BẢO MẬT MẠNG BẰNG CÔNG NGHỆ FIREWALL

MỤC LỤC DANH MỤC TỪ VIẾT TẮT DANH MỤC HÌNH MỞ ĐẦU 1 1. Lý do chọn đề tài 1 2. Nội dung đề tài 1 3. Phương pháp 2 4. Cấu trúc đồ án 2 CHƯƠNG 1.TỔNG QUAN VỀ BẢO MẬT MẠNG VÀ FIREWALL 3 1.1. Tổng quan về an ninh mạng 3 1.1.1.Khái niệm an ninh mạng 3 1.1.2. Các yếu tố cần quan tâm khi phân tích bảo mật mạng 3 1.1.3. Các bước tấn công thường gặp 4 1.1.4. Các kiểu tấn công 5 1.1.5. Các giải pháp bảo mật 8 1.2. Firewall 9 1.2.1. Khái niệm 9 1.2.2. Một số loại Firewall thông dụng 10 1.2.3. Chức năng của Firewall 12 1.2.4. Nguyên lý hoạt động của Firewall 13 1.2.5. Phân Loại 14 1.3. Mô hình kiến trúc của Firewall 16 1.3.1 Kiến trúc Dual – homed Host 16 1.3.2. Kiến trúc Screen Host 18 1.3.3. Kiến trúc Screen Subnet Host 19 1.3.4. Mô hình UTM 21 CHƯƠNG 2. GIẢI PHÁP AN TOÀN AN NINH MẠNG 23 VỚI FIREWALL PFSENSE 23 2.1. Firewall Pfsense 23 2.1.1. Firewall Cứngmềm 23 2.1.2. Giới thiệu về Pfsense 24 2.2. Chức năng 26 2.2.1. Routing NAT 26 2.2.2. Firewall Rules 26 2.2.3. IPS 26 2.2.4. Proxy 27 CHƯƠNG 3. THỰC THI MÔ HÌNH TRIỂN KHAI FIREWALL PFSENSE TRÊN VMWARE 28 3.1. Mô hình thử nghiệm 28 3.2 Công cụ mô phỏng 29 3.3. Các bước xây dựng 30 3.3.1. Web server 34 3.3.2 DNS server 37 3.3.3. NAT dịch vụ 43 3.3.4. Proxy với Squid và Squid Guard 44 3.3.5. IPS Suricata 51 3.4. Kịch bản thử nghiệm 54 3.4.1. Tấn công thử nghiệm đánh giá hệ thống IPS 54 KẾT LUẬN 57 TÀI LIỆU THAM KHẢO 58

KHOA CÔNG NGHỆ THÔNG TIN

BẢO MẬT MẠNG BẰNG CÔNG NGHỆ

FIREWALL

Hà Nội-2016

KHOA CÔNG NGHỆ THÔNG TIN

Em xin chân thành cảm ơn sự chỉ bảo hướng dẫn tận tình của thầy HoàngMinh Quang, cùng toàn thể giảng viên Đại học Tài nguyên và Môi trường Hà Nội,cũng như các cán bộ tại Viện CNTT, Viện Hàn Lâm và Khoa học Việt Nam đã nhiệttình hướng dẫn, giảng dạy cho em trong suốt quá trinh học tập tại trường và cơ sởthực tập

Tuy đã cố gắng hết sức tìm hiểu, phân tích nhưng do thời gian có hạn nênbản báo cáo không tránh khỏi những thiếu sót Em rất mong nhận được sự góp ýcủa các thầy ,cô và hội đồng

Em xin chân thành cảm ơn!

Em tên là:Nguyễn Thị Thực, sinh viên lớp DH2C2 – Trường Đại học TàiNguyên và Môi Trường Hà Nội

Em xin cam đoan toàn bộ nội dung của đồ án do em tự học tập, nghiên cứutrên Internet, sách báo, các tài liệu trong và ngoài nước có liên quan Không saochép hay sử dụng bài làm của bất kỳ ai khác Tất cả mọi nguồn tài liệu tham khảođều có xuất xứ rõ ràng và hợp pháp

Em xin chịu hoàn toàn trách nhiệm về lời cam đoan của mình trước QuýThầy Cô, Khoa và Nhà trường

Hà Nội, ngày 27 tháng 9 năm 2016

Người cam đoan Nguyễn Thị Thực

DANH MỤC TỪ VIẾT TẮT

DDoS Distributed Denial of Service Tấn công từ chối dịch vụ

IDS Intrusion Detection System Hệ thống phát hiện xâm nhập

IPS Intrusion Prention System Hệ thống phát hiện xâm nhập

MITM Man-in-the-middle

MAC Media Access Control Định danh được gán cho thiết

bị mạng

OSI Open Systems Interconnection Mô Hình Mạng OSI

TCP Transport Control Protocol Giao thức điều khiển truyền

tải

NAT Network Address Translation Chức năng chuyển đổi địa chỉ

MỞ ĐẦU

1 Lý do chọn đề tài

Với sự bùng nổ ngày càng mạnh mẽ của mạng Internet, các quốc gia các tổchức, các công ty và tất cả mọi người đang ngày càng xích lại gần nhau hơn.Khoảng cách về địa lý ngày càng trở nên mờ dần và khái niệm một thế giới “phẳng”đang trở nên rõ nét Thật khó mà kể hết những lợi ích mà Internet mang lại cho conngười và cũng không thể tưởng tượng được một ngày thiếu Internet thì con người sẽphải xoay sở như thế nào Đó không chỉ là một công cụ trao đổi thông tin nhanhchóng tin cậy mà còn là kho thông tin vô tận, cập nhật, đa dạng và đầy đủ nhất Cóthể nói rằng Internet là nguồn tài nguyên vô giá trong kỉ nguyên số hiện nay Chính

vì vậy việc khai thác và tận dụng được tài nguyên mạng là mối quan tâm hàng đầucủa các doanh nghiệp Công nghệ mạng Lan và mạng Wan phát triển đã thỏa mãnnhu cầu đó

