Đồ án: Tìm Hiểu Và Triển Khai Hệ Thống Tường Lửa Pfsense - Tài Liệu Text

Có thể bạn quan tâm

Tải bản đầy đủ (.doc) (55 trang)

Trang chủ

Công nghệ thông tin

Quản trị mạng

Đồ án: Tìm hiểu và triển khai hệ thống tường lửa pfsense

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.81 MB, 55 trang )

LỜI CẢM ƠNEm xin gửi lời cảm ơn trân trọng nhất của mình tới thầy giáo hướng dẫntốt nghiệp, Ths. Vũ Chí Cường, bộ môn Truyền thông và mạng máy tính, khoaCông nghệ thông tin, trường đại học Vinh, người đã tận tình hướng dẫn và chỉbảo em, cung cấp cho em những kiến thức và tài liệu quý giá, giúp em địnhhướng trong quá trình nghiên cứu thực hiện đồ án tốt nghiệp. Nhờ sự giúp đỡtận tâm của thầy, em mới có thể hoàn thành được đồ án này.Em xin bày tỏ lòng biết ơn sâu sắc nhất tới các thầy cô giáo trong trườngđại học Vinh nói chung và khoa Công nghệ thông tin nói riêng, những người đãtrang bị cho em nền tảng kiến thức quý giá trong suốt 5 năm học vừa qua.Cuối cùng, em xin cảm ơn gia đình, bạn bè và những người thân đã luônluôn thương yêu, động viên và khuyến khích em trong thời gian qua.Ngày 25 tháng 11 năm 2012Người thực hiệnTôn Thất HảiSVTH: Tôn Thất HảiTrang 149K-CNTTLỜI MỞ ĐẦUTrong những năm gần đây, nền công nghệ thông tin của đất nước ta đã cónhững bước tiến vượt bậc. Đi đôi cùng với sự phát triển về công nghệ, mạnglưới cơ sở hạ tầng cũng đã được nâng cấp, tạo điều kiện cho các dịch vụ giatăng, trao đổi thông qua mạng bùng nổ. Nhưng cùng với sự phát triển của hệthống mạng, đặc biệt là sự phát triển rộng khắp của hệ thống mạng toàn cầu(Internet), các vụ tấn công phá hoại trên mạng diễn ra ngày càng nhiều và ngàycàng nghiêm trọng hơn. Chúng xuất phát từ rất nhiều mục đích, như là để khẳngđịnh khả năng của bản thân, để thoả mãn một lợi ích cá nhân, hay vì những mâuthuẫn, cạnh tranh…nhưng tựu chung lại đã gây ra một hậu quả rất nghiêm trọngcả về vật chất và uy tín của doanh nghiệp, tổ chức.Đối với các doanh nghiệp, vai trò của Internet là không thể phủ nhận, ứngdụng thương mại điện tử vào công việc kinh doanh giúp cho các doanh nghiệpkhông những giảm đi các chi phí thông thường mà còn có thể mở rộng đối tác,quảng bá sản phẩm cũng như liên kết với khách hàng. Nhưng chấp nhận điều đócũng có nghĩa là doanh nghiệp đang đứng trước nguy cơ đối mặt với các rủi rovà nguy hiểm từ Internet. Chính vì lý do đó vấn đề an ninh mạng đang trở nênnóng bỏng hơn bao giờ hết, các doanh nghiệp cũng đã dần nhận thức được điềunày và có những quan tâm đặc biệt hơn tới hạ tầng an ninh mạng. Một trongnhững thành phần căn bản và hữu ích nhất có thể kể tới trong hạ tầng đó là hệthống firewall – công nghệ đang ngày càng được cải tiến và phát triển đa dạng,phong phú. Xuất phát từ nhu cầu thực tế, khi các doanh nghiệp rất cần một hệthống firewall để bảo vệ họ, đồ án ra đời hy vọng có thể tìm kiếm một giải phápnào đó cho vấn đề này.Khái niệm này đã có từ rất lâu khi công nghệ thông tin nói chung vàmạng máy tính nói riêng phát triển. Thay đổi qua từng thời kì từ những sảnphẩm và công nghệ đơn giản nhất cho đến những bước phát triển vượt bậc nhưhiện nay để cho ra đời những thiết kế với sức mạnh và khả năng đáp ứng nổitrội. Luôn luôn được quan tâm trong rất nhiều các công nghệ trên thị trường bảomật, các dòng firewall ngày nay với tính đa dạng đã có thể phù hợp với nhu cầucủa tất cả các doanh nghiệp đặt ra, từ những hệ thống lớn và hiện đại đến nhữnghệ thống