Tìm hiểu và triển khai hệ thống tường lửa pfsense

Luôn luôn được quan tâm trong rất nhiều các công nghệ trên thị trường bảomật, các dòng firewall ngày nay với tính đa dạng đã có thể phù hợp với nhu cầucủa tất cả các doanh nghiệp đặt ra,

LỜI CẢM ƠN

Em xin gửi lời cảm ơn trân trọng nhất của mình tới thầy giáo hướng dẫntốt nghiệp, Ths Vũ Chí Cường, bộ môn Truyền thông và mạng máy tính, khoaCông nghệ thông tin, trường đại học Vinh, người đã tận tình hướng dẫn và chỉbảo em, cung cấp cho em những kiến thức và tài liệu quý giá, giúp em địnhhướng trong quá trình nghiên cứu thực hiện đồ án tốt nghiệp Nhờ sự giúp đỡtận tâm của thầy, em mới có thể hoàn thành được đồ án này

Em xin bày tỏ lòng biết ơn sâu sắc nhất tới các thầy cô giáo trong trườngđại học Vinh nói chung và khoa Công nghệ thông tin nói riêng, những người đãtrang bị cho em nền tảng kiến thức quý giá trong suốt 5 năm học vừa qua

Cuối cùng, em xin cảm ơn gia đình, bạn bè và những người thân đã luônluôn thương yêu, động viên và khuyến khích em trong thời gian qua

Ngày 25 tháng 11 năm 2012

Người thực hiện

Tôn Thất Hải

LỜI MỞ ĐẦU

Trong những năm gần đây, nền công nghệ thông tin của đất nước ta đã cónhững bước tiến vượt bậc Đi đôi cùng với sự phát triển về công nghệ, mạnglưới cơ sở hạ tầng cũng đã được nâng cấp, tạo điều kiện cho các dịch vụ giatăng, trao đổi thông qua mạng bùng nổ Nhưng cùng với sự phát triển của hệthống mạng, đặc biệt là sự phát triển rộng khắp của hệ thống mạng toàn cầu(Internet), các vụ tấn công phá hoại trên mạng diễn ra ngày càng nhiều và ngàycàng nghiêm trọng hơn Chúng xuất phát từ rất nhiều mục đích, như là để khẳngđịnh khả năng của bản thân, để thoả mãn một lợi ích cá nhân, hay vì những mâuthuẫn, cạnh tranh…nhưng tựu chung lại đã gây ra một hậu quả rất nghiêm trọng

cả về vật chất và uy tín của doanh nghiệp, tổ chức

Đối với các doanh nghiệp, vai trò của Internet là không thể phủ nhận, ứngdụng thương mại điện tử vào công việc kinh doanh giúp cho các doanh nghiệpkhông những giảm đi các chi phí thông thường mà còn có thể mở rộng đối tác,quảng bá sản phẩm cũng như liên kết với khách hàng Nhưng chấp nhận điều đócũng có nghĩa là doanh nghiệp đang đứng trước nguy cơ đối mặt với các rủi ro

và nguy hiểm từ Internet Chính vì lý do đó vấn đề an ninh mạng đang trở nênnóng bỏng hơn bao giờ hết, các doanh nghiệp cũng đã dần nhận thức được điềunày và có những quan tâm đặc biệt hơn tới hạ tầng an ninh mạng Một trongnhững thành phần căn bản và hữu ích nhất có thể kể tới trong hạ tầng đó là hệthống firewall – công nghệ đang ngày càng được cải tiến và phát triển đa dạng,phong phú Xuất phát từ nhu cầu thực tế, khi các doanh nghiệp rất cần một hệthống firewall để bảo vệ họ, đồ án ra đời hy vọng có thể tìm kiếm một giải phápnào đó cho vấn đề này

