ĐỒ án môn học THỰC tập cơ sở đề tài nghiên cứu, triển khai tường lửa pfsense và ứng dụng trong doanh nghiệp

Đối với các doanhnghiệp vừa và nhỏ, với khoảng dưới 1000 người sử dụng, họ muốn một công cụ tườnglửa miễn phí nhưng hoạt động cực kỳ ổn định với hiệu năng cao, đã tối ưu hóa mãnguồn và k

Nghiên cứu, triển khai tường lửa Pfsense và ứng

dụng trong doanh nghiệp

Sinh viên thực hiện: QUẢN ĐỨC THẮNG AT150552

BÙI THỊ HẢI YẾN AT150364 NGUYỄN VĂN LÂM AT150531 Nhóm 78

Giảng viên hướng dẫn: ThS LÊ THỊ HỒNG VÂN

Hà Nội, 10-2021

ĐÁNH GIÁ QUYỂN ĐỒ ÁN THỰC TẬP CƠ SỞ

(Dùng cho giảng viên hướng dẫn)

Tên giảng viên đánh giá:

Họ và tên Sinh viên: MSSV:

Tên đồ án:

Chọn các mức điểm phù hợp cho sinh viên trình bày theo các tiêu chí dưới đây:

Rất kém (1); Kém (2); Đạt (3); Giỏi (4); Xuất sắc (5)

Có sự kết hợp giữa lý thuyết và thực hành (20)

1

Nêu rõ tính cấp thiết và quan trọng của đề tài, các vấn đề và các giả

thuyết (bao gồm mục đích và tính phù hợp) cũng như phạm vi ứng dụng

của đồ án

2 Cập nhật kết quả nghiên cứu gần đây nhất (trong nước/quốc tế) 1 2 3 4 5

3 Nêu rõ và chi tiết phương pháp nghiên cứu/giải quyết vấn đề 1 2 3 4 5

4 Có kết quả mô phỏng/thưc nghiệm và trình bày rõ ràng kết quả đạt được 1 2 3 4 5

Có khả năng phân tích và đánh giá kết quả (15)

5 Kế hoạch làm việc rõ ràng bao gồm mục tiêu và phương pháp thực hiệndựa trên kết quả nghiên cứu lý thuyết một cách có hệ thống 1 2 3 4 5

6 Kết quả được trình bày một cách logic và dễ hiểu, tất cả kết quả đềuđược phân tích và đánh giá thỏa đáng. 1 2 3 4 5 7

Trong phần kết luận, tác giả chỉ rõ sự khác biệt (nếu có) giữa kết quả đạt

được và mục tiêu ban đầu đề ra đồng thời cung cấp lập luận để đề xuất

hướng giải quyết có thể thực hiện trong tương lai.

Kỹ năng viết quyển đồ án (10)

8

Đồ án trình bày đúng mẫu quy định với cấu trúc các chương logic và đẹp

mắt (bảng biểu, hình ảnh rõ ràng, có tiêu đề, được đánh số thứ tự và

được giải thích hay đề cập đến trong đồ án, có căn lề, dấu cách sau dấu

chấm, dấu phẩy v.v), có mở đầu chương và kết luận chương, có liệt kê

tài liệu tham khảo và có trích dẫn đúng quy định

9 Kỹ năng viết xuất sắc (cấu trúc câu chuẩn, văn phong khoa học, lập luậnlogic và có cơ sở, từ vựng sử dụng phù hợp v.v.) 1 2 3 4 5

Thành tựu nghiên cứu khoa học (5) (chọn 1 trong 3 trường hợp)

10a

Có bài báo khoa học được đăng hoặc chấp nhận đăng/đạt giải SVNC

khoa học giải 3 cấp Viện trở lên/các giải thưởng khoa học (quốc tế/trong

nước) từ giải 3 trở lên/ Có đăng ký bằng phát minh sáng chế

5

10b

Được báo cáo tại hội đồng cấp Viện trong hội nghị sinh viên nghiên cứu

khoa học nhưng không đạt giải từ giải 3 trở lên/Đạt giải khuyến khích

trong các kỳ thi quốc gia và quốc tế khác về chuyên ngành như TI

contest.

2

Điểm tổng quy đổi về thang 10

Nhận xét khác (về thái độ và tinh thần làm việc của sinh viên)

Ngày: … / … / 20…

Người nhận xét

(Ký và ghi rõ họ tên)

Chúng em xin gửi lời cảm ơn trận trọng nhất tới thầy cô đã tận tình hướng dẫn, chỉbảo, cũng như tạo những điều kiện tốt nhất để chúng em có thể hoàn thành được thựctập cơ sở này!

NHÓM SINH VIÊN THỰC HIỆN

Quản Đức Thắng

Bùi Thị Hải Yến

Nguyễn Văn Lâm

LỜI NÓI ĐẦU

Như đã biết, công nghệ thông tin phát triển giúp ích rất nhiều cho các doanhnghiệp Thay vì lưu trữ thông tin trên sổ sách như trước gây tốn kém thì ngày nay chỉcần nhập thông tin lên phần mềm tất cả sẽ được ghi nhận lại Tất cả nhân sự có thẩmquyền đều được xem thông tin liên quan mọi lúc mọi nơi qua internet mà không cầnđến sự hỗ trợ trực tiếp của bất kỳ bộ phận nào Chính nhờ sự tiện lợi như thế mà côngnghệ càng được phát triển và áp dụng vào tất cả quy trình tại doanh nghiệp Tuy nhiên,khi tất cả bị phụ thuộc nhiều vào công nghệ sẽ tồn tại những lỗ hổng mà tại đó cácthông tin, dữ liệu có thể bị đánh cắp gây thiệt hại về lợi ích, lợi nhuận và danh tiếngcủa công ty Sau hàng loạt những vụ tấn công mạng quy mô lớn diễn ra gần đây, vấn

đề bảo mật dữ liệu của doanh nghiệp trở nên nóng hơn bao giờ hết Bên cạnhnhững phần mềm diệt virus, các cổng giao tiếp trong hệ thống,chúng ta còn cần chú ýđến một yếu tố nữa đó là tường lửa - Firewall

Tường lửa là hàng phòng vệ đầu tiên chống lại những kẻ hay đi xâm nhập trộm, đây làmột hệ thống bảo mật mạng, giám sát và kiểm soát lưu lượng mạng đến và đi dựa trêncác quy tắc bảo mật được xác định trước Firewall được chia làm 2 loại, gồm Firewallcứng thông dụng như: NAT, Cisco ASA 5500,… và Firewall mềm như: Norton 360Premium, Avast Premium Security, Bitdefender Total Security

Tuy nhiên, các loại Firewall được kể trên đều tương đối tốn kém Đối với các doanhnghiệp vừa và nhỏ, với khoảng dưới 1000 người sử dụng, họ muốn một công cụ tườnglửa miễn phí nhưng hoạt động cực kỳ ổn định với hiệu năng cao, đã tối ưu hóa mãnguồn và không cần nền tảng phần cứng mạnh thì PfSense là một giải pháp hợp lý.Xuất phát từ nhu cầu thực tế nêu trên, chúng em đã quyết định chọn và nghiên cứu đề

tài “Nghiên cứu, triển khai tường lửa Pfsense và ứng dụng trong doanh nghiệp” với

mục đích tìm hiểu về cơ chế hoạt động của Firewall Pfsense cũng như phát hiện ranhững nhược điểm tìm giải pháp khắc phục những nhược điểm này để hệ thống mạngtrong doanh nghiệp luôn được vấn hành trơn tru, an toàn và hạn chế sự cố xảy ra

 Mục tiêu đạt được sau khi hoàn thành thực tập cơ sở:

 Nắm được các khái niệm, đặc điểm, chức năng của tường lửa và tường lửa thế

hệ mới Pfsense

 Khai thác được các tính năng của Firewall Pfsense

 Triển khai và áp dụng được mô hình tường lửa Pfsense cho doanh nghiệpAriesGroup

 Phạm vi nghiên cứu:

• Nghiên cứu công cụ tường lửa Pfsense

• Nghiên cứu triển khai hệ thống tường lửa Pfsense cho doanh nghiệp.

