TÊN đề TÀI TÌM HIỂU VÀ TRIỂN KHAI OPNSENSE FIREWALL

Luôn luôn được quan tâm trong rất nhiều các công nghệ trênthị trường bảo mật, các dòng firewall ngày nay với tính đa dạng đã có thểphù hợp với nhu cầu của tất cả các doanh nghiệp đặt ra,

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC GIA ĐỊNH KHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO THỰC TẬP TỐT NGHIỆP

TÊN ĐỀ TÀI TÌM HIỂU VÀ TRIỂN KHAI OPNSENSE FIREWALL

Giảng viên hướng dẫn: ThS NGUYỄN NGỌC ĐẠI

Sinh viên thực hiện: KHƯU MINH HIẾU

MSSV: 1731102006 Lớp:11DHTTMT Khóa: 11

Thành phố Hồ Chí Minh, tháng 11 năm 2020

Sau gần 2 tháng tìm hiểu và thực hiện, đề tài "TÌM HIỂU VÀ TRIỂN

KHAI OPNSENSE FIREWALL" đã hoàn thành, em đã nhận được nhiều sự

động viên, khích lệ từ thầy cô và bạn bè và anh, chị ở phòng IT

Em xin gửi lời cảm ơn trân trọng nhất của mình tới thầy giáo hướngdẫn báo cáo thực tập tốt nghiệp, Ths Nguyễn Ngọc Đại, bộ môn Truyềnthông và mạng máy tính, khoa Công nghệ thông tin, trường đại học Gia Định,người đã tận tình hướng dẫn và chỉ bảo em, cung cấp cho em những kiếnthức và tài liệu quý giá, giúp em định hướng trong quá trình nghiên cứu thựchiện báo cáo thực tập tốt nghiệp Nhờ sự giúp đỡ tận tâm của thầy, em mới cóthể hoàn thành được đồ án này

Em xin cảm ơn Ban Giám Đốc Công ty TNHH giải pháp công nghệPhương Đông đã tạo mọi điều kiện thuận lợi cho em trong thời gian thực tập.Cuối cùng em xin cảm ơn anh chị phòng IT của công ty đã giúp đỡ em rấtnhiều, cung cấp những số liệu để em hoàn thành tốt chuyên đề thực tập tốtnghiệp này

TP Hồ Chí Minh, ngày 13 tháng 11 năm 2020

Sinh viên thực hiện

Khưu Minh Hiếu

ĐÁNH GIÁ CỦA ĐƠN VỊ THỰC TẬP

1 Thái độ tác phong trong thời gian thực tập:

2 Kiến thức chuyên môn:

3 Nhận thức thực tế:

4 Đánh giá khác:

5 Đánh giá chung kết quả thực tập:

………, ngày ……… tháng ……… năm …………

TM Đơn vị thực tập

(Ký tên, đóng dấu)

ĐÁNH GIÁ CỦA GIẢNG VIÊN HƯỚNG DẪN

1 Thái độ tác phong trong thời gian thực tập:

2 Kiến thức chuyên môn:

3 Nhận thức thực tế:

4 Đánh giá khác:

5 Đánh giá chung kết quả thực tập:

………, ngày ……… tháng ……… năm …………

Giảng viên hướng dẫn

(Ký tên, ghi rõ họ tên)

