phép tin tặc có nhiều thời gian hơn để tìm cách đột nhập Ngoài ra, băng thông rộng cũng tạo điều kiện cho tin tặc lợi dụng để tiếp tục tấn công các máy tính khác.

Firewall cho phép người dùng yên tâm rằng dữ liệu truyền giữa máy tính của họ và các máy tính hoặc hệ thống khác đang được giám sát chặt chẽ Có thể xem Firewall như một người bảo vệ chịu trách nhiệm kiểm tra “giấy thông hành” của mọi gói dữ liệu đi vào và ra khỏi máy tính, chỉ cho phép những gói tin hợp lệ đi qua và loại bỏ tất cả các gói dữ liệu không hợp lệ để bảo vệ hệ thống khỏi các nguy cơ mạng.

Giải pháp firewall thật sự cần thiết vì nó bắt nguồn từ cách dữ liệu di chuyển trên Internet Dữ liệu gửi đi được phân chia thành các gói nhỏ và mỗi gói sẽ tìm đường đi tối ưu trước khi được lắp ghép lại theo đúng thứ tự để khôi phục nội dung ban đầu Dù việc phân chia gói làm cho việc truyền dữ liệu thuận tiện hơn, nó cũng tạo ra rủi ro bảo mật: nếu một số gói dữ liệu bị can thiệp hoặc bị tráo đổi thứ tự ghép, kẻ xấu có thể chiếm quyền điều khiển từ xa máy tính và lợi dụng kết nối Internet để tiến hành các cuộc tấn công mà không để lại dấu vết Vì vậy, firewall và các biện pháp bảo mật mạng khác đóng vai trò thiết yếu trong việc ngăn chặn xâm nhập và bảo vệ hệ thống.

Firewall đóng vai trò then chốt trong bảo vệ hệ thống bằng cách kiểm tra dữ liệu đến và đảm bảo chúng hợp lệ, ngăn ngừa việc chiếm quyền điều khiển máy tính từ người dùng bên ngoài Chức năng kiểm soát dữ liệu đi ra của Firewall cũng quan trọng, vì nó ngăn chặn kẻ xâm nhập cài đặt virus và các cửa hậu để phát động các cuộc tấn công tới các máy tính khác trên Internet Nhờ quản lý hiệu quả cả lưu lượng vào và ra, Firewall tăng cường an toàn thông tin cho máy tính và mạng, giảm thiểu rủi ro bảo mật và bảo vệ người dùng khỏi các mối đe dọa từ xa.

Hình 1.1 Firewall được đặt giữa mạng riêng và Internet

Firewall là một thiết bị có ít nhất hai giao diện mạng: giao diện chung kết nối với Internet (nơi mọi người có thể truy cập) và giao diện riêng chứa dữ liệu được bảo vệ Tùy theo số đoạn mạng cần được tách rời, một firewall có thể có nhiều giao diện riêng Với mỗi giao diện, firewall áp dụng một bộ quy tắc bảo vệ riêng để xác định loại lưu thông được phép đi qua giữa mạng chung và mạng riêng, từ đó kiểm soát truy cập và bảo vệ an toàn cho dữ liệu và tài nguyên.

Firewall không chỉ là lớp bảo vệ cơ bản mà còn có thể thực hiện nhiều chức năng khác để tăng cường hiệu suất và quản lý mạng, đặc biệt khi được cấu hình hợp lý cho vai trò phù hợp Trong thực tế, quản trị viên mạng thường dùng Firewall như một thiết bị đầu nối VPN, hoặc làm máy chủ xác thực, máy chủ DNS, tùy theo nhu cầu của tổ chức Tuy nhiên, như bất kỳ thiết bị mạng nào khác, việc chứa quá nhiều dịch vụ trên cùng một máy chủ sẽ làm gia tăng rủi ro bảo mật và tình trạng quá tải Vì vậy, nguyên tắc tối ưu là không nên chạy nhiều dịch vụ trên cùng một Firewall; nên tách các dịch vụ ra trên các máy chủ riêng hoặc sử dụng phân vùng/ảo hóa để giảm thiểu rủi ro và tối ưu hóa hiệu suất.

Firewall là lớp bảo vệ thứ hai của hệ thống mạng, trong khi lớp đầu tiên là bộ định tuyến ở mức định tuyến có nhiệm vụ cho phép hoặc từ chối các địa chỉ IP và phát hiện các gói tin bất bình thường Firewall xác định luồng lưu thông được phép và bị từ chối, đồng thời có thể chủ động phát hiện và ngăn chặn gói tin độc hại hoặc bất thường Đối với các mạng nhỏ hoặc khi quản lý một số địa chỉ IP riêng lẻ, firewall thường mang lại hiệu quả và sự linh hoạt hơn so với chỉ dựa vào bộ định tuyến Do bộ định tuyến có thể quá tải khi thực hiện lọc địa chỉ IP, việc đưa công việc lọc IP về firewall giúp giảm tải cho router và tối ưu hóa hiệu suất mạng.

Firewall đóng vai trò thiết yếu trong việc bảo vệ mạng khỏi lưu lượng không mong muốn, giúp chặn các lưu lượng đến từ bên ngoài và không bắt nguồn từ các máy ở phía sau firewall Khi một mạng không có máy chủ công cộng, firewall trở thành công cụ hiệu quả để từ chối lưu lượng đi vào và lọc bỏ các kết nối trái phép Firewall cũng có thể được cấu hình để từ chối toàn bộ lưu lượng ngoại trừ cổng 53 dành cho máy chủ DNS, từ đó đảm bảo an toàn và ổn định cho hệ thống DNS của bạn.

Hình 1.2 Hệ thống mạng gồm có Firewall và máy chủ

Firewall có sức mạnh lớn nhất ở khả năng lọc lưu lượng dựa trên tập hợp các quy tắc bảo vệ do các nhà quản trị thiết lập, giúp phân biệt lưu lượng hợp lệ và độc hại Quy tắc bảo vệ đóng vai trò then chốt trong bảo mật mạng và hiệu quả của firewall phụ thuộc vào tính đầy đủ, chính xác của bộ quy tắc này Tuy nhiên, đây cũng có thể là nhược điểm lớn nhất: nếu bộ quy tắc kém chất lượng hoặc thiếu sự cập nhật, kẻ tấn công có thể lợi dụng lỗ hổng, mở đường cho xâm nhập và mạng có thể không được an toàn.

CÁC LỰA CHỌN FIREWALL

Tường lửa phần cứng cung cấp mức độ bảo vệ cao hơn so với tường lửa phần mềm và dễ bảo trì Một lợi thế khác của tường lửa phần cứng là nó không chiếm dụng tài nguyên hệ thống trên máy tính như tường lửa phần mềm, giúp tối ưu hóa hiệu suất và giảm tải cho hệ thống.

Firewall phần cứng là một lựa chọn tối ưu cho doanh nghiệp nhỏ, đặc biệt khi mạng có chia sẻ kết nối Internet Bạn có thể kết hợp firewall và bộ định tuyến trên cùng một hệ thống phần cứng, giúp bảo vệ toàn bộ mạng một cách hiệu quả và đơn giản So với firewall phần mềm cần cài đặt trên từng máy tính, firewall phần cứng thường tiết kiệm chi phí và giảm công sức quản trị cho IT Với các tính năng bảo mật như kiểm soát truy cập, lọc lưu lượng và ngăn chặn tấn công từ mạng ngoài, giải pháp này tăng cường an ninh mạng cho doanh nghiệp mà vẫn linh hoạt và dễ mở rộng khi có nhu cầu.

Trong danh sách các nhà cung cấp firewall phần cứng, Linksys (www.linksys.com) và NetGear (www.netgear.com) được nhắc đến nổi bật Tính năng firewall phần cứng do hai thương hiệu này cung cấp thường được tích hợp sẵn trên các bộ định tuyến dành cho mạng doanh nghiệp nhỏ và mạng gia đình, mang lại lớp bảo mật mạng và quản lý lưu lượng hiệu quả cho người dùng tại nhà và văn phòng nhỏ.

Để tiết kiệm chi phí, thay vì mua Firewall phần cứng, bạn có thể dùng Firewall phần mềm Giá của firewall phần mềm thường mềm hơn so với firewall cứng và thậm chí có những phiên bản miễn phí Ví dụ, các lựa chọn miễn phí phổ biến như Comodo Firewall Pro 3.0, PC Tools Firewall Plus 3.0 và ZoneAlarm Firewall 7.1 có thể tải xuống từ Internet.

So với firewall phần cứng, firewall phần mềm mang lại tính linh hoạt và dễ tùy chỉnh hơn để phù hợp với nhu cầu riêng của từng công ty, đồng thời có thể hoạt động trên nhiều hệ thống khác nhau Trong khi đó, firewall phần cứng được tích hợp với router thường tối ưu cho mạng có quy mô nhỏ Firewall phần mềm cũng là lựa chọn phù hợp cho máy tính xách tay, giúp bảo vệ thiết bị dù mang theo đi bất cứ đâu.

Các Firewall phần mềm làm việc tốt với Windows 98, Windows ME và Windows

2000 Chúng là một lựa chọn tốt cho các máy tính đơn lẻ Các công ty phần mềm khác làm các tường lửa này Chúng không cần thiết cho Windows XP bởi vì XP đã có một tường lửa cài sẵn

- Không yêu cầu phần cứng bổ sung

- Không yêu cầu chạy thêm dây máy tính

- Một lựa chọn tốt cho các máy tính đơn lẻ

- Chi phí thêm: hầu hết các tường lửa phần mềm tốn chi phí

- Việc cài đặt và và đặt cấu hình có thể cần để bắt đầu

- Cần một bản sao riêng cho mỗi máy tính.

CHỨC NĂNG CỦA FIREWALL

Chức năng chính của firewall là kiểm soát lưu lượng giữa hai hay nhiều mạng có mức độ tin cậy khác nhau để từ đó thiết lập cơ chế điều khiển luồng thông tin giữa chúng.

- Cho phép hoặc ngăn cản truy nhập vào ra giữa các mạng.

- Theo dõi luồng dữ liệu trao đổi giữa các mạng.

- Kiểm soát người sử dụng và việc truy nhập của người sử dụng.

- Kiểm soát nội dung thông tin lưu chuyển trên mạng.

Firewall bảo vệ và chống lại những sự tấn công từ bên ngoài:

- Chống lại việc sửa đổi mã

- Từ chối các dịch vụ đính kèm

- Lỗi người quản trị hệ thống

- Vô hiệu hóa các chức năng của hệ thống (Deny service)

KIẾN TRÚC CƠ BẢN CỦA FIREWALL

Kiến trúc của một hệ thống sử dụng firewall như sau:

Hình 1.4 Kiến trúc của một hệ thống sử dụng firewall

Các hệ thống firewall đều có điểm chung ở cấu trúc cụ thể như sau

Hình 1.5 Cấu trúc chung của một hệ thống sử dụng firewall

- Screening Router: là chặng kiểm soát đầu tiên cho LAN.

- DMZ: là vùng có nguy cơ bị tấn công từ internet.

- Gateway Host: là cổng ra vào giữa mạng LAN và DMZ, kiểm soát mọi liên lạc, thực thi các cơ chế bảo mật.

- IF1 (Interface 1): là card giao tiếp với vùng DMZ.

- IF2 (Interface 2): là card giao tiếp với vùng mạng LAN.

- FTP Gateway: Kiểm soát truy cập FTP giữa LAN và vùng FTP từ mạng LAN ra internet là tự do Các truy cập FTP vào LAN đòi hỏi xác thực thông qua Authentication server.

- Telnet gateway: Kiểm soát truy cập telnet tương tự như FTP, người dùng có thể telnet ra ngoài tự do, các telnet từ ngoài vào yêu cầu phải xác thực thông qua Authentication server.

- Authentication server: là nơi xác thực quyền truy cập dùng các kỹ thuật xác thực mạnh như one-time password/token (mật khẩu sử dụng một lần)

Các firewall có đặc tính chung là khả năng phân biệt đối xử hoặc từ chối truy cập dựa trên địa chỉ nguồn của gói tin Nhờ cơ chế quản lý và áp dụng quy tắc của firewall, các máy chủ dịch vụ trong mạng LAN được bảo vệ an toàn, đồng thời mọi thông tin trao đổi với Internet đều được kiểm soát qua Default Gateway.

1.4.1 Kiến trúc Dual – Homed Host

Firewall kiến trúc kiểu Dual-homed host được xây dựng trên một máy tính Dual-homed với ít nhất hai giao diện mạng Máy tính này được gọi là Dual-homed host khi nó có hai card mạng kết nối với hai mạng khác nhau và đóng vai trò như một router phần mềm Kiến trúc này rất đơn giản: Dual-homed host nằm ở giữa, một bên kết nối với Internet và một bên kết nối với mạng nội bộ LAN Nhờ đó, nó có thể kiểm soát lưu lượng giữa Internet và LAN và đóng vai trò như một cổng bảo mật cho hệ thống mạng.

Hình 1.6 Kiến trúc Daul – Homed host

Dual-homed host chỉ có thể cung cấp dịch vụ thông qua ủy quyền (proxy) hoặc cho phép người dùng đăng nhập trực tiếp vào chính Dual-homed host Mọi giao tiếp từ một host trong mạng nội bộ với host ở bên ngoài đều bị cấm; Dual-homed host là nơi giao tiếp duy nhất được phép, giúp kiểm soát và bảo mật lưu lượng mạng giữa mạng nội bộ và bên ngoài.

Kiến trúc screened host ngược với cấu trúc Dual-homed host, nó cung cấp các dịch vụ từ một host bên trong mạng nội bộ và dùng một router tách rời với mạng bên ngoài Trong kiểu kiến trúc này, bảo mật được thực thi chủ yếu bằng phương pháp Packet Filtering, tức lọc gói tin tại điểm trung gian để ngăn chặn lưu lượng độc hại từ bên ngoài xâm nhập vào hệ thống và bảo vệ các dịch vụ nội bộ.

Bastion host được đặt bên trong mạng nội bộ và được bảo vệ bởi Packet Filtering trên router Theo cách này, Bastion host là hệ thống duy nhất trong mạng nội bộ mà các host trên Internet có thể kết nối tới; chỉ các kiểu kết nối phù hợp được định nghĩa và cho phép trên Bastion host mới được mở Bất kỳ hệ thống bên ngoài nào cố gắng truy cập vào hệ thống hoặc các dịch vụ bên trong đều phải kết nối tới Bastion host Vì thế, Bastion host cần được duy trì ở mức bảo mật cao Packet Filtering cũng cho phép Bastion host mở kết nối ra bên ngoài khi cần thiết, nhằm quản lý lưu lượng và bảo vệ mạng nội bộ.

 Cấu hình của packet filtering trên screening router như sau:

- Cho phép tất cả các host bên trong mở kết nốt tới host bên ngoài thông qua một số dịch vụ cố định

- Không cho phép tất cả các kết nối từ host bên trong (cấm những host này sử dụng dịch vụ proxy thông qua Bastion host)

- Bạn có thể kết hợp nhiều lối vào cho những dịch vụ khác nhau

- Một số dịch vụ được phép đi vào trực tiếp qua packet filtering

- Một số dịch vụ khác thì chỉ được phép đi vào gián tiếp qua proxy

Kiến trúc này cho phép các gói tin từ bên ngoài xâm nhập vào mạng nội bộ, vì vậy nó có vẻ ít an toàn hơn kiến trúc Dual-homed host và được thiết kế để ngăn không cho bất kỳ gói tin nào tới được mạng nội bộ Tuy nhiên, trong thực tế kiến trúc Dual-homed host cũng có những lỗi có thể cho phép một gói tin từ bên ngoài vượt vào bên trong, những sai sót này thường không được dự phòng trước và hầu như không có biện pháp bảo vệ chống lại các kiểu tấn công này Thêm nữa, kiến trúc Dual-homed host dễ bảo vệ router — thiết bị cung cấp rất ít dịch vụ — hơn là bảo vệ các máy chủ nội bộ trong mạng.

Hình 1.7 Kiến trúc Screened host 1.4.3 Kiến trúc Screend Subnet

Để tăng cường bảo vệ mạng nội bộ và thực hiện chiến lược phòng thủ theo chiều sâu, người ta tăng cường sự an toàn cho bastion host bằng cách tách biệt nó khỏi các host khác, nhằm giảm thiểu rủi ro lây lan khi bastion host bị tổn thương Trong khuôn khổ này, kiến trúc Firewall có tên Screened Subnet được xem là giải pháp tối ưu để cô lập và kiểm soát lưu lượng, từ đó tăng cường bảo mật cho toàn bộ hạ tầng mạng.

