báo cáo Internet gateway với firewall open sources
Trang 1MỤC LỤC
Trang 2CHƯƠNG 1 TỔNG QUAN
1.1 Tổng quan tường lửa
Tường lửa là công cụ cần thiết trong việc quản lý và kiểm soát lưu lượng mạng, là một thiết bị mạng được sử dụng để lọc lưu lượng truycập, thường được triển khai giữa một mạng riêng và một mạng kết nối đến Internet Ngoài ra tường lửa cũng có thể được triển khai để phân chia giữa các phòng ban trong một công ty Nếu không có
tường lửa, hệ thống mạng sẽ không thể hạn chế lưu lượng truy cập độc hại từ Internet thâm nhập vào mạng nội bộ Lưu lượng mạng thông qua tường lửa được lọc dựa trên các chính sách đã được thiết lập, còn được gọi là các bộ lọc hoặc danh sách kiểm soát truy cập (ACL) Chúng cơ bản là một bộ các chỉ lệnh có nhiệm vụ lọc ra các luồng dữ liệu nguy hại hoặc không được cho phép truy cập, chỉ có các kết nối cho phép mới vượt qua hàng rào an ninh được cung cấp bởi các tường lửa
Tường lửa là một biện pháp hiệu quả trong việc ngăn chặn hay lọc lưu lượng truy cập, chống lại các lượt truy cập không hợp pháp cố gắng kết nối từ bên ngoài vào mạng nội bộ bên trong, đồng thời ngăn chặn các dữ liệu độc hại dựa trên thông tin các gói đi vào, ứng dụng, giao thức hay địa chỉ nguồn Hầu hết các tường lửa cung cấp
cơ chế log, kiểm định và khả năng giám sát cũng như hệ thống phát hiện xâm nhập (IDS) cơ bản Cần lưu ý rằng tường lửa không thể ngăn chặn virus hoặc các mã độc hay lây lan qua các đường đi khác khi người dùng vô tình hay cố ý cho phép các đoạn mã độc thực thi đằng sau tường lửa
Ngoài hoạt động kết nối mạng, tường lửa còn lưu lại các thông tin vềcác sự kiện như:
• Thời gian boot/reboot thiết bị tường lửa
• Trạng thái dịch vụ như: proxy, các dịch vụ phụ thuộc
Trang 3• Thay đổi cấu hình.
• Lỗi hệ thống tường lửa
Tường lửa chỉ là một phần của một giải pháp bảo mật tổng thể Với một tường lửa có nhiều các cơ chế bảo mật được tập trung tại một nơi, điều này tạo ra rủi ro làm hệ thống mạng có thể bị mất kết nối trong trường hợp thiết bị tường lửa có sự cố Để bảo vệ tốt hơn cho
hệ thống thì chúng ta cần kết hợp nhiều tường lửa với nhau để bổ trợ cho nhau trong trường hợp một tường lửa bị tấn công
Có bốn loại tường lửa cơ bản: (Simple) Packet Filters, Circuit-Level, Application-Level và Stateful Multilayer Inspection Cũng có nhiều cách để tạo ra bức tường lửa an toàn bằng cách kết hợp hai hoặc nhiều hơn các loại tường lửa vào một giải pháp tường lửa duy nhất
1.1.1 Static packet-filtering firewall
Packet-filter lọc lưu lượng truy cập bằng cách kiểm tra thông tin header của gói tin Thông thường, các chính sách để tường lửa lọc sẽdựa vào thông số liên quan tới IP nguồn, IP đích, và cổng dịch vụ Tường lửa dạng này không thể cung cấp cơ chế xác thực người dùng hay có thể xác định được gói tin đến từ bên trong hay bên ngoài mạng riêng, dẫn đến việc dễ dàng bị lừa với các gói tin giả mạo Static packet filter được xem là khởi đầu cho hệ thống tường lửa, hoạt động ở lớp 3 (lớp Mạng) của mô hình OSI Nó cũng có thể được coi là thiết bị định tuyến hoặc xem như một router thông thường
Trang 4Hình 1: Packet-filter trong mô hình OSI
1.1.2 Application-level firewal
Một tường lửa ở lớp Ứng dụng còn được gọi là tường lửa proxy Proxy
là một bộ máy tính làm nhiệm vụ sao chép các gói tin từ một mạng đến một mạng khác; việc sao chép này đồng thời sẽ đổi địa chỉ
nguồn và địa chỉ đích để bảo vệ thông tin về mạng riêng hoặc mạng trong của hệ thống Tường lửa lớp Ứng dụng sẽ lọc các lưu lượng mạng dựa trên các dịch vụ Internet dùng để chuyển hoặc nhận dữ liệu Một proxy server là cách để tập trung các dịch vụ ứng dụng thông qua một máy đơn lẻ, tại đây nó sẽ phân tích các gói dữ liệu Khi các gói từ bên ngoài đến cổng này, chúng được kiểm tra và đánhgiá để xác định chính sách an toàn có cho phép gói này đi vào mạngnội bộ hay không
Loại tường lửa này ảnh hưởng đến hiệu suất của mạng vì mỗi gói tin