Khái niệm này đã có từ rất lâu khi công nghệ thông tin nói chung và

mạng máy tính nói riêng phát triển Thay đổi qua từng thời kì từ những sảnphẩm và công nghệ đơn giản nhất cho đến những bước phát triển vượt bậc nhưhiện nay để cho ra đời những thiết kế với sức mạnh và khả năng đáp ứng nổitrội Luôn luôn được quan tâm trong rất nhiều các công nghệ trên thị trường bảomật, các dòng firewall ngày nay với tính đa dạng đã có thể phù hợp với nhu cầucủa tất cả các doanh nghiệp đặt ra, từ những hệ thống lớn và hiện đại đến những

hệ thống nhỏ, đơn giản

Chính vì những lẽ trên mà khi doanh nghiệp thực sự chú trọng đến hạtầng an ninh mạng của mình thì firewall là một trong thành phần nên được quantâm hàng đầu Phải có những tiêu chí và giới hạn đặt ra cho sản phẩm tùy thuộcvào điều kiện và mục đích Yêu cầu về hệ thống firewall vì thế cũng có sự khácnhau với từng đối tượng doanh nghiệp Với các doanh nghiệp nhỏ mà mục đích

chính là trao đổi thông tin, liên lạc thì có lẽ một sản phẩm firewall đơn giản vớigiá cả vừa phải đáp ứng được các yêu cầu tối thiểu như tính năng lọc gói, NAT,khả năng lọc virus, quét mail, ngăn chặn thư rác hay kết nối VPN…(mộtsecurity gateway all-in-one ngăn cách giữa mạng nội bộ và internet) là sự lựachọn hợp lý Nhưng đối với các doanh nghiệp cỡ vừa hoặc khá lớn thì hệ thốngfirewall không đơn giản chỉ có thế, có thể có nhiều firewall với các chức năngchuyên dụng đứng kết hợp với nhau tại vùng biên của mạng tạo nên một sứcmạnh và khả năng đáp ứng hiệu năng cao cho truy nhập vào ra, hơn thế (mà đặcbiệt với các doanh nghiệp kinh doanh dịch vụ) có khi firewall chỉ làm nhiệm vụbảo vệ cho một phần nhỏ của mạng có vai trò quan trọng hoặc cần mức độ antoàn cao (như hệ thống server hosting dịch vụ…) Với doanh nghiệp lớn và rấtlớn (tập đoàn, ISP…) thì yêu cầu lại phức tạp hơn rất nhiều Hệ thống cần đượcthiết kế và tính toán chi tiết, không đơn giản là một thiết bị bảo vệ đơn thuần mà

nó còn phải phối hợp với các thành phần bảo mật khác trên mạng tạo ra một hạtầng thống nhất và có khả năng tự phản ứng và đáp trả lại tấn công mạng

Để hướng tới mục tiêu tạo ra một sản phẩm hữu ích và thiết thực, đồ án

tập trung vào việc phân tích các rủi ro và nhu cầu cần bảo vệ của doanh nghiệp,tìm hiểu các công nghệ hiện tại thích hợp để từ đó xây dựng nên hệ thốngfirewall đáp ứng yêu cầu đặt ra

Chính vì thấy tầm quan trọng của vấn đề bảo mật nên em chọn đề tài

“ TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA PFSENSE ”

làm đồ án tốt nghiệp của mình Nội dung đồ án gồm 3 chương

Chương 1: Công nghệ firewall và các giải phápChương 2: Giới thiệu và cài đặt PfSense

Chương 3: Triển khai PfSense

Do nhiều yếu tố khách quan và tầm hiểu biết chưa sâu sắc nên đồ án cònnhiều thiếu sót và hạn chế, em rất mong nhận được ý kiến đóng góp của quýThầy, Cô giáo và các bạn để có thể hoàn thiện hơn nữa