MỤC LỤC MỤC LỤC

MỞ ĐẦU 1

GIỚI THIỆU VỀ CÔNG TY TNHH GIẢI PHÁP CÔNG NGHỆ PHƯƠNG ĐÔNG 4

CHƯƠNG 1 CÔNG NGHỆ FIREWALL VÀ CÁC GIẢI PHÁP 5

1.1 Định nghĩa firewall, chức năng, cấu trúc và phân loại: 5

1.1.1 Định nghĩa firewall: 5

1.1.2 Chức năng của firewall: 5

1.1.3 Cấu trúc firewall: 5

1.1.4 Phân loại firewall: 6

1.2 Các giải pháp firewall: 6

1.2.1 Phần mềm mã nguồn mở OPNSense Firewall: 7

1.2.2 Phần mềm nguồn mở IPCop firewall: 9

1.2.3 Phần mềm Firewall Check Point Technologies’ Safe@Office: 10

1.2.4 Phần mềm FortiGate Antivirus Firewall: 11

1.3 Đánh giá, tổng kết và phân tích, lựa chọn công nghệ: 12

CHƯƠNG 2 GIỚI THIỆU VÀ CÀI ĐẶT OPNSENSE 14

2.1 Giới thiệu lịch sử xuất xứ của OPNSense: 14

2.2 Một số tính năng của Pfsense: 16

2.2.1 OPNSense Aliases: 16

2.2.2 NAT: 16

2.2.3 Firewall Rules: 17

2.2.4 Firewall Schedules: 17

2.3 Một số dịch vụ của OPNSense: 17

2.3.1 DHCP Server: 17

2.3.2 Cài đặt Package: 17

2.3.3 Backup và Recovery: 18

2.3.4 Load Balancer: 18

2.3.5 VPN trên OPNSense: 18

2.3.6 Remote Desktop: 18

2.4 Cài đặt OPNSense: 19

CHƯƠNG 3 TRIỂN KHAI OPNSENSE 39

3.1 Mô hình triển khai: 39

3.2 Tính năng của OPNSense Firewall: 39

3.2.1 OPNSense Aliases: 39

3.2.2 Firewall Rules 40

3.2.3 NAT: 44

3.2.4 IDS/IPS: 47

3.2.5 Firewall Schedules: 51

3.3 Dịch vụ của OPNSense: 53

3.3.1 DHCP Server: 53

3.3.2 Cài đặt Package: 55

3.3.3 Backup và Recovery: 56

3.3.4 Traffic Shaping: 57

3.3.5 VPN: 61

3.3.6 Captive Portal: 76

3.3.6.1 Chuẩn bị: 76

3.3.6.2 Thiết lập: 76

3.3.7 Load Balancing: 87

3.3.8 Failover: 94

3.3.9 Web Filtering: 96

KẾT LUẬN 108

1 Kết quả đạt được: 108

2 Những mặt hạn chế: 108

3 Hướng phát triển tương lai: 108

TÀI LIỆU THAM KHẢO 109

MỞ ĐẦU

Trong những năm gần đây, nền công nghệ thông tin của đất nước ta

đã có những bước tiến vượt bậc Đi đôi cùng với sự phát triển về côngnghệ, mạng lưới cơ sở hạ tầng cũng đã được nâng cấp, tạo điều kiện chocác dịch vụ gia tăng, trao đổi thông qua mạng bùng nổ Nhưng cùng với sựphát triển của hệ thống mạng, đặc biệt là sự phát triển rộng khắp của hệthống mạng toàn cầu (Internet), các vụ tấn công phá hoại trên mạng diễn rangày càng nhiều và ngày càng nghiêm trọng hơn Chúng xuất phát từ rấtnhiều mục đích, như là để khẳng định khả năng của bản thân, để thoả mãnmột lợi ích cá nhân, hay vì những mâu thuẫn, cạnh tranh…nhưng tựuchung lại đã gây ra một hậu quả rất nghiêm trọng cả về vật chất và uy tíncủa doanh nghiệp, tổ chức

Đối với các doanh nghiệp, vai trò của Internet là không thể phủnhận, ứng dụng thương mại điện tử vào công việc kinh doanh giúp cho cácdoanh nghiệp không những giảm đi các chi phí thông thường mà còn có thể

mở rộng đối tác, quảng bá sản phẩm cũng như liên kết với khách hàng.Nhưng chấp nhận điều đó cũng có nghĩa là doanh nghiệp đang đứng trướcnguy cơ đối mặt với các rủi ro và nguy hiểm từ Internet Chính vì lý do đóvấn đề an ninh mạng đang trở nên nóng bỏng hơn bao giờ hết, các doanhnghiệp cũng đã dần nhận thức được điều này và có những quan tâm đặcbiệt hơn tới hạ tầng an ninh mạng Một trong những thành phần căn bản vàhữu ích nhất có thể kể tới trong hạ tầng đó là hệ thống firewall – công nghệđang ngày càng được cải tiến và phát triển đa dạng, phong phú Xuất phát

từ nhu cầu thực tế, khi các doanh nghiệp rất cần một hệ thống firewall đểbảo vệ họ, đồ án ra đời hy vọng có thể tìm kiếm một giải pháp nào đó chovấn đề này

Khái niệm này đã có từ rất lâu khi công nghệ thông tin nói chung vàmạng máy tính nói riêng phát triển Thay đổi qua từng thời kì từ những sảnphẩm và công nghệ đơn giản nhất cho đến những bước phát triển vượt bậcnhư hiện nay để cho ra đời những thiết kế với sức mạnh và khả năng đápứng nổi trội Luôn luôn được quan tâm trong rất nhiều các công nghệ trênthị trường bảo mật, các dòng firewall ngày nay với tính đa dạng đã có thểphù hợp với nhu cầu của tất cả các doanh nghiệp đặt ra, từ những hệ thốnglớn và hiện đại đến những hệ thống nhỏ, đơn giản.

Chính vì những lẽ trên mà khi doanh nghiệp thực sự chú trọng đến

hạ tầng an ninh mạng của mình thì firewall là một trong thành phần nênđược quan tâm hàng đầu Phải có những tiêu chí và giới hạn đặt ra cho sảnphẩm tùy thuộc vào điều kiện và mục đích Yêu cầu về hệ thống firewall vìthế cũng có sự khác nhau với từng đối tượng doanh nghiệp Với các doanhnghiệp nhỏ mà mục đích chính là trao đổi thông tin, liên lạc thì có lẽ mộtsản phẩm firewall đơn giản với giá cả vừa phải đáp ứng được các yêu cầutối thiểu như tính năng lọc gói, NAT, khả năng lọc virus, quét mail, ngănchặn thư rác hay kết nối VPN…(một security gateway all-in-one ngăn cáchgiữa mạng nội bộ và internet) là sự lựa chọn hợp lý Nhưng đối với cácdoanh nghiệp cỡ vừa hoặc khá lớn thì hệ thống firewall không đơn giản chỉ

có thế, có thể có nhiều firewall với các chức năng chuyên dụng đứng kếthợp với nhau tại vùng biên của mạng tạo nên một sức mạnh và khả năngđáp ứng hiệu năng cao cho truy nhập vào ra, hơn thế (mà đặc biệt với cácdoanh nghiệp kinh doanh dịch vụ) có khi firewall chỉ làm nhiệm vụ bảo vệcho một phần nhỏ của mạng có vai trò quan trọng hoặc cần mức độ an toàncao (như hệ thống server hosting dịch vụ…) Với doanh nghiệp lớn và rấtlớn (tập đoàn, ISP…) thì yêu cầu lại phức tạp hơn rất nhiều Hệ thống cầnđược thiết kế và tính toán chi tiết, không đơn giản là một thiết bị bảo vệđơn thuần mà nó còn phải phối hợp với các thành phần bảo mật khác trên

mạng tạo ra một hạ tầng thống nhất và có khả năng tự phản ứng và đáp trảlại tấn công mạng.

Để hướng tới mục tiêu tạo ra một sản phẩm hữu ích và thiết thực, đồ

án tập trung vào việc phân tích các rủi ro và nhu cầu cần bảo vệ của doanhnghiệp, tìm hiểu các công nghệ hiện tại thích hợp để từ đó xây dựng nên hệthống firewall đáp ứng yêu cầu đặt ra Chính vì thấy tầm quan trọng củavấn đề bảo mật nên em chọn đề tài “TÌM HIỂU VÀ TRIỂN KHAI HỆTHỐNG TƯỜNG LỬA OPNSENSE” làm đồ án thực tập tốt nghiệp củamình

GIỚI THIỆU VỀ CÔNG TY TNHH GIẢI PHÁP CÔNG

NGHỆ PHƯƠNG ĐÔNG

Công Ty TNHH Giải Pháp Công Nghệ Phương Đông là một trongnhững công ty cung cấp các sản phẩm công nghệ và các dịch vụ và giảipháp về công nghệ tại Việt Nam Công ty được thành lập vào ngày25/01/2016 Công Ty TNHH Giải Pháp Công Nghệ Phương Đông đã vàđang từng bước xây dựng và phát triển vững mạnh, đạt nhiều thành tựu vàdần khẳng định vị thế là đơn vị công nghệ tiên phong Công Ty TNHH GiảiPháp Công Nghệ Phương Đông không chỉ là điểm tựa an toàn cho kháchhàng cá nhân mà còn sát cánh với các doanh nghiệp trong sự nghiệp pháttriển công nghệ Việt Nam

Với mục tiêu lấy sự hài lòng của khách hàng làm trọng tâm của hoạtđộng kinh doanh, Công Ty TNHH Giải Pháp Công Nghệ Phương Đôngliên tục hoàn thiện cơ chế hoạt động, đào tạo đội ngũ cán bộ nhân viên toàn

hệ thống nhằm nâng cao chất lượng dịch vụ, phục vụ ngày càng tốt hơnnhu cầu đa dạng của khách hàng Công Ty TNHH Giải Pháp Công NghệPhương Đông luôn nỗ lực để khẳng định vị trí là công ty công nghệ uy tíncao trên thị trường, cùng với chất lượng dịch vụ tốt, qua đó cung cấp chokhách hàng các sản phẩm công nghệ có chất lượng tốt, an toàn và linh hoạt