đi đến tường lửa phải được kiểm tra và đánh giá để xác định trước khi cho phép đi vào mạng nội bộ Tường lửa lớp ứng dụng được xem
là thế hệ tường lửa thứ hai, chúng hoạt động tại lớp ứng dụng (lớp 7)của mô hình OSI
Hình 2: Tường lửa lớp ứng dụng
1.1.3 Circuit-level firewall
Trang 5Tường lửa Circuit-level dùng để khởi tạo phiên kết nối giữa hai người dùng tin cậy Chúng hoạt động tại lớp Phiên (lớp 5) của mô hình OSI SOCKS (SOCKetS trong TCP/IP) là dạng tường lửa circuit-level thường được áp dụng nhất Tường lửa circuit-level còn được biết đến như là circuit proxy, quản lý kết nối dựa trên circuit, chứ không phải nội dung của lưu lượng mạng Chúng cho phép hoặc từ chối chuyển tiếp gói tin dựa trên nơi mà gói tin cần được gởi đến (địa chỉ nguồn/đích,
số port nguồn/đích) Tường lửa circuit-level cũng được xem là thế hệ thứ hai của tường lửa vì cơ chế hoạt động gần giống với tường lửa lớp ứng dụng
Hình 3: Circuit-level firewall
1.1.4 Stateful inspection firewall
Tường lửa kiểm tra trạng thái đánh giá hiện trạng hoặc bối cảnh lưu lượng mạng Bằng cách kiểm tra nguồn và địa chỉ đích, sử dụng các ứng dụng, nguồn gốc, và mối quan hệ giữa các gói hiện tại và các gói trước của cùng một session Tường lửa kiểm tra trạng thái có thểcấp một phạm vi truy cập rộng cho người dùng và các hoạt động có thẩm quyền, chủ động theo dõi và ngăn chặn người sử dụng thực hiện các hoạt động trái phép Tường lửa kiểm tra trạng thái thường hoạt động hiệu quả hơn so với tường lửa mức Ứng dụng, được xem
Trang 6là tường lửa thế hệ thứ ba, hoạt động ở lớp Mạng và lớp Giao vận (lớp 3 và 4) của mô hình OSI
Hình 4:Stateful inspection firewall
1.2 Các mô hình triển khai tường lửa
Có ba dạng kiến trúc tường lửa thường được triển khai là: một lớp, hai lớp, và ba lớp (còn được gọi là nhiều lớp) Kiến trúc tường lửa một lớp được kết nối thông qua một router đến Internet (hoặc nhữngvùng mạng không an toàn khác) Mô hình tường lửa một lớp khá hữuích trong việc ngăn chặn các cuộc tấn công cơ bản, kiến trúc này thực hiện được các cơ chế bảo mật tối thiểu
Kiến trúc tường lửa hai lớp sử dụng một tường lửa có ba network interface trở lên, cho phép thiết lập thêm một vùng DMZ hoặc
Extranet để giao tiếp với mạng bên ngoài DMZ được sử dụng đặt những hệ thống máy chủ thông tin mà người dùng bên ngoài có thể truy cập
Một kiến trúc ba lớp là việc triển khai của nhiều mạng con giữa
mạng nội bộ và Internet ngăn cách bởi các tường lửa Mỗi tường lửa
có quy tắc lọc nghiêm ngặt hơn để hạn chế các quyền truy cập bất hợp lệ vào hệ thống mạng dữ liệu nhạy cảm Mạng ngoài cùng
thường được triển khai như là một vùng DMZ Lớp mạng thứ hai có nhiệm vụ như một lớp mạng chuyển tiếp nhằm phục vụ các tính
Trang 7năng phức tạp theo yêu cầu của máy chủ tại vùng DMZ (ví dụ:
database, web service…) Mạng con thứ ba hoặc back-end có thể hỗ trợ mạng nội bộ Kiến trúc này là an toàn nhất, tuy nhiên mức độ triển khai và quản lý phức tạp hơn so với các kiến trúc còn lại
Hình 5: Mô hình tường lửa một lớp
Hình 6: Two-tier
Hình 7: Three-tier
1.3 Tổng quan pfSense
PfSene là một dự án nguồn mở dựa trên nền tảng hệ điều hành
FreeBSD và được sử dụng như một tường lửa hoặc một thiết bị định tuyến Chris Buechler và Scott Ullrich là hai tác giả sáng lập dự án m0n0wall năm 2004 Tuy nhiên tại thời điểm 2004, tác giả phải gặp vấn đề khó khăn khi mã nguồn của họ không tương thích tốt với các giải pháp tích hợp phần cứng (các thiết bị sử dụng 64MB RAM)
PfSense với sự phát triển theo thời gian đã hỗ trợ rộng rãi các nền tảng phần cứng khác nhau và được sự đóng góp to lớn từ cộng động
sử dụng mã nguồn mở thế giới Cùng với các chức năng quản lý mạnh mẽ, thân thiện với người dùng nên pfSense được cộng đồng sửdụng rộng rãi trong môi trường doanh nghiệp vừa và nhỏ PfSense yêu cầu cấu hình phần cứng thấp nên phù hợp cho việc tích hợp vào
Trang 8các thiết bị tích hợp khác nhau nhằm tăng tính linh động và hiệu suất trong quá trình vận hành.
Phiên bản pfSense hiện tại được công bố là 2.1, tập trung phát triển các tính năng hỗ trợ môi trường mạng IPv6
1.4 Một số phương pháp triển khai thực tế
Với các tính năng linh hoạt, pfSense được sử dụng trong nhiều mục đích khác nhau trên thực tế Giá thành triển khai thấp hơn so với những thiết bị cùng loại, hỗ trợ những tính năng cơ bản và nâng cao như VPN, BGP, Wirelsess, cân bằng tải, QoS…
Các chức năng thường được sử dụng bao gồm:
• Tường lửa: với tính năng xử lý gói tin TCP/IP mạnh mẽ, nên pfSense được dùng như một tường lửa nhằm cản lọc những kết nối không hợp pháp đến một phân vùng mạng chỉ định
• Thiết bị định tuyến mạng WAN/LAN: đóng vai trò như một router, pfSense hỗ trợ các chức năng như định tuyến như PPoE, BGP… phù hợp cho doanh nghiệp triển khai với giá thành thấp mà không cần đầu tư thêm router cùng chức năng Trong môi trường mạng LAN, pfSense hỗ trợ giao thức 802.1q cho phép nhân viên kỹ thuật có thể hoạch định các phân vùng mạng nội bộ khác nhau PfSense có thể hỗ trợ băng thông 3Gbps hoặc xử lý hơn 500.000 gói tin/giây, vì vậy pfSense có thể sử dụng thay thế một thiết
bị switch lớp 3 (yêu cầu có thêm card mạng)
• Wireless Access Point
• Máy chủ VPN/DNS/DHCP/Sniffer: pfSense được tác giả tíchhợp thêm các mã nguồn mở như TinyDNS
(http://tinydns.org), tcpdump (http://www.tcpdump.org/) nhằm phục vụ với vai trò là máy chủ DNS hoặc máy chủ sniffer (thu thập gói tin cho nhiệm vụ phân tích)
Trang 91.5 Các nền tảng phần cứng hỗ trợ
Live CD: nhân viên quản trị hệ thống có thể sử dụng pfSense bằng cách khởi động mã nguồn pfSense và sử dụng trực tiếp trên CD hoặcUSB Tuy nhiên, phương pháp này không được khuyến cáo sử dụng
do một số tính năng như vẽ đồ thị lưu lượng truy cập không thể thực hiện
Cài đặt vào thiết bị có kiến trúc máy tính (computer based device): đây là phương pháp được tác giả khuyến cáo sử dụng PfSense được cài đặt trên thiết bị máy tính sẽ hỗ trợ đầy đủ các tính năng mà tác giả đã tích hợp Tuy nhiên, nhân viên quản trị cần chú ý pfSense không hỗ trợ khởi động nhiều nền tảng hệ điều hành (Multi-boot), vì vậy cần bảo đảm rằng các thiết bị lưu trữ (HDD, SSD) có thể bị xóa trắng trong quá trình cài đặt
Tích hợp (embedded): pfSense được cài đặt trên thẻ CF có thể được
sử dụng cho các thiết bị phần cứng tích hợp Tuy nhiên do hạn chế
về không gian lưu trữ, nên người sử dụng cần lưu ý nên cấu hình sử dụng bộ nhớ RAM hệ thống để lưu trữ các bản ghi nhật ký trong quá trình vận hành
Trang 10CHƯƠNG 2 TRIỂN KHAI HỆ THỐNG PFSENSE
TRONG MÔI TRƯỜNG MẠNG DOANH NGHIỆP 2.1 Sơ đồ triển khai cơ bản
DMZ 172.16.10.0/24 VmNet8 (Host-only) Phân vùng đặt các máy chủ
Trang 11ảo hóa VMware, người sử dụng có thể tải và tích hợp trực tiếp vào hạtầng ảo dễ dàng và hiệu quả.
Trong ví dụ bên dưới, chúng tôi thực hiện cài đặt pfSense từ tập tin ISO đã được tải và ghi đĩa CD Cấu hình phần cứng sử dụng bao
gồm: CPU Core I3 (1 processor), RAM 256MB, HDD 5GB, 3 NIC, CD Rom.
Hình 9: PfSense thông báo thông tin đăng nhập mặc định
2.3 Cấu hình pfSense cơ bản
Tại phần này, chúng tôi thực hiện cấu hình các chức năng cơ bản của pfSense bằng giao diện quản trị Web (WebGUI) Thực hiện truy cập vào địa chỉ IP mà hệ thống đã cấp cho máy pfSense như hình 7, đăng nhập với tài khoản mặc định user: admin, password: pfsense.Sau khi đã đăng nhập thành công, pfSense sẽ yêu cầu cấu hình một
số thông tin cơ bản phù hợp với hệ thống mạng sử dụng
Trang 12Hình 10: Cấu hình thông tin IP
Tại mục cấu hình IP cho card mạng kết nối với hệ thống WAN, quản trị viên cần cấu hình chính xác thông tin kết nối với hệ thống WAN
do nhà cung cấp dịch vụ (ISP) đã cung cấp PfSense hỗ trợ các dạng cấu hình IP kết nối WAN như sau: DHCP/Static/PPoE/PPTP
Cấu hình PfSense cấp DHCP cho các máy client trong vùng mạng LAN
Chúng tôi thực hiện đăng ký một card mạng vào vùng LAN với địa chỉ MAC tương ứng tại menu Interfaces > Assign
Hình 11: Lựa chọn địa chỉ MAC tương ứng
Trang 13Tiếp theo, chúng tôi cấu hình các thông tin IP, DNS cho card mạng kết nối với vùng mạng nội bộ Chú ý: trong trường hợp nhân viên quản trị muốn sử dụng pfSense như một máy chủ DHCP thì bắt buộc card LAN phải được cấu hình địa chỉ IP tĩnh.
Hình 12: Thông tin mô tả card mạng
Hình 13: Địa chỉ IP được cấu hình tại card LAN
Sau khi các thông tin cấu hình cơ bản, nhấn nút Save và “Apply
changes” Chuyển sang menu Services > DHCP Server, chọn thẻ LAN
Hình 14: Cung cấp dãy IP mà pfSense cấp cho người dùng
Hình 15: Cung cấp DNS tại phía người dùng
Hình 16: Cung cấp Default gateway
Sau khi cấu hình hoàn thành, tại phía client thực hiện yêu cầu servercấp IP và kiểm tra đường truyền
Trang 14Hình 17: Client đã được cấp IP từ pfSense
Hình 18: Kiểm tra kết nối mạng LAN
Hình 19: Kiểm tra kết nối Internet
Trang 15Hình 20: Trạng thái cấp phát IP tại pfSense
2.4 Cấu hình tường lửa
2.4.1 Alias
Alias là một phương pháp đặt bí danh cho một hoặc nhiều
IP/Network/URL… nhằm giúp quản trị viên dễ dàng quản lý các địa chỉ mạng hoặc subnet
Thực hiện truy cập menu tường lửa > Aliases để tạo mới hoặc chỉnh sửa các alias
Hình 21: Giao diện tạo alias
Hình 22: Alias Webserver1
pfSense hỗ trợ tạo alias bằng một danh sách địa chỉ IP được lưu trữ
từ xa, và thực hiện cập nhật danh sách tự động theo thời gian đã
Trang 16Hình 23: URL Table Alias
Hình 24: Danh mục IP Trung Quốc
Hình 25: Alias danh mục website
2.4.2 NAT
Network Address Tranlation (NAT) là một cơ chế chuyển đổi IP được
sử dụng rộng rãi, nhằm giảm số lượng IP public khi kết nối với hệ thống mạng Internet Cơ chế NAT dược sử dụng theo một trong hai cách dựa vào hướng truyền dữ liệu là inbound và outbound
Outbound NAT dùng chuyển đổi các IP private thành IP public với mục đích cho phép các máy tính trong mạng nội bộ có thể kết nối Internet Inbound NAT dùng chuyển đổi IP từ bên ngoài vào các máy tính nội bộ
