TÌM HI u v b o m t và TRI n KHAI h ể ề ả ậ ể ệ THỐNG TƯỜNG lửa PFSENSE CHO MẠNG DOANH NGHIỆP

III LỜI C ẢM ƠN Đầu tiên, nhóm chúng em xin gửi l i cm ơn chân thành đ n các ging viên Trưng Đại hc Công Ngh TP.HCM ệ – HUTECH, đặc biệt là quý th y, cô ầ thuc khoa Công Ngh ệThôn

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM

KHOA CÔNG NGH THÔNG TIN Ệ

BÁO CÁO ĐỒ ÁN CHUYÊN NGÀNH

ĐỀ TÀI:

TÌM HI U V B Ề Ề Ả O M T VÀ TRI N KHAI Ậ Ể

NGHIỆP

Ngành: CÔNG NGH THÔNG TIN Ệ

Chuyên ngành: MẠNG MÁY TÍNH VÀ TRUY N THÔNG Ề Sinh viên th c hi n: ự ệ Nguyễn Văn Phát MSSV: 1811060564

Trần Cao Đăng Duy MSSV: 1811062591 Phạm Vi ệt Cường MSSV: 1811060921 Giáo viên hướng dẫn: ThS Nguyễn Lê Văn

TP HỒ CHÍ MINH 12/2021–

I

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM

KHOA CÔNG NGH THÔNG TIN Ệ

BÁO CÁO ĐỒ ÁN CHUYÊN NGÀNH

ĐỀ TÀI:

TÌM HI U V B Ề Ề Ả O M T VÀ TRI N KHAI Ậ Ể

Ngành: CÔNG NGH THÔNG TIN Ệ

Chuyên ngành: MẠNG MÁY TÍNH VÀ TRUY N THÔNG Ề Sinh viên th c hi n: ự ệ Nguyễn Văn Phát MSSV: 1811060564

Trần Cao Đăng Duy MSSV: 1811062591 Phạm Vi ệt Cường MSSV: 1811060921 Giáo viên hướng dẫn: ThS Nguyễn Lê Văn

TP.HỒ CHÍ MINH 12/2021 –

II

LỜI CAM ĐOAN

Nhóm chúng em xin cam đoan ni dung ca đồ n chuyên ngành đề tài “Tìm hi u v á ể ề

nhóm chúng em Nh ng v n đề đưc tr nh b y  à trong đồ án này l k t qu c a qu à    á trnh hc tp, nghiên c u, l m vi c c à ệ a nhóm T t c t i u tham kh  à liệ o đều c xu t x r r ng v     à àđưc tr ch dẫn h p pháp  

Nhóm chúng em xin ch u ho n to n tr ch nhi m cho l à à á ệ i cam đoan ca mnh

TP.Hồ Ch Minh, ng ày áng năm 202 th 1

Ngưi cam đoan

Nguyễn Văn Phát Phạm Vi ệt Cường Trần Cao Đăng Duy

III

LỜI C ẢM ƠN

Đầu tiên, nhóm chúng em xin gửi l i cm ơn chân thành đ n các ging viên Trưng Đại hc Công Ngh TP.HCM ệ – HUTECH, đặc biệt là quý th y, cô ầ thuc khoa Công Ngh ệThông Tin đã nhiệt tình ging dạy và truyền đạt cho em nhng kin thc về Công Nghệ Thông Tin vô cùng bổ ích trong thi gian th c hành báo cáo này ự

Nhóm chúng em xin chân thành bày t lòng biỏ t ơn đn Th y Ths Nguyầ ễn Lê Vănngưi đã ht lòng giúp đỡ và tạo mi điều kiện tốt nht cho nhóm chúng em hoàn thành báo cáo này Thầy đã hướng d n r t t n tình, giẫ   i đáp nhng th c mắ ắc và hướng em đi đúng

tin đ để hoàn thành bài báo cáo này mt cách tốt nh t

Cuối cùng, nhóm chúng em xin g i l i cử  m ơn đn gia đnh, các anh ch và các bạn

đã hỗ tr cho em r t nhi u trong su t quá trình h c t p, nghiên c u và th c hi ề ố    ự ện đề tài mt cách hoàn ch nh Nhóm chúng em xin kính chúc Ban Giám Hiỉ ệu nhà trưng cùng quý Thầy