Hiện nay, Công Ty TNHH Giải Pháp Công Nghệ Phương Đông đangcung cấp rất nhiều sản phẩm công nghệ và các dịch vụ giải pháp công nghệnhư: Buôn bán máy vi tính, các thiết bị ngoại vi, phần mềm, xử lý dữ liệu,xuất bản phần mềm, hoạt động viễn thông có dây, cho thuê các máy chủriêng phục vụ cho nhu cầu công việc ,…

CHƯƠNG 1 CÔNG NGHỆ FIREWALL VÀ CÁC

GIẢI PHÁP

1.1 Định nghĩa firewall, chức năng, cấu trúc và phân loại:

1.1.1 Định nghĩa firewall:

Firewall là một phần của hệ thống hay mạng máy tính được thiết kế

để điều khiển truy nhập giữa các mạng bằng cách ngăn chặn các truy cậpkhông được phép trong khi cho phép các truyền thông hợp lệ Nó cũng làmột hay một nhóm các thiết bị được cấu hình để cho phép, ngăn cản, mãhóa, giải mã hay proxy lưu lượng trao đổi của các máy tính giữa các miềnbảo mật khác nhau dựa trên một bộ các luật (rule) hay tiêu chuẩn nào khác

1.1.2 Chức năng của firewall:

Chức năng chính của firewall là kiểm soát lưu lượng giữa hai haynhiều mạng có mức độ tin cậy khác nhau để từ đó thiết lập cơ chế điềukhiển luồng thông tin giữa chúng Cụ thể là:

 Cho phép hoặc ngăn cản truy nhập vào ra giữa các mạng

 Theo dõi luồng dữ liệu trao đổi giữa các mạng

 Kiểm soát người sử dụng và việc truy nhập của người sử dụng

 Kiểm soát nội dung thông tin lưu chuyển trên mạng

1.1.3 Cấu trúc firewall:

Không hoàn toàn giống nhau giữa các sản phẩm được thiết kế bởicác hãng bảo mật, tuy nhiên có những thành phần cơ bản sau trong cấu trúccủa một firewall nói chung (mà một số trong đó sẽ được tìm hiểu rõ hơntrong phần 2.2 về các công nghệ firewall):

 Bộ lọc gói (packet filtering)

 Application gateways / Proxy server

 Circuit level gateway.

1.1.4 Phân loại firewall:

Có rất nhiều tiêu chí có thể được sử dụng phân loại các sản phẩmfirewall, ví dụ như cách chia ra thành firewall cứng (thiết bị được thiết kếchuyên dụng hoạt động trên hệ điều hành dành riêng cùng một số xử lý trêncác mạch điện tử tích hợp) và firewall mềm (phần mềm firewall được càiđặt trên máy tính thông thường)…Nhưng có lẽ việc phân loại firewallthông qua công nghệ của sản phẩm firewall đó được xem là phổ biến vàchính xác hơn tất cả

1.2 Các giải pháp firewall:

Khái niệm về firewall đã ra đời từ rất lâu, cùng với sự phát triển đadạng của các sản phẩm firewall khác nhau trên thị trường thì công nghệfirewall cũng ngày một đổi mới với những xử lý phức tạp và cao cấp hơn.Phần sau xin trình bày khái quát về quá trình phát triển của công nghệfirewall

Một số giải pháp firewall tiêu biểu dành cho doanh nghiệp

Không có đủ tài chính để trang bị các thiết bị bảo mật đắt tiền cũng như thuê các chuyên gia bảo mật chăm sóc cho mạng doanh nghiệp, điều

đó không có nghĩa là thị trường bảo mật của các doanh nghiệp thiếu đi những tiềm năng trong cơ hội kinh doanh Bản thân các doanh nghiệp cũng

có những nhận thức ban đầu về các mối lo ngại bảo mật, và họ sẵn sàng bỏ

tiền ra để trang bị các thiết bị bảo mật cho mình, tất nhiên giá cả của thiết

bị đó phải ở mức chấp nhận được Các nhà cung cấp dịch vụ bảo mật đã bắttay vào để tạo ra các sản phẩm cung cấp hệ thống an toàn “ tất cả-trong-một” (all-in-one) cho một công ty, tổ chức Các giải pháp đó có thể là phần cứng cũng như phần mềm nhưng đặc điểm nổi trội của nó là được tạo nên hướng tới nhu cầu trong hoạt động kinh doanh của các doanh nghiệp Đượctối ưu cho mục đích sử dụng , các doanh nghiệp không cần đến một hệ thống phức tạp với độ an toàn cao, họ chỉ cần một hệ thống có thể bảo vệ

họ vừa đủ trước các mối an ninh bên ngoài, đồng thời họ cũng muốn tích hợp nhiều tính năng để có thể khai thác từ các sản phẩm bảo mật đó Bằng cách điểm qua một số sản phẩm hiện tại, có thể từ đó đưa ra các nhận định hữu ích từ các chuyên gia bảo mật mạng đối với vấn đề an ninh mạng cho các doanh nghiệp