Trang 172.4.2.1 Port Forward
Tại menu tường lửa > NAT > chọn thẻ Port Forward, thực hiện tạo mới một rule NAT cho phép các máy tính từ Internet truy cập máy chủ web trong vùng DMZ
Hình 26: NAT Webserver1 - DMZ
Trang 18Hình 27: Truy cập máy chủ web từ Public IP
Trang 192.4.2.3 Outbound
Khi sử dụng cấu hình mặc định trong mục NAT Outbound, pfSense sẽ
tự động tạo các bản ghi NAT cho phép các IP private truy cập
internet thông qua IP public Các cấu hình mẫu này bao gồm các rule cho phép các kết nối VPN đến hệ thống, tuy nhiên quản trị viên cần chú ý tạo thêm các static route phù hợp với hạ tầng mạng
Hình 29: Automatic outbound NAT
Đối với những hạ tầng mạng phức tạp yêu cầu cấu hình những rule linh động hơn để phù hợp với kiến trúc mạng doanh nghiệp, ta có thể chọn Manual Outbound NAT với mục đích tùy biến các rule hiện có
2.4.3 Rules
Rule là thành phần cơ bản trong các hệ thống tường lửa giúp tạo ra các chính sách mạng dựa trên mô hình TCP/IP Theo cấu hình mặc định của pfSense, các rule cho phép các vùng mạng kết nối với
nhau, tuy nhiên việc này không thường gặp trong thực tế do các yêu
Trang 20cầu bảo mật, nhân viên quản trị mạng cần tùy biến các rule cho phùhợp với các chính sách truy cập mạng của doanh nghiệp.
Hình 30: Rule mặc định được cấu hình tại card WAN
Chú ý: Trong trường hợp sử dụng NAT port forward thì pfSense tự động tạo rule phù hợp cho phép kết nối từ mạng WAN đến vùng DMZ
Hình 31: Rule được tạo tự động khi sử dụng NAT
Các thành phần cơ bản của rule:
• Action: pfSense có 3 tùy chọn Pass/Block (hủy gói
tin)/Reject (gởi cờ RST về phía người dùng);
• Disabled: tắt hoạt động của rule hiện tại mà không cần xóa;
• TCP/IP version: pfSense hoạt động với phiên bản IPv4 và IPv6;
• Protocol: pfSense cho phép tùy chọn các giao thức truyền
dữ liệu (TCP, UDP, ICMP…) và giao thức định tuyến (OSPF,IGMP);
• Source/Destination (port): chỉ định các IP nguồn/đích;
• Log: bật chức năng theo dõi hoạt động của rule hiện tại
2.4.4 Schedules
Chức năng lập lịch trong pfSense cho phép cấu hình thời gian hoạt động của hệ thống một cách tự động thông qua bảng thời gian đã được thiết lập sẵn Bằng cách này, hệ thống pfSense sẽ tự động điềuchỉnh các firewall rule theo thời gian lập lịch
Trang 21Hình 32: Giao diện lập lịch pfSense
Chúng tôi thực hiện cấu hình chỉ cho phép truy cập webserver của công ty vào thời gian đã được chỉ định trong mục Schedules Tại menu cấu hình tường lửa rule, thực hiện chỉ định thời gian biểu đã được tạo trước đó
Hình 33: Chỉ định thời gian biểu Working
Hình 34: Rule hoạt động khi thời gian biểu phù hợp
2.5 QoS
Traffic Shaper còn được gọi QoS (Quality of Service) được sử dụng trong môi trường có nhiều loại dịch vụ mạng cùng hoạt động như VoIP, data network, streaming…, việc xây dựng QoS trong môi
Trang 22trường mạng doanh nghiệp là khá quan trọng nhằm bảo đảm tính ổnđịnh cho các dịch vụ cần độ ưu tiên cao.