Tuy nhiên ngoài những lợi ích to lớn mạng Internet cũng ẩn chứa nhữngnguy cơ khôn lường về khả năng đánh cắp, phá hoại những tài sản thông tin của tổchức dẫn đến những hậu quả nghiêm trọng Chính vì vậy công việc và trọng tráchđặt lên vai của những người làm công nghệ thông tin trên thế giới nói chung và ởViệt Nam nói riêng không chỉ là nghiên cứu xây dựng và phát triển nhanh chóngmạng máy tính trong nước để mọi người có thể khai thác tiềm năng hết sức phongphú trên Internet mà đồng thời cũng phải nghiên cứu thực hiện tốt các biện phápngăn chặn, phòng chống, phát hiện và phục hồi được các hành vi tấn công phá hoạitrái phép trên mạng, nhằm đảm bảo được tối đa sự phát triển cho các tổ chức kinhdoanh…

2 Nội dung đề tài

Đồ án tốt nghiệp này sẽ giới thiệu các kiến thức chung về bảo mật máy tính.Các công nghệ thường được sử dụng để bảo mật trên nền bộ giao thức TCP/IP, giao

thức chính trên Internet và cụ thể đi sâu vào công nghệ Firewall và IPS nguồn mởcủa Firewall Pfsense

3 Phương pháp

- Nghiên cứu lý thuyết

- Thực hành xây dựng mô hình Firewall Pfsense trên Vmware

4 Cấu trúc đồ án

Đồ án được chia thành 3 chương, 1 phụ lục với những nội dung như sau:

- Mở đầu: Chương này trình bày về lý do chọn đề chọn đề tài, nội dung,

phương pháp, cấu trúc và lời cảm ơn

- Chương 1 Giới thiệu về các vấn đề của an ninh mạng, Các kiến thức

chung về Firewall phân loại firewall và các mô hình áp dụng của firewall

- Chương 2 Các giải pháp an ninh mạng đề xuất cho mô hình doạnh nghiêp

nhỏ voiwsfirewall Pfsense

- Chương 3 Triển khai mô hình Lab Firewall pfsense,server dịch vụ các

bước chi tiết về cấu hình và phương pháp triển khai trên máy ảo

- Kết luận: Đưa ra kết quả và đồ án đạt được và hướng phát triển đề tài.

CHƯƠNG 1.TỔNG QUAN VỀ BẢO MẬT MẠNG VÀ FIREWALL

1.1 Tổng quan về an ninh mạng

1.1.1.Khái niệm an ninh mạng

An ninh-Bảo mật mạng là sự đảm bảo an toàn của toàn bộ hệ thống mạngtrước những hoạt động nhằm tấn công phá hoại hệ thống mạng cả từ bên trong nhưbên ngoài

Hoạt động phá hoại là những hoạt động như xâm nhập trái phép sử dụng tàinguyên trái phép ăn cắp thông tin, các hoạt động giả mạo nhằm phá hoại tài nguyênmạng và cơ sở dữ liệu của hệ thống

Vấn đề bảo mật mạng luôn là một vấn đề bức thiết khi ta nghiên cứu một hệthống mạng Hệ thống mạng càng phát triển thì vấn đề bảo mật mạng càng được đạtlên hàng đầu

Khi nguyên cứu một hệ thống mạng chúng ta cần phải kiểm soát vấn đề bảomật mạng ở các cấp độ sau:

• Mức mạng: Ngăn chặn kẻ xâm nhập bất hợp pháp vào hệ thống mạng

• Mức server: Kiểm soát quyền truy cập, các cơ ch ế bảo mật, quá trình nhận dạngngười dùng, phân quyền truy cập, cho phép các tác vụ

• Mức cơ sở dữ liệu: Kiểm soát ai? được quyền như thế nào? với mỗi cơ sở dữ liệu

• Mức trường thông tin: Trong mỗi cơ sở dữ liệu kiểm soát được mỗi trường dữ liệuchứa thông tin khác nhau sẽ cho phép các đố i tượng khác nhau có quyền truy cậpkhác nhau

• Mức mật mã: Mã hoá toàn bộ file dữ liệu theo một phương pháp nào đó và chỉ chophép người có “chìa khoá” mới có thể sử dụng được file dữ liệu

1.1.2 Các yếu tố cần quan tâm khi phân tích bảo mật mạng

+ Vấn đề con người: Trong bảo mật mạng yếu tố con người cũng rất quantrọng Khi nghiên cứu đến vấn đề bảo mật mạng cần quan tâm xem ai tham gia vào

hệ thống mạng, họ có tránh nhiệm như thế nào Ở mức độ vật lý khi một người

không có thẩm quyền vào phòng máy họ có thể thực hiện một số hành vi phá hoại ởmức độ vật lý.

+ Kiến trúc mạng: Kiến trúc mạng cũng là một vấn đề mà chúng ta cần phảiquan tâm khi nghiên cứu, phân tích một hệ thống mạng Chúng ta cần nghiên cứuhiện trạng mạng khi xây dựng và nâng cấp mạng đưa ra các kiểu kiến trúc mạngphù hợp với hiện trạng và cơ sở hạ tầng ở nơi mình đang định xây dựng

+ Phần cứng & phần mềm: Mạng được thiết kế như thế nào Nó bao gồmnhững phần cứng và phần mềm nào và tác dụng của chúng Xây dựng một hệ thốngphần cứng và phần mềm phù hợp với hệ thống mạng cũng là vấn đề cần quan tâmkhi xây dựng hệ thống mạng Xem xét tính tương thích của phần cứng và phần mềmvới hệ thống và tính tương thích giữu chúng

Các yếu tố cần xác định mức độ ưu tiên bảo vệ để có kế hoạch phù hợp+ Bảo vệ dữ liệu (tính bảo mật, tính toàn vẹn và tính kịp thời)

+ Bảo vệ tài nguyên sử dụng trên mạng để tránh sử dụng tài nguyên này vàomục đính tấn công của kẻ khác

+ Bảo vệ danh tiếng

1.1.3 Các bước tấn công thường gặp

Hiện nay có rất nhiều hình thức tấn công với các ý tưởng khác nhau về phương thức, cách thức thực hiện và các cách thức này luôn được biến đổi rất linh hoạt Tuy nhiên để thực hiện một cuộc tấn công phá hoại hay đánh cắp thông tin thì luôn luôn đòi hỏi người thực hiện phải có thời gian tìm hiểu, lên kế hoạch cẩn thận Theo chương trình đạo tạo chuyên gia bảo mật CEH (Certified Ethical Hacker) thì

tổ chức 1 cuộc tấn công xâm nhập luôn gồm 5 bước:

- Bước 1: Trinh sát, thu thập thông tin Kẻ tấn công thu thập thông tin về nơi tấn côngnhư phát hiện các máy chủ, địa chỉ IP, các dịch vụ mạng…

- Bước 2: Scan (Quét) Kẻ tấn công sử dụng các thông tin thu thập được từ bước một

để tìm kiếm thêm thông tin về lỗ hổng, điểm yếu của hệ thống mạng Các công cụthường được sử dụng cho quá trình này là các công cụ quét cổng (scanport), quét IP,

dò tìm lỗ hổng…

- Buớc 3: Xâm nhập Các lỗ hổng được tìm thấy trong bước hai được kẻ tấn công sửdụng, khai thác để xâm nhập vào hệ thống Ở bước này, kẻ tấn công có thể dùng các

kỹ thuật như: Tràn bộ đệm, từ chối dịch vụ (DoS)…

- Buớc 4: Duy trì xâm nhập Một khi kẻ tấn công đã xâm nhập được vào hệ thống,bước tiếp theo là làm sao để duy trì các xâm nhập này nhằm khai thác và xâm nhậptiếp trong tương lai Một vài kỹ thuật như backboors, trojans… được sử dụng ởbước này Một khi kẻ tấn công đã làm chủ hệ thống, chúng có thể gây ra nhữngnguy hại cho hệ thống hoặc đánh cắp thông tin Ngoài ra, chúng có thể sử dụng hệthống này để tấn công vào các hệ thống khác như loại tấn công DDoS

- Bước 5: Che đậy, xóa dấu vết Một khi kẻ tấn công đã xâm nhập và cố gắng duy trìxâm nhập Bước tiếp theo là chúng phải làm sao xóa hết dấu vết để không cònchứng cứ pháp lí xâm nhập Kẻ tấn công phải xóa các tập tin log, xóa các cảnh báo

từ hệ thống phát hiện xâm nhập

Ở bước “Dò tìm” và “Xâm nhập”, kẻ tấn công thường làm lưu lượng kết nối

mạng thay đổi khác với lúc mạng bình thường rất nhiều Ðồng thời tài nguyên của

hệ thống máy chủ bị ảnh hưởng đáng kể Những dấu hiệu này rất có ích cho ngườiquản trị mạng trong việc phân tích và đánh giá tình hình hoạt động của hệ thốngmạng

Để đảm bảo an toàn cho hệ thống mạng thì người quản trị, điều hành hệthống luôn cố gắng hạn chế kẻ tấn công từ các bước đầu tiên, đối với bước 1 thì đóchính hệ thống an ninh của tòa nhà, các quy tắc tác động hệ thống của của cơ sở lưutrữ thông tin Còn đối với các bước 2 và 3 thì đòi hỏi phải có một hệ thống bảo vệmạng nội bộ khỏi những nguy hại này đó là lúc cần đến Firewall và hệ thống pháthiện, ngăn chặn tấn công IPS

1.1.4 Các kiểu tấn công

Tấn công trực tiếp

Phần lớn sự tấn công là trực tiếp, tức là dùng một máy tính tấn công trực tiếpmáy tính khác

Dò tìm User name và Password, bằng cách thử với một số từ thông dụngnhư "xin chao", ""hello", dùng tên người thân, ngày sinh, số điện thoại Vì vậy bạnnên tránh việc đặt mật khẩu quá đơn giản hoặc thuộc những kiểu kể trên.

Dùng chương trình để giải mã các file chứa mật khẩu trên máy để tìm ramật khẩu, thường những mật khẩu đặt quá ngắn sẽ bị phát hiện bằng cách này Bạnnên đặt mật khẩu của mình tối thiểu là 6 ký tự, càng dài càng tốt

Dùng lỗi của chương trình ứng dụng hay hệ điều hành để làm cho các ứngdụng hay hệ điều hành đó bị tê liệt Điều này cũng giống như gót chân a-sin của conngười vậy, rõ ràng đó có thể coi là điểm yếu của cơ thể con người, nếu bị lợi dụng

nó sẽ gây ra những tác hại khôn lường Phần mềm cũng thế, cũng có những điểmyếu có thể là vô tình hay hữu ý, nơi Tin tặc có thể lợi dụng để tấn công

Nghe trộm

Không dùng máy trực tiếp mà thông qua các dịch vụ mạng, bằng cách nàyTin tặc có thể nghe được những thông tin được truyền qua lại trên mạng, như phầngiới thiệu đã đề cập, nếu có cặp kính "số" thì bạn sẽ thấy việc nghe trộm như thếquả là rất dễ dàng Hãy hạn chế "nói" những gì quan trọng đối với bạn trên mạng

Nghe trộm password Cũng với cách như trên, Tin tặc có thể lấy được mậtkhẩu của người sử dụng, sau đó chúng truy nhập một cách chính quy vào hệ thống,

nó cũng giống như là lấy được chìa khoá, sau đó đàng hoàng mở cửa và khuân đồra

Giả mạo địa chỉ

Thường thì các mạng máy tính nối với Internet đều được bảo vệ bởiBức tường lửa, Bức tường lửa có thể coi như cái cửa duy nhất mà người đi vào nhàhay đi ra khỏi cũng đều bắt buộc phải qua đó (như cửa khẩu ở sân bay) Như vậynhững người trong nhà (trong mạng) sẽ có sự tin tưởng lẫn nhau, tức là được phépdùng tất cả mọi thứ trong nhà (dùng mọi dịch vụ trong mang) Còn những ngườibên ngoài sẽ bị hạn chế tối đa việc sử dụng đồ đạc trong nhà đó Việc này làm đượcnhờ Bức tường lửa

Giả mạo địa chỉ là người bên ngoài (máy tính của tin tặc) sẽ giả mạo mình làmột người ở trong nhà (tự đặt địa chỉ IP của mình trùng với một địa chỉ nào đó ởmạng bên trong) Nếu làm được điều đó thì nó sẽ được đối xử như một người(máy) bên trong, tức là được làm mọi thứ, để từ đó tấn cống, lấy trộm, phá huỷthông tin

Vô hiệu hóa các dịch vụ

Làm tê liệt một số dịch vụ nào đó Thường cách tấn công này được gọi làDoS (Denial of Service) hay "từ chối dịch vụ" Cách tấn công này lợi dụng một sốlỗi của phần mềm, Tin tặc ra lệnh cho máy tính của chúng đưa những yêu cầu "dịdạng" tới những máy server trên mạng Với yêu cầu "dị dạng" như vậy các servertiếp nhận yêu cầu sẽ bị tê liệt Có thể ví như việc bọn Mẹ mìn lừa trẻ con bằngnhững lời ngon ngọt, còn nạn nhân thì chưa đủ lớn để hiểu những thủ đoạn đó và tựnguyện đi theo chúng Nếu các cháu nhỏ đã được người lớn chỉ cho biết những thủđoạn đó thì chắc chúng sẽ được bảo vệ, điều này cũng như việc dùng Bức tường lửa

để bảo vệ mạng máy tính

Tấn công từ chối dịch vụ cũng có thể hoàn toàn là những yêu cầu hợp lý Ví

dụ như virus máy tính được cài đặt chức năng tấn công như đã nói tới trong phần vềvirus, tại một thời điểm từ hàng triệu máy tính trên mạng, tất cả đồng thời yêu cầumột server phục vụ, ví dụ cùng vào trang web của Nhà Trắng Những yêu cầu này làhoàn toàn hợp lệ, nhưng tại cùng một thời điểm có quá nhiều yêu cầu như vậy, thìserver không thể phục vụ được nữa và dẫn đến không thể tiếp nhận các yêu cầu tiếptheo -> từ chối dịch vụ

Yếu tố con người

Kẻ tấn công giả vờ liên lạc với người quản trị mạng yêu cầu đổi mật khẩucủa User nào đó, nếu người quản trị mạng làm theo thì vô tình đã tiếp tay cho tin tặc(vì không nhìn thấy mặt, nên anh ta cứ tưởng đấy chính là người sử dụng hợp pháp)

Vì vậy nếu bạn là quản trị mạng phải tuyệt đối cẩn thận, không nhận các yêu cầuqua điện thoại

Tương tự kẻ tấn công có thể yêu cầu quản trị mạng thay đổi cấu hình hệthống để tiếp đó chúng có thể tiến hành được các cuộc tấn công.

Máy móc không thể chống được kiểu tấn công này, chỉ có sự cảnh giác vàbiện pháp giáo dục mới có thể giải quyết được

1.1.5 Các giải pháp bảo mật

Đơn giản

Hệ thống phải đơn giản để dễ hiểu và ít mắc lỗi

Dễ hiểu: Sẽ giúp cho dễ dàng nắm được nó hoạt động như thế nào, có nhưmong muốn hay không

Ít mắc lỗi: Càng phức tạp thì càng nhiều lỗi có thể xảy ra

==> Chính vì vậy mà Firewall thường chạy trên các hệ thống đã loại bỏ hếtnhững gì không cần thiết

Bảo vệ theo chiều sâu

Hệ thống phải đơn giản để dễ hiểu và ít mắc lỗi

Dễ hiểu: Sẽ giúp cho dễ dàng nắm được nó hoạt động như thế nào, có nhưmong muốn hay không

Ít mắc lỗi: Càng phức tạp thì càng nhiều lỗi có thể xảy ra

==> Chính vì vậy mà Firewall thường chạy trên các hệ thống đã loại bỏ hếtnhững gì không cần thiết

Thắt nút

Bắt buộc mọi thông tin phải đi qua một cửa khẩu hẹp mà ta quản lý được > kể cả kẻ tấn công Giống như cửa khẩu quốc tế, tại đó nhân viên cửa khẩu sẽkiểm soát được những thứ đưa ra và vào (chính là con đường đặt Firewall và IPS)

Nút thắt sẽ vô dụng nếu có một con đường khác nữa

Tình toàn cục

Phải quan tâm tới tất cả các máy trong mạng, vì mỗi máy đều có thể là bànđạp tấn công từ bên trong Bản thân một máy có thể không lưu trữ những thông tinhay dịch vụ quan trọng, nhưng để nó bị đột nhập thì những máy tính khác trongmạng cũng dễ dàng bị tấn công từ trong ra

Tính đa dạng

Nếu tất cả cùng dùng một hệ điều hành hay một loại phần mềm duy nhất thì

sẽ có thể bị tấn công đồng loạt và không có khả năng hồi phục ngay (ví dụ như tất

cả các máy cùng dùng WindowsXP, đến một ngày nào đó người ta phát hiện có thểlàm cho WindowsXP xoá dữ liệu trên máy một cách bất hợp pháp, lúc đó Microsoftcũng chưa có bản sửa lỗi, thì bạn chỉ còn cách là tắt hết các máy trên mạng củamình đi và chờ đến khi nào Microsoft đưa ra bản sửa lỗi) Nếu dùng nhiều loại hệđiều hành cũng như phần mềm ứng dụng thì hỏng cái này, ta còn cái khác

• Định tuyến, NAT giữa các vùng mạng khác nhau

Nhìn chung bức tường lửa có những thuộc tính sau :

- Đứng giữa giao thông của các mạng đảm bảo khả năng giao tiếp

- Thông tin giao lưu được theo hai chiều

- Chỉ những thông tin thoả mãn nhu cầu bảo vệ cục bộ mới được đi qua.

1.2.2 Một số loại Firewall thông dụng

Hỗ trợ phân quyền theo nhiều yếu tố host, dịch vụ hay người truy cập

Người sử dụng có thể chọn lựa giải pháp của Checkpoint linh động dựa trên

hệ điều hành như WinNT, Linux, Solaris hay những thiết bị phần cứng chuyên dụngcủa Celestix, Resilience, Nokia

Hỗ trợ cơ cấu mở ( OPSEC ) cho phép liên kết giải pháp CheckPoint với những ứng dụng an ninh khác như ISS, TrendMicro Raibow, RSA, Websense…

Sidewinder G2

Hệ thống Firewall Sidewinder G2 là sản phẩm được ưa chuộng nhất hiện naykhu vực Châu Mỹ với lịch sử lâu đời về thành tích bảo vệ các hệ thống mạng có độ tin cậy cao của các tổ chức lớn tại Mỹ như:US Bank, Federal Reserve Bank,