MỤC LỤC

CHƯƠNG 1: TỔNG QUAN VỀ TƯỜNG LỬA VÀ TƯỜNG LỬA THẾ HỆ MỚI

PFSENSE -1

1.1 Khái quát về an ninh mạng -1

1.1.1 An ninh mạng và các nguy cơ mất an toàn mạng máy tính -1

1.1.2 Các mức bảo vệ an toàn mạng -2

1.2 Tổng quan về tường lửa (Firewall) -3

1.2.1 Định nghĩa -3

1.2.2 Chức năng -3

1.2.3 Cấu trúc -5

1.2.4 Tập luật của tường lửa -5

1.3 Phân loại -6

1.3.1 Phân loại theo môi trường thực thi -6

1.3.2 Phân loại theo trạng thái -7

1.3.3 Phân loại theo xu hướng sử dụng -7

1.3.4 Phân loại theo tầng hoạt động -8

1.3.5 Một số tường lửa khác -8

1.4 Tường lửa thế hệ mới (NGFW) -9

1.4.1 Định nghĩa -9

1.4.2 Tường lửa truyền thống và tường lửa thế hệ mới -9

1.4.3 Lợi ích và tầm quan trọng của tường lửa thế hệ mới -10

1.4.4 Giới thiệu tường lửa Pfsense -11

CHƯƠNG 2: TÍNH NĂNG VÀ DỊCH VỤ CỦA FIREWALL PFSENSE -13

2.1 Một số tính năng chính của Firewall Pfsense -13

2.1.1 Pfsense Rules -13

2.1.2 NAT -15

2.1.3 Firewall Aliases -16

2.1.4 Firewall Schedules -18

2.1.5 Traffic shaper -20

2.1.6 Virtual Ips -22

2.2 Một số dịch vụ chính của Firewall Pfsense -23

2.2.1 Captive portal -23

2.2.2 DHCP Server -25

2.2.3 Load Balancer -27

2.2.4 VPN -27

2.2.5 Một số chức năng khác -28

CHƯƠNG 3: TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA PFSENSE VỚI MÔ HÌNH CÔNG TY CỔ PHẦN CÔNG NGHỆ MỚI ARIESGROUP -30