Việc quản lý QoS được sử dụng trong pfSense dựa trên nền tảng AltQ(ALTernate Queueing) AltQ được tích hợp và sử dụng trong BSD UNIXnhằm cung cấp cơ chế xử lý gói tin cũng như quản lý luồng băng thông đi qua Đối với các luồng dữ liệu TCP/IP mặc định thì các gói tin được xử lý theo thứ tự đầu vào (phương pháp FIFO)
Để thay đổi thứ tự gói tin được xử lý, AltQ sử dụng các thuật toán xử
lý các gói tin dựa trên mức độ ưu tiên Các thuật toán được AltQ dùng trong cơ chế lập lịch kiểm soát gói tin bao gồm Class Based Queuing (CBQ), Priority-based queues (PRIQ) và Hierarchical Fair Service Curve (HFSC)
• CBQ: Class-based queues hoạt động dựa vào các chỉ số băng thông mạng như số phần trăm băng thông được sử dụng hoặc tổng dung lượng được sử dụng theo đơn vị kilobits, megabits hoặc gigabits với thời gian tính bằng giây CBQ thực hiện phân mức ưu tiên cho các gói tin từ 0 đến 7, các gói tin có độ ưu tiên cao hơn sẽ được xử lý trước so với các gói tin có độ ưu tiên thấp hơn Ví dụ:
Dịch vụ/Giao thức Băng thông được sử dụng
• HFSC: thuật toán Hierarchical Fair Service Curve được sử dụng nhằm bảo đảm các kết nối đều có thể ở một mức ổn
Trang 23định cho từng loại dịch vụ Giả sử, khi bạn tạo một kết nốilần đầu tiên đến một web server thì trong vài giây đầu tiên băng thông sử dụng là tối đa ~100KB/giây, trong vài giây tiếp theo thì băng thông sẽ giảm xuống phụ thuộc vào cấu hình ~25KB/sec Vậy trong trường hợp người dùng thực hiện tải một tập tin dung lượng 5MB sẽ được pfSense giới hạn ở tốc độ thấp nhằm bảo đảm đủ băng thông cho các kết nối khác.
Các phiên bản pfSense từ 2.0 tích hợp thêm cơ chế Dummynet, đây
là cơ chế được sử dụng chính trong ipfirewall Một tính năng mạnh
mẽ mà pfSense cung cấp đến người dùng là cho phép quản lý băng thông đối với các giao thức lớp 7 như Skype, IRC, Yahoo,… ipfw-
classifyd là ứng dụng chịu trách nhiệm phân loại các nhóm giao thứclớp 7 được tạo bởi một chương trình cụ thể
Cơ chế lọc QoS tại lớp 7 được thực hiện qua bốn bước chính:
• Phân loại nhóm giao thức lớp 7: tiến trình này được xử lý thông qua cơ chế kiểm soát gói tin tại AltQ hoặc
Dummynet nhằm phân loại các gói tin TCP/IP
• Chuyển hướng luồng dữ liệu: các gói tin đầu vào sau khi được kiểm tra tại lớp 3 (địa chỉ nguồn/đích) sẽ được pfSense chuyển sang xử lý tại tiến trình ipfw-classifyd
• Tạo mẫu cho các giao thức lớp 7: các mẫu này được
pfSense định nghĩa trong các tập tin có dạng tengiaothuc.pat nằm tại thư mục
/usr/local/share/protocols, đây là thành phần quan trọng giúp pfSense có thể xác định các giao thức hoạt động tại lớp 7
Trang 24Hình 35: Các tập tin lưu trữ các mẫu dữ liệu giao thức lớp ứng dụng
Hình 36: Mẫu dữ liệu giao thức lớp 7 chương trình Half-Life 2
• Chỉ định hành vi: sau khi các gói tin được so trùng tại bước 3, tiến trình ipfw-classifyd sẽ thực hiện hủy/cho phép gói tin phụ thuộc cấu hình từ người dùng
Hình 37: Quy trình xử lý gói tin tại pfSense
Cấu hình tại pfSense
Trang 25Truy cập menu tường lửa > Traffic Shaper > chọn thẻ Wizards,
pfSense cung cấp sẵn một số cấu hình tham khảo thường dùng
trong kiến trúc mạng bao gồm: Single Lan multi Wan, Single Wan multi Lan, Multi Lan/Wan và Dedicated links
Hình 38: Các cấu hình tham khảo do pfSense cung cấp
Chúng tôi thực hiện chọn 1 cấu hình mẫu cho sơ đồ tại mục SƠ ĐỒ TRIỂN KHAI là Single Wan multi Lan
Hình 39: Số lượng card LAN
Hình 40: Nhập thông số băng thông cho phép Upload/Download
Trang 26Hình 41: Cấu hình QoS dịch vụ VoIP Asterisk
Hình 42: Cấu hình QoS dịch vụ P2P
Trang 27Hình 43: Cấu hình QoS dịch vụ Game (layer 7)
Hình 44: Cấu hình QoS dịch vụ mạng khác
Quản trị viên hệ thống cần tinh chỉnh độ ưu tiên các dịch vụ mạng tại phần này nhằm đảm bảo vẫn có thể kết nối đến các máy chủ
Trang 28trong trường hợp hệ thống mạng xảy ra độ trễ cao do nhiều người dùng cùng thời điểm.