Kiến trúc Screened subnet là sự mở rộng của kiến trúc Screened host, bổ sung một lớp an toàn bằng cách triển khai mạng ngoại vi (perimeter network) nhằm cô lập mạng nội bộ khỏi mạng bên ngoài và tách bastion host khỏi các máy chủ thông thường Mục tiêu của Screened subnet là phân vùng bảo mật rõ ràng giữa các vùng mạng, ngăn chặn rủi ro từ Internet đồng thời tăng cường kiểm soát lưu lượng truy cập giữa mạng nội bộ, mạng ngoại vi và Internet Kiểu Screen subnet đơn giản sử dụng hai router được kiểm duyệt (screened routers) để thực hiện chức năng lọc và giám sát, tạo nên hai tầng bảo vệ và giúp cô lập các thành phần quan trọng khỏi các mối đe dọa từ bên ngoài.

Router ngoài, còn được gọi là access router, nằm giữa mạng ngoại vi và mạng ngoài và có chức năng bảo vệ cho mạng ngoại vi (bastion host, interior router) Nó cho phép lưu lượng outbound từ mạng ngoại vi Một số quy tắc lọc gói tin (packet filtering) được cấu hình ở mức vừa đủ để bảo vệ bastion host và interior router, vì bastion host là một máy chủ được tăng cường bảo mật ở mức cao Ngoài các quy tắc này, các quy tắc khác nên được đồng nhất giữa hai router để đảm bảo tính nhất quán và an toàn cho biên giới mạng.

Router trong (Interior router hay choke router) nằm giữa mạng ngoài và mạng nội bộ, đóng vai trò bảo vệ mạng nội bộ khỏi rủi ro từ bên ngoài và khu vực ngoại vi, nhưng nó không thực hiện đầy đủ các quy tắc packet filtering như firewall toàn diện Các dịch vụ được cho phép giữa Bastion Host và mạng nội bộ không nhất thiết phải giống với các dịch vụ giữa mạng ngoài và mạng nội bộ Việc giới hạn dịch vụ giữa Bastion Host và mạng nội bộ giúp giảm phạm vi tấn công khi Bastion Host bị tổn thương và thỏa hiệp với bên ngoài Ví dụ, có thể giới hạn các dịch vụ được phép giữa Bastion Host và máy chủ nội bộ, như chỉ cho phép SMTP giữa Bastion Host và email server nội bộ khi có email từ bên ngoài đi vào hệ thống.

Hình 1.8 Kiến trúc Sreened Subnet

PHÂN LOẠI FIREWALL

Hiện nay có nhiều loại Firewall, để tiện cho quá trình nghiên cứu và phát triển,người ta chia Firewall ra làm hai loại chính bao gồm:

- Packet Filtering Firewall: là hệ thống tường lửa giữa các thành phần bên trong mạng và bên ngoài mạng có kiểm soát

- Application - proxy Firewall: là hệ thống cho phép kết nối trực tiếp giữa các máy khách và các host.

1.5.1 Packet Feltering Firewall Đây là kiểu Firewall thông dụng hoạt động dựa trên mô hình OSI mức mạng. Firewall mức mạng thường hoạt động theo nguyên tắc router hay còn được gọi là router, tức là tạo ra các luật lệ về quyền truy cập mạng dựa trên mức mạng Mô hình này hoạt động theo nguyên tắc lọc gói tin Ở kiểu hoạt động này các gói tin đều được kiểm tra địa chỉ nguồn nơi chúng xuất phát Sau khi địa chỉ IP nguồn được xác định, nó sẽ tiếp tục được kiểm tra với các luật đã đặt ra trên router.

Các firewall hoạt động ở lớp mạng có tốc độ xử lý nhanh vì chúng chỉ kiểm tra địa chỉ IP nguồn mà không xác định xem địa chỉ đó có hợp lệ hay được cho phép hay không Đây là một hạn chế của kiểu firewall này vì nó không đảm bảo tính tin cậy của nguồn lưu lượng và dễ bị lợi dụng bởi địa chỉ giả mạo, ảnh hưởng đến an toàn và bảo mật mạng.

Kiểu firewall này có lỗ hổng nằm ở việc chỉ dựa vào địa chỉ IP nguồn để làm chỉ thị Khi một gói tin mang địa chỉ nguồn giả mạo, nó có thể vượt qua một số mức truy nhập và thâm nhập vào mạng nội bộ Để giảm thiểu rủi ro, cần bổ sung các biện pháp bảo mật bên cạnh việc kiểm tra IP nguồn, như xác thực mạnh hơn, phân tích và lọc gói tin đa lớp, cũng như giám sát lưu lượng để phát hiện hành vi giả mạo và ngăn chặn các cuộc tấn công.

 Firewall kiểu packet filtering chia làm hai loại:

Packet filtering firewall hoạt động tại lớp mạng (Network Layer) của mô hình OSI và dựa vào các luật lọc gói tin được xác định trên các trường trong IP header và transport header, bao gồm địa chỉ IP nguồn và địa chỉ IP đích Các quy tắc này cho phép hoặc từ chối từng gói tin dựa trên tiêu chí đã định, từ đó ngăn chặn lưu lượng không mong muốn và tăng cường bảo mật mạng ở mức nền tảng Dù hiệu quả trong việc xử lý nhanh và ít tiêu thụ tài nguyên, lọc gói tin có hạn chế là không nhận diện được trạng thái kết nối hay nội dung ứng dụng, vì vậy nhiều hệ thống an ninh mạng kết hợp firewall ở nhiều lớp để đảm bảo khả năng phát hiện và ứng phó tốt hơn.

- Cicuit level gateway: hoạt động tại lớp phiên (Session Layer) của mô hình OSI.

Mô hình này không cho phép các kết nối end to end.

Khi một kết nối từ người dùng đến mạng đi qua Firewall này, kết nối sẽ bị chặn ban đầu; sau đó Firewall sẽ kiểm tra các trường liên quan của gói tin yêu cầu kết nối Nếu các trường thông tin đáp ứng được các quy tắc bảo mật do Firewall đặt ra, Firewall sẽ tạo một cầu kết nối cho gói tin đi qua và cho phép luồng lưu lượng được truyền qua mạng.

- Không có chức năng chuyển tiếp các gói tin IP

- Điều khiển một cách chi tiết hơn các kết nối thông qua Firewall

- Đưa ra công cụ cho phép ghi lại quá trình kết nối

- Tốc độ xử lý khá chậm

Việc chuyển tiếp các gói tin IP từ mạng ngoài vào mạng nội bộ qua một máy chủ có thể trở thành lỗ hổng bảo mật cho hacker xâm nhập hệ thống Khi các gói tin từ mạng bên ngoài được định tuyến vào mạng trong mà không qua kiểm soát nghiêm ngặt, kẻ xấu có thể lợi dụng sơ hở để xâm nhập và đánh cắp dữ liệu Để giảm thiểu rủi ro, cần triển khai các biện pháp bảo mật mạng như firewall chặn trước, lọc và kiểm tra gói tin, phân đoạn mạng (segmentation), giới hạn quyền truy cập và giám sát lưu lượng Việc rà soát cấu hình định tuyến, NAT và các thiết bị bảo mật cũng như cập nhật thường xuyên các bản vá giúp ngăn chặn chuyển tiếp gói tin không an toàn và tăng cường an toàn thông tin cho toàn bộ hạ tầng.

An application-layer Proxy Firewall operates at the software application level, requiring a dedicated application proxy for each network service For instance, you would deploy an FTP proxy for FTP traffic and an HTTP proxy for HTTP traffic to enable targeted inspection and control of service-specific requests.

 Firewall Application- proxy chia thành hai loại:

- Applicatin level gateway: Hoạt động ở lớp ứng dụng (Application Layer), trong mô hình TCP/IP.

Firewall Stateful multilayer inspection (stateful multilayer inspection firewall) là loại firewall kết hợp các tính năng của nhiều loại firewall khác nhau, thực hiện lọc gói tin ở lớp mạng và kiểm tra nội dung gói tin ở lớp ứng dụng để kiểm soát lưu lượng và bảo vệ hệ thống một cách toàn diện Quá trình này cho phép thiết lập các kết nối trực tiếp giữa client và host khi phù hợp, từ đó giảm thiểu sai sót và nâng cao tính liên tục của kết nối Nhờ khả năng phân tích và giám sát ở nhiều lớp bảo mật, Stateful multilayer inspection firewall mang lại mức độ bảo mật cao và sự minh bạch cho End Users, đồng thời đảm bảo trải nghiệm người dùng mượt mà mà vẫn an toàn cho hệ thống mạng.

NHIỆM VỤ VÀ HẠN CHẾ CỦA FIREWALL

1.6.1 Nhiệm vụ cơ bản của Firewall

 Firewall bảo vệ những vấn đề sau: o Dữ liệu: Những thông tin cần được bảo vệ do những yêu cầu sau:

- Tính kịp thời o Tài nguyên hệ thống o Danh tiếng của công ty sở hữu các thông tin cần bảo vệ

FireWall bảo vệ chống lại những sự tấn công từ bên ngoài

Cách thứ nhất là dùng phương pháp dò mật khẩu trực tiếp: các công cụ dò mật khẩu sẽ kết hợp thông tin cá nhân của người dùng như ngày sinh, tuổi, địa chỉ, cùng với thư viện từ do người dùng tự tạo ra để thử đoán mật khẩu Trong nhiều trường hợp, khả năng thành công có thể lên tới 30%, cho thấy đây là một mối đe dọa thực sự với bảo mật tài khoản Ví dụ, có các chương trình dò mật khẩu chạy trên hệ điều hành Unix được sử dụng để triển khai phương pháp này.

Một trong các phương thức tấn công phổ biến là tận dụng lỗ hổng tồn tại trong các ứng dụng và hệ điều hành; những lỗ hổng này đã được khai thác từ những vụ tấn công đầu tiên và vẫn có thể cho phép kẻ xấu chiếm quyền truy cập, thậm chí đạt được quyền quản trị hệ thống nếu lỗi chưa được vá và cập nhật kịp thời.

Trong an ninh mạng, có nguy cơ lộ thông tin đăng nhập như tên người dùng và mật khẩu khi có các công cụ cho phép đưa NIC vào chế độ nhận toàn bộ lưu lượng mạng Dữ liệu truyền tải có thể bị nghe trộm nếu hệ thống không được cấu hình và bảo vệ đúng cách, đặc biệt ở các môi trường có chế độ promiscuous được kích hoạt Do đó, quản trị viên cần tăng cường bảo mật bằng mã hóa dữ liệu (TLS/SSL), kiểm soát quyền truy cập NIC, giám sát lưu lượng mạng và đánh giá lỗ hổng định kỳ để giảm thiểu rủi ro.

 Giả mạo địa chỉ IP

 Vô hiệu hoá các chức năng của hệ thống (deny service):

Đây là một kiểu tấn công nhằm làm tê liệt toàn bộ hệ thống và ngăn nó thực hiện các chức năng được thiết kế Do các phương tiện dùng để tổ chức tấn công đồng thời là các công cụ để làm việc và truy cập thông tin trên mạng nên kiểu tấn công này khó có thể bị ngăn chặn hoàn toàn.

 Lỗi người quản trị hệ thống.

Nhân tố con người, với những tính cách chủ quan và sự thiếu hiểu biết về tầm quan trọng của bảo mật hệ thống, là nguyên nhân làm lộ các thông tin quan trọng cho hacker Sự chủ quan và thiếu nhận thức khiến người dùng bỏ qua các biện pháp bảo mật cơ bản như mật khẩu mạnh, xác thực hai yếu tố và cập nhật phần mềm; từ đó dữ liệu nhạy cảm có nguy cơ bị rò rỉ hoặc xâm nhập Để giảm thiểu rủi ro, cần đẩy mạnh đào tạo bảo mật cho nhân viên, xây dựng văn hóa an toàn thông tin và áp dụng các biện pháp bảo vệ kỹ thuật phù hợp.

1.6.2 Những hạn chế của firewall

Firewall chưa đạt mức thông minh của con người khi có thể đọc hiểu từng loại thông tin và phân tích nội dung để xác định tốt xấu của dữ liệu Thực tế, firewall chủ yếu ngăn chặn sự xâm nhập từ các nguồn thông tin không mong muốn và yêu cầu xác định rõ các tham số địa chỉ như địa chỉ IP và đích để áp dụng các quy tắc lọc phù hợp Vì vậy, để tăng cường bảo mật mạng, firewall nên được kết hợp với các công nghệ phân tích nội dung và quản lý truy cập chặt chẽ, nhằm phân biệt lưu lượng hợp lệ và nguy cơ dựa trên thông tin địa chỉ và đường dẫn liên quan.

Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công đó không đi qua nó Cụ thể, firewall không đối phó được với các tấn công từ đường dial-up hoặc sự dò rỉ thông tin do sao chép trái phép dữ liệu lên đĩa mềm Vì vậy, để bảo vệ an toàn thông tin, cần chiến lược bảo mật đa lớp và các biện pháp ngăn rò rỉ dữ liệu như kiểm soát truy cập, mã hóa và quản lý thiết bị lưu trữ di động.

Tường lửa không thể ngăn chặn mọi cuộc tấn công dựa trên dữ liệu (data-driven attack) Khi nhiều chương trình độc hại được gửi qua email và vượt qua tường lửa, chúng có thể xâm nhập vào mạng được bảo vệ và bắt đầu hoạt động từ bên trong.

Firewall không thể rà quét virus trên dữ liệu được truyền qua nó do tốc độ xử lý có giới hạn, sự xuất hiện liên tục của các virus mới và nhiều cách để mã hóa dữ liệu khiến chúng thoát khỏi sự kiểm soát của firewall.

CÁC GIẢI PHÁP CỦA FIREWALL

Một số giải pháp firewall tiêu biểu dành cho doanh nghiệp

Dù ngân sách hạn chế khiến doanh nghiệp khó trang bị thiết bị bảo mật đắt tiền và thuê các chuyên gia chăm sóc an toàn mạng, thị trường bảo mật doanh nghiệp vẫn đầy tiềm năng và cơ hội kinh doanh Các doanh nghiệp đã có nhận thức ban đầu về các mối lo ngại bảo mật và sẵn sàng chi tiền để bảo vệ hệ thống của mình, miễn sao chi phí cho thiết bị và giải pháp bảo mật ở mức hợp lý và mang lại giá trị đầu tư rõ ràng.

Các nhà cung cấp dịch vụ bảo mật đang hướng tới việc xây dựng các giải pháp an ninh mạng dạng "tất cả trong một" (all-in-one) dành cho doanh nghiệp và tổ chức Những sản phẩm này có thể ở dạng phần cứng hoặc phần mềm, nhưng điểm chung là được thiết kế tối ưu cho nhu cầu vận hành và mục tiêu kinh doanh của doanh nghiệp Doanh nghiệp hiện không nhất thiết phải triển khai một hệ thống quá phức tạp hay quá cao về mức độ bảo mật mà vẫn cần một nền tảng vừa đủ để chống lại các mối đe dọa bên ngoài đồng thời tích hợp nhiều tính năng để khai thác hiệu quả từ các sản phẩm bảo mật Thông qua rà soát các sản phẩm hiện có, các chuyên gia bảo mật mạng sẽ đưa ra những nhận định hữu ích về an ninh mạng cho doanh nghiệp, giúp họ đưa ra quyết định đầu tư và triển khai phù hợp.

1.7.1 Phần mềm mã nguồn mở Pfsense firewall

PfSense là một trong những sản phẩm firewall nguồn mở được đánh giá cao nhất hiện nay và hoàn toàn miễn phí Được tách ra từ dự án M0n0wall dành cho các hệ thống nhúng, PfSense tập trung tối ưu hóa khả năng cài đặt và vận hành ổn định trên các máy tính thông thường.

pfSense là một phần mềm firewall độc lập, được thiết kế và đóng gói cùng với hệ điều hành FreeBSD tối giản, cho phép cài đặt và chạy trực tiếp trên máy tính thông thường mà không cần cài đặt hệ điều hành nền trước Kế thừa từ M0n0wall, pfSense đã phát triển thành một firewall mạnh mẽ với đầy đủ tính năng, đáp ứng nhu cầu từ mạng gia đình và doanh nghiệp nhỏ cho đến các hệ thống quy mô lớn với hàng ngàn thiết bị kết nối mạng Thành công của pfSense đến từ sự phát triển vượt trội từ nền tảng lọc gói và định tuyến thuần túy, khi danh sách dài các tính năng và các gói cài đặt hữu ích được bổ sung, tạo nên một hệ thống linh hoạt và vững chắc.