3.1 Khảo sát thực trạng Công ty cổ phần công nghệ mới AriesGroup -30

3.1.1 Yêu cầu -30

3.1.2 Phân tích -31

3.2 Thiết kế hệ thống mạng cho doanh nghiệp sử dụng Pfsense -31

3.2.1 Phân tích cụ thể các hệ thống -31

3.2.2 Mô hình triển khai -32

3.3 Triển khai tường lửa -33

3.3.1 Cấu hình Aliases, Schedules, Rules -33

3.3.2 Cấu hình Load Balancing -51

3.3.3 Cấu hình Captive Portal -54

3.3.4 Cấu hình VPN Server -69

3.3.5 Backup and Recovery -83

3.3.6 Cấu hình Remote Desktop -86

KẾT LUẬN -92

TÀI LIỆU THAM KHẢO -93

DANH MỤC HÌNH VẼ

Hình 1-1: Các mức bảo vệ an toàn mạng 2

Hình 1-2: Firewall 3

Hình 1-3: Mô hình triển khai hệ thống Firewall Pfsense 11

Hình 2-1: Firewall Rules 13

Hình 2-2: Cấu hình Rule 14

Hình 2-3: NAT Port Forward 15

Hình 2-4: NAT 1:1 16

Hình 2-5: NAT Outbound 16

Hình 2-6: Aliases 17

Hình 2-7: Cấu hình Aliases 17

Hình 2-8: Schedules 18

Hình 2-9: Kết quả cấu hình xong Schedules 19

Hình 2-10: Rule được chọn áp dụng Schedules 19

Hình 2-11: Traffic Shaper 20

Hình 2-12: Cấu hình Traffic Shaper: Upload5MB 20

Hình 2-13: Cấu hình Traffic Shaper: Download10MB 21

Hình 2-14: Rule được chọn áp dụng Traffic Shaper 21

Hình 2-15: In/ Out pipe 22

Hình 2-16: Virtural IPs 23

Hình 2-17: Captive portal login page 24

Hình 2-18: Captive portal 25

Hình 2-19: Cấu hình DHCP Server 26

Hình 2-20: VPN 27

Hình 3-1: Mô hình triển khai tường lửa thực tế 31

Hình 3-2: Tạo Aliases 33

Hình 3-3: Tốc độ upload 34

Hình 3-4: Tốc độ download 34

Hình 3-5: Cấu hình Schedules 35

Hình 3-6: Tạo Rules 36

Hình 3-7: Rules 38

Hình 3-8: Kết quả tốc độ Upload và Download 41

Hình 3-9: Tạo luật cho vùng DMZ 42

Hình 3-10: Tạo Snort 45

Hình 3-11: Snort Interface 46

Hình 3-12: Kết quả thử nghiệm Snort 46

Hình 3-13: Dùng Nmap quét cổng 47

Hình 3-14: Ping of Death 48

Hình 3-15: Rule block IP 48

Hình 3-16: Thử nghiệm tấn công Dos 49

Hình 3-17: Aps dụng Rules có sắn cho Snort 50

Hình 3-18: Cấu hình cho WAN 2 51

Hình 3-19: Cấu hình Monitor IP 52

Hình 3-20:Cấu hình Gateway Groups 52

Hình 3-21: Firewall rules cho Gateway Groups 53

Hình 3-22: Kiểm tra Load Balancer 54

Hình 3-23: Tạo tài khoản người dùng xác thực 54

Hình 3-24: Captive Portal Zone 54

Hình 3-25: Cấu hình Captive Portal Zone 56

Hình 3-26: Cấp quyền cho người dùng Captive Portal 57

Hình 3-27: Cài đặt gói pfBlockerNG 58

Hình 3-28: Cấu hình cơ bản pfBlockerNG 59

Hình 3-29: Kích hoạt pfBlockerNG 60

Hình 3-30: Cấu hình danh sách địa chỉ bị chặn 62

Hình 3-31: Kích hoạt DNS resolver 64

Hình 3-32: Cấu hình DNSBL 65

Hình 3-33: Cấu hình DNSBL Groups 66

Hình 3-34: Rule được tạo cho DNSBL 68

Hình 3-35: Kiểm tra DNSBL 68

Hình 3-36: Certificate Manager / Cas 69

Hình 3-37: Certificate Manager / Cas / Edit 70

Hình 3-38: Certificate Manager / Certificates / Edit 72

Hình 3-39: Kết quả 73

Hình 3-40: OpenVPN 73

Hình 3-41: OpenVPN / Add 74

Hình 3-42: Client Specific Overrides 76

Hình 3-43: Client Specific Overrides / Add 77

Hình 3-44: Package Manager 77

Hình 3-45: Package Manager / Install 78

Hình 3-46: Rules / WAN 79

Hình 3-47: Rules / WAN / Add 80

Hình 3-48: OpenVPN GUI 82

Hình 3-49: OpenVPN GUI / Connect 83

Hình 3-50: Backup & Restore/ Backup & Restore 84

Hình 3-51: Download as XML 85

Hình 3-52: Backup & Restore -> Restore Backup 86

Hình 3-53: NAT 87

Hình 3-54: NAT / Port Forward 87

Hình 3-55: Tạo Rules cho Remote desktop 89

Hình 3-56: Remote Setting 90

Hình 3-57: Remote Desktop Connection / Connected 92

CHƯƠNG 1: TỔNG QUAN VỀ TƯỜNG LỬA VÀ TƯỜNG LỬA

THẾ HỆ MỚI PFSENSE

1.1 Khái quát về an ninh mạng

1.1.1 An ninh mạng và các nguy cơ mất an toàn mạng máy tính

An ninh mạng (Cyber Security): là hành động bảo vệ máy tính, máy chủ, các thiết

bị di động, hệ thống điện tử, mạng và dữ liệu khỏi những tấn công độc hại An ninhmạng cũng được biết đến như đảm bảo an ninh công nghệ hoặc thông tin điện tử Cụm

từ này được áp dụng cho mọi lĩnh vực, từ kinh doanh cho đến điện toán và có thể đượcchia thành nhiều danh mục phổ biến

An ninh máy tính: Là một tập hợp con của an ninh mạng Loại bảo mật này sửdụng phần cứng và phần mềm để bảo vệ bất kỳ dữ liệu nào được gửi từ máy tính cánhân hoặc các thiết bị khác đến hệ thống mạng lưới thông tin An ninh máy tính thựchiện chức năng bảo vệ cơ sở hạ tầng công nghệ thông tin và chống lại các dữ liệu bịchặn, bị thay đổi hoặc đánh cắp bởi tội phạm mạng

Với một mạng máy tính bạn sẽ có bao nhiêu nguy cơ bị xâm phạm ? Câu trả lờichính xác đó là ở mọi thời điểm, mọi vị trí trong hệ thống đều có khả năng xuất hiện,

có thể kể đến:

 Người bên ngoài và các hacker

 Người đang làm việc trong công ty

 Các ứng dụng mà cán bộ và nhân viên của công ty sử dụng để thực hiện cácnhiệm vụ thương mại của họ

 Các hệ điều hành chạy trên các máy tính cá nhân, các máy chủ, cũng như cácthiết bị khác

 Hạ tầng cơ sở mạng được sử dụng để truyền tải dữ liệu qua mạng, như là các bộđịnh tuyến (router), các bộ chuyển mạch (switch), các bộ tập trung (hub)…

 Các điểm yếu trong giao thức mạng

 Các điểm yếu trong việc hoạch định chính sách

 Các điểm yếu trong các công nghệ máy tính

 Các điểm yếu trong các cấu hình thiết bị

1.1.2 Các mức bảo vệ an toàn mạng

Vì không thể có một giải pháp nào là an toàn tuyệt đối, nên người ta phải sử dụngđồng thời nhiều mức bảo vệ khác nhau để tạo thành nhiều lớp “rào chắn” đối với các

hoạt động xâm phạm Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông tin cấtgiữ trên các máy tính, đặc biệt là trong các Server của mạng Vì thế mọi cố gắng tậptrung vào việc xây dựng các mức “rào chắn” từ ngoài vào trong cho các hệ thống kếtnối vào mạng.

Hình 1-1: Các mức bảo vệ an toàn mạng

 Quyền truy nhập (Access Rights): Đây là lớp bảo vệ sâu nhất, nhằm kiểm soátcác tài nguyên (thông tin) của mạng và quyền hạn (có thể thực hiện các thao tácgì) trên tài nguyên đó Hiện tại việc xác lập các quyền thường do người quản trịmạng quyết định Tuy nhiên, kiểm soát được cấu trúc dữ liệu càng chi tiết thìmức độ an toàn càng cao

 Đăng nhập/Mật khẩu (Login/Password): Lớp bảo vệ này thực ra cũng là kiểmsoát quyền truy nhập nhưng ở mức hệ thống (tức là truy nhập vào mạng) Đây làphương pháp bảo vệ phổ biến nhất vì nó đơn giản ít phí tổn và rất có hiệu quả.Mỗi người sử dụng (kể cả người quản trị mạng) muốn được vào mạng để sử dụngcác tài nguyên của mạng đều phải có tên đăng ký và mật khẩu

 Mã hóa dữ liệu (Data Encryption): Để bảo mật thông tin truyền trên mạng, người

ta sử dụng các phương pháp mã hoá (Encryption) Dữ liệu được biến đổi từ dạngnhận thức được sang dạng không nhận thức được theo một thuật toán nào đó (tạomật mã) và sẽ được biến đổi ngược lại (giải mã) ở trạm nhận Đây là lớp bảo vệthông tin rất quan trọng và được sử dụng rộng rãi trong môi trường mạng

 Bảo vệ vật lý (Physical Protection): Đây là lớp bảo vệ rất quan trọng, nhằm ngăncản các truy nhập vật lý bất hợp pháp vào hệ thống Thường dùng các biện pháptruyền thống như ngăn cấm tuyệt đối người không phận sự vào phòng đặt máy

mạng, dùng ổ khoá máy tính, hoặc cài đặt cơ chế báo động khi có truy nhập vào

hệ thống

 Bức tường lửa (Firewall): Để bảo vệ từ xa một máy tính hay cho cả một mạngnội bộ (Intranet), ngăn chặn các truy nhập trái phép (theo danh sách truy nhập đãxác định trước) và thậm chí có thể lọc các gói tin mà ta không muốn gửi đi hoặcnhận vào vì một lý do nào đó Phương thức bảo vệ này được dùng nhiều trongmôi trường liên mạng Internet

1.2 Tổng quan về tường lửa (Firewall)

1.2.1 Định nghĩa

Tường lửa (Firewall) là một hệ thống an ninh mạng, có thể dựa trên phần cứnghoặc phần mềm, sử dụng các quy tắc để kiểm soát lưu lượng truy cập vào, ra khỏi hệthống Tường lửa hoạt động như một rào chắn giữa mạng an toàn và mạng không antoàn Nó kiểm soát các truy cập đến nguồn lực của mạng thông qua một mô hình kiểmsoát chủ động Nghĩa là, chỉ những lưu lượng truy cập phù hợp với chính sách đượcđịnh nghĩa trong tường lửa mới được truy cập vào mạng, mọi lưu lượng truy cập khácđều bị từ chối

Hình 1-2: Firewall

1.2.2 Chức năng

Firewall hỗ trợ máy tính kiểm soát luồng thông tin giữa Intranet và Internet,Firewall sẽ quyết định dịch vụ nào từ bên trong được phép truy cập ra bên ngoài,những người nào bên ngoài được phép truy cập vào bên trong hệ thống, hay là giới hạntruy cập những dịch vụ bên ngoài của những người bên trong hệ thống

 Cho phép hoặc vô hiệu hóa các dịch vụ truy cập ra bên ngoài, đảm bảo thông tinchỉ có trong mạng nội bộ.

 Cho phép hoặc vô hiệu hóa các dịch vụ bên ngoài truy cập vào trong

 Phát hiện và ngăn chặn các cuộc tấn công từ bên ngoài

 Hỗ trợ kiểm soát địa chỉ truy cập (bạn có thể đặt lệnh cấm hoặc là cho phép)

 Kiểm soát truy cập của người dùng

 Quản lý và kiểm soát luồng dữ liệu trên mạng

 Xác thực quyền truy cập

 Hỗ trợ kiểm soát nội dung thông tin và gói tin lưu chuyển trên hệ thống mạng

 Lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số Port ( hay còn cổng),giao thức mạng

 Người quản trị có thể biết được kẻ nào đang cố gắng để truy cập vào hệ thốngmạng

 Firewall hoạt động như một Proxy trung gian

 Bảo vệ tài nguyên của hệ thống bởi các mối đe dọa bảo mật

 Cân bằng tải: Bạn có thể sử dụng nhiều đường truyền internet cùng một lúc, việcchia tải sẽ giúp đường truyền internet ổn định hơn rất nhiều

 Tính năng lọc ứng dụng cho phép ngăn chặn một số ứng dụng mà bạn muốn.Tuy Firewall cung cấp nhiều tính năng hữu ích để bảo vệ người dùng, song nó vẫn

có những hạn chế:

 Firewall không thể bảo vệ các mối nguy hiểm từ bên trong nội bộ

 Firewall không có đủ thông minh để có thể đọc và hiểu từng loại thông tin và tấtnhiên là nó không thể biết được đâu là nội dung tốt và đâu là nội dung xấu Màđơn thuần Firewall chỉ hỗ trợ chúng ta ngăn chặn sự xâm nhập của những nguồnthông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ

 Firewall không thể ngăn chặn các cuộc tấn công nếu như cuộc tấn công đó không

“đi qua” nó Ví dụ cụ thể đó là Firewall không thể chống lại một cuộc tấn công từmột đường dial-up, hoặc là sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp

 Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua

nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiềucách để mã hóa dữ liệu để có thể thoát khỏi khả năng kiểm soát của Firewall Tuy nhiên, chúng ta không thể phủ nhận một điều rằng Firewall vẫn là giải pháphữu hiệu được áp dụng khá rộng rãi hiện nay

1.2.3 Cấu trúc

Các sản phẩm được thiết kế bởi các hãng bảo mật đều có những đặc điểm riêng,tuy nhiên một tường lửa sẽ những thành phần cơ bản sau:

 Bộ lọc gói (Packet filtering)

 Cổng ứng dụng (Application gateways/Proxy server)

 Cổng mạch (Circuit level gateway)

 Các chính sách mạng (Network policy)

 Các cơ chế xác thực nâng cao (Advanced authentication mechanisms)

 Thống kê và phát hiện các hoạt động bất thường (Logging and detection ofsuspicious activity)

1.2.4 Tập luật của tường lửa

Tường lửa điều khiển truy cập bằng việc cho phép hoặc từ chối các dòng dữ liệuvào/ra, dựa trên một tập luật, mà ta thường gọi là chính sách tường lửa

Tuy nhiên, việc quản lý hiệu quả các luật của tường lửa có thể trở thành vấn đềkhó trong các hệ thống mạng lớn, phức tạp và có nhiều biến động Tập luật củaFirewall thường được tạo ra bằng cách thủ công, tuân thủ theo các chính sách an ninhcủa các tổ chức và kinh nghiệm của những người làm công tác quản trị mạng Việc tạo

ra tập luật bằng cách thủ công có thể có những nhầm lẫn và tạo ra các tập luật khôngnhất quán, dẫn đến các vấn đề như dư thừa các luật, các luật bao trùm lẫn nhau hoặcmâu thuẫn nhau… điều này có thể làm giảm năng lực xử lý của Firewall và bỏ quanhững truy cập bất hợp pháp vào trong hệ thống mạng

Các hoạt động truy cập vào/ra của người dùng thường được firewall lưu trữ vàotập log Dữ liệu log Firewall bao gồm các thông tin về một phiên làm việc từ các kếtnối vào/ra được Firewall tập hợp thành các tệp dữ liệu thường có định dạng ASCII.Như vậy, trong một dòng log sẽ chứa đựng đầy đủ các thông tin liên quan đến một luật

đã được cấu hình trong Firewall Việc rút trích từ tệp log sẽ cho phép ta xác định đượctập luật đã được sử dụng

Chính sách của Firewall thường được cấu hình bởi người quản trị và trên cơ sởnhững phát biểu trong chính sách an ninh của một tổ chức Chính sách Firewall bao

gồm một tập các luật, nó xác định một hành động từ chối (deny) hoặc chấp nhận(accept) đối với một gói tin đi qua Firewall Một số tiêu chí cụ thể thường được quantâm trong các hệ thống Firewall, cụ thể như sau:

 Địa chỉ IP nguồn (IP Source)

 Cổng TCP (hoặc UDP) nguồn

 Địa chỉa IP đích (IP Destination)

 Cổng TCP (hoặc UDP) đích

 Protocol của gói tin (HTTP, TCP, ICMP, UDP, …)

 Độ dài gói tin (Length)

 Các thông tin phụ khác …

Chính sách Filewall là một trong những thành phần quan trọng trong hệ thống anninh mạng Quản lý tốt chính sách Firewall sẽ làm tăng năng lực xử lý của mạng đồngthời tránh được các nguy cơ tấn công

1.3 Phân loại

Với nhu cầu sử dụng và đảm bảo hệ thống máy tính luôn an toàn trước sự tấn côngtinh vi của tội phạm mạng, các sản phẩm tường lửa được phát triển trên nhiều tùychọn Ta có thể dựa vào những tiêu chí đó loại tường lửa

1.3.1 Phân loại theo môi trường thực thi

+ Firewall cứng: là một thiết bị phần cứng nằm giữa Internet và máy tính củangười dùng Hệ thống firewall cứng gồm các thiết bị firewall cứng chuyên dụng hoạtđộng trên hệ điều hành dành riêng cùng một số xử lý trên các mạch điện tử tích hợp.Đặc điểm của Firewall cứng:

- Không được linh hoạt như Firewall mềm (Không thể thêm chức năng, thêm quytắc như firewall mềm)

- Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầngTransport)

- Firewall cứng không thể kiểm tra được nột dung của gói tin

Ưu điểm:

- Thời gian phản hồi nhanh hơn do phần cứng và phần mềm được đồng bộ mộtcách tối đa giúp phát huy hết hiệu năng giúp nó có thể xử lý nhiều lưu lượng truycập hơn

- Tường lửa có hệ điều hành riêng ít bị tấn công hơn, điều này lần làm giảm nguy

cơ bảo mật và ngoài ra, tường lửa phần cứng có các điều khiển bảo mật nâng cao.+ Firewall mềm được cài đặt trên các máy tính cá nhân trên mạng Không giốngnhư Firewall cứng, Firewall mềm được cài đặt trên các máy chủ riêng lẻ giúp chặn mỗiyêu cầu kết nối và sau đó xác định xem yêu cầu có hợp lệ hay không Firewall xử lý tất

cả các yêu cầu bằng cách sử dụng tài nguyên máy chủ

Đặc điểm của Firewall mềm:

- Tính linh hoạt cao (Có thể thêm, bớt các quy tắc, các chức năng)

- Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng)

- Firewall mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa)

Ưu điểm:

- So với Firewall cứng, Firewall mềm dễ cấu hình và thiết lập hơn

- Cung cấp cho người dùng quyền kiểm soát hoàn toàn lưu lượng truy cập Internetcủa họ thông qua giao diện thân thiện với người dùng yêu cầu ít hoặc không cókiến thức chuyên môn

1.3.2 Phân loại theo trạng thái

+ Tường lửa trạng thái ( Stateful Firewall): Loại tường lửa tổng hợp kết hợp cácloại tường lửa khác như tường lửa chuyển đổi địa chỉ IP, tường lửa cổng mạch vàtường lửa proxy Dùng các luật tường lửa của ứng dụng, luân phiên và luật lọc các góitin để kiểm tra đặc điểm của gói tin, kiểm tra và lưu trạng thái của các gói tin đi quatường lửa

+ Tường lửa phi trạng thái ( Stateless Firewall): Xem lưu lượng mạng và hạn chếhoặc chặn các gói dựa trên địa chỉ nguồn và địa chỉ đích hoặc các giá trị khác.Stateless được sử dụng thích hợp với những thông tin có lưu lượng lớn Các ứng dụng

có khối lượng khổng lồ vẫn được truyền tải, kết nối nhanh chóng nhờ loại bỏ máy chủ

1.3.3 Phân loại theo xu hướng sử dụng

+ Tường lửa cá nhân (Personal Firewall): Được thiết kế để bảo vệ các thiết bị đầucuối duy nhất trước sự truy cập trái phép từ bên ngoài, thường được tích hợp sẵn trongcác máy tính, thiết bị di động Đối tượng sử dụng, người dùng phổ thông, máy tính cánhân…

+ Tường lửa mạng (Network Firewall): Chạy trên các thiết bị mạng hoặc máy tínhchuyên dụng đặt tại vùng biên giữa các khu vực mạng Được thiết kế ra để bảo vệ cáchost trong mạng trước sự tấn công từ bên ngoài, Network firewall bảo vệ cho cả một

hệ thống mạng máy tính

1.3.4 Phân loại theo tầng hoạt động

+ Tường lửa lọc gói tin (Packet Filter Firewall): Hoạt động ở lớp mạng của môhình OSI hoặc lớp IP của mô hình TCP/IP Nó được tạo ra với mục đích lọc gói tindựa trên các đặc điểm đơn giản như địa chỉ nguồn, địa chỉ đích, một số thông tin trênheader để quyết định cho phép hay không cho phép gói tin đi qua tại tầng mạng

+ Tường lửa cổng mạch (Circuit-level Firewall): Nó hoạt động ở tầng phiên của

mô hình OSI thực hiện giám sát các gói tin theo giao thức TCP chạy qua tường lửa.Những lưu lượng được phép đi ra sẽ được điều chỉnh để xuất phát từ cổng mạch vòngvới mục đích che giấu thông tin của mạng được bảo vệ Nếu các lưu lượng không đượccho phép sẽ bị chặn lại ở tầng mạng

+ Tường lửa cổng cấp ứng dụng (Application-level Gateways/Proxy Firewall):Hoạt động tại tầng ứng dụng của mô hình OSI Đóng vai trò trung gian giữa hai thiết

bị đầu cuối Khi người dùng truy cập dịch vụ từ bên ngoài nó sẽ đại diện nhận câu trảlời bên ngoài đó và trả lời lại cho người dùng bên trong Điều này giúp người dung bêntrong được ẩn danh và tránh được các nguy cơ ví dụ như lộ thông tin dữ liệu ngườidùng

+ Tường lửa trong suốt (Transparent Firewall): Hoạt động ở tầng liên kết dữ liệucủa mô hình OSI, có chức năng làm cầu nối kết hợp với hỗ trợ khả năng lọc gói tin IP( có các giao thức TCP, IP, UDP, ICMP) bằng cách dùng chức năng truy cập theo ngữcảnh Vì tường lửa này hoạt động ở tầng 2 nên không cần cấu hình địa chỉ IP cũng nhưthay đổi địa chỉ IP của các thiết bị cần bảo vệ

1.3.5 Một số tường lửa khác

+Tường lửa ứng dụng web - WAF (Web application firewall): Các tường lửa nàyđược sử dụng cho các ứng dụng cụ thể Khác với tường lửa dựa trên proxy dùng đểbảo vệ máy khách người dùng cuối, thì tường lửa ứng dụng web bảo vệ máy chủ ứngdụng

+ Tường lửa điện toán đám mây (Cloud Firewall): Dạng tường lửa mới hiện nay.Đây là một giải pháp kiểm soát truy cập đám mây, cụ thể là tường lửa bảo mật trênđám mây, được cấu hình lọc thông lượng mạng, những thông lượng mạng tốt sẽ đượclưu trữ và đảm bảo cho hoạt động của hệ thống luôn sẵn sàng đáp ứng kịp khối lượngcủa công việc khi cần thiết, và mọi thông lượng mạng không tốt sẽ được loại bỏ tứcthì

+ Tường lửa chuyển đổi địa chỉ mạng ( Network Address Translationsfirewall): có chức năng dịch địa chỉ mạng , chuyển từ địa chỉ IP công cộng thành địachỉ IP riêng và ngược lại, nó cho phép dấu địa chỉ IP của các máy bên trong mạng Tuy

nó không được xem như tính năng bảo mật nhưng nó giúp phòng tránh các vấn đề tiềm

1.4.2 Tường lửa truyền thống và tường lửa thế hệ mới

Ngoài hỗ trợ các chức năng của tường lửa truyền thống:

 Kiểm tra trạng thái lưu lượng mạng bằng cách giám sát trạng thái các kếtnối đang hoạt động để xác định các gói tin được phép

 Xác định lưu lượng được phép truy cập hoặc từ chối dựa trên trạng thái kếtnối, cổng, và giao thức

 Sử dụng các quy tắc (Rules) và chính sách quản trị ứng dụng để xác định loại lưulượng mạng được phép và không được phép đi qua

Các sản phẩm tường lửa thế hệ mới còn có một số chức năng nâng cao phổ biến như:

 Hỗ trợ các tính năng của tường lửa tiêu chuẩn: bao gồm các chức năng tườnglửa như kiểm tra trạng thái giao thức/cổng, Network Address Translation (NAT)

và mạng riêng ảo (VPN),

 Nhận dạng và lọc lưu lượng dựa trên các ứng dụng cụ thể: ngăn chặn các ứngdụng độc hại và hoạt động từ việc sử dụng cổng non-standard để tránh tườnglửa Một NGFW sẽ đóng vai trò kiểm soát lưu lượng, kiểm tra lưulượng gửi, nhận và nội dung của gói tin để ngăn chặn các cuộc tấn công ứngdụng diễn ra trên các lớp 4-7 của mô hình OSI

 Kiểm tra SSL và SSH: NGFW có thể kiểm tra lưu lượng mã hóa SSL và SSH,cho phép giải mã lưu lượng của ứng dụng được phép, kiểm tra các chính sáchkhác, và sau đó tái mã hóa lưu lượng Điều này cung cấp bảo vệ hệ thống mạngđối với các ứng dụng độc hại và các hoạt động xâm nhập bằng cách sử dụng mãhóa để tránh tường lửa

 Chức năng ngăn chặn xâm nhập: IPS, cung cấp kiểm tra "sâu” lưu lượng, pháthiện và phòng ngừa xâm nhập

 Tích hợp Directory: hầu hết các NGFW hỗ trợ Active Directory, LDAP, quản lýcác ứng dụng dựa trên người dùng có thẩm quyền và các nhóm người dùng

 Lọc mã độc: ngăn chặn virus, trang web, các gói tin và các ứng dụng độc hại.