Hình 45: Giao diện theo dõi lưu lượng và trạng thái QoS tại các interface
2.6 pfSense Squid proxy
Squid là một web proxy có khả năng tích hợp vào hệ thống pfSense bằng chương trình quản lý gói cài đặt System > Packages, Squid hoạt động như một Web Cache proxy và có thể trong suốt
(Transparent) với người dùng Squid web Cache proxy sẽ giúp hệ thống mạng giảm băng thông đến hệ thống mạng WAN trong trườnghợp nhiều người dùng cùng tải một tập tin hoặc cùng truy cập vào một website Khi pfSense vận hành trên nền tảng tích hợp (được cài đặt vào thẻ SD) thì bạn cần thận trọng khi sử dụng chức năng Web cache do giới hạn về mặt dung lượng lưu trữ
Người dùng có thể cài đặt gói mở rộng squidGuard phục vụ việc ngăn chặn danh sách các website có nội dung nhạy cảm
2.6.1 Squid web cache proxy
Chúng tôi tiến hành cài đặt hai gói Squid và squidGuard tại trình quản lý gói cài đặt pfSense
Hình 46: Gói tin Squid và squidGuard đã được cài đặt
Truy cập Service > Proxy server: General Settings
Trang 29Hình 47: Chỉ định phân vùng mạng Squid thực hiện Cache
Hình 48: Tinh chỉnh dung lượng dữ liệu cho phép cache
Hình 49: Tinh chỉnh dung lượng Cache cho phép
Maximum object size = 1024 x 1024 = 1048576 kB
Trang 30Hình 50: Bảng thống kê Squid log (package lightsquid)
Trang 31Hình 52: Bật tính năng ghi log
Hình 53: Cho phép SquidGuard cập nhật các mẫu website từ máy chủ www.shallalist.de
Sau khi Save, chuyển sang thẻ Blacklist thực hiện download và cập nhập các rule
Trang 32Hình 54: Tiến trình cập nhật blacklists
Tại thẻ Common ACL, thực hiện chỉ định các nhóm nội dung web ngăn chặn hoặc cho phép
Hình 55: Chỉ định nhóm nội dung cần ngăn chặn
Hình 56: Kết nối đến trang web youporn.com bị ngăn chặn
2.7 VLAN
VLAN thường được sử dụng trong việc phân hoạch kiến trúc mạng nội bộ, kỹ thuật này cho phép bạn xây dựng nhiều mạng LAN theo
sơ đồ luận lý trên cùng một thiết bị/hạ tầng vật lý Việc sử dụng
VLAN trong môi trường mạng nội bộ giúp giảm thiểu vùng quảng bá (broadcast domain), đồng thời tạo thuận lợi cho quản trị viên điều hành hệ thống mạng cục bộ có số lượng máy tính lớn và phân bố trên nhiều vùng địa lý khác nhau
2.7.1 Trunking
Trunking được sử dụng tại những phân đoạn mạng yêu cầu truyền tải dữ liệu từ nhiều VLAN khác nhau trên cùng một cổng vật lý Các
Trang 33frame dữ liệu khi chuyển ra khỏi cổng trunk sẽ được thêm một thôngtin nhãn 802.1Q trong phần đầu của gói tin, việc này giúp các VLAN được cấu hình trên nhiều thiết bị phần cứng khác nhau có thể giao tiếp với nhau Cổng trunk thường được cấu hình phục vụ cho việc kếtnối nhiều switch vật lý, hoặc các thiết bị hỗ trợ đánh nhãn 802.1Q cónhu cầu truy cập dữ liệu đến nhiều VLAN.