Một số đặc trưng và tính năng nổi bật của firewall pfSense:

- Chức năng tường lửa lọc gói.

- Dịch địa chỉ mạng (NAT)

- Khả năng dự phòng (redundency)

- Cân bằng tải: outbound/inbound

- Mạng riêng ảo: SSL VPN, IPSec Site-to-site VPN, PPTP VPN

- Giám sát và thống kê

1.7.2 Phần mềm mã nguồn mở IPCop firewall

Cùng với pfSense, IPCop là một trong những sản phẩm được đánh giá cao và sử dụng phổ biến trong thế giới mã nguồn mở IPCop là một dự án tách ra từ Linux, bắt nguồn từ SmoothWall và phát triển thành dự án riêng Nó hoạt động như một phần mềm độc lập kết hợp với một hệ điều hành nhỏ gọn dựa trên nền Red Hat Enterprise Linux, được thiết kế và đóng gói sẵn để cài đặt và vận hành trực tiếp trên các máy tính thông thường mà không cần thêm yêu cầu phức tạp nào Nói ngắn gọn, IPCop là một hệ điều hành hoàn chỉnh có tích hợp các tính năng firewall, tương tự pfSense, đáp ứng nhu cầu bảo mật mạng trong môi trường mã nguồn mở.

IPCop kế thừa từ SmoothWall nhưng mã nguồn đã được chỉnh sửa để chạy trên hệ thống tệp ext3, tăng cường độ tin cậy cho sản phẩm Bên cạnh đó, IPCop còn được bổ sung các tính năng tối ưu của phiên bản SmoothWall, bao gồm hỗ trợ ADSL, nhằm mang lại trải nghiệm kết nối mạng an toàn và ổn định hơn cho người dùng.

Gần như toàn bộ ứng dụng trên phiên bản SmoothWall hiện nay đều có mặt trên IPCop, và IPCop còn được cung cấp tốt hơn với sự hỗ trợ nhiều dịch vụ hơn Nếu muốn chạy SmoothWall, ta phải mua phiên bản được phân phối bởi nhà sản xuất và không miễn phí; trong khi IPCop là phần mềm có bản quyền và được cung cấp hoàn toàn miễn phí từ GPL IPCop được dùng chủ yếu như một firewall và internet gateway cho các doanh nghiệp vừa và nhỏ, với các đặc trưng và tính năng chính nổi bật.

- Tính năng firewall dựa trên IPTable/IPChains

Phần cử động được thiết kế để mở rộng cổng giao tiếp và hỗ trợ đa dạng modem như analog modem, ISDN modem và ADSL modem, đồng thời có khả năng thiết lập các kết nối PPP hoặc PPPoE trên mạng Ethernet, giúp tối ưu hóa tính tương thích và linh hoạt cho các hệ thống mạng hiện có.

- Hỗ trợ DMZ (sử dụng tối đa 4 giao diện mạng)

- Quản trị thông qua giao diện web

- Truy nhập từ xa thông qua dịch vụ SSH server cung cấp

- Hệ thống phát hiện xâm nhập Snort

1.7.3 Phần mềm Firewall Check Point Technologies’ Safe@Office

Check Point Software Technologies' Safe@Office leverages INSPECT technology to deliver a robust firewall for businesses, precisely controlling inbound and outbound network traffic By integrating INSPECT, Safe@Office enforces security policies across the corporate network, helping to protect assets and ensure secure access for users and devices.

Safe@Office 500 và Safe@Office 500W Unified Threat Management dựa trên phần mềm Firewall-1 và VPN-1 của Check Point, được tinh chỉnh để tương thích với các thiết bị nhúng Giải pháp tích hợp các thành phần thiết kế cho triển khai tại doanh nghiệp, cho phép nhân viên văn phòng tự cài đặt hoặc được cung cấp và quản lý bởi nhà cung cấp dịch vụ hoặc đối tác bán lại dịch vụ quản lý an toàn mạng.

Các công cụ trong Safe@Office được thiết kế để giải quyết nhưng chức năng bảo mật sau:

Công ty công bố rộng rãi các chính sách tới toàn thể nhân viên và đồng thời tổ chức các buổi tập huấn, đào tạo nhằm đảm bảo việc áp dụng triệt để các quy định về khai thác tài nguyên của công ty.

Quét virus diễn ra khi trao đổi email, tải xuống tệp tin, duyệt nội dung web hoặc trên bất kỳ dịch vụ nào có cổng do người dùng định nghĩa (user-defined port) Thông tin đặc tả cập nhật từ Check Point được áp dụng để nhận diện và chặn các mối đe dọa mới, từ đó bảo vệ dữ liệu và hệ thống, tối ưu an ninh cho hoạt động làm việc trực tuyến và truyền tải thông tin của doanh nghiệp.

Để ngăn ngừa xâm nhập một cách hiệu quả, hệ thống bảo mật cần có khả năng không cho phép bất kỳ ứng dụng nào gây rủi ro vận hành, đặc biệt là các hệ thống chia sẻ file ngang hàng (peer-to-peer, P2P) Việc kiểm soát và chặn các ứng dụng P2P giúp giảm thiểu lỗ hổng bảo mật, ngăn chặn lây lan phần mềm độc hại và bảo vệ dữ liệu cũng như mạng doanh nghiệp Đây là yếu tố then chốt trong chiến lược bảo mật, đảm bảo an toàn cho người dùng và hạ tầng CNTT trước mọi xâm nhập trái phép.

Trong quản trị mạng, kiểm soát lưu lượng giao thông (traffic monitoring) và các công cụ xử lý sự cố (troubleshooting tools) đóng vai trò then chốt để tối ưu hóa băng thông Bằng cách giám sát lưu lượng liên tục và xử lý sự cố nhanh chóng, hệ thống có thể gán nhiều băng thông hơn cho các ứng dụng quan trọng, từ đó cải thiện hiệu suất và chất lượng dịch vụ Việc ưu tiên lưu lượng cho các ứng dụng trọng yếu giúp giảm độ trễ, nâng cao trải nghiệm người dùng và tối ưu chi phí liên quan đến băng thông.

- Các tính năng mạng riêng ảo VPN (virtual private network) để đảm bảo an toàn cho kết nối với các văn phòng chi nhánh.

- Khả năng tạo ra các điểm truy cập không dây với WPA2 (Wi-Fi Protected Access) và IPSec (Internet Protocol Security).

1.7.4 Phần mềm FortiGate Antivirus Firewall

FortiGate Antivirus Firewall là giải pháp bảo mật tích hợp cung cấp chức năng chống virus dựa trên công nghệ mạng, lọc nội dung Internet và email, cùng tường lửa, mạng riêng ảo (VPN) và hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS) Phần mềm dễ cài đặt và tự động cập nhật từ FortiProtect, giúp duy trì bảo mật liên tục cho hệ thống mà không gây gián đoạn hoạt động Nó được cấu hình linh hoạt với nhiều tuỳ chọn, phù hợp cho các doanh nghiệp từ quy mô nhỏ đến vừa, thậm chí những tổ chức có khoảng 10 người dùng Các tính năng nổi bật như chống virus, lọc nội dung, tường lửa, VPN và IDS/IPS giúp bảo vệ toàn diện cho mạng và thông tin của tổ chức.

- Ngăn chặn virus - Lọc nội dung lưu lượng web

- Lọc spam - Chức năng tường lửa

- Chế độ NAT hoặc định tuyến - Chế độ trong suốt

- VLAN và các domain ảo - Hệ thống ngăn chặn xâm nhập

- Mạng riêng ảo (VPN) - Tính năng dự phòng

- Quản lý qua giao diện web - Hỗ trợ giao diện dòng lệnh

- Thống kê và báo cáo

PFSENSE FIREWALL

TƯỜNG LỬA PFSENSE

Để bảo vệ cho hệ thống mạng bên trong thì chúng ta có nhiều giải pháp như sử dụng Router Cisco, dùng tường lửa của Microsoft như ISA….