1.4.3 Lợi ích và tầm quan trọng của tường lửa thế hệ mới

Với các tính năng khác biệt so với tường lửa truyền thống, tường lửa thế hệ mới đãmang đến nhiều lợi ích cho các công ty khi sử dụng chúng

 Có thể ngăn chặn các phần mềm độc hại xâm nhập vào hệ thống mạng, điều màFirewall truyền thống chưa làm được

 Được trang bị tốt hơn trong giải quyết các mối đe dọa cấp tiến mới (APT)

 Là một sự lựa chọn phù hợp với mức chi phí cho các Công ty muốn cải thiện khảnăng bảo mật cơ bản vì NGFW có khả năng kết hợp công việc của cả phần mềmchống vi-rút với tường lửa và các ứng dụng bảo mật khác vào trong cùng mộtgiải pháp

Các tính năng này bao gồm cả khả năng nhận dạng ứng dụng, phân tích, cũng như hệthống bảo vệ và công cụ nhận thức mang đến những lợi ích thấy rõ cho các Tổ chức,Doanh nghiệp

Cài đặt tường lửa là một yêu cầu cho bất kỳ Tổ chức hay Doanh nghiệp nào.Trong môi trường ngày nay, việc ứng dụng NGFW cũng có tầm quan trọng không kémkhi các mối đe dọa đối với những thiết bị cá nhân và hệ thống mạng đang ngày càngphát triển Cùng với tính linh hoạt cao, nó giúp bảo vệ các thiết bị và hệ thống mạngkhỏi phạm vi bị xâm nhập rộng hơn Mặc dù NGFW không phải là giải pháp phù hợpcho tất cả mọi Tổ chức, Doanh nghiệp nhưng các công ty cũng cần cân nhắc đếnnhững lợi ích mà loại tường lửa này mang lại Đây cũng có thể là một lựa chọn chi phíthấp cho các công ty muốn cải thiện bảo mật cơ bản vì họ có thể kết hợp công việc củaphần mềm chống vi-rút, tường lửa và các ứng dụng bảo mật khác vào một giải pháp

1.4.4 Giới thiệu tường lửa Pfsense

Hình 1-3: Mô hình triển khai hệ thống Firewall Pfsense

PfSense là một ứng dụng có chức năng định tuyến, tường lửa và miễn phí, ứngdụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảomật Bắt đầu vào năm 2004, khi m0n0wall mới bắt đầu chập chững – đây là một dự ánbảo mật tập trung vào các hệ thống nhúng – pfSense đã có hơn 1 triệu lượt download

và được sử dụng để bảo vệ các mạng có tất cả kích cỡ, từ mạng gia đình đến các mạnglớn của các công ty/doanh nghiệp Ứng dụng này có một cộng đồng phát triển rất tíchcực và nhiều tính năng đang được bổ sung trong mỗi lần phát hành nhằm cải thiện hơnnữa tính bảo mật, sự ổn định và khả năng linh hoạt của nó Và là một trong số ít nhữngfirewall có tính năng trạng thái, chỉ thường xuất hiện ở những firewall thương mại lớnnhư Cisco ASA, Checkpoint, Juniper …

PfSense bao gồm nhiều tính năng đặc biệt là firewall trạng thái mà bạn vẫn thấytrên các thiết bị tường lửa hoặc router thương mại lớn, chẳng hạn như giao diện ngườidùng (GUI) trên nền Web tạo sự quản lý một cách dễ dàng Trong khi đó phần mềmmiễn phí này còn có nhiều tính năng ấn tượng đối với firewall/router miễn phí, tuynhiên cũng có một số hạn chế

PfSense hỗ trợ lọc bởi địa chỉ nguồn và địa chỉ đích, cổng nguồn hoặc cổng đíchhay địa chỉ IP Nó cũng hỗ trợ chính sách định tuyến và cơ chế hoạt động trong chế độbrigde hoặc transparent, cho phép bạn chỉ cần đặt pfSense ở giữa các thiết bị mạng màkhông cần đòi hỏi việc cấu hình bổ sung PfSense cung cấp cơ chế NAT và tính năngchuyển tiếp cổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với Point-to-PointTunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và SessionInitiation Protocol (SIP) khi sử dụng NAT

PfSense được dựa trên FreeBSD và giao thức Common Address RedundancyProtocol (CARP) của FreeBSD, cung cấp khả năng dự phòng bằng cách cho phép cácquản trị viên nhóm hai hoặc nhiều tường lửa vào một nhóm tự động chuyển Vì nó hỗtrợ nhiều kết nối mạng diện rộng (WAN) nên có thể thực hiện việc cân bằng tải Tuynhiên có một hạn chế với nó ở chỗ chỉ có thể thực hiện cân bằng lưu lượng phân phốigiữa hai kết nối WAN và không thể chỉ định được lưu lượng cho qua một kết nối.

CHƯƠNG 2: TÍNH NĂNG VÀ DỊCH VỤ CỦA FIREWALL

Ở pfSense, mặc định các vùng mạng được kết nối với nhau thông qua Rule, tuynhiên tùy theo yêu cầu thực tế về tính bảo mật, nhà quản trị mạng cần tùy biến lại cácrule này cho phù hợp

 Xem các Rule trong Firewall chọn Firewall -> Rules :

Hình 2-4: Firewall Rules

 Add thêm Rule Firewall:

+ Add thêm rule lên đầu danh sách chọn icon

+ Add thêm rule xuống cuối danh sách chọn icon

Sau khi chọn Add sẽ xuất hiện giao diện sau:

Hình 2-5: Cấu hình Rule

 Những thuật ngữ chính của Rule:

+ Action : tạo hành động khi gói tin không hợp với Rule Mặc định pfSense có

các tùy chọn Action : Pass/Block ( Hủy gói tin đi tới Firewall )/Reject ( từ chối

gói tin và gắn cờ, gửi lại người dùng )

+ Disable : tạm thời tắt hiệu lực của Rule, khi cần sẽ có thể Enable lên lại

+ TCP/IP Version : phiên bản IP mà pfSense làm việc, đó là IPv4 và IPv6

+ Protocol : những giao thức truyền dữ liệu mà pfSense có thể sử dụng ( ICMP,

TDP…) và những giao thức định tuyến ( OSPF, Eirgp)

+ Source/Destination : quy định các IP nguồn/đích

+ Log : cho phép theo dõi và ghi lại hoạt động của Rule

2.1.2 NAT

Cơ chế NAT ( Network Address Translation ) là cơ chế quen thuộc và không thểthiếu trong bất kì hệ thống mạng nào để ra ngoài Internet Với số lượng IP Public hạnchế, cơ chế NAT giúp các máy con trong mạng nội bộ chuyển đổi từ IP Private sang IPPublic để truy cập Internet Có hai cơ chế Nat chính đó là :

- Nat Inbound : chuyển đổi địa chỉ IP từ Public thành Private.

- Nat Outbound : chuyển đổi địa chỉ IP từ Private thành Public.