2.7.2 VLAN ID
Mỗi VLAN tồn tại một ID với mục đích dịnh danh nguồn gốc dữ liệu khi các gói tin được vận chuyển qua kênh truyền có đánh nhãn dữ liệu ID là một số định danh có giá trị từ 1 đến 4094 Giá trị VLAN mặc định trên switch là VLAN 1 (native vlan), và VLAN này không được sử dụng trong việc triển khai VLAN trunking, bạn có thể sử dụng các giá trị VLAN khác cho việc triển khai trunking Một số
trường hợp bạn có thể sử dụng VLAN 2 và tăng dần giá trị ID cho đếnkhi phù hợp với nhu cầu phân hoạch mạng nội bộ của doanh nghiệp.Một cách khác mà các quản trị viên thường sử dụng để phân hoạch VLAN là dựa vào octet thứ ba của dãy IP sẽ được cấp cho các máy trạm Ví dụ, nếu bạn sử dụng dãy IP 192.168.10.0/24,
192.168.20.0/24 và 192.168.30.0/24 thì việc đặt các giá trị VLAN ID
có thể sử dụng là VLAN 10, 20, 30
2.7.3 Double tagging (QinQ)
QinQ được sử dụng trong môi trường mạng có quy mô hạ tầng rất lớn như ISP QinQ được pfSense hỗ trợ trừ phiên bản 2.0 trở về sau Việc sử dụng các cấu hình QinQ trên pfSene ít được sử dụng trong hầu hết các môi trường mạng phổ biến và cần sự hỗ trợ của thiết bị phần cứng chuyên dụng Ta có thể tăng lưu lượng tag lên gấp đôi bằng cách dùng giao thức 802.1Q hai chiều Gọi là QinQ Giải pháp này hiệu quả trong môi trường lớn như của ISP và các môi trường mạng khác có hệ thống lớn Ngoài ra, ta còn có thể gắn tag ba lần QinQ được hỗ trợ trong pfSense 2.0 Các hệ thống này chủ yếu cần
Trang 34một loại định tuyến mạnh mà chỉ có các router dựa trên ASIC
(Application-Specific Integrated Circuit) hỗ trợ, và QinQ tăng cấp độ phức tạp không cần thiết trong hầu hết các hệ thống môi trường mạng
2.8 Cân bằng tải
PfSense hỗ trợ người dùng hai phương pháp cân bằng tải: gateway
và server Cân bằng tải gateway cho phép hệ thống mạng phân bố lưu lượng dữ liệu trên nhiều kết nối WAN Cân bằng tải server cho phép bạn phân bố việc sử tài nguyên từ các máy chủ nội bộ và bảo đảm tính dư thừa cho hệ thống máy chủ phục vụ Phương pháp này thường được sử dụng trong việc cân bằng tải các dịch vụ web, SMTP,DNS hoặc các dịch vụ sử dụng giao thức TCP trong việc truyền dữ liệu
Trong hệ thống mạng vừa và nhỏ, pfSense hỗ trợ khá tốt các vấn đề cân bằng tải cho hạ tầng mà không cần đầu tư vào các giải pháp thương mại có chi phí cao như BigIP, Cisco LocalDirector, Citrix
NetScaler Tuy nhiên, pfSense không thể hỗ trợ những tính năng phức tạp và đòi hỏi hiệu suất cao như các giải pháp cùng chức năng khác Nếu doanh nghiệp cần giải quyết vấn đề cân bằng tải và cân đối chi phí hợp lý, chúng tôi khuyến cáo bạn nên sử dụng kết hợp pfSense và một hoặc nhiều giải pháp nguồn mở khác (nginx reverse proxy, LBS, HAproxy ) trong vùng DMZ để có kết quả tốt nhất
Dịch vụ chính chịu trách nhiệm cho quá trình cân bằng tải là relayd, đây là dịch vụ được tác giả tích hợp từ phiên bản 1.2.x và vẫn hoạt động khá tốt trong nhiều trường hợp triển khai hiện nay HAProxy và Varnish là những plugin được cung cấp từ nhà phát triển thứ ba mà bạn có thể cài đặt với mục đích cải thiện chất lượng của máy chủ pfSense
2.8.1 Cân bằng tải multi-WAN
Trang 35Hình 57: Sơ đồ mạng có 2 kết nối WAN
Vùng
WAN 1 192.168.0.0/24 VmNet0 (Auto bridging) Phân vùng mạng kết nối Internet
(ISP 1)
WAN 2 192.168.116.0/24 VmNet8 (NAT) Phân vùng mạng kết nối Internet
(ISP 2)
Internal
(LAN) 10.0.0.0/24 VmNet1 (Host-only) Phân vùng mạng nội bộ
Việc kết hợp nhiều đường truyền WAN là một giải pháp thường được dùng trong các môi trường mạng doanh nghiệp vừa và nhỏ nhằm bảo đảm tính sẵn sàng cho doanh nghiệp đồng thời có thể tăng băngthông kết nối Internet
Để thực hiện phần cấu hình này, truy cập System > Routing > chọn thẻ Gateways Trong phần này pfSense đã tự động tạo các Gateway mặc định cho hệ thống, ta có thể tùy chỉnh lại các gateway này cho phù hợp với hệ thống mà ta đang quản lý