nhỏ, đơn giản.Chính vì những lẽ trên mà khi doanh nghiệp thực sự chú trọng đến hạtầng an ninh mạng của mình thì firewall là một trong thành phần nên được quantâm hàng đầu. Phải có những tiêu chí và giới hạn đặt ra cho sản phẩm tùy thuộcvào điều kiện và mục đích. Yêu cầu về hệ thống firewall vì thế cũng có sự khácnhau với từng đối tượng doanh nghiệp. Với các doanh nghiệp nhỏ mà mục đíchSVTH: Tôn Thất HảiTrang 249K-CNTTchính là trao đổi thông tin, liên lạc thì có lẽ một sản phẩm firewall đơn giản vớigiá cả vừa phải đáp ứng được các yêu cầu tối thiểu như tính năng lọc gói, NAT,khả năng lọc virus, quét mail, ngăn chặn thư rác hay kết nối VPN…(mộtsecurity gateway all-in-one ngăn cách giữa mạng nội bộ và internet) là sự lựachọn hợp lý. Nhưng đối với các doanh nghiệp cỡ vừa hoặc khá lớn thì hệ thốngfirewall không đơn giản chỉ có thế, có thể có nhiều firewall với các chức năngchuyên dụng đứng kết hợp với nhau tại vùng biên của mạng tạo nên một sứcmạnh và khả năng đáp ứng hiệu năng cao cho truy nhập vào ra, hơn thế (mà đặcbiệt với các doanh nghiệp kinh doanh dịch vụ) có khi firewall chỉ làm nhiệm vụbảo vệ cho một phần nhỏ của mạng có vai trò quan trọng hoặc cần mức độ antoàn cao (như hệ thống server hosting dịch vụ…). Với doanh nghiệp lớn và rấtlớn (tập đoàn, ISP…) thì yêu cầu lại phức tạp hơn rất nhiều. Hệ thống cần đượcthiết kế và tính toán chi tiết, không đơn giản là một thiết bị bảo vệ đơn thuần mànó còn phải phối hợp với các thành phần bảo mật khác trên mạng tạo ra một hạtầng thống nhất và có khả năng tự phản ứng và đáp trả lại tấn công mạng.Để hướng tới mục tiêu tạo ra một sản phẩm hữu ích và thiết thực, đồ ántập trung vào việc phân tích các rủi ro và nhu cầu cần bảo vệ của doanh nghiệp,tìm hiểu các công nghệ hiện tại thích hợp để từ đó xây dựng nên hệ thốngfirewall đáp ứng yêu cầu đặt ra.Chính vì thấy tầm quan trọng của vấn đề bảo mật nên em chọn đề tài“TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA PFSENSE”làm đồ án tốt nghiệp của mình. Nội dung đồ án gồm 3 chương.Chương 1: Công nghệ firewall và các giải phápChương 2: Giới thiệu và cài đặt PfSense.Chương 3: Triển khai PfSenseDo nhiều yếu tố khách quan và tầm hiểu biết chưa sâu sắc nên đồ án cònnhiều thiếu sót và hạn chế, em rất mong nhận được ý kiến đóng góp của quýThầy, Cô giáo và các bạn để có thể hoàn thiện hơn nữa.SVTH: Tôn Thất HảiTrang 349K-CNTTMỤC LỤC1.1. Định nghĩa, chức năng, cấu trúc và phân loại...........................................51.2. Các giải pháp firewall................................................................................6Một số giải pháp firewall tiêu biểu dành cho doanh nghiệp............................61.3. Đánh giá, tổng kết và phân tích, lựa chọn công nghệ.............................102.1. Giới thiệu lịch sử xuất xứ của pfSense-------------------------------------112.3.5. VPN trên Pfsense------------------------------------------------------------153.1. Tính năng của pfsense firewall................................................................253.1.1. PFSense Aliases-------------------------------------------------------------253.1.2. NAT---------------------------------------------------------------------------263.1.3. Firewall Rules----------------------------------------------------------------273.1.4. Firewall Schedules----------------------------------------------------------283.2. Một số dịch vụ của