MỤC LỤC

CHƯƠNG I: CÔNG NGHỆ FIREWALL VÀ CÁC GIẢI PHÁP -6

1.1 Định nghĩa, chức năng, cấu trúc và phân loại - 6

1.1.1 Định nghĩa firewall -6

1.1.2 Chức năng của firewall -6

1.1.3 Cấu trúc của firewall -6

1.1.4 Phân loại firewall -7

1.2.Các giải pháp firewall - 7

1.2.1 Phần mềm nguồn mở pfSense firewall -7

1.2.2 Phần mềm nguồn mở IPCop firewall -8

1.2.3 Phần mềm Firewall Check Point Technologies’ Safe@Office -9

1.2.4 Phần mềm FortiGate Antivirus Firewall -10

1.3.Đánh giá, tổng kết và phân tích, lựa chọn công nghệ - 11

CHƯƠNG II : GIỚI THIỆU VÀ CÀI ĐẶT PFSENSE -12

2.1 Giới thiệu lịch sử xuất xứ của pfSense -12

2.2 Một số tính năng của Pfsense - 14

2.2.1 pfSense Aliases -14

2.2.2 NAT -14

2.2.3 Firewall Rules -14

2.2.4 Firewall Schedules -14

2.3 Một số dịch vụ của Pfsense - 14

2.3.1 DHCP Server -14

2.3.2 Cài đặt Packages -15

2.3.3 Backup and Recovery -15

2.3.4 Load Balancer -15

2.3.5 VPN trên Pfsense -15

2.3.6 Remote Desktop -15

2.4 Cài đặt Pfsense -16

CHƯƠNG III: TRIỂN KHAI PFSENSE -25

3.1 Tính năng của pfsense firewall - 25

3.1.1 PFSense Aliases -25

3.1.2 NAT -26

3.1.3 Firewall Rules -27

3.1.4 Firewall Schedules -28

3.2 Một số dịch vụ của pfsense -29

3.2.1 DHCP Server -29

3.2.2 Cài đặt Packages -29

3.2.3 Backup and Recovery -31

3.2.4 Load Balancer -32

3.2.5 VPN trên Pfsense -38

3.2.6 Cấu hình Remote Desktop -48

KẾT LUẬN -52

1.Kết quả đạt được - 52

2 Những mặt hạn chế - 52

3 Hướng phát triển trong tương lai - 52

TÀI LIỆU THAM KHẢO -53

CHƯƠNG I: CÔNG NGHỆ FIREWALL VÀ CÁC GIẢI PHÁP

1.1 Định nghĩa, chức năng, cấu trúc và phân loại

1.1.1 Định nghĩa firewall

Firewall là một phần của hệ thống hay mạng máy tính được thiết kế đểđiều khiển truy nhập giữa các mạng bằng cách ngăn chặn các truy cập khôngđược phép trong khi cho phép các truyền thông hợp lệ Nó cũng là một hay mộtnhóm các thiết bị được cấu hình để cho phép, ngăn cản, mã hóa, giải mã hayproxy lưu lượng trao đổi của các máy tính giữa các miền bảo mật khác nhaudựa trên một bộ các luật (rule) hay tiêu chuẩn nào khác

1.1.2 Chức năng của firewall

Chức năng chính của firewall là kiểm soát lưu lượng giữa hai hay nhiềumạng có mức độ tin cậy khác nhau để từ đó thiết lập cơ chế điều khiển luồngthông tin giữa chúng Cụ thể là:

1.1.3 Cấu trúc của firewall

Không hoàn toàn giống nhau giữa các sản phẩm được thiết kế bởi cáchãng bảo mật, tuy nhiên có những thành phần cơ bản sau trong cấu trúc của mộtfirewall nói chung (mà một số trong đó sẽ được tìm hiểu rõ hơn trong phần 2.2

về các công nghệ firewall):

mechanisms)

 Thống kê và phát hiện các hoạt động bất thường (logging anddetection of suspicious activity)

1.1.4 Phân loại firewall

Có rất nhiều tiêu chí có thể được sử dụng phân loại các sản phẩmfirewall, ví dụ như cách chia ra thành firewall cứng (thiết bị được thiết kếchuyên dụng hoạt động trên hệ điều hành dành riêng cùng một số xử lý trên cácmạch điện tử tích hợp) và firewall mềm (phần mềm firewall được cài đặt trênmáy tính thông thường)…Nhưng có lẽ việc phân loại firewall thông qua côngnghệ của sản phẩm firewall đó được xem là phổ biến và chính xác hơn tất cả