Goldman Sachs, Amgen, Southwestern Bell ,Bank of Missouri, Bank One Leasing, New York Stock Exchange, Securities Exchange Commission, Northwest Airlines, United Airlines

Hệ thống Frewall Sidewinder sử dụng công nghệ lọc và ngăn chặn Hybrid khác với công nghệ Stateful Inspection mà Checkpoint, Pix đang sử dụng hiện nay Công nghệ Hybrid là tích hợp của 5 thành phần : Packet Filter, Stateful

inspection(Công nghệ tương tự Checkpoint và Pix), Generic Proxy, application proxy (khả năng bảo đảm an tòan cho lớp ứng dụng)và splitserver (Công nghệ phântải cho firewall)

Sidewinder G2 gồm các phiên bản 25,100,250,1000,2000 và 4000 Hệ thống Sidewinder có thể triển khai dễ dàng với sản phẩm phần mềm cài lên các thiết bị máy chủ như Checkpoint hoặc cũng có thể sử dụng thiết bị bảo mật tích hợp sẳn vớisản phầm SecureOS phát triển từ nền tảng Unix Hệ thống có khả năng cung cấp dịch vụ cung lúc cho 1.000.000 kết nối cùng lúc với băng thống tối đa là 1Gb

Sidewinder hỗ trợ các giao thức (SNMP, OSPF, RIP, NTP, ICMP, PING, etc.).và dễ dàng quản lý tập trung với các phần mềm quản lý chuyên dụng như Tivoli, Webtrend

Hệ thống Sidewinder G2 dễ dàng triển khai so với các hệ thống Firewall khác với công nghệ Power-It-On đơn giản Hệ thống bảo mật nội tại được thiết kế giảm thiểu tối đa chi phí quản trị và cập nhật vá lỗi

Pfsense

Pfsense là một ứng dụng có chức năng định tuyến vào tường lửa mạnh vàmiễn phí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏahiệp về sự bảo mật

Đối với người dùng không muốn tốn tiền nhưng lại muốn có một tường lửabảo vệ hệ thống mạng bên trong (mạng nội bộ) khi mà chúng ta giao tiếp với hệthống mạng bên ngoài (Internet) thì PFSENSE là một giải pháp tiết kiệm và hiệuquả tương đối tốt nhất đối với người dùng.

1.2.3 Chức năng của Firewall

- Firewall ngăn chặn các dịch vụ ít tin cậy

- Truy nhập có điều khiển đến từng host

- Tập trung hóa chính sách bảo mật

- Xác nhận người dùng và lưu trữ thông tin

Hạn chế:

• Firewall không đủ thông minh như con người để có thể đọc hiểu từng loạithông tin và phân tích nội dung tốt hay xấu của nó Firewall chỉ có thể ngăn chặn sựxâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõcác thông số địa chỉ

• Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công nàykhông “đi qua” nó Một cách cụ thể, Firewall không thể chống lại một cuộc tấncông từ một đường dial–up, hoặc sự mất mát thông tin do dữ liệu bị sao chép bấthợp pháp lên đĩa mềm

• Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data–drivent attack) Khi có một số chương trình được chuyển theo thư điện tử, vượt quaFirewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây

• Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyểnqua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất

nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của Firewall (một ví

dụ là các virus máy tính)

Hình 1.1 Mô hình Firewall

1.2.4 Nguyên lý hoạt động của Firewall

Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việctheo thuật tón chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nóichính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP,NFS …) thành các gói dữ liệu (data packets) rồi gán cho các packet này những địachỉ có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liênquan rất nhiều đến các packet và những con số địa chỉ của chúng

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểmtra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong

số các luật lệ của lọc packet hay không Các luật lệ lọc packet này là dựa trên cácthông tin ở đầu mỗi packet (header), dùng để cho phép truyền các packet đó ở trênmạng Bao gồm:

- Địa chỉ IP nơi xuất phát (Source)

- Địa chỉ IP nơi nhận (Destination)

- Những thủ tục hay giao thức truyền tin (TCP, UDP, ICMP, IP tunnel)

- Cổng TCP/UDP nơi xuất phát – nơi nhận

Nếu packet thỏa các luật lệ đã được thiết lập trước của Firewall thì packet đóđược chuyển qua, nếu không thỏa thì sẽ bị loại bỏ Việc kiểm soát các cổng làm choFirewall có khả năng chỉ cho phép một số loại kết nối nhất định được phép mới vàođược hệ thống mạng cục bộ Cũng nên lưu ý là do việc kiểm tra dựa trên header củacác packet nên bộ lọc không kiểm soát được nội dụng thông tin của packet Cácpacket chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tinhay phá hoại của kẻ xấu

1.2.5 Phân Loại

Các nhà cung cấp khác đã đưa ra vô số sản phẩm Firewall, chúng có khảnăng hiển thị các đường truyền với các kỹ thuật khác nhau Một số loại Firewallngày nay có khả năng ngăn chặn các gói dữ liệu đẩy lên lớp 4(TCP layer) Một số

khác cũng có khả năng ngăn chặn tất cả các lớp và được xem như là deep packet firewalls Có 3 kiểu phương thức ngăn chặn là:

• Packet filtering and stateless filtering

• Stateful filtering

• Deep packet layer inspection

Packet filters (basic access-list filters on routers) là block ngay lập tức.Sauđây giới thiệu về proxy Server no có khả năng kiểm soát các sự tấn công từ thiết bịđộc lập Prixy server là một Server được đặt ở giữa các client ứng dụng như Webbrowser và real server

Nó chặn tất cả các request tới realserver với cái nhìn nếu nó có thể đáp ứngcác request của bản thân nó Nếu không, nó chuyển các request tới real server.Proxy yêu cầu kết nối tới internet căn cứ vào các yêu cầu từ nội bộ hoặc các nguồi

ẩn Proxy server là các ứng dụng cơ bản, chậm và khó quản lý đối với một mạng IPlớn Thế hệ tiếp theo của Packet filter là stateless Firewalls Vấn đề cơ bản là

stateless firewall cho phép chỉ nhận một gói thông tin nó là căn cứ trong địa chỉ vàcổng nguồn từ mạng có thật.

Stateless firewall được đưa ra việc cộng thêm sự linh hoạt và cơ động tới khảnăng cấu hình mạng Stateless firewall ngăn chặn các thông tin cơ bản về địa chỉnguồn và địa chỉ đích Giới thiệu khả năng ngăn chặn chiều sâu của lọc gói tin vàstateless Firewall Các gói tin được ngăn chặn ở lớp 3 trong mô hình OSI mô hìnhphân lớp mạng Bởi vậy stateless Firewall có khả năng ngăn chặn các địa chỉ IPnguồn và đích và các giao thức cổng nguồn và đích

Hình 1.2 Stateless Firewall

Statefull firewall giới hạn thông tin mạng từ địa chỉ cơ bản nguồn vàđíchtrong địa chỉ IP nguồn, đích, cổng nguồn TCP/UDP, cổng đíchTCP/UDP.Statefull firewall cũng có thể ngăn chặn nội dung dữ liệu và kiểm tra cácgiao thức bất thường về giao thức.Ví dụ như statefull firewall có thể trang bị tốt hơnproxy server hoặc packet filter trong việc phát hiện và dừng các tấn công từ chốidịch vụ Bởi vì địa chỉ nguồn và đích biến đổi, dữ liệu được cho phép thông qua nơixát thực hoặc được cố gắng chắn lại trong mạng Statefull firewall có thể ngăn chặn

từ lớp 4 trong mô hình OSI :

sự ngăn chặn lớp gói tin chiều sâu Cisco PIX Firewall hỗ trợ hoạt động stateless vàstatefull:

Hình 1.4 Deep Packet Layer Firewall

Đặc biệt, các chức năng này được thực hiện trong phần cứng Dữ liệu đượctính toán theo tiêu chuẩn như là từ chối đối với DoS là loại bỏ ngay lập tức và cóthể đưa vào bộ đệm …

1.3 Mô hình kiến trúc của Firewall

1.3.1 Kiến trúc Dual – homed Host

Hình 1.5 Kiến trúc Dual – homed Host

Dual-homed Host là hình thức xuất hiện đầu tiên trong việc bảo vệ mạng nội

bộ Dual-homed Host là một máy tính có hai giao tiếp mạng (Network interface):một nối với mạng cục bộ và một nối với mạng ngoài (Internet)

Hệ điều hành của Dual-home Host được sửa đổi để chức năng chuyển cácgói tin (Packet forwarding) giữa hai giao tiếp mạng này không hoạt động Để làmviệc được với một máy trên Internet, người dùng ở mạng cục bộ trước hết phải loginvào Dual-homed Host, và từ đó bắt đầu phiên làm việc

Ưu điểm của Dual-homed Host:

- Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt.

- Dual-homed Host chỉ yêu cầu cấm khả năng chuyển các gói tin, do vậy, thông

thường trên các hệ Unix, chỉ cần cấu hình và dịch lại nhân (Kernel) của hệ điềuhành là đủ

Nhược điểm của Dual-homed Host:

- Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng như những

hệ phần mềm mới được tung ra thị trường

- Không có khả năng chống đỡ những đợt tấn công nhằm vào chính bản thân nó, và

khi Dual-homed Host đó bị đột nhập, nó sẽ trở thành đầu cầu lý tưởng để tấn côngvào mạng nội bộ

Đánh giá về kiến trúc Dual-homed Host:

Để cung cấp dịch vụ cho những người sử dụng mạng nội bộ có một số giảipháp như sau:

- Kết hợp với các Proxy Server cung cấp những Proxy Service.

- Cấp các account cho user trên máy dual-homed host này và khi mà người sử dụng

muốn sử dụng dịch vụ từ Internet hay dịch vụ từ external network thì họ phảilogging in vào máy này

Nếu dùng phương pháp cấp account cho user trên máy dual-homed host thìuser không thích sử dụng dịch vụ phiền phức như vậy, vì mỗi lần họ muốn sử dụngdịch vụ thì phải logging in vào máy khác (dual-homed host) khác với máy của họđây là vấn đề rất không thuận tiện với người sử dụng

Nếu dùng Proxy Server: khó có thể cung cấp được nhiều dịch vụ cho người

sử dụng vì phần mềm Proxy Server và Proxy Client không phải loại dịch vụ nàocũng có sẵn Hoặc khi số dịch vụ cung cấp nhiều thì khả năng đáp ứng của hệ thống

có thể giảm xuống vì tất cả các Proxy Server đều đặt trên cùng một máy

Một khuyết điểm cơ bản của hai mô hình trên nữa là : khi mà máy homed host nói chung cũng như các Proxy Server bị đột nhập vào Người tấn công(attacker) đột nhập vào được qua nó thì lưu thông bên trong mạng nội bộ bị attackernày thấy hết điều này thì hết sức nguy hiểm Trong các hệ thống mạng dùngEthernet hoặc Token Ring thì dữ liệu lưu thông trong hệ thống có thể bị bất kỳ máynào nối vào mạng đánh cắp dữ liệu cho nên kiến trúc này chỉ thích hợp với một sốmạng nhỏ

dual-1.3.2 Kiến trúc Screen Host

Kiến trúc này kết hợp 2 kỹ thuật đó là Packet Filtering và Proxy Services.Packet Filtering: Lọc một số dịch vụ mà hệ thống muốn cung cấp sử dụngProxy Server, bắt người sử dụng nếu muốn dùng dịch vụ thì phải kết nối đến ProxyServer mà không được bỏ qua Proxy Server để nối trực tiếp với mạng bên trong/bênngoài (internal/external network), đồng thời có thể cho phép Bastion Host mở mộtkết nối với internal/external host

Proxy Service: Bastion Host sẽ chứa các Proxy Server để phục vụ một sốdịch vụ hệ thống cung cấp cho người sử dụng qua Proxy Server

Hình 1.6 Hình Kiến trúc Screened Host

Đánh giá một số ưu, khuyết điểm chính của kiến trúc Screened Host

Kiến trúc screened host hay hơn kiến trúc dual-homed host ở một số điểm cụthể sau:

Dual-Home Host: Khó có thể bảo vệ tốt vì máy này cùng lúc cung cấp nhiềudịch vụ, vi phạm qui tắc căn bản là mỗi phần tử hay thành phần nên giữ ít chứcnăng nếu có thể được (mỗi phần tử nên giữ ít chức năng càng tốt), cũng như tốc độđáp ứng khó có thể cao vì cùng lúc đảm nhiệm nhiều chức năng