Cô sc khỏe, luôn vui vẻ và đạt nhi u thành công trong công viề ệc

TP.Hồ Ch Minh, ngày tháng năm 2021

IV

LI CAM ĐOAN II LI CẢM ƠN III DANH MỤC HÌNH ẢNH VI

CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI 1

1.1 Lý do chọn đề tài 1

1.2 N i dung báo cáo 1ộ CHƯƠNG 2: CƠ SỞ LÝ THUYẾT 3

2.1 T ng quan v c ng ngh firewall 3ổ ề ộ ệ 2.1.1 Định nghĩa firewall 3

2.1.2 Chức năng của firewall 3

2.1.3 C u trúc firewall ấ 3

2.1.4 Phân lo i firewallạ 4

2.2 Gi i thiớ ệu tường lửa pfsense 4

2.3.1 pfSense Aliases 5

2.3.2 NAT 5

2.3.3 Firewall Rules 6

2.3.4 Firewall Schedules 6

2.4 M t s d ch vộ ố ị ụ c a Pfsense 6ủ 2.4.1 DHCP Server 6

2.4.2 Cài đặt Packages 6

2.4.3 C u hình NTP Server cho Pfsenseấ 7

2.4.4 Cài đặt Failover và Load Balancing cho Ffsense 7

2.4.5 High Availability Sync và CARP 7

2.5 Cài đặt Pfsense 7

2.6 Tri n khai Pfsense 15ể 2.6.1 Tính năng của Pfsense 15

2.6.2 M t s d ch v c a Pfsense ộ ố ị ụ ủ 19

CHƯƠNG 3: KẾT LUẬN 45

3.1 K t qu ế ả đạt được 45

3.2 Nh ng m t h n ch 45ữ ặ ạ ế

V

3.3 Hướng phát triển trong tương lai 45

TÀI LIỆU THAM KH O 46Ả

VI

DANH M C HÌNH Ụ ẢNH

Hình 1: Mô hình tường lửa pfsense 5

Hình 2: Màn hình welcome to pfsense 8

Hình 3: H ệ thố ng h i có mu n t o VLANs không, chỏ ố ạ ọn “N” 8

Hình 4: Ch n card m ng WAN thọ ạ ứ nhấ t, ch ọn card “ em1” 9

Hình 5: Ch n card cho mọ ạng LAN bên trong “em0” 9

Hình 6: Ch n card mọ ạng cho WAN2 “em2” 10

Hình 7: Sau khi gán xong, ch ọn “y” 10

Hình 8: Cài đặt các Interface (card mạng) Chọn mục 2 11

Hình 9: Cài đặt IP cho mạng LAN, chọn “2” 11

Hình 10: Chọn địa ch ỉ Ipv4 “10.10.10.10” 12

Hình 11: Ch ọn “24” là Subnetmask 12

Hình 12: H ệ thố ng h i mình có nên kích ho t chỏ ạ ức năng DHCP không ? Chọn “y” là đồng ý Pfsese là DHCP Server 13

Hình 13: Gán Range Ipv4 c n c p cho mầ ấ ạng LAN “10.10.10.100” và kết thúc là “ 10.10.10.200” 13

Hình 14: H ệ thố ng h i có c u hình Pfsense làm Webserver không, chỏ ấ ọn “n” không đồng ý Nếu đồng ý thì chức năng tái hiệ trong cách cài đặ n t Virtual Server 14

Hình 15: Cài đặt hoàn tất 14

Hình 16: Giao di n Aliases ệ 15

Hình 17: Giao di n NAT ệ 15

Hình 18: Giao di n Rules ệ 16

Hình 19: Giao di n Edit Rules ệ 16

Hình 20: Giao di n Firewall Schedules ệ 17

Hình 21: Giao di n Edit Firewall Schedules ệ 17

Hình 22: T o ví d l ch h c trong tu n c a Firewall Schedules ạ ụ ị ọ ầ ủ 18

Hình 23: K t qu c a ví d trong Firewall Schedules ế ả ủ ụ 18

Hình 24: Giao di n c a DHCP Server ệ ủ 19

Hình 25: Giao di n c a Package Manager ệ ủ 20

Hình 26: Th ử cài đặ t trên Package Manager 20

Hình 27: Đã cài đặt thành công 21

Hình 28: Giao di n Web c a Pfsense ệ ủ 22

Hình 29: Pfsense Dashboard 22

Hình 30: NTP 23

Hình 31: Settings NTP 24

Hình 32: Ki m tra Sevices c a NTP ể ủ 24

Hình 33: K t qu NTP hoế ả ạt động 25

Hình 34: Giao diện đồ ọ h a Dashboard Pfsense 26

Hình 35: C u hình Interface WAN thành WAN1 ấ 26

VII

Hình 36: C u hình OTP 1 thành WAN2 ấ 27

Hình 37: B ỏ chọn Block Private Networks để ỏ chặ b n traffic t h ừ ệ thố ng m ng n i b ạ ộ ộ 27