1.2 Các giải pháp firewall

Khái niệm về firewall đã ra đời từ rất lâu, cùng với sự phát triển đa dạngcủa các sản phẩm firewall khác nhau trên thị trường thì công nghệ firewall cũngngày một đổi mới với những xử lý phức tạp và cao cấp hơn Phần sau xin trìnhbày khái quát về quá trình phát triển của công nghệ firewall

Một số giải pháp firewall tiêu biểu dành cho doanh nghiệp

Không có đủ tài chính để trang bị các thiết bị bảo mật đắt tiền cũng nhưthuê các chuyên gia bảo mật chăm sóc cho mạng doanh nghiệp, điều đó không

có nghĩa là thị trường bảo mật của các doanh nghiệp thiếu đi những tiềm năngtrong cơ hội kinh doanh Bản thân các doanh nghiệp cũng có những nhận thứcban đầu về các mối lo ngại bảo mật, và họ sẵn sàng bỏ tiền ra để trang bị cácthiết bị bảo mật cho mình, tất nhiên giá cả của thiết bị đó phải ở mức chấp nhậnđược Các nhà cung cấp dịch vụ bảo mật đã bắt tay vào để tạo ra các sản phẩmcung cấp hệ thống an toàn “ tất cả-trong-một” (all-in-one) cho một công ty, tổchức Các giải pháp đó có thể là phần cứng cũng như phần mềm nhưng đặcđiểm nổi trội của nó là được tạo nên hướng tới nhu cầu trong hoạt động kinhdoanh của các doanh nghiệp Được tối ưu cho mục đích sử dụng , các doanhnghiệp không cần đến một hệ thống phức tạp với độ an toàn cao, họ chỉ cần một

hệ thống có thể bảo vệ họ vừa đủ trước các mối an ninh bên ngoài, đồng thời họcũng muốn tích hợp nhiều tính năng để có thể khai thác từ các sản phẩm bảomật đó Bằng cách điểm qua một số sản phẩm hiện tại, có thể từ đó đưa ra cácnhận định hữu ích từ các chuyên gia bảo mật mạng đối với vấn đề an ninh mạngcho các doanh nghiệp

1.2.1 Phần mềm nguồn mở pfSense firewall

Là một trong số các sản phẩm firewall nguồn mở được đánh giá cao nhấthiện nay, nó hoàn toàn miễn phí Được tách ra từ dự án xây dựng sản phẩmm0n0wall cho các hệ thống nhúng, pfSense được tập trung hướng tới việc càiđặt và chạy ổn định trên các máy tính thông thường Bản thân pfSense là mộtphần mềm độc lập riêng biệt với hệ điều hành FreeBSD nhỏ gọn được thiết kếriêng và đóng gói cùng, điều này cho phép pfSense cài đặt và chạy trực tiếp lêncác máy tính thông thường mà không cần phải cài đặt trước một hệ điều hànhnền nào khác Kế thừa các tính năng từ m0n0wall, pfSense đã phát triển để trởthành một firewall mạnh mẽ với đầy đủ các tính năng đáp ứng được nhu cầu từnhững mạng gia đình, doanh nghiệp nhỏ cho đến các hệ thống lớn với hàngngàn thiết bị kết nối mạng Để có được thành công đó là sự phát triển vượt trộikhi chỉ từ nền tảng lọc gói và định tuyến thuần túy, một danh sách dài các tínhnăng liên quan và các gói cài đặt hữu ích được bổ sung tạo nên một hệ thốnglinh hoạt và vững chắc

Sau đây là danh sách một số đặc trưng và tính năng nổi bật của firewallpfSense:

1.2.2 Phần mềm nguồn mở IPCop firewall

Cùng với pfSense firewall vừa được trình bày ở trên, IPCop firewall cũng

là sản phẩm được đánh giá cao và sử dụng phổ biến hiện nay trong thế giớinguồn mở IPCop là một phần được tách ra từ Linux, bắt nguồn từ SmoothWall

và phát triển thành một dự án riêng Bản thân IPCop cũng tương tự như pfSensefirewall là một phần mềm độc lập riêng biệt với hệ điều hành nhỏ gọn trên nềnRedHat’s Enterprise được thiết kế và đóng gói cùng, điều này cho phép IPCopđược cài đặt và vận hành riêng biệt trực tiếp lên các máy tính thông thường màkhông có bất kì một đòi hỏi nào khác, hay nói chính xác nó là một hệ điều hành

hoàn chỉnh với tính năng firewall Kế thừa từ SmoothWall nhưng mã của IPCop

đã được thay đổi để chạy trên file system là ext3, thêm vào độ tin cậy cho sảnphẩm, ngoài ra nó cũng được bổ sung vào các tính năng tối ưu của phiên bảnSmoothWall như hỗ trợ ADSL Hầu hết các ứng dụng trên phiên bảnSmoothWall hiện nay đều có trên IPCop, hơn thế nó còn được cung cấp tốt và

hỗ trợ nhiều dịch vụ hơn Nếu muốn chạy phiên bản SmoothWall ta phải có sảnphẩm được phân phối từ nhà sản xuất và không miễn phí, trong khi đó IPCop làphần mềm có bản quyền và được cung cấp hoàn toàn miễn phí từ GPL Được sửdụng chính như một firewall, internet gateway cho các doanh nghiệp vừa vànhỏ, IPCop có các đặc trưng và tính năng chính sau:

hay ADSL modem, và có thể hỗ trợ các kết nối PPP hay PPPoEADSL tới mạng Ethernet

1.2.3 Phần mềm Firewall Check Point Technologies’ Safe@Office

Check Point Software Technologies’ Safe@Office (giá $299 ) sử dụngcông nghệ INSPECT cung cấp một cho doanh nghiệp một bức tường lửa chắcchắn, kiểm soát các truy nhập ra vào mạng của công ty Các công cụSafe@Office 500 và Safe@Office 500W Unified Threat Management được dựatrên các phần mềm Firewall-1 và VPN-1 của Check Point, được sửa lại cho hợpvới các thiết bị nhúng Các thành phần được thiết kế để cài đặt tại doanhnghiệp, do nhân viên tại văn phòng hoặc nhà cung cấp hay bán lại dịch vụ quản

lí Tổng giám đốc Liran Eshel của SofaWare cho biết, các sản phẩmSafe@Office đã thỏa mãn được những yêu cầu dễ sử dụng và có thể thuê ngườingoài quản lí là các yếu tố quan trọng cho các doanh nghiệp Các công cụ trongSafe@Office được thiết kế để giải quyết nhưng chức năng bảo mật sau:

 Tổ chức thông báo rộng rãi các chính sách đến toàn thể nhân viêncông ty Đồng thời tổ chức các buổi tập huấn, đào tạo nhân viênnhằm áp dụng triệt để các quy định về khai thác tài nguyên côngty.

trên bất cứ dịch vụ có cổng do người dùng định nghĩa nào defined port) với thông tin đặc tả cập nhật từ Check Point

nào đó như các hệ thống chia sẻ file ngang hàng (peer-to-peer sharing systems) đặc trưng

cụ xử lí sự cố (troubleshooting tools) có thể dùng để gán nhiềubăng thông hơn cho các ứng dụng quan trọng

đảm bảo an toàn cho kết nối với các văn phòng chi nhánh

Protected Access) và IPSec (Internet Protocol Security)

Giá khởi điểm của Safe@Office 500 là 299 USD cho thiết bị/ 5 ngườidùng Thiết bị 500W giá 449 USD/ 5 người dùng Cả hai sản phẩm đều có thểcấp phép cho 25 hoặc vô hạn người dùng Những người đăng kí cập nhật tườnglửa và chống virus sẽ phải trả ít nhất 10 USD/tháng