1.2.1 Phần mềm mã nguồn mở OPNSense Firewall:

Là một trong số các sản phẩm firewall nguồn mở được đánh giá caohiện nay có thể so sanh ngang với cả Pfsense, nó hoàn toàn miễn phí Đượctách ra từ dự án xây dựng sản phẩm m0n0wall cho các hệ thống nhúng,OPNSense được tập trung hướng tới việc cài đặt và chạy ổn định trên cácmáy tính thông thường Bản thân OPNSense là một phần mềm độc lậpriêng biệt với hệ điều hành FreeBSD nhỏ gọn được thiết kế riêng và đónggói cùng, điều này cho phép OPNSense cài đặt và chạy trực tiếp lên cácmáy tính thông thường mà không cần phải cài đặt trước một hệ điều hànhnền nào khác Kế thừa các tính năng từ m0n0wall, OPNSense đã phát triển

để trở thành một firewall mạnh mẽ với đầy đủ các tính năng đáp ứng đượcnhu cầu từ những mạng gia đình, doanh nghiệp nhỏ cho đến các hệ thốnglớn với hàng ngàn thiết bị kết nối mạng Để có được thành công đó là sựphát triển vượt trội khi chỉ từ nền tảng lọc gói và định tuyến thuần túy, một

danh sách dài các tính năng liên quan và các gói cài đặt hữu ích được bổsung tạo nên một hệ thống linh hoạt và vững chắc

OPNsense có hầu hết các tính năng có trên các tường lửa thương mạiđắt tiền và nhiều tính năng khác theo từng trường hợp Ta có thể kể đếnmột số tính năng như:

 Traffic Shaper

 Two-factor Authentication throughout the system

 Captive portal

 Forward Caching Proxy (transparent) with Blacklist support

 Virtual Private Network (site to site & road warrior,IPsec, OpenVPN & legacy PPTP support)

 High Availability & Hardware Failover ( withconfiguration synchronization & synchronized statetables)

 Intrusion Detection and Prevention

 Build-in reporting and monitoring tools including RRDGraphs

 Netflow Exporter

 Network Flow Monitoring

 Support for plugins

 DNS Server & DNS Forwarder

 DHCP Server and Relay

 Dynamic DNS

 Encrypted configuration backup to Google Drive

 Stateful inspection firewall

 Granular control over state table

 802.1Q VLAN support

1.2.2 Phần mềm nguồn mở IPCop firewall:

Cùng với pfSense firewall, IPCop firewall cũng là sản phẩm đượcđánh giá cao và sử dụng phổ biến hiện nay trong thế giới nguồn mở IPCop

là một phần được tách ra từ Linux, bắt nguồn từ SmoothWall và phát triểnthành một dự án riêng Bản thân IPCop cũng tương tự như pfSense firewall

là một phần mềm độc lập riêng biệt với hệ điều hành nhỏ gọn trên nềnRedHat’s Enterprise được thiết kế và đóng gói cùng, điều này cho phépIPCop được cài đặt và vận hành riêng biệt trực tiếp lên các máy tính thôngthường mà không có bất kì một đòi hỏi nào khác, hay nói chính xác nó làmột hệ điều hành hoàn chỉnh với tính năng firewall Kế thừa từSmoothWall nhưng mã của IPCop đã được thay đổi để chạy trên filesystem là ext3, thêm vào độ tin cậy cho sản phẩm, ngoài ra nó cũng được

bổ sung vào các tính năng tối ưu của phiên bản SmoothWall như hỗ trợADSL Hầu hết các ứng dụng trên phiên bản SmoothWall hiện nay đều cótrên IPCop, hơn thế nó còn được cung cấp tốt và hỗ trợ nhiều dịch vụ hơn.Nếu muốn chạy phiên bản SmoothWall ta phải có sản phẩm được phânphối từ nhà sản xuất và không miễn phí, trong khi đó IPCop là phần mềm

có bản quyền và được cung cấp hoàn toàn miễn phí từ GPL Được sử dụngchính như một firewall, internet gateway cho các doanh nghiệp vừa và nhỏ,IPCop có các đặc trưng và tính năng chính sau:

 Tính năng firewall dựa trên IPTable/IPChains

 Mở rộng các cổng giao tiếp hỗ trợ: Analog modem, ISDNmodem, hay ADSL modem, và có thể hỗ trợ các kết nối PPPhay PPPoE ADSL tới mạng Ethernet