pfsense.....................................................................293.2.1. DHCP Server-----------------------------------------------------------------293.2.2. Cài đặt Packages-------------------------------------------------------------293.2.3. Backup and Recovery------------------------------------------------------313.2.4. Load Balancer----------------------------------------------------------------323.2.5. VPN trên Pfsense------------------------------------------------------------383.2.6. Cấu hình Remote Desktop-------------------------------------------------49SVTH: Tôn Thất HảiTrang 449K-CNTTCHƯƠNG I: CÔNG NGHỆ FIREWALL VÀ CÁC GIẢI PHÁP1.1. Định nghĩa, chức năng, cấu trúc và phân loại1.1.1. Định nghĩa firewallFirewall là một phần của hệ thống hay mạng máy tính được thiết kế đểđiều khiển truy nhập giữa các mạng bằng cách ngăn chặn các truy cập khôngđược phép trong khi cho phép các truyền thông hợp lệ. Nó cũng là một hay mộtnhóm các thiết bị được cấu hình để cho phép, ngăn cản, mã hóa, giải mã hayproxy lưu lượng trao đổi của các máy tính giữa các miền bảo mật khác nhaudựa trên một bộ các luật (rule) hay tiêu chuẩn nào khác.1.1.2. Chức năng của firewallChức năng chính của firewall là kiểm soát lưu lượng giữa hai hay nhiềumạng có mức độ tin cậy khác nhau để từ đó thiết lập cơ chế điều khiển luồngthông tin giữa chúng. Cụ thể là:• Cho phép hoặc ngăn cản truy nhập vào ra giữa các mạng.• Theo dõi luồng dữ liệu trao đổi giữa các mạng.• Kiểm soát người sử dụng và việc truy nhập của người sử dụng.• Kiểm soát nội dung thông tin lưu chuyển trên mạng.1.1.3. Cấu trúc của firewallSVTH: Tôn Thất HảiTrang 549K-CNTTKhông hoàn toàn giống nhau giữa các sản phẩm được thiết kế bởi cáchãng bảo mật, tuy nhiên có những thành phần cơ bản sau trong cấu trúc của mộtfirewall nói chung (mà một số trong đó sẽ được tìm hiểu rõ hơn trong phần 2.2về các công nghệ firewall):• Bộ lọc gói (packet filtering)• Application gateways / Proxy server• Circuit level gateway• Các chính sách mạng (network policy)• Các cơ chế xác thực nâng cao (advanced authenticationmechanisms)• Thống kê và phát hiện các hoạt động bất thường (logging anddetection of suspicious activity)1.1.4. Phân loại firewallCó rất nhiều tiêu chí có thể được sử dụng phân loại các sản phẩmfirewall, ví dụ như cách chia ra thành firewall cứng (thiết bị được thiết kếchuyên dụng hoạt động trên hệ điều hành dành riêng cùng một số xử lý trên cácmạch điện tử tích hợp) và firewall mềm (phần mềm firewall được cài đặt trênmáy tính thông thường)…Nhưng có lẽ việc phân loại firewall thông qua côngnghệ của sản phẩm firewall đó được xem là phổ biến và chính xác hơn tất cả.1.2.Các giải pháp firewallKhái niệm về firewall đã ra đời từ rất lâu, cùng với sự phát triển đa dạngcủa các sản phẩm firewall khác nhau trên thị trường thì công nghệ firewall cũngngày một đổi mới với những xử lý phức tạp và cao cấp hơn. Phần sau xin trìnhbày khái quát về quá trình phát triển của công nghệ firewall.Một số giải pháp firewall tiêu biểu dành cho doanh nghiệpKhông có đủ tài chính để trang bị các thiết bị bảo mật đắt tiền cũng nhưthuê các chuyên gia bảo mật chăm sóc cho mạng doanh nghiệp, điều đó khôngcó nghĩa là thị trường bảo mật của các doanh nghiệp thiếu đi những tiềm năngtrong cơ hội kinh doanh. Bản thân các doanh nghiệp cũng có những nhận thứcban đầu về các mối lo ngại bảo mật, và họ sẵn sàng bỏ tiền ra để trang bị cácthiết bị bảