PowerPoint tìm hiểu về pfsense Đồ án môn học Tìm hiểu về Pfsense 1.Giới thiệu: PfSense là một ứng dụng có chức năng định tuyến vào tường lửa mạnh và miễn phí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo mật. Bẳt đầu vào năm 2004, khi m0n0wallmới bắt đầu chập chững– đây là một dự án bảo mật tập trung vào các hệ thống nhúng – pfSense đã có hơn 1 triệu download và được sử dụng để bảo vệ các mạng ở tất cả kích cỡ, từ các mạng gia đình đến các mạng lớn của của các công ty. Ứng dụng này có một cộng đồng phát triển rất tích cực và nhiều tính năng đang được bổ sung trong mỗi phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn định và khả năng linh hoạt của nó. 2.Các tính năng nổi bật 3.Lợi ích 4.Các gói dịch vụ 5.Các tình huống ứng dụng
Trang 1ĐỀ TÀI: Tìm hiểu pfsense và
triển khai thử nghiệm.
Thực hiện:
Lê Minh Trường Trần văn Hiệp Bạch Quốc Toản Trần Đình Cường Nhóm: 07
Trang 21.Giới thiệu
2.Các tính năng nổi bật
3.Lợi ích
4.Các gói dịch vụ
5.Các tình huống ứng dụng
Tìm hiểu về Pfsense
Trang 3PfSense là tường lửa mềm, là một ứng dụng có chức năng định tuyến vào tường lửa và miễn phí.
Pfsense khởi được khởi động vào năm 2004 là một phần của dự án m0n0wall được triển khai bởi Chris Buechler và Scott Ullrich, phiên bản đầu tiên ra mắt vào năm 2006.
Phiên bản mới nhất là 2.4.5
Download pfSense.iso tại trang chủ của pfSense https://www.pfsense.org
1.Giới thiệu
Trang 4Tường lửa tầng L3, L4, L7 Chặn truy cập theo khu
vực địa lý Quản lý chất lượng QoS
Cân bẳng tải VPN theo 4 giao thức Giám sát/Phân tích mạng
Quản lý tên miền (DC), hỗ trợ tên miền động (DynDNS)
Cho phép chạy song hành,
failover
Hỗ trợ ngôn ngữ tiếng Việt
(*)
Tự động cập nhật black
list
Tự động nâng cấp phiên
bản
2.Các tính năng
nổi bật
Trang 53.Lợi ích
Trang 64.Các gói dịch vụ
•Gói triển khai phù hợp với các doanh nghiệp
muốn áp dụng ngay hệ thống tường lửa mềm
pfSense, để đáp ứng với nhu cầu hiện tại, giảm
thiểu thời gian chi phí tìm hiểu công cụ
• Gói bảo trì là sự lựa chọn dài hạn và hợp lý khi doanh nghiệp muốn được hỗ trợ bởi đội ngũ chuyên gia hệ thống mạng thường trực giám sát, phát hiện sự cố
và lên cấu hình phù hợp cho mọi vấn đề phát sinh, bảo đảm sự hoạt động ổn định của toàn hệ thống.
• Gói phát triển dành cho các doanh nghiệp có những đặc thù riêng, cần phải tùy biến tường lửa pfSense cho phù hợp, chẳng hạn như tích hợp tường lửa vào một
công cụ quản trị chung của doanh nghiệp, đưa logo lên thiết bị…
Trang 75.1 Cấm/Cho phép các truy cập từ bên ngoài hoặc bên trong mạng nội bộ
5.2 Cấm truy cập theo thời gian biểu
5.3 Cho phép truy cập máy chủ nội bộ từ internet
5.4 Mỗi người dùng có một tài khoản riêng để truy cập wireless
5.5 Sử dụng tên miền động miễn phí
5.6 Kết nối mạng nội bộ của các chi nhánh với nhau
5.Các tình
huống ứng
dụng
Trang 8Mô tả: Hiện tại, doanh nghiệp có các máy chủ
dịch vụ và nhiều người dùng bên trong mạng
nội bộ Doanh nghiệp muốn:
-Từ bên ngoài mạng internet, người dùng chỉ được phép truy cập
vào một số dịch vụ bên trong nhất
định
-Từ bên trong mạng nội bộ, người dùng chỉ được phép truy cập tới các dịch vụ internet nhất định
Giải pháp: Đây là tính năng cơ bản của mọi tường lửa,
pfSense hoàn toàn đáp ứng yêu cầu này pfSense có thể tiến hành cấm/cho phép các truy cập thông qua các
thông số về địa chỉ IP, port, tên miền…
5.1 Cấm/Cho phép các truy cập từ bên ngoài hoặc bên trong mạng nội bộ
Trang 95.2 Cấm truy cập theo thời gian
biểu
Mô tả: Doanh nghiệp qui định, thời gian làm việc từ 8h tới
12h sáng, và 13h00 tới 17h00 Trong khoảng thời gian
làm việc, nhân viên không được sử dụng mạng internet
để chat yahoo messenger, skype, hay xem phim Trong
khoảng thời gian nghỉ trưa, từ 12h tới 13h, nhân viên có
thể thoải mái truy cập internet.
Giải pháp: pfSense không chỉ đặt các luật cấm/cho phép, mà còn có thể thiết lập lịch biểu tác dụng cho các luật này Trong trường hợp trên, quản trị mạng có thể xây dựng các luật cấm truy cập chat/xem
phim, đồng thời tạo ra một lịch biểu theo thời gian làm việc, cuối cùng là đem kết hợp giữa luật và lịch biểu Đây là một đặc tính rất hữu ích, nên được triển khai để tạo ra sự thoải mái nhất định trong doanh nghiệp Nhà quản trị mạng cũng không phải thao tác thủ công hàng ngày
Trang 105.3 Cho phép truy cập máy chủ nội bộ từ internet
• Mô tả: Hiện tại, doanh nghiệp đã có một địa chỉ IP tĩnh Thông qua đó, doanh nghiệp muốn đưa các dịch vụ
web, chia sẻ file, CRM, ERP ra bên ngoài mạng internet, để các đối tác, nhà cung cấp… có thể truy nhập vào Đây là nhu cầu rất phổ biến
Giải pháp 2 : pfSense hỗ trợ reverve proxy với khả năng ánh xạ ánh xạ tên miền về các máy chủ khác nhau, đáp ứng
được yêu cầu trên Các tường lửa khác không có tính năng này, hoặc bắt buộc phải có nhiều IP tĩnh
Giải pháp 1 : pfSense hỗ trợ NAT (PAT) với khả năng ánh xạ các cổng dịch vụ với các máy chủ khác nhau, đáp ứng
được yêu cầu trên Cách thực hiện này đơn giản, và phần lớn các tường lửa đều có thể thực hiện được Nhược điểm là
người dùng phải nhớ được số hiệu cổng truy nhập
Trang 115.4 Mỗi người dùng có một tài khoản riêng
để truy cập wireless
Mô tả: Hiện tại, doanh nghiệp đang sử dụng mạng
wireless để các nhân viên sử dụng Doanh nghiệp
cũng có một mạng wireless riêng dành cho các khách
hàng đến công ty
Giải pháp: để kiểm soát truy cập wireless, doanh nghiệp có thể mua các thiết bị wireless controller với giá thành không hề rẻ Như thế, nhà quản trị mạng phải làm việc với loại thiết
bị mới, phải làm quen với các trang web và phần mềm quản trị của các loại thiết bị khác nhau
pfSense tích hợp chức năng quản trị mạng wireless với số lượng mạng không hạn chế. Thông qua pfSense, doanh nghiệp có thể tạo ra các tài khoản truy cập wireless riêng cho từng người dùng, cho phép băng thông tối đa cho từng người dùng Doanh nghiệp cũng có thể tạo ra các voucher, có tác dụng giống như thẻ cào truy cập wireless, để phát cho các khách hàng vãng lai tới sử dụng, và chỉ có hạn mức sử dụng trong ngày
Trang 125.5 Sử dụng tên miền động miễn phí
• Mô tả: Trong doanh nghiệp, có một chi nhánh nào đó có hệ thống
mạng, nhưng không mua địa chỉ IP tĩnh và tên miền Vì vậy, người dùng/khách hàng từ bên ngoài internet không thể truy cập được vào
hệ thống mạng nội bộ bên trong để truy cập thông tin cần thiết
Giải pháp: hoàn toàn miễn phí, doanh nghiệp có thể sử dụng tên miền động được cung cấp bởi noip, dyndns… Cách này có ưu điểm là việc sử dụng hoàn toàn giống như tên miền tĩnh và IP tĩnh, và nhược điểm là phải cài
một phần mềm được cung cấp bởi noip, dyndns lên một máy tính nào đó trong mạng nội bộ, để phần mềm đó cập nhật thường xuyên địa chỉ IP, rồi lại phải cấu hình tường lửa để cho phép phần mềm đó hoạt động
Với pfSense, vẫn theo cơ chế tên miền động như trên, nhưng tất cả các nhược điểm đều được khắc phục Thay vì phải tải về phần mềm cung cấp địa chỉ IP với nguồn gốc không rõ ràng, pfSense có chức năng riêng để tự tiến hành việc này, mà không phải cài đặt lên bất cứ một máy tính nào khác Như vậy, pfSense vừa là tường lửa, vừa tự động cập nhật IP động cho hệ thống quản lý tên miền toàn cầu, rất nhanh chóng và bảo đảm an toàn
Trang 135.6 Kết nối mạng nội bộ của
các chi nhánh với nhau
• Mô tả: Doanh nghiệp có nhiều chi nhánh ở khắp
nơi trong cả nước Doanh nghiệp muốn kết nối
mạng nội bộ của tất cả các chi nhánh với nhau để
hoạt động chia sẽ thông tin giữa các chi nhánh
diễn ra nhanh chóng, an toàn và tin cậy.
Giải pháp: phương pháp chung của mọi tường lửa là triển khai mạng LAN ảo – VPN – giữa các chi nhánh Thông
thường, người ta sử dụng IPsec để tạo VPN Nhưng không chỉ dừng lại ở đó, pfSense hỗ trợ thêm cả 4 phương thức khác để tạo VPN, là IPsec, L2TP, PPTP và OpenVPN Đặc biệt OpenVPN rất được thịnh hành trên môi trường Linux, hoàn toàn miễn phí và không đòi hỏi người dùng đầu cuối phải hiểu rõ về kỹ thuật
Trang 14Thank you for watching