 Hỗ trợ DMZ (sử dụng tối đa 4 giao diện mạng)

 Quản trị thông qua giao diện web

 Truy nhập từ xa thông qua dịch vụ SSH server cung cấp

 DHCP server

 Caching DNS

 TCP/UDP port forwarding

 Hệ thống phát hiện xâm nhập Snort

 Hỗ trợ IPSec VPN

 …

1.2.3 Phần mềm Firewall Check Point Technologies’ Safe@Office:

Check Point Software Technologies’ Safe@Office (giá $299 ) sử dụng công nghệ INSPECT cung cấp một cho doanh nghiệp một bức tường lửa chắc chắn, kiểm soát các truy nhập ra vào mạng của công ty Các công

cụ Safe@Office 500 và Safe@Office 500W Unified Threat Management được dựa trên các phần mềm Firewall-1 và VPN-1 của Check Point, được sửa lại cho hợp với các thiết bị nhúng Các thành phần được thiết kế để cài đặt tại doanh nghiệp, do nhân viên tại văn phòng hoặc nhà cung cấp hay bán lại dịch vụ quản lí Tổng giám đốc Liran Eshel của SofaWare cho biết, các sản phẩm Safe@Office đã thỏa mãn được những yêu cầu dễ sử dụng và

có thể thuê người ngoài quản lí là các yếu tố quan trọng cho các doanh nghiệp Các công cụ trong Safe@Office được thiết kế để giải quyết nhưng chức năng bảo mật sau:

 Tổ chức thông báo rộng rãi các chính sách đến toàn thể nhân viên công ty Đồng thời tổ chức các buổi tập huấn, đào tạo nhân viên nhằm áp dụng triệt để các quy định về khai thác tài nguyên công ty

 Quét virus khi trao đổi e-mail, tải file về, duyệt nội dung webhay trên bất cứ dịch vụ có cổng do người dùng định nghĩa nào(user-defined port) với thông tin đặc tả cập nhật từ CheckPoint

 Ngăn ngừa xâm nhập với khả năng không cho phép một ứngdụng nào đó như các hệ thống chia sẻ file ngang hàng (peer-to-peer file-sharing systems) đặc trưng.

 Kiểm soát lưu lượng giao thông mạng (traffic monitoring) vàcông cụ xử lí sự cố (troubleshooting tools) có thể dùng để gánnhiều băng thông hơn cho các ứng dụng quan trọng

 Các tính năng mạng riêng ảo VPN (virtual private network) đểđảm bảo an toàn cho kết nối với các văn phòng chi nhánh

 Khả năng tạo ra các điểm truy cập không dây với WPA2

(Wi-Fi Protected Access) và IPSec (Internet Protocol Security)

Giá khởi điểm của Safe@Office 500 là 299 USD cho thiết bị/ 5 ngườidùng Thiết bị 500W giá 449 USD/ 5 người dùng Cả hai sản phẩm đều cóthể cấp phép cho 25 hoặc vô hạn người dùng Những người đăng kí cậpnhật tường lửa và chống virus sẽ phải trả ít nhất 10 USD/tháng

1.2.4 Phần mềm FortiGate Antivirus Firewall:

Phần mềm FortiGate Antivirus Firewall (có giá khoảng $340 ) baogồm chức năng chống virus dựa trên công nghệ mạng, công cụ lọc nộidung internet và email, tường lửa, mạng riêng ảo và hệ thống phát hiện,ngăn chặn xâm nhập Phần mềm này có thể cài đặt một cách dễ dàng và tựđộng cập nhật từ FortiProtect Phần mềm này có thể được cấu hình theonhiều cách khác nhau, thậm chí có thể cấu hình cho doanh nghiệp với 10người dùng Một số tính năng có thể kể đến:

 Chế độ NAT hoặc định tuyến

 Thống kê và báo cáo

1.3 Đánh giá, tổng kết và phân tích, lựa chọn công nghệ:

Việc đầu tiên và quan trọng trong bài toán xây dựng hệ thốngfirewall là việc lựa chọn công nghệ nào sẽ được áp dụng Rõ ràng với mộtfirewall được tích hợp trong một phần cứng chuyên dụng sẽ là một thiết bịhoàn hảo Nhưng thực tế, các sản phẩm phần cứng đó không dễ dàng có thể

có được ở Việt Nam, đi kèm với nó là việc giá thành sản phẩm bị tăng lên

do chi phí phần cứng

Sau khi tiến hành khảo sát và tìm hiểu, giải pháp đưa ra là thiết lậpmột firewall bằng phần mềm, khi triển khai, bản thân doanh nghiệp sẽ tậndụng phần cứng có sẵn trong công ty mình để làm nền triển khai phần mềmbên trên Phần mềm cần được thiết kế để sao có thể chạy trên các phầncứng không đòi hỏi giá thành cao cũng như dễ dàng thay thế và sửa chữađược Và lựa chọn được đưa ra khi sử dụng các phần mềm mã nguồn mở