Hình 38: Sau khi c u hình t t c Interfaceấ ấ ả 28

Hình 39: Giao diện Gateways để ấ c u hình Monitor IP 28

Hình 40: C u hình Monitor IP cho WAN1 ấ 29

Hình 41: C u hình Monitor IP cho WAN2 ấ 29

Hình 42: K t qu sau khi c u hình ế ả ấ 30

Hình 43: Giao di n c a Gateway Groups ệ ủ 30

Hình 44: T o Groups ạ 31

Hình 45: Giao diệ n c a Firewall Rules ủ 31

Hình 46: Ch nh s a Gateway cho m ng LAN ỉ ử ạ 32

Hình 47: K t qu sau khi ch nh s a ế ả ỉ ử 32

Hình 48: K t qu LoadBalancer ế ả 33

Hình 49: Traffic Graph 33

Hình 50: T o Group WAN1 Failover ạ 34

Hình 51: T o Group WAN2 Failover ạ 34

Hình 52: Giao di n sau khi t o các Group ệ ạ 35

Hình 53: T o Rules WAN1 Failover cho card m ng LAN ạ ạ 36

Hình 54: T o Rules WAN2 Failover cho card m ng LAN ạ ạ 37

Hình 55: B ng li t kê sau khi thêm các Rules ả ệ 37

Hình 56: Gán DNS Server cho Gateway 38

Hình 57: K t qu ế ả 38

Hình 58: C u hình Pfsense 1 ấ 39

Hình 59: C u hình Pfsense 2 ấ 39

Hình 60: Giao diện cài đặt High Availability Sync và CARP 40

Hình 61: Giao diện cài đặt High Availability Sync và CARP 40

Hình 62: Giao diện cài đặt High Availability Sync và CARP 41

Hình 63: C u hình IP o cho LAN và WAN ấ ả 42

Hình 64: Th c hi n quá trình ự ệ 43

Hình 65: Th c hi n quá trình ự ệ 43

Chính vì thy tầm quan tr ng c a v  n đề bo m t m ng máy tính c a doanh nghi p nên  ạ  ệchúng em đã chn đề tài chn đề tài “TÌM HI U V B O M T VÀ TRI N KHAI HỂ Ề Ả Ậ Ể Ệ

THỐNG TƯỜNG LỬA PFSENSE CHO MẠNG DOANH NGHIỆP” làm đồ án chuyên ngành c a nhóm chúng em N i dung đồ án gồm 3 chương

Chương 1: Tổng quan đề tàiChương 2: Cơ sở lý thuyt Chương 3: Kt lun

1.2 N i dung báo cáo ộ

Chương 1: Tổng quan về đề tài

Chương 2: Cơ sở lí thuyt

- T ng quan v công ngh firewall và gi i thi u pfsense ổ ề ệ ớ ệ

- Cài đặt pfsense

- Triển khai pfsense

Chương 3: Kt lun

2.1.2 Chức năng củ a Firewall

Chc năng chnh ca firewall là kiểm soát lưu lưng gia hai hay nhiều mạng có mc đ tin cy khác nhau để từ đ thi p cơ cht l điều khiển luồng thông tin gia chúng

Cụ thể là:

- Cho phép hoặc ngăn cn truy nh p vào ra gi a các m ng   ạ

- Theo dõi luồng d  liệu trao đổi gia các m ng ạ

- Kiểm soát ngưi sử d ng và vi c truy nh p cụ ệ  a ngư ử d ng i s ụ

- Kiểm soát ni dung thông tin lưu chuyển trên m ng ạ

2.1.3 C u trúc Firewall ấ

Không hoàn toàn gi ng nhau gi a các s n phố   m đưc thi t k b i các hãng b o m  ở  t, tuy nhiên có nh ng thành ph ần cơ bn sau trong c u trúc c a m t firewall nói chung (mà   mt số trong đ sẽ đưc tìm hiểu r hơn trong phần 2.2 về các công nghệ firewall):

- B lc gói (packet filtering)

- Application gateways / Proxy server

- Circuit level gateway

- Các chính sách m ng (network policy) ạ

- Các cơ ch xác thực nâng cao (advanced authentication mechanisms)

- Thống kê và phát hi n các hoệ ạt đng bt thưng (logging and detection of suspicious activity)

2.1.4 Phân lo i firewall ạ

Có r t nhi u tiêu chí có th ề ể đưc s d ng phân lo i các s n ph m firewall, ví d ử ụ ạ   ụnhư cách chia ra thành firewall cng (thi t b   đưc thi t k chuyên d ng ho  ụ ạt đng trên h ệđiều hành dành riêng cùng mt số xử lý trên các mạch điệ ử tích hp) và firewall mềm n t(phần mềm firewall đưc cài đặt trên máy tnh thông thưng)…Nhưng c lẽ vi c phân loệ ại firewall thông qua công ngh c a s n phệ   m firewall đ đưc xem là ph bi n và chính xác ổ hơn tt c

2.2 Giớ i thiệu tường l a Pfsense ử

Để bo vệ cho hệ thống mạng bên trong thì chúng ta có nhiều gii pháp như sửdụng Router Cisco, dùng tưng lửa ca Microsoft như ISA…

Tuy nhiên nh ng thành ph n k  ầ ể trên tương đố ối t n kém Vì vy đối với ngư i dùng không mu n t n tiố ố ền nhưng lại mu n có mố t tưng lửa bo v hệ ệ thống m ng bên ạtrong (m ng nạ i b) khi mà chúng ta giao ti p v ối hệ thống m ng bên ngoài (Internet) thạ ì pfsense là mt gii pháp ti t ki m và hi u qu t ệ ệ  ương đối tốt nht đối với ngưi dùng

PfSense là mt ng d ng có chụ c năng đnh tuyn vào tưng l a m nh và mi n ử ạ ễphí, ng d ng này s cho phép b n m r ng m ng c a mình mà không b  ụ ẽ ạ ở  ạ   thỏa hi p v s ệ ề ựbo mt B t ẳ đầu vào năm 2004, khi monowall mới bắt đầu ch p ch ng   đây là mt dự án bo mt tp trung vào các h ệ thống nhúng pfSense đã có hơn 1 triệu download và đưc

sử dụng để  b o v các m ng ệ ạ ở t t c kích c  ỡ, t ừ các mạng gia đình đn các m ng lạ ớn ca ca các công ty Ứng d ng này có mụ t cng ng phát tri n r t tích cđồ ể  ực và nhiều tính năng đang đưc bổ sung trong mỗi phát hành nhằm ci thiện hơn na tính bo mt, sự ổn đnh và kh năng linh hoạt ca nó

Pfsense bao g m nhiồ ều tnh năng mà bạn v n th y trên các thiẫ  t b tưng lửa hoặc router thương mại, chẳng hạn như GUI trên nền Web tạo sự qu n lý mt cách d dàng  ễTrong khi đ phần mềm miễn phí này còn có nhiều tính năng n tưng đối v i ớ

firewall/router miễn ph, tuy nhiên cũng c mt số ạ h n ch 

Pfsense hỗ tr c bở  l i đa ch nguỉ ồn và đa chỉ đch, cổng ngu n hoồ ặc cổng đch hay đa chỉ IP N cũng hỗ tr chnh sách đnh tuyn và có thể hoạt đng trong các ch đ bridge hoặc transparent, cho phép bạn ch cỉ ần đặt pfSense ở gia các thit b mạng mà 

(NAT) và tính năng chuyển tip cổng, tuy nhiên ng dụng này vẫn còn mt số h n ch ạ với Point-to-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và Session Initiation Protocol (SIP) khi s d ng NAT ử ụ

PfSense đưc dựa trên FreeBSD và giao thc Common Address Redundancy Protocol (CARP) c a FreeBSD, cung c p kh   năng dự phòng b ng cách cho phép các ằqun tr viên nhóm hai hoặc nhiề ưng l a vào m t nhóm t u t ử  ự đng chuy n ể đổi d ự

phòng Vì nó h ỗ tr nhi u kề t nối m ng di n r ng (WAN) nên có thạ ệ  ể thực hiện vi c cân ệbằng t i Tuy nhiên có m t hạn ch v i nó  ớ ở chỗ chỉ có thể thực hiện cân b ng lằ ưu lưng phân ph i giố a hai k ốt n i WAN và b n không th ạ ể chỉ đnh đưc lưu lưng cho qua mt kt nối

Hình 1: Mô hnh tưng lửa Pfsense

2.3.2 NAT

PfSense cung cp network address translation (NAT) và tnh năng chuyển ti p c ng,  ổtuy nhiên ng d ng này v n còn m ụ ẫ t số ạ h n ch v i Point- -Point Tunneling Protocol  ớ to(PPTP), Generic Routing Encapsulation (GRE) và Session Initiation Protocol (SIP) khi

sử d ng NAT ụ

Trong Firewall bạn cũng c thể cu hnh các thit lp NAT nu cần sử dụng cổng chuyển tip cho các dch vụ hoặc cu hnh NAT tĩnh (1:1) cho các host cụ thể Thit lp mặc đnh ca NAT cho các kt nối outbound là automatic/dynamic, tuy nhiên bạn c thể thay đổi kiểu manual nu cần

2.4.3 Cấu hình NTP Server cho Pfsense

Dch vụ này giúp ngưi dùng đòng b thi gian mạng NTP (Network Time

Protocol) là để đồng b đồng hồ các hệ thống máy tnh thông qua mạng d liệu chuyển mạch gi với đ trễ bin đổi Dch vụ này đưc thit k để tránh nh hưởng ca đ trễ bin đổi bằng cách sử dụng b đệm jitter

2.4.4 Cài đặt Failover và Load Balancing cho Pfsense

Chc năng này sử dụng nền tng Pfsense để cân bằng ti cho traffic từ mạng LAN ra nhiều nhành WAN

2.4.5 High Availability Sync và CARP

High Availability c nghĩa là “Đ sẵn sàng cao“, nhng máy ch, thit b loại này luôn

luôn sẵn sàng phục vụ, ngưi sử dụng không cm thy n b trục trặc, hỏng hc gây gián đoạn Để đm bo đưc điều đ, tối thiểu c mt cặp máy, thit b chạy song song, liên tục liên lạc với nhau, cái chnh hỏng, cái phụ sẽ lp tc bit và tự đng thay th

Thông thưng các nhm máy ch đưc gi là "CARP cluster" nhưng CARP chỉ là mt phần High Availability đạt đưc bằng cách sử dụng sự kt hp ca nhiều kỹ thut c liên quan, bao gồm c CARP, trạng thái đồng b (pfsync), và cu hnh đồng b (XMLRPC Sync)

Common Address Redundancy Protocol (CARP): đưc sử dụng bởi các node để chia sẻ 1

IP o (virtual IP) gia nhiều nút với nhau sao cho khi 1 node fail th IP o đ vẫn hoạt đng bởi các node khác CARP đưc bắt nguồn từ OpenBSD như 1 thay th mã nguồn

mở cho giao thc route o VRRP (The Virtual Router Redundancy Protocol)

CARP sử dụng multicast v vy cần chú ý tới các switch trên hệ thống c hạn ch hoặc block, filter đa chỉ multicast hay không

2.5 Cài đặt Pfsense

Hình 2: Màn hình welcome to pfsense

Hình 3: Hệ thống hỏi có mu n t o VLANs không, chố ạ n “N”

Hình 4: Ch n card m ng WAN th ạ  nht, chn card “ em1”

Hình 5: Chn card cho mạng LAN bên trong “em0”

Hình 6: Chn card mạng cho WAN2 “em2”

Hình 7: Sau khi gán xong, chn “y”

Hình 8: Cài đặt các Interface (card m ng) Ch n mạ  ục 2

Hình 9: Cài đặt IP cho mạng LAN, chn “2”

Hình 10: Chn đa chỉ Ipv4 “10.10.10.10”

Hình 11: Chn “24” là Subnetmask

Hình 14: H ệ thống h i có c u hình Pfsense làm Webserver không, chỏ  n “n” không đồng

ý Nu đồng ý thì chc năng tái hiện trong cách cài đặt Virtual Server

Hình 15: Cài đặt hoàn tt

Hình 20: Giao di n Firewall Schedules ệSau đ nhn vào Add để các Firewall rules có thểđưc sắp xpđể nócóchỉhoạt đngvào các thi điểmnht đnh trong ngàyhoặcvào nhng ngàynh t đnh cụ thểho c các ặngàytrong tu n ầ

Hình 21: Giao di n Edit Firewall Schedules ệ

Xong rồi nh n save s ẽ ra kt qu

Hình 23: Kt qu  c a ví d trong Firewall Schedules ụ

Ngưi dùng c nhu cầu cài đặt thêm mt số chc năng ca Pfsense

Ngưi dùng vào t i menu System Package Manager s ạ ẽ hiển th t t c các gói có   sẵn bao g m m t mô t ồ   ngắn g n v  ề chc năng a nó c

Để cài đặt mt gói phần mềm, hãy nhp vào "intall" biểu tưng trên bên ph i c a trang