Những thành phần kể trên tương đối tốn kém Đối với người dùng muốn tiết kiệm chi phí nhưng vẫn cần một tường lửa bảo vệ mạng nội bộ khi giao tiếp với Internet, pfSense là giải pháp tiết kiệm và tương đối hiệu quả nhất pfSense mang lại sự bảo vệ đáng tin cậy cho hệ thống mạng nội bộ với chi phí hợp lý so với các lựa chọn đắt đỏ khác.

pfSense là một hệ thống định tuyến và tường lửa miễn phí, mạnh mẽ, cho phép mở rộng mạng mà không làm giảm bảo mật Bắt đầu từ năm 2004 trên nền tảng m0n0wall—một dự án bảo mật dành cho các hệ thống nhúng—pfSense đã có hơn 1 triệu lượt tải và được sử dụng để bảo vệ mạng ở mọi quy mô, từ gia đình đến doanh nghiệp lớn Với một cộng đồng phát triển tích cực, pfSense liên tục bổ sung tính năng mới qua các bản phát hành nhằm tăng cường bảo mật, cải thiện sự ổn định và tăng tính linh hoạt cho hệ thống mạng của bạn.

pfSense cung cấp một tập tính năng phong phú giống với các thiết bị tường lửa hoặc router thương mại, nổi bật với giao diện quản trị dựa trên GUI Web giúp quản lý hệ thống dễ dàng và trực quan Mặc dù là phần mềm miễn phí, pfSense thể hiện nhiều tính năng ấn tượng cho một firewall/router miễn phí, đáp ứng nhu cầu bảo mật và quản trị mạng, nhưng vẫn tồn tại một số hạn chế cần cân nhắc khi triển khai.

pfSense supports filtering by source and destination IP addresses as well as by source and destination ports and addresses; it also supports routing policies and can operate in bridge or transparent modes, allowing you to place pfSense between network devices with minimal configuration pfSense provides network address translation (NAT) and port forwarding functionality, but there are limitations when using NAT with protocols like PPTP, GRE, and SIP.

PfSense dựa trên FreeBSD và tích hợp giao thức Common Address Redundancy Protocol (CARP) của FreeBSD để cung cấp khả năng dự phòng bằng cách cho phép quản trị viên nhóm hai hoặc nhiều tường lửa vào một nhóm tự động chuyển đổi dự phòng; nhờ hỗ trợ nhiều kết nối WAN, PfSense có thể thực hiện cân bằng tải giữa các đường WAN, nhưng hạn chế ở chỗ chỉ có thể phân bổ lưu lượng giữa hai kết nối WAN và không thể chỉ định lưu lượng cho từng liên kết riêng rẽ.

Hình 2.2 Mô hình triển khai pfSense cho doanh nghiệp nhỏ

LỢI ÍCH CỦA PFSENSE

pfSense là tường lửa miễn phí mang lại chi phí triển khai thấp và lợi thế về giá cả cạnh tranh, trong khi vẫn đảm bảo hiệu suất cao và độ ổn định vượt trội nhờ tối ưu hóa mã nguồn và hệ điều hành Với pfSense, nền tảng phần cứng không cần quá mạnh; doanh nghiệp có thể cài đặt trên một máy tính cá nhân để bắt đầu hoạt động ngay cả khi đường truyền chưa cao, giúp giảm thiểu chi phí triển khai và tăng tính linh hoạt Nền tảng này còn mở rộng và sẵn sàng triển khai nhiều tường lửa hơn khi cần thiết, mang lại hệ thống bảo mật linh hoạt và chi phí tối ưu cho doanh nghiệp.

Hình 2.3 Lợi ích của pfsense

CÁC GÓI DỊCH VỤ PFSENSE

pfSense là tường lửa mã nguồn mở được cấp phép theo BSD License, giúp doanh nghiệp sử dụng mà không phải trả phí bản quyền Doanh nghiệp có thể tải về, cài đặt và triển khai pfSense một cách linh hoạt để đáp ứng các yêu cầu về bảo mật và quản trị mạng Với lợi thế miễn phí bản quyền và khả năng tùy biến cao, pfSense là lựa chọn tối ưu cho tổ chức tìm kiếm giải pháp tường lửa an toàn, tiết kiệm và dễ vận hành.

Nhằm nâng cao hiệu quả hỗ trợ cho khách hàng trong việc triển khai và sử dụng tường lửa pfSense, Techlink cung cấp thêm các gói dịch vụ hỗ trợ nhằm tối ưu hóa quy trình triển khai, tăng cường bảo mật và giúp quản trị hệ thống pfSense dễ dàng hơn Các gói này được thiết kế linh hoạt để phù hợp với nhu cầu từ cơ bản đến nâng cao, mang lại giải pháp hỗ trợ toàn diện cho môi trường pfSense của khách hàng.

Hình 2.4 Các gói dịch vụ của pfsense

Gói triển khai pfSense là giải pháp tối ưu cho doanh nghiệp muốn áp dụng ngay hệ thống tường lửa mềm pfSense, giúp đáp ứng nhu cầu hiện tại và rút ngắn thời gian, chi phí tìm hiểu công cụ Gói bảo trì là lựa chọn dài hạn và hợp lý khi doanh nghiệp mong được hỗ trợ liên tục bởi đội ngũ chuyên gia hệ thống mạng, với việc giám sát 24/7, phát hiện sự cố và tối ưu cấu hình cho mọi tình huống để đảm bảo hoạt động ổn định của toàn hệ thống Gói phát triển dành cho các doanh nghiệp có đặc thù riêng, đòi hỏi tùy biến pfSense cho phù hợp, có thể bao gồm tích hợp tường lửa vào công cụ quản trị doanh nghiệp hoặc cá nhân hóa thiết lập như đưa logo lên thiết bị.

MỘT SỐ TÍNH NĂNG CỦA PFSENSE

Aliases có thể giúp bạn tiết kiệm một lượng lớn thời gian nếu bạn sử dụng chúng một cách chính xác.

Aliases là khái niệm ngắn gọn cho phép gom các địa chỉ, tên máy chủ, cổng hoặc mạng vào một tập hợp để dùng khi tạo các rules trong pfSense Việc sử dụng Aliases giúp lưu trữ nhiều mục ở một nơi duy nhất, từ đó giảm số lượng rules cần tạo cho nhóm máy hoặc cổng và làm cho quản lý cấu hình firewall hiệu quả hơn.

Alias trong pfSense cho phép gom nhóm các port, host hoặc mạng khác nhau lại dưới một tên gọi chung, giúp thiết lập các quy tắc firewall dễ dàng và nhanh chóng hơn Việc quản lý danh sách địa chỉ và cổng qua alias giúp bạn tái sử dụng chúng ở nhiều quy tắc mà không phải khai báo lại Để vào Aliases của pfSense, ta vào Firewall → Aliases.

Các thành phần trong Aliases:

- Host: tạo nhóm các địa chỉ IP

- Network: tạo nhóm các mạng

- Port: Cho phép gom nhóm các port nhưng không cho phép tạo nhóm các protocol.

Các protocol được sử dụng trong các rule

PfSense cung cấp network address translation (NAT) và tính năng chuyển tiếp cổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với Point-to-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và Session Initiation Protocol (SIP) khi sử dụng NAT.

Trong Firewall bạn cũng có thể cấu hình các thiết lập NAT nếu cần sử dụng cổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1) cho các host cụ thể Thiết lập mặc định của NAT cho các kết nối outbound là automatic/dynamic, tuy nhiên bạn có thể thay đổi kiểu manual nếu cần.

Ví dụ ở đây ta NAT qua port 1723 (PPTP) cho cấu hình VPN với IP NAT là 192.168.2.100

Hình 2.7 Chức năng NAT 2.4.3 Firewall Rules

Đây là nơi lưu trữ các quy tắc firewall, cho phép lọc lưu lượng theo nguồn và đích IP, theo giao thức IP và cổng nguồn và đích cho lưu lượng TCP và UDP Hệ thống có thể giới hạn số kết nối đồng thời và hỗ trợ quản lý các nhóm bí danh, tên mạng và các cổng Nhờ đó, tường lửa vận hành hiệu quả và sạch sẽ, đặc biệt ở các môi trường có nhiều địa chỉ IP công cộng và số lượng máy chủ lớn.

Vô hiệu hóa bộ lọc Tôi có thể tắt tường lửa lọc hoàn toàn nếu muốn chuyển pfSense vào một route khác

Mặc định pfsense cho phép mọi trafic ra/vào hệ thống Bạn phải tạo ra các rules để quản lí mạng bên trong firewall.