Screened Host: Đã tách chức năng lọc các gói IP và các Proxy Server ở haimáy riêng biệt Packet Filtering chỉ giữ chức năng lọc gói nên có thể kiểm soát,cũng như khó xảy ra lỗi (tuân thủ qui tắc ít chức năng) Proxy Servers được đặt ởmáy khác nên khả năng phục vụ (tốc độ đáp ứng) cũng cao

Cũng tương tự như kiến trúc Dual-Homed Host khi mà hệ thống PacketFiltering cũng như Bastion Host chứa các Proxy Server bị đột nhập vào (người tấncông đột nhập được qua các hàng rào này) thì lưu thông của mạng nội bộ bị ngườitấn công thấy

Từ khuyết điểm chính của hai kiến trúc trên ta có kiến trúc thứ ba sau đâykhắc phục phần nào khuyết điểm trên

1.3.3 Kiến trúc Screen Subnet Host

Hình 1.7 Kiến trúc Screened Subnet

Với kiến trúc này, hệ thống này bao gồm hai Packet-Filtering Router và mộtBastion Host Kiến trúc này có độ an toàn cao nhất vì nó cung cấp cả mức bảo mật:Network và Application trong khi định nghĩa một mạng perimeter network Mạngtrung gian (DMZ) đóng vai trò của một mạng nhỏ, cô lập đặt giữa Internet và mạngnội bộ Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và mạngnội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, và

sự truyền trực tiếp qua mạng DMZ là không thể được

Và những thông tin đến, Router ngoài (Exterior Router) chống lại những sựtấn công chuẩn (như giả mạo địa chỉ IP), và điều khiển truy nhập tới DMZ Nó chỉcho phép hệ thống bên ngoài truy nhập Bastion Host Router trong (Interior Router)cung cấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉvới những truyền thông bắt đầu từ Bastion Host

Với những thông tin đi, Router trong điều khiển mạng nội bộ truy nhập tớiDMZ Nó chỉ cho phép các hệ thống bên trong truy nhập Bastion Quy luật Filteringtrên Router ngoài yêu cầu sử dụng dịch vụ Proxy bằng cách chỉ cho phép thông tin

ra bắt nguồn từ Bastion Host

Ưu điểm:

- Kẻ tấn công cần phá vỡ ba tầng bảo vệ: Router ngoài, Bastion Host, và Router

trong

- Bởi vì Router ngoài chỉ quảng bá DMZ Network tới Internet, hệ thống mạng nội bộ

là không thể nhìn thấy (invisible) Chỉ có một số hệ thống đã được chọn ra trênDMZ là được biết đến bởi Internet qua bảng thông tin định tuyến và trao đổi thôngtin định tuyến DNS (Domain Name Server)

- Bởi vì Router trong chỉ quảng cáo DMZ Network tới mạng nội bộ, các hệ thống

trong mạng nội bộ không thể truy nhập trực tiếp vào Internet Điều này đảm bảorằng những user bên trong bắt buộc phải truy nhập Internet qua dịch vụ Proxy

Đánh giá về kiến trúc Screened Subnet Host:

Đối với những hệ thống yêu cầu cung cấp dịch vụ nhanh, an toàn cho nhiềungười sử dụng đồng thời cũng như khả năng theo dõi lưu thông của mỗi người sửdụng trong hệ thống và dữ liệu trao đổi giữa các người dùng trong hệ thống cầnđược bảo vệ thì kiến trúc cơ bản trên phù hợp

Để tăng độ an toàn trong mạng nội bộ, kiến trúc screened subnet ở trên sửdụng thêm một mạng DMZ (DMZ hay perimeter network) để che phần nào lưuthông bên trong mạng nội bộ Tách biệt mạng nội bộ với Internet

Sử dụng 2 Screening Router: Router ngoài và Router trong

Áp dụng qui tắc dư thừa có thể bổ sung thêm nhiều mạng trung gian (DMZ

và perimeter network) càng tăng khả năng bảo vệ càng cao

Ngoài ra, còn có những kiến trúc biến thể khác như: sử dụng nhiều BastionHost, ghép chung Router trong và Router ngoài, ghép chung Bastion Host và Routerngoài

1.3.4 Mô hình UTM

Ngày nay vấn đề an toàn thông tin đã và đang được quan tâm nhiều hơntrong các cơ quan tổ chức, nhưng mặt khác các hacker vẫn không ngừng gia tăngcác hành động tấn công phá hoại, đánh cắp thông tin bên cạnh sự bùng nổ lan tràn

mã độc hại, sâu, virus, phần mềm gián điệp (spyware), thư rác, Nhiều loại tấn

công đa dạng phát sinh cùng thời điểm, đồng thời chúng có sự kết hợp với nhau

Để ứng phó, chúng ta cần xây dựng hệ thống phòng thủ bằng nhiều lớp công cụ bảomật khác nhau như: tường lửa, chống virus/ phần mềm gián điệp (spyware), pháthiện và ngăn chặn tấn công xâm nhập

Tuy nhiên hệ thống với nhiều công cụ bảo mật độc lập có một số khó khănnhư:

Khó tích hợp, do sử dụng các công nghệ khác nhau từ các nhà sản xuất độclập trong khi hệ thống phải là một giải pháp đồng bộ tổng thể để có thể đối phó vớinhiều tấn công khác nhau diễn ra đồng thời

Khó quản trị, vận hành và tốn nhiều nhân lực, vì phải quản lý nhiều thiết bịkhác nhau, mỗi thiết bị cần được duy trì (cập nhật, vá lỗi) riêng

Trang bị nhiều sản phẩm, thiết bị bảo mật của các hãng độc lập thường rấtđắt tiền

Chính vì vậy, một giải pháp quản lý thống nhất và tích hợp nhiều chức năngbảo mật - tất cả trong một, được gọi là UTM và là xu thế hiện nay để giải quyếtnhững khó khăn trên UTM (Unified Thread Management) bao gồm các chức năngbảo mật cơ bản như: Tường lửa/mạng riêng ảo (VPN), phát hiện và ngăn chặn tấncông xâm nhập – IPS/IDS, giám sát bằng thông mạng, kiểm soát nội dung truy cậpWeb qua Proxy

UTM có nhiều ưu điểm như chi phí đầu tư thấp; quản trị đơn giản, các thànhphần bảo mật đơn lẻ được cấu hình trong cùng một giao diện và có thể tương tácvới nhau một cách trơn tru trong môi trường quản trị thống nhất

Nhiều hãng bảo mật trước kia chỉ chuyên về một lĩnh vực an toàn bảo mật thìnay đều mở rộng sản phẩm của mình thành giải pháp UTM theo trào lưu chung Đa

số các sản phẩm, thiết bị UTM hiện nay đều do một hãng sản xuất Nổi lên trong đó

là hãng Firewall nguồn mở với khả năng tích hợp các chức năng nguồn mở khácnhau – Pfsense, với ưu thế nguồn mở của mình pfsense đã và đang phổ biến tại các

mô hình doanh nghiệp vừa và nhỏ

CHƯƠNG 2 GIẢI PHÁP AN TOÀN - AN NINH MẠNG

VỚI FIREWALL PFSENSE

2.1 Firewall Pfsense

2.1.1 Firewall Cứng-mềm

Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của mộtcông ty, tổ chức, ngành hay một quốc gia, và Internet Vai trò chính là bảo mậtthông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài và cấm truy nhập

từ bên trong tới một số địa chỉ nhất định trên Internet

Một cách vắn tắt, Firewall là hệ thống ngăn chặn việc truy nhập trái phép từbên ngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra Firewallthực hiện việc loại bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêuđặt trước

Thị trường bảo mật nói chung và thị trường firewall hiện nay rất đa dạng vớinhiều hãng bảo mật với các giải pháp khác nhau phù hợp cho từng đối tượng riêngbiệt Trong khi các hãng bảo mật danh tiếng với mã nguồn đóng Enterprise nhưCheckpoint, Palo Alto, Fortinet thường tập trung vào các sản phẩm firewall cứngvới các đặc điểm kĩ thuật phù hợp cho các doanh nghiệp lớn thì chỉ một số ít nhưFirewall TMG của Microsoft là Firewall mềm Tuy nhiên, đối với các doanh nghiệpnhỏ và vừa với mô hình mạng không quá phức tạp thì Firewall mềm với khả năng

cài đặt linh hoạt không kén phần cứng, không mất phí như Pfsense, Smoothwall làcác lựa chọn phù hợp, đặc biệt là Pfsense với khả năng tích hợp nhiều gói nguồn mởkhác nhau, cùng với một cộng đồng đông đảo đang là 1 trong những lựa chọn hàngđầu của các doanh nghiệp.

- Firewall cứng: Có thể là những thiết bị Firewall chuyên dụng của hãng Checkpoint

hoặc Juniper, hay những Firewall được tích hợp trên Router

Đặc điểm của Firewall cứng:

 Không được linh hoạt như Firewall mềm (khó thêm chức năng, thêm quy tắc nhưFirewall mềm)

 Trên Firewall cứng các chức năng bảo mật như IPS, Anti malware … đều cần cáclicense riêng biệt

 Update trên Firewall cứng đòi hỏi phải có sự thống nhất về phần mềm và phần cứng

- Firewall mềm: Là những chương trình, hệ điều hành có chức năng Firewall được

cài đặt trên Server

Đặc điểm của Firewall mềm:

 Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng

 Firewall mềm không có yêu cầu quá chặt chẽ về phần cứng có thể di chuyển backupupdate khá dễ dàng ít xảy ra xung đột

 Firewall mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa)

2.1.2 Giới thiệu về Pfsense

Đối với người dùng không muốn tốn tiền nhưng lại muốn có một tường lửabảo vệ hệ thống mạng bên trong (mạng nội bộ) khi mà chúng ta giao tiếp với hệthống mạng bên ngoài (Internet) thì PFSENSE là một giải pháp tiết kiệm và hiệuquả tương đối tốt nhất đối với người dùng

Hình 2.1 Lợi ích của Firwall mã nguồn mở

Pfsense là một ứng dụng có chức năng định tuyến vào tường lửa mạnh vàmiễn phí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏahiệp về sự bảo mật Bẳt đầu vào năm 2004, khi m0n0wall mới bắt đầu chập chững–đây là một dự án bảo mật tập trung vào các hệ thống nhúng – Pfsense đã có hơn 1triệu download và được sử dụng để bảo vệ các mạng ở tất cả kích cỡ, từ các mạnggia đình đến các mạng lớn của của các công ty Ứng dụng này có một cộng đồngphát triển rất tích cực và nhiều tính năng đang được bổ sung trong mỗi phát hànhnhằm cải thiện hơn nữa tính bảo mật, sự ổn định và khả năng linh hoạt của nó

Pfsense bao gồm nhiều tính năng mà bạn vẫn thấy trên các thiết bị tường lửahoặc router thương mại, chẳng hạn như GUI trên nền Web tạo sự quản lý một cách

dễ dàng Trong khi đó phần mềm miễn phí này còn có nhiều tính năng ấn tượng đốivới firewall/router miễn phí, tuy nhiên cũng có một số hạn chế

Pfsense hỗ trợ lọc bởi địa chỉ nguồn và địa chỉ đích, cổng nguồn hoặc cổngđích hay địa chỉ IP Nó cũng hỗ trợ chính sách định tuyến và có thể hoạt động trongcác chế độ bridge hoặc transparent, cho phép bạn chỉ cần đặt pfSense ở giữa cácthiết bị mạng mà không cần đòi hỏi việc cấu hình bổ sung pfSense cung cấpnetwork address translation (NAT) và tính năng chuyển tiếp cổng, tuy nhiên ứng

dụng này vẫn còn một số hạn chế với Point-to-Point Tunneling Protocol (PPTP),Generic Routing Encapsulation (GRE) và Session Initiation Protocol (SIP) khi sửdụng NAT.

Pfsense được dựa trên FreeBSD và giao thức Common Address RedundancyProtocol (CARP) của FreeBSD, cung cấp khả năng dự phòng bằng cách cho phépcác quản trị viên nhóm hai hoặc nhiều tường lửa vào một nhóm tự động chuyển đổi

dự phòng Vì nó hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên có thể thực hiệnviệc cân bằng tải Tuy nhiên có một hạn chế với nó ở chỗ chỉ có thể thực hiện cânbằng lưu lượng phân phối giữa hai kết nối WAN và bạn không thể chỉ định được lưulượng cho qua một kết nối