1.2.4 Phần mềm FortiGate Antivirus Firewall

Phần mềm FortiGate Antivirus Firewall (có giá khoảng $340 ) bao gồmchức năng chống virus dựa trên công nghệ mạng, công cụ lọc nội dung internet

và email, tường lửa, mạng riêng ảo và hệ thống phát hiện, ngăn chặn xâm nhập.Phần mềm này có thể cài đặt một cách dễ dàng và tự động cập nhật từFortiProtect Phần mềm này có thể được cấu hình theo nhiều cách khác nhau,thậm chí có thể cấu hình cho doanh nghiệp với 10 người dùng Một số tính năng

có thể kể đến:

 Mạng riêng ảo (VPN)

1.3 Đánh giá, tổng kết và phân tích, lựa chọn công nghệ

Việc đầu tiên và quan trọng trong bài toán xây dựng hệ thống firewall làviệc lựa chọn công nghệ nào sẽ được áp dụng Rõ ràng với một firewall đượctích hợp trong một phần cứng chuyên dụng sẽ là một thiết bị hoàn hảo Nhưngthực tế, các sản phẩm phần cứng đó không dễ dàng có thể có được ở Việt Nam,

đi kèm với nó là việc giá thành sản phẩm bị tăng lên do chi phí phần cứng

Sau khi tiến hành khảo sát và tìm hiểu, giải pháp đưa ra là thiết lập mộtfirewall bằng phần mềm, khi triển khai, bản thân doanh nghiệp sẽ tận dụngphần cứng có sẵn trong công ty mình để làm nền triển khai phần mềm bên trên.Phần mềm cần được thiết kế để sao có thể chạy trên các phần cứng không đòihỏi giá thành cao cũng như dễ dàng thay thế và sửa chữa được Và lựa chọnđược đưa ra khi sử dụng các phần mềm mã nguồn mở để xây dựng hệ thống

Ưu điểm của phần mềm mã nguồn mở là rất rõ ràng, trước hết là chi phíkhi không phải bỏ tiền ra mua bản quyền phần mềm, thêm vào đó, mã nguồn

mở cho phép chỉnh sửa bên trong hệ thống để từ đó thay đổi cho phù hợp vớinhu cầu sử dụng Các phần mềm mã nguồn mở cũng nối tiếng trong sự tùy biếncủa mình, có thể hoạt động trên những phần cứng không yêu cầu cấu hình cao(một máy tính Pentium IV 3.0GHZ, RAM 1GB là có thể đủ với vai trò mộtfirewall hoàn thiện cho một doanh nghiệp dưới 100 người dùng)

Trong quá trình tìm hiểu, có rất nhiều phần mềm mã nguồn mở được thiết

kế để đóng vai trò một gateway như vậy Mỗi phần mềm có những ưu nhược

vì nó phù hợp với chức năng của một firewall hoàn thiện Sở dĩ như vậy là bởi

vì pfSense có được những ưu điểm trong việc dễ dàng cài đặt và vận hành (mộttrong những trở ngại so với sản phẩm thương mại của phần mềm nguồn mở),cùng với đó là nền tảng hệ thống ổn định và các chức năng phong phú đượccung cấp mà đồ án xin được trình bày rõ ngay sau đây

CHƯƠNG II : GIỚI THIỆU VÀ CÀI ĐẶT PFSENSE

2.1 Giới thiệu lịch sử xuất xứ của pfSense

Để bảo vệ cho hệ thống mạng bên trong thì chúng ta có nhiều giải phápnhư sử dụng Router Cisco, dùng tường lửa của Microsoft như ISA…