Một số lựa chọn trong Destination và Source.

- Single host or alias: Một địa chỉ ip hoặc là một bí danh.

- Lan subnet: Đường mạng Lan

- Lan address: Tất cả địa chỉ mạng nội bộ

- Wan address: Tất cả địa chỉ mạng bên ngoài

- PPTP clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPTP

- PPPoE clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPPoE

Các firewall rules có thể được lên lịch để chỉ hoạt động vào các thời điểm nhất định trong ngày hoặc vào những ngày cụ thể, thậm chí theo lịch trong tuần Để tạo một lịch trình (Schedule) mới, vào Firewall -> Schedules và nhấn dấu + để thêm lịch.

Ví dụ: ở đây Tạo lịch tên ThoiGianLamViec của tháng Từ thứ hai đến thứ bảy và thời gian từ 7 giờ đến 16 giờ.

Hình 2.9 Thiết lập chức năng Firewall Schedules

- Sau khi tạo xong nhấn Add Time => Save

Hình 2.10 Chức năng Firewall Schedules

MỘT SỐ DỊCH VỤ CỦA PFSENSE

DHCP Server chỉnh cấu hình cho mạng TCP/IP bằng cách tự động gán các địa chỉ IP cho khách hàng khi họ vào mạng.

Người dùng muốn mở rộng chức năng của pfSense có thể cài đặt các gói từ danh sách các phần mềm có sẵn bằng Package Manager, được đặt tại mục System Package Manager hiển thị tất cả các gói có sẵn kèm mô tả ngắn gọn về chức năng của từng gói, giúp quản trị viên dễ dàng lựa chọn gói phù hợp để tùy biến và nâng cao hiệu suất của pfSense.

Dịch vụ này giúp người dùng có thể sao lưu hay khôi phục cấu hình pfsense lại.

Chức năng cân băng tải của pfsense có những đặc điểm: Ưu điểm

- Dễ cài đặt, cấu hình.

- Có khả năng bổ sung thêm tính năng bằng gói dịch vụ cộng thêm.

- Phải trang bị thêm modem nếu không có sẵn.

- Không được hỗ trợ từ nhà sản xuất như các thiết bị cân bằng tải khác.

- Vẫn chưa có tính năng lọc URL như các thiết bị thương mại.

- Đòi hỏi người sử dụng phải có kiến thức cơ bản về mạng để cấu hình.

VPN là một mạng riêng ảo sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người dùng từ xa với mạng LAN tại trụ sở trung tâm Thay vì dùng các kết nối phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức và địa điểm hoặc người dùng ở xa.

Remote Desktop giúp bạn có thể điều khiển từ xa một máy tính trong mạng của mình.

TRIỂN KHAI PFSENSE

CHUẨN BỊ CÀI ĐẶT PFSENSE

- Download và cài đặt Vmware Workstation 12 tại địa chỉ: http://www.mediafire.com/file/71ui47fpf7h3ujn/VMware+Workstation+12.ra r

- Download pfSense.iso tại trang chủ của pfSense https://www.pfsense.org

CÀI ĐẶT PFSENSE

Để bắt đầu cài đặt chúng ta sẽ thiết lập lại “Virtual Network Editor” bằng cách chọn “Edit  Virtual Network Editor”

Hình 3.1 Thiết lập Virtual Network Editor

Hình 3.2 Chỉnh sửa Virtual Network Editor

Thêm 3 card mạng “VMnet8”, “VMnet9″, VMnet10” cho máy ảo pfSense

Hình 3.3 Add card mạng cho Pfsense

- Khởi động để cài đặt máy ảo pfSense

Hình 3.4 Màn hình Welcom to FreeBSD

Hình 3.5 Enter để cài đặt Pfsense

- Chọn ok để Install pfSense

Hình 3.6 Chọn ok để tiếp tục

- Chọn ok để cài đặt pfsense

Hình 3.7 Chọn ok để cài đặt pfsense

- Tiếp theo bấm OK để pfSense cài đặt

Hình 3.8 Pfsense đang cài đặt

- Bấm No rồi Reboot lại hệ thống

Hình 3.9 Chọn no để reboot cho Pfsense

TRIỂN KHAI PFSENSE

- Sau khi khởi động lại pfSense Tại mục menu chọn “option: 2” để thiết lập IP address cho interface LAN

Hình 3.11 Cấu hình IP cho mạng LAN

- Chọn “2 - LAN interface”  thiết lập ip address: 192.168.8.10  subnetmask: 24  Enter

Hình 3.12 Hoàn thành cấu hình IP cho mạng LAN

- Phần IPv6 “Click Enter” để bỏ qua  Chọn “n” không thiết lập DHCP cho LAN  Chọn “y” (revert to HTTP)  Sau đó truy cập pfSense tại địa chỉ http://192.168.8.10

Hình 3.13 Sau khi cấu hình IP mạng LAN cho Pfsense

- Truy cập pfSense trên trình duyệt web http://192.168.8.10 Đăng nhập với username: admin & password: pfsense

Hình 3.14 Giao diện đăng nhập vào pfsense

Cài đặt các thông số cơ bản Hostname, Domain, DNS Server, Disable DNS Forwarder, timezone… cho pfSense  Save

Hình 3.15 Bấm Save tại màn hình Wizard đầu tiên sau khi đăng nhập

- Khai báo Hostname, domain … rồi bấm Next

Hình 3.16 Khai báo thông tin

Hình 3.17 Cấu hình WAN interface

- Tại bước này pfsense cung cấp nhiều phương thức cấu hình mạng WAN khác nhau - static / dhcp / pppoe

- Cấu hình cổng LAN – IP là IP interface để bạn truy cập vào cấu hình

Hình 3.18 Cấu hình cổng LAN-IP

- Đặt lại mật khẩu để truy cập

Hình 3.19 Đặt lại mật khẩu

- Sau khi Reload xong vào giao diện Dashboard của Pfsense

Hình 3.20 Giao diện Dashboard của Pfsense

- Bước tiếp theo “thêm card mạng” Vào “Interfaces  Asignments”  Click

“Add” để thêm card mạng  Chọn “Save” để lưu cấu hình.

Hình 3.21 Add thêm card mạng

- Sau khi add card mạng ở bước trên ta có interface “OPT1” như hình dưới  Click “Save”

Hình 3.22 Add thêm card OPT1

Open Interface > WAN to configure the WAN interface: name it ADSL1 (or any label to distinguish WAN1 from WAN2), set IPv4 to Static, assign IP address 172.16.20.10 with a /24 subnet, and add a new gateway named ADSL1GW with IP 172.16.20.1 Click Save and then Apply Changes.

Hình 3.23 Chỉnh lại các thông số cho Interface WAN

- Cửa sổ khi click “Add a New Gateway” ở trên

- Chọn “Interface  OPT1” và chỉnh lại các thông số cho interface card

OPT1 configuration uses ADSL2 with a Static IPv4 address of 192.168.1.10/24 and sets the gateway to ADSL2GW-192.168.1.1, following the vhowis ADSL1GW setup Make sure the Enable Interface option is checked, then click Save and press Apply Changes to apply the new settings.

Hình 3.25 Cấu hình Interface OPT1

- Tiếp theo chọn “Interface  LAN” để xem lại các thông số cho interface card “LAN”

Hình 3.26 Các thông số cho Interface LAN

- Chọn “Services > DHCP Server > LAN tab” Tích “Enable DHCP Server on

LAN interface”  Add Range ip address (192.168.8.100 - 192.168.8.250) Tích vào

“Change DHCP display lease time from UTC to local time” & “Enable RRD statistic graphs”  Click “Save” để lưu cấu hình

- Cấu hình “DHCP static mapping” cho các địa chỉ như server hay máy trạm yêu cầu không thay đổi ip address khi DHCP server cấp phát Ở mục “DHCP Static

Mapping for this Interface” chọn “Add”

Hình 3.28 Cấu hình DHCP static mapping

- Add “MAC Address” và “IP Address, Hostname” (Tên sẽ hiển thị trên DHCP server statistic), Description  Click “Save” để lưu cấu hình

Hình 3.29 Add MAC Address và IP Address, Hostname

At this stage, you open a Windows 10 virtual machine, which serves as a client VM, yet you may still see the DHCP server address 192.168.8.254 when you run ipconfig /all in the command prompt The reason is that in the Virtual Network Editor under Edit > Virtual Network Editor, VMnet8, the option "Use local DHCP service to distribute IP address to VMs" has not been unchecked yet.