để xây dựng hệ thống

Ưu điểm của phần mềm mã nguồn mở là rất rõ ràng, trước hết là chiphí khi không phải bỏ tiền ra mua bản quyền phần mềm, thêm vào đó, mãnguồn mở cho phép chỉnh sửa bên trong hệ thống để từ đó thay đổi cho phùhợp với nhu cầu sử dụng Các phần mềm mã nguồn mở cũng nối tiếng

trong sự tùy biến của mình, có thể hoạt động trên những phần cứng khôngyêu cầu cấu hình cao (một máy tính Pentium IV 3.0GHZ, RAM 1GB là cóthể đủ với vai trò một firewall hoàn thiện cho một doanh nghiệp dưới 100người dùng).

Trong quá trình tìm hiểu, có rất nhiều phần mềm mã nguồn mở đượcthiết kế để đóng vai trò một gateway như vậy Mỗi phần mềm có những ưunhược điểm khác nhau Trong số đó, OPNSense (https://opnsense.org/)được lựa chọn vì nó phù hợp với chức năng của một firewall hoàn thiện Sở

dĩ như vậy là bởi vì OPNSense có được những ưu điểm trong việc dễ dàngcài đặt và vận hành (một trong những trở ngại so với sản phẩm thương mạicủa phần mềm nguồn mở), cùng với đó là nền tảng hệ thống ổn định và cácchức năng phong phú được cung cấp mà đồ án xin được trình bày rõ ngaysau đây

CHƯƠNG 2 GIỚI THIỆU VÀ CÀI ĐẶT OPNSENSE

2.1 Giới thiệu lịch sử xuất xứ của OPNSense:

Để bảo vệ cho hệ thống mạng bên trong thì chúng ta có nhiều giảipháp như sử dụng Cisco ASA, dùng tường lửa của Microsoft như ISA…

Tuy nhiên những thành phần kể trên tương đối tốn kém Vì vậy đốivới người dùng không muốn tốn tiền nhưng lại muốn có một tường lửa bảo

vệ hệ thống mạng bên trong (mạng nội bộ) khi mà chúng ta giao tiếp vối hệthống mạng bên ngoài (Internet) thì OPNSENSE là một giải pháp tiết kiệm

và hiệu quả tương đối tốt nhất đối với người dùng

Dự án OPNsense bắt đầu vào tháng 1 năm 2015 như là một nhánhcủa bức tường lửa pfSense đã được thiết lập Nhóm nghiên cứu đã tuyên bốrằng các lý do cho sự chuyển hướng của dự án bắt nguồn từ loại pfSenseđược sử dụng vào thời điểm đó, và một phần từ niềm tin của họ rằng họ cóthể tạo một bức tường lửa an toàn hơn

Khi Netgate mua lại pfSense và có ý muốn chỉ cung cấp bản thươngmại, thu hẹp bản miễn phí đã gây ra nhiều tranh cãi, nhiều thành viên trongnhóm phát triển đã không đồng ý với định hướng của Netgate Từ đó họquyết định dựng nên một open source firewall khác là OPNsense (vào năm2014)

Khi dự án m0n0wall chính thức ngừng hoạt động và đóng cửa vàotháng 2 năm 2015, nhà phát triển m0n0wall (Manuel Kasper) đã giới thiệuđội ngũ developers của mình cho OPNsense Như vậy, OPNsense chínhthức được xem như là người thừa kế chính thức của m0n0wall

OPNsense chứa một giao diện rất phong phú được viết bằng PhalconPHP, đó là một niềm vui thực sự Ngoài việc OPNsense hấp dẫn hơn giaodiện người dùng của pfSense, nó được phần nào tạo ra bởi niềm tin củanhóm rằng giao diện đồ họa không nên có quyền truy cập root, vì điều này

có thể gây ra các vấn đề bảo mật

OPNsense cung cấp các cập nhật bảo mật hàng tuần để nhanh chóngđáp ứng các mối đe dọa Nó bao gồm nhiều tính năng nâng cao mà bạnthường chỉ tìm thấy trong các tường lửa thương mại như Forward CachingProxy và Intrusion Detection Nó cũng hỗ trợ việc sử dụng OpenVPN

Tường lửa sử dụng hệ thống ngăn chặn xâm nhập nội tuyến Đây làmột hình thức kiểm tra gói sâu mạnh mẽ, trong đó OPNsense không chỉchặn địa chỉ IP hoặc cổng mà còn kiểm tra và dừng các gói dữ liệu cá nhân

hoặc các kết nối trước khi chúng đến được người gửi OPNsense cũng cungcấp LibreSSL trên OpenSSL.