Tuy nhiên những thành phần kể trên tương đối tốn kém Vì vậy đối vớingười dùng không muốn tốn tiền nhưng lại muốn có một tường lửa bảo vệ hệthống mạng bên trong (mạng nội bộ) khi mà chúng ta giao tiếp vối hệ thốngmạng bên ngoài (Internet) thì PFSENSE là một giải pháp tiết kiệm và hiệu quảtương đối tốt nhất đối với người dùng

pfSense là một ứng dụng có chức năng định tuyến vào tường lửa mạnh vàmiễn phí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bịthỏa hiệp về sự bảo mật Bẳt đầu vào năm 2004, khi m0n0wall mới bắt đầuchập chững– đây là một dự án bảo mật tập trung vào các hệ thống nhúng –pfSense đã có hơn 1 triệu download và được sử dụng để bảo vệ các mạng ở tất

cả kích cỡ, từ các mạng gia đình đến các mạng lớn của của các công ty Ứngdụng này có một cộng đồng phát triển rất tích cực và nhiều tính năng đang được

bổ sung trong mỗi phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn định

và khả năng linh hoạt của nó

Pfsense bao gồm nhiều tính năng mà bạn vẫn thấy trên các thiết bị tườnglửa hoặc router thương mại, chẳng hạn như GUI trên nền Web tạo sự quản lýmột cách dễ dàng Trong khi đó phần mềm miễn phí này còn có nhiều tính năng

ấn tượng đối với firewall/router miễn phí, tuy nhiên cũng có một số hạn chế Pfsense hỗ trợ lọc bởi địa chỉ nguồn và địa chỉ đích, cổng nguồn hoặccổng đích hay địa chỉ IP Nó cũng hỗ trợ chính sách định tuyến và có thể hoạtđộng trong các chế độ bridge hoặc transparent, cho phép bạn chỉ cần đặtpfSense ở giữa các thiết bị mạng mà không cần đòi hỏi việc cấu hình bổ sung.pfSense cung cấp network address translation (NAT) và tính năng chuyển tiếpcổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với Point-to-PointTunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và Session

Initiation Protocol (SIP) khi sử dụng NAT.

pfSense được dựa trên FreeBSD và giao thức Common AddressRedundancy Protocol (CARP) của FreeBSD, cung cấp khả năng dự phòng bằngcách cho phép các quản trị viên nhóm hai hoặc nhiều tường lửa vào một nhóm

tự động chuyển đổi dự phòng Vì nó hỗ trợ nhiều kết nối mạng diện rộng(WAN) nên có thể thực hiện việc cân bằng tải Tuy nhiên có một hạn chế với nó

ở chỗ chỉ có thể thực hiện cân bằng lưu lượng phân phối giữa hai kết nối WAN

và bạn không thể chỉ định được lưu lượng cho qua một kết nối

2.2 Một số tính năng của Pfsense

2.2.1 pfSense Aliases

Aliases có thể giúp bạn tiết kiệm một lượng lớn thời gian nếu bạn sử dụngchúng một cách chính xác.

Một Aliases ngắn cho phép bạn sử dụng cho một host ,cổng hoặc mạng có thểđược sử dụng khi tạo các rules trong pfSense Sử dụng Aliases sẽ giúp bạn chophép bạn lưu trữ nhiều mục trong một nơi duy nhất có nghĩa là bạn không cầntạo ra nhiều rules cho nhóm các máy hoặc cổng

2.2.2 NAT

PfSense cung cấp network address translation (NAT) và tính năng chuyển

tiếp cổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với Point-to-PointTunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và SessionInitiation Protocol (SIP) khi sử dụng NAT

Trong Firewall bạn cũng có thể cấu hình các thiết lập NAT nếu cần sử dụngcổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1) cho các host cụthể Thiết lập mặc định của NAT cho các kết nối outbound làautomatic/dynamic, tuy nhiên bạn có thể thay đổi kiểu manual nếu cần