- Sau khi Apply và OK thì quay lại máy ảo Client (Windows 10) chạy ipconfig

/release và ipconfig /renew sau đó xem lại DHCP đã trỏ về pfsense 192.168.8.10.

- Để theo dõi thông tin về DHCP server vào “Status > DHCP leases” để cập nhập thông số về DHCP server.

Hình 3.30 Thông tin DHCP cấp IP cho Client

Gói mở rộng cho pfSense rất hữu ích cho các quản trị viên hệ thống mạng, đặc biệt khi LAN có nhiều client Gói này giúp chặn quảng cáo và ngăn chặn các mã độc được tiêm vào quảng cáo nhằm tấn công hệ thống mạng của bạn, từ đó tăng cường an ninh mạng và giảm rủi ro cho cơ sở hạ tầng Nhờ tính linh hoạt của pfSense, giải pháp này tối ưu hóa hiệu suất mạng, giảm băng thông tiêu thụ từ quảng cáo và đơn giản hóa việc quản lý an toàn cho toàn bộ mạng LAN Đây là lựa chọn phù hợp cho doanh nghiệp và tổ chức mong muốn tăng cường bảo vệ khỏi quảng cáo độc hại mà vẫn duy trì trải nghiệm người dùng tốt.

Gói giải pháp này cho phép chặn các trang web đen và các trang bị cấm người dùng sử dụng trong một khoảng thời gian nhất định; đồng thời nó có thể chặn mọi tên miền và tự động đưa những tên miền thiết yếu vào danh sách ưu tiên để luôn có thể truy cập khi cần Với những tính năng quản lý truy cập Internet này, doanh nghiệp và gia đình có thể kiểm soát việc sử dụng mạng, ngăn chặn nội dung không mong muốn và tối ưu hóa trải nghiệm người dùng bằng cách ưu tiên các tên miền quan trọng.

Gói này còn hổ trợ chặn web theo khu vực, vị trí địa lý

Chúng ta sẽ vào System>Package Manager>Install pfBlockerNG>confim

Sau đó, chúng ta chờ cho pfBlockerNg cài đặt vào firewall Cài đặt xong ta vào Firewall>pfBlockerNG

Hình 3.35 Cấu hình hoàn tất cho pfBlockerNG

Để cấu hình, truy cập mục General và thiết lập các tính năng như trong hai hình minh họa Sau đó vào tab DNSBL, bật DNSBL và cấu hình theo hướng dẫn ở hình bên dưới, rồi nhấn Save để lưu các thiết lập.

Hình 3.37 Cấu hình DNSBL EasyList

Tiếp theo đây chúng ta sẽ vào tab DNSBL Easylist, chúng ta sẽ add cái tham số

EasyListFeed và làm như hình trên Ở phần Categories là danh sách chặn quảng cáo, những quảng cáo “đen, chúng ta sẽ Ctrl+A để chọn hết.

Hình 3.38 Tạo danh sách chặn truy cập web

Trong tab DNSBL, kéo xuống ô TLD Blacklist để tạo danh sách các trang web cần chặn Ở đây sẽ chặn ba trang web là “youtobe.com, facebook.com, tuoitre.com” Sau khi chặn, khi truy cập các trang này sẽ hiển thị màn hình đen, không hiển thị bất kỳ thông tin nào và không thể sử dụng được Cuối cùng bấm để xác nhận và áp dụng thay đổi.

- Cuối cùng, chúng ta vào tab Update>Bấm Run để firewall cập nhật gói pfBlockerNG.

Hình 3.40 Kiểm tra trạng thái pfBlockerNG trên Trang chủ

Sau khi hoàn tất, nhấp vào biểu tượng pfSense để kiểm tra xem gói pfBlockerNG có đang hoạt động hay không Nếu kết quả cho thấy pfBlockerNG đã hoạt động, mở máy client Windows 10 và tiến hành kiểm thử để đánh giá công dụng của gói này trên hệ thống mạng.

Nghiên cứu về an ninh mạng và các phương thức đảm bảo an toàn cho hệ thống mạng mang tính thực tiễn cao và luôn có nhiều khía cạnh mới mẻ Đề tài giải pháp và cấu hình tường lửa trong hệ thống mã nguồn mở xây dựng một hệ thống bảo mật mạng dựa trên cơ sở lý thuyết và các nghiên cứu thực tế, giúp làm rõ vai trò của tường lửa trong môi trường mã nguồn mở Nhận thấy thiết bị pfSense firewall mang lại nhiều ưu điểm cho hệ thống mạng, như khả năng bảo mật linh hoạt, quản trị dễ dàng và tính mở, đồng thời vẫn tồn tại một số hạn chế cần được cân nhắc và khắc phục để tối ưu hóa hiệu suất và an toàn thông tin.

Để xây dựng một hệ thống an ninh mạng hiệu quả cho doanh nghiệp, cần nắm bắt tình hình an ninh mạng và các yêu cầu liên quan đến hệ thống firewall Điều này bao gồm đánh giá các mối đe dọa mới nhất, lưu lượng mạng tiềm ẩn và nhu cầu về hiệu suất, khả năng mở rộng, quản lý tập trung và tuân thủ các chuẩn bảo mật Trên thị trường bảo mật hiện nay, các công nghệ và sản phẩm firewall đa dạng từ firewall thế hệ mới (NGFW), tích hợp IDS/IPS, đến các giải pháp firewall đám mây và firewall ảo, cùng với các bộ công cụ quản trị và bảo mật liên kết với SIEM và trung tâm điều khiển Việc lựa chọn firewall phù hợp sẽ giúp doanh nghiệp kiểm soát truy cập, ngăn chặn xâm nhập và giữ an toàn cho dữ liệu nhạy cảm, đồng thời tối ưu hóa chi phí và quản trị rủi ro trong môi trường CNTT ngày nay.

- Nắm được quy trình xây dựng hệ thống dựa trên pfSense

- Hiểu được cách thức tích hợp và phát triển hệ thống trên nền pfSense.

- Nâng cao tính năng cân bằng tải cho hệ thống để cho phép hỗ trợ kết nối outbound nhiều line ADSL

- Bổ sung thêm các dịch vụ bảo mật cao cấp khác hỗ trợ cho firewall.

- Do phát triển trên nền FreeBSD, hệ thống gặp khó khăn trong việc tương thích với một số phần cứng khi triển khai.

- Tính năng cân bằng tải tuy đã được phát triển tốt nhưng chưa thực sự tối ưu đối với những yêu cầu phức tạp đặt ra.

Với chức năng của một firewall all-in-one, hệ thống cần thời gian để rà soát và kiểm tra kỹ lưỡng mọi sai sót trước khi triển khai rộng rãi Quá trình này giúp đảm bảo an toàn và ổn định cho mạng, phát hiện và khắc phục lỗi cấu hình, cập nhật các chính sách bảo mật và tối ưu hóa hiệu suất vận hành Nhờ vậy, tổ chức có thể giảm thiểu rủi ro khi mở rộng triển khai và nâng cao khả năng bảo vệ cho toàn bộ hạ tầng CNTT.

Đáp ứng nhu cầu thực tế của doanh nghiệp, sản phẩm cần được kiện toàn và phát triển thêm, bổ sung các tính năng và dịch vụ mới đồng thời thử nghiệm độ ổn định và hiệu năng xử lý Các mẫu pfSense firewall phù hợp với mọi hệ thống của doanh nghiệp vừa và nhỏ cũng như các nhà cung cấp dịch vụ Đồ án đã đạt mục tiêu bằng cách triển khai các chức năng phổ biến mà các cơ quan và doanh nghiệp đang sử dụng, mang lại hiệu quả đáng kể trong bảo mật hệ thống thông qua cài đặt, cấu hình và quản lý pfSense firewall pfSense firewall mang lại an toàn thông tin, bảo mật hệ thống và tăng năng suất hoạt động, tuy nhiên vẫn có những lỗ hổng tiềm ẩn, do đó cần thường xuyên cập nhật thông tin và nâng cao kiến thức, kỹ năng chuyên môn để nâng cao năng lực an toàn và bảo mật cho hệ thống.

Ngày đăng: 04/08/2022, 09:48

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

🧩 Sản phẩm bạn có thể quan tâm

w