Thiết lập mặc định của NAT cho các kết nối outbound là Automatic outboundNAT…, tuy nhiên bạn có thể thay đổi kiểu Manual outbound NAT nếu cần

2.1.3 Firewall Aliases

Firewall là một trong những tính năng quan trọng của Pfsense, dùng để kiểm soáttruy cập, điều chỉnh hướng đi của các kết nối trong hệ thống mạng thông qua các thiếtlập trên Firewall rules Vấn đề là các Filrewall rulese mặc định chỉ cho phép ta địnhnghĩa một host hoặc một dịch vụ, việc này sẽ dẩn đến nếu muốn tạo ra rất nhiều rulenếu muốn thiết thiết lập các chính sách cho Filrewall, càng nhiều rule thì sẽ ảnh hưởngđến khả năng xử lý của Firewall Vì lý do trên nên nhu cầu đặt ra là phải thiết lập cácrule một cách hiệu quả bằng một danh sách các host, địa chỉ, dịch vụ… Để làm đượcđiều này Pfsense Firewall cho phép chúng ta thiết lập các danh sách này được gọi làcác Aliases

Tất cả các Aliases được định nghĩa và quản lý trong Firewall -> Aliases:

Hình 2-9: Aliases

Để tạo ra một Aliases mới, ta chọn nút Add, sau khi chọn xuất hiện giao diện

sau:

Hình 2-10: Cấu hình Aliases

Có thể tạo các loại Aliases sau:

- Host: Aliases chứa địa chỉ IP hoặc tên máy chủ đơn lẻ.

- Network: Aliases chứa các danh sách CIDR-masked của các mạng, tên máychủ, dải địa chỉ IP hoặc các địa chỉ IP đơn lẻ

- Port: aliases chứa danh sách số lượng port hoặc phạm vi port cho TCP hoặcUDP

- URL: Alias được tạo từ file tại URL được chỉ định nhưng chỉ được đọc một lần

và sau đó trở thành alias mạng hoặc loại port thông thường

- URL Table: Alias được xây dựng từ các tập tin tại URL được chỉ định nhưng

được Update bằng cách lấy danh sách từ URL định kỳ

2.1.4 Firewall Schedules

Trong việc thiết lập các firewall rules trong Pfsense, ngoài các thiết lập các Aliases

để định nghĩa các dãy IP, host, dịch vụ… chúng ta còn có thể phải thiết lập các chínhsách truy cập theo ngày giờ Pfsense hỗ trợ chúng ta chức năng lập lịch biểu(Schedules)

Các Firewall Rules có thể được sắp xếp để nó chỉ hoạt động vào các thời điểmnhất định trong ngày hoặc vào những ngày nhất định trong tuần hoặc trong tháng

Để tạo một Schedules mới Firewall -> Schedules -> Add:

Ví dụ : Tạo lịch thời gian làm việc tháng 8 – 2021, từ thứ 2 đến thứ 7, thời gian từ7h – 18h:

Hình 2-11: Schedules

Sau đó chọn Add time -> Save, ta nhận được kết quả:

Hình 2-12: Kết quả cấu hình xong Schedules

Sau khi đã có chính sách về băng thông ta cần tiến hành áp dụng chúng cho các

Firewall rule, bằng cách vào Firewall ->Rules Ta có thể tạo các rule mới để và áp

dụng chính sách vào các rule được tạo ra, nhưng ở đây chúng ta dùng rule có sẵn của

hệ thống Chọn rule cần áp dụng nhấn vào [e] để thêm chính sách:

Hình 2-13: Rule được chọn áp dụng Schedules

Tiếp theo, trong Firewall rule muốn áp dụng, kéo xuống mục Advanced Options-> Display Advanced, trong mục Schedule bạn tiến hành chọn policy mà mình đã tạotrên Schedules:

Sau khi cấu hình xong cho Firewall rule, chọn Save -> Apply Changes, ta nhậnđược kết quả:

2.1.5 Traffic shaper

Kiểm soát lưu lượng băng thông luôn là việc làm cần thiết và quan trọng, ảnhhưởng trực tiếp đến hiệu suất mạng của hệ thống Trong phần lớn các hệ thống mạng,những User đều phải chia sẻ và dùng chung một kết nối Internet.Vấn đề lớn nhất khi

sử dụng một hệ thống mạng dùng chung đó là một user có thể vô tình hoặc cố ý sửdụng hết băng thông của hệ thống, kết quả là những User còn lại bị ảnh hưởng, khôngthể truy cập hoặc truy cập Internet rất chậm

Pfsense cung cấp tính năng Traffic Shaper giúp theo dõi và quản lí băng thôngmạng dễ dàng và hiệu quả hơn

Để bắt đầu, chọn Firewall -> Traffic Shaper Giao diện của Traffic Shaper:

Hình 2-15: Cấu hình Traffic Shaper: Upload5MB

Cuối cùng chọn Save -> Apply Changes Với giới hạn tốc độ upload là 10MB, talàm tương tự:

Hình 2-16: Cấu hình Traffic Shaper: Download10MB

Sau khi đã có chính sách về băng thông ta cần tiến hành áp dụng chúng cho cácFirewall rule, bằng cách vào Firewall ->Rules Ta có thể tạo các rule mới để và ápdụng chính sách vào các rule được tạo ra, nhưng ở đây chúng ta dùng rule có sẵn của

hệ thống Chọn rule cần áp dụng nhấn vào [e] để thêm chính sách:

Hình 2-17: Rule được chọn áp dụng Traffic Shaper

Tiếp theo, trong Firewall rule muốn áp dụng, kéo xuống mục Advanced Options

-> Display Advanced, trong mục In/Out pipe bạn tiến hành chọn policy mà mình đã tạotrên Traffice Shaper:

Hình 2-18: In/ Out pipe

Cần lưu ý một điều đó là chính sách này sẽ được áp dụng trên interface chịuFirewall rule, nên In ở đây có nghĩa là tốc độ mà client đưa lên interface chịu rule, cònOut là tốc độ mà client sẽ lấy từ interface này

Sau khi cấu hình xong cho Firewall rule, chọn Save -> Apply Changes

2.1.6 Virtual Ips

Pfsense cho phép sử dụng nhiều địa chỉ IP công cộng kết hợp với cơ chế NATthông qua IP ảo Có ba loại IP ảo có sẵn trên pfSense: Proxy ARP, CARP và một loạikhác Mỗi loại đều rất hữu ích trong các tình huống khác nhau Trong hầu hết cáctrường hợp, pfSense sẽ cung cấp ARP trên IPs, do đó cần phải sử dụng Proxy ARPhoặc CARP Trong tình huống mà ARP không cần thiết, chẳng hạn như khi các IPcông cộng bổ sung được định tuyến bởi nhà cung cấp dịch vụ mạng, sẽ sử dụng IP ảoloại khác Virtual IP được sử dụng để cho phép pfSense đúng cách chuyển tiếp lưulượng cho những việc như chuyển tiếp cổng NAT, NAT Outbound và NAT 1:1 Họcũng cho phép các tính năng như failover, và có thể cho phép dịch vụ trên router đểgắn kết với địa chỉ IP khác nhau

- CARP

 Có thể được sử dụng bởi các tường lửa chính nó để chạy các dịch vụ hoặc đượcchuyển tiếp

 Tạo ra lớp 2 lưu lượng cho các VIP (Virtual IP)

 Có thể được sử dụng cho clustering (tường lửa và tường lửa chủ failover chế độchờ)

 Các VIP đã được trong cùng một subnet IP của giao diện thực

 Sẽ trả lời ICMP ping nếu được phép theo các quy tắc tường lửa

 Proxy ARP

 Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể đượcchuyển tiếp

 Tạo ra lớp 2 lưu lượng cho các VIP

 Các VIP có thể được trong một subnet khác với IP của giao diện thực

 Không trả lời gói tin ICMP ping

Giao diện của Virtual Ips:

Trong thực tế, Captive Portal được biết đến với cái tên đầy hoa mĩ Wi-FiMarketing bởi vì nó được ứng dụng khá nhiều trong vai trò marketing Hệ thống tronggiải pháp WiFi Marketing tạo điều kiện cho khách hàng truy cập miễn phí Nhưngtrước tiên họ phải điều hướng request tới nội dung của một trang website mà chúng ta

đã chuẩn bị sẵn Ở đây chúng ta sẽ có cơ hội hiển thị cho họ sản phẩm, dịch vụ của ta

đã và đang cung cấp, khuyến mãi hoặc đơn giản là thông tin liên quan đến doanhnghiệp của mình

Hình 2-20: Captive portal login page

+ Radius authentication: Chứng thực bằng radius server (Cần chỉ ra địa chỉ IP củaradius, port, …)

Tính năng Captive Portal nằm ở mục Services/Captive Portal

Hình 2-21: Captive portal

2.2.2 DHCP Server

Dịch vụ này cho phép pfSense cấp địa chỉ IP và các thông tin cấu hình cho clienttrong mạng LAN

Để cấu hình DHCP Server, ta thực hiện lần lượt các bước sau:

 Services -> DHCP Server -> LAN

 Enable : bật DHCP lên (DHCP chỉ có thể mở 1, nếu DHCP Relay đangEnable thì phải tắt đi mới Enable được DHCP Server và ngược lại)

 Range : Là dãy IP muốn cung cấp, giới hạn mỗi range phụ thuộc subnetmask

 Available range : là hệ thống gợi ý sẵn range có thể dùng.

 DNS Server : có thể mượn DNS google 8.8.8.8 8.8.4.4

 Tích Change DHCP display lease time from UTC to local time và EnableRRD statistics graphs

 Bấm vào nút Save để khởi chạy dịch vụ DHCP trên pfSense

Vd: cấu hình DHCP cấp dãy địa chỉ 192.168.10.11 – 192.168.10.254:

Ngoài ra, chúng ta có thể cấu hình thêm một số thông số DHCP cấp cho client nhưDefault Gateway, Domain Name…

Hình 2-22: Cấu hình DHCP Server

2.2.3 Load Balancer

Với chức năng này bạn có thể điều phối mạng hay còn gọi là cân bằng tải mạng

 Có 2 loại Load Balancing trên pfSense:

- Gateway Load Balancing: được dùng khi có nhiều kết nối WAN Clientbên trong LAN khi muốn kết nối ra ngoài Internet thì pfSense lựa chọncard WAN để chuyển packet ra card đó giúp cho việc cân bằng tải chođường truyền

- Server Load Balancing: cho phép cân bằng tải cho các Server của mình.Được dùng phổ biến cho các Web Server, Mail Server và Server khônghoạt động nữa thì sẽ bị xóa

 Chức năng cân băng tải của pfsense có những đặc điểm:

- Phải trang bị thêm modem nếu không có sẵn

- Không được hỗ trợ từ nhà sản xuất như các thiết bị cân bằng tải khác

- Vẫn chưa có tính năng lọc URL như các thiết bị thương mại

- Đòi hỏi người sử dụng phải có kiến thức cơ bản về mạng để cấu hình

2.2.4 VPN

VPN (Virtual Private Network) là một kiểu kết nối cho phép các máy tính truyềnthông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫn đảmbảo được tính riêng tư và bảo mật dữ liệu Để cung cấp kết nối giữa các máy tính, cácgói thông tin được bao bọc bằng một header có chứa những thông tin định tuyến, chophép dữ liệu có thể gửi từ máy truyền qua môi trường mạng chia sẻ và đến được máynhận, như truyền trên các đường ống riêng được gọi là tunnel Để bảo đảm tính riêng

tư và bảo mật trên môi trường chia sẻ này, các gói tin được mã hoá và chỉ có thể giải

mã với những khóa thích hợp, ngăn ngừa trường hợp “trộm” gói tin trên đường truyền.Chức năng này của pfSense được đánh giá là rất tốt.

Hình 2-23: VPN

VPN gồm: IPsec, L2TP, OpenVPN

 L2TP / Ipsec

Giao thức đường hầm lớp 2 là giao thức VPN không cung cấp bất kỳ mã hóa nào Đó

là lý do tại sao nó thường được thực hiện cùng với mã hóa IPsec Vì nó được tích hợpvào các hệ điều hành máy tính để bàn và thiết bị di động hiện đại, nên việc thực hiệnkhá dễ dàng Nhưng nó sử dụng cổng UDP 500 - điều đó có nghĩa là nó không thểđược ngụy trang trên một cổng khác, như OpenVPN có thể Do đó, dễ dàng hơn đểchặn và khó hơn để đi xung quanh tường lửa với

Mã hóa IPsec phải an toàn, theo lý thuyết Có một số lo ngại rằng NSA có thể đã làmsuy yếu tiêu chuẩn, nhưng không ai biết chắc chắn Dù bằng cách nào, đây là một giảipháp chậm hơn OpenVPN Lưu lượng phải được chuyển đổi thành dạng L2TP, sau đó

mã hóa được thêm vào đầu với IPsec Đó là một quá trình hai bước

L2TP / IPsec về mặt lý thuyết là an toàn, nhưng có một số lo ngại Thật dễ dàng đểthiết lập, nhưng gặp khó khăn khi đi xung quanh tường lửa và không hiệu quả nhưOpenVPN Gắn bó với OpenVPN nếu có thể, nhưng chắc chắn sử dụng điều này qua

PPTP

 OpenVPN

OPENVPN là một giải pháp SSL VPN mã nguồn mở có thể được sử dụng cho cảclient truy cập từ xa và kết nối kiểu site-to-site Nó hỗ trợ client trên phạm vi rộng củacác hệ điều hành bao gồm tất cả BSD, Linux, Mac OS X, Windows 2000 trở đi Chứcnăng này tương đường với cấu hình trực diện Địa điểm chính được cấu hình nhưclient đang kết nối với máy chủ tại địa điểm từ xa đó

2.2.5 Một số chức năng khác

- Remote Desktop: giúp bạn có thể điều khiển từ xa một máy tính trong mạng củamình System log: theo dõi hoạt động của hệ thống pfSense và các dịch vụ màpfSense cung cấp Mọi hoạt động của hệ thống và dịch vụ đều được ghi lại

- System Status: Liệt kê các thông tin và tình trạng của hệ thống

- Service Status: Hiển thị trạng thái của tất cả các service có trong hệ thống Mỗiservice có hai trạng thái là: running, stopped

- Interface Status: Hiển thị thông tin của tất cả card mạng

- RRD Graph: Hiển thị các thông tin dưới dạng đồ thị Các thông tin mà RRD Graph

sẽ thể hiện là: System, Traffic, Packet, Quality, Queues

- Pfsense khá linh hoạt với các hệ thống khác để hỗ trợ tốt hơn cho việc vận hành củapfSense như: kết hợp chứng thực người dùng thông qua hệ thống RADIUS…

- Ngoài ra pfSense còn có thể kết nối với mạng 3G, 4G thông qua thiết bị 3G, 4G.Trường hợp này phòng bị cho sự cố bất khả kháng khi tất cả các đường truyềninternet bằng cáp bị hư hỏng