Giao diện người dùng có thanh tìm kiếm đơn giản và mô-đun sứckhỏe hệ thống mới Mô-đun này tương tác và cung cấp phản hồi trực quankhi phân tích mạng của bạn Bây giờ, bạn có thể xuất dữ liệu của mình ởđịnh dạng CSV để phân tích thêm

Hình 2.1 Mô hình triển khai

2.2 Một số tính năng của Pfsense:

là bạn không cần tạo ra nhiều rules cho nhóm các máy hoặc cổng

2.2.2 NAT:

OPNSense cung cấp network address translation (NAT) và tính

năng chuyển tiếp cổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với

Point-to-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation(GRE) và Session Initiation Protocol (SIP) khi sử dụng NAT.

Trong Firewall bạn cũng có thể cấu hình các thiết lập NAT nếu cần

sử dụng cổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1) cho các host cụ thể Thiết lập mặc định của NAT cho các kết nối outbound

là automatic/dynamic, tuy nhiên bạn có thể thay đổi kiểu manual nếu cần

Gói có thể được cài đặt bằng cách sử dụng Package Manager, nằmtại menu System Package Manager sẽ hiển thị tất cả các gói có sẵn baogồm một mô tả ngắn gọn về chức năng của nó.

- Phải trang bị thêm modem nếu không có sẵn

- Không được hỗ trợ từ nhà sản xuất như các thiết bị cân bằng tải khác

- Vẫn chưa có tính năng lọc URL như các thiết bị thương mại

- Đòi hỏi người sử dụng phải có kiến thức cơ bản về mạng để cấu hình

2.3.5 VPN trên OPNSense:

VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường

là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạngLAN ở trụ sở trung tâm Thay vì dùng kết nối thật khá phức tạp như đườngdây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữamạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa

Nhấn bất kỳ nút nào để bắt đầu quá trình cài đặt.

Tiến hành log in vào với username là installer và password là opnsense

Chúng ta sẽ được chuyển hướng tới màn hình cài đặt Chọn OK để bắt đầu.

Chọn vào Accept these Settings

Chọn vào Guided Installation.

Chọn vào dòng đầu tiên

Chọn vào GPT/UEFI Mode.

Chọn Yes

Quá trình cài đặt đang diễn ra.

Thiết lập root password khi đăng nhập vào firewall

Sau khi hoàn tất chọn reboot để khởi động lại firewall.

Tiến hành đăng nhập vào firewall bằng tài khoản root vừa tạo

Giao diện sau khi đăng nhập thành công.

Bây giờ chúng ta sẽ tiến hành chia Interface Chọn option 1

Firewall sẽ hỏi muốn cấu hình VLAN hay không Chọn No.

Chọn card mạng WAN Ở đây là em0

Chọn card mạng LAN

Firewall hỏi chúng ta có muôn thực thi các cấu hình vừa nãy Chọn Yes.Các Interface còn lại chúng ta sẽ tiến hành tạo trong phần WebGUI

Tiếp theo chúng ta sẽ tiến hành đặt IP cho các Interface Chọn Option 2.

Chọn card mạng cần cấu hình Ở đây sẽ chọn card LAN trước

Firewall sẽ hỏi chúng ta muốn cấu hình IP thông qua DHCP Chọn No

Nhập vào IP cho card LAN

Nhập Subnet mask cho card LAN.

Enter để trống

Firewall sẽ hỏi chúng ta muốn cấu hình DHCP trên Interface này không.Chọn No

Chọn No.

Bây giờ chúng ta có thể truy cập vào WebGUI bằng địa chỉ như trên

Máy Client trong mạng LAN tiến hành đặt IP tĩnh Và truy cập vàoWebGUI của OPNSense.

Đăng nhập bằng tài khoản root tạo lúc cài đặt

Khi đăng nhập vào chúng ta sẽ tiến hành thiết lập một vài Setup thông quaWizard.

Cấu hình hostname, DNS cho OPNSense

Chọn Timezone cho OPNSense.

Theo như mô hình bên trên là chúng ta sẽ xin DHCP cho WAN nên chúng

ta sẽ Next qua bước này