2.2.3 Firewall Rules

Nơi lưu các rules (Luật) của Firewall Để vào Rules của pfsense vào

Firewall → Rules

Mặc định pfsense cho phép mọi trafic ra/vào hệ thống Bạn phải tạo ra các rules

để quản lí mạng bên trong firewall

2.2.4 Firewall Schedules

Các Firewall rules có thể được sắp xếp để nó có chỉ hoạt động vào các thờiđiểm nhất định trong ngày hoặc vào những ngày nhất định cụ thể hoặc các ngàytrong tuần

2.3 Một số dịch vụ của Pfsense

2.3.1 DHCP Server

DHCP Server chỉnh cấu hình cho mạng TCP/IP bằng cách tự động gán các

địa chỉ IP cho khách hàng khi họ vào mạng

2.3.2 Cài đặt Packages

Người dùng có nhu cầu thêm các chức năng mở rộng của chương trình càiđặt pfSense ,bạn có thể thêm các gói từ một lựa chọn các phần mềm

Gói có thể được cài đặt bằng cách sử dụng Package Manager, nằm tại menuSystem Package Manager sẽ hiển thị tất cả các gói có sẵn bao gồm một mô tảngắn gọn về chức năng của nó

2.3.3 Backup and Recovery

Dịch vụ này giúp người dùng có thể sao lưu hay khôi phục cấu hình pfsense

- Phải trang bị thêm modem nếu không có sẵn

- Không được hỗ trợ từ nhà sản xuất như các thiết bị cân bằng tải khác

- Vẫn chưa có tính năng lọc URL như các thiết bị thương mại

- Đòi hỏi người sử dụng phải có kiến thức cơ bản về mạng để cấu hình

2.3.6 Remote Desktop

Remote Desktop giúp bạn có thể điều khiển từ xa một máy tính trong mạng

của mình

2.4 Cài đặt Pfsense

Trên máy tính cài Pfsense chúng ta bỏ đĩa pfSense LiveCD Installer vào ổ CD/DVD để tiến hành cài đặt.

Màn hình Welcom to FreeBSD!

Phần này hỏi mình có muốn tạo Vlans không Chọn “N”.

Chọn Card mạng WAN thứ nhất(primary) Ở đây chọn card “le1″.

Chọn card cho mạng LAN bên trong ” le0″

Chọn Card mạng cho WAN 2 “le2″

Ở đây chỉ có 2 card WAN Nếu có tiếp thì có thể dùng tiếp Ở đây hết rồi, nên bỏ trắng Enter.

Sau khi gán xong, apply cho nó chọn “Y”.

Tiếp theo, cài đặt cho các Interface(card mạng) Lựa chọn ”2″.

Cài đặt IP cho mạng LAN trước Chọn “2″

Nhập địa chỉ “10.10.10.10″

Đây là subnetmask, chọn “24″

Sau đó, nó xuất hiện một câu có nên kích hoạt chức năng DHCP không? Chọn yes “y” Đồng ý Pfsense là DHCP Server.

Gán range IP cần cấp cho mạng LAN Bắt đầu :”10.10.10.100″

Kết thúc dãy IP cần cấp là “10.10.10.200″

Có cấu hình Pfsense làm webserver không Chọn “n” , không đồng ý Nếu chọn thì chức năng sẽ tái hiện trong cách cài đặt Virtual Server.

CHƯƠNG III: TRIỂN KHAI PFSENSE

3.1 Tính năng của pfsense firewall

3 1.1 PFSense Aliases

Để tạo một Aliases chúng ta vào Firewall -> Aliases

3.1.2 NAT

Để tạo một NAT chúng ta vào Firewall ->NAT

Nhấn vào nút “+” và thiết lập các thuộc tính cho tính năng NAT

3.1.3 Firewall Rules

Để tạo một Rules chúng ta vào Firewall -> Rules

Để add rules mới nhấn vào biểu tương dấu , rồi thiết lập tính năng cho nó

Ví dụ: Tạo rules Cấm truy cập web sử dụng công 80 cho các máy LAN trong đó

MayLan là tên Aliases Sau khi tạo xong nhấn Save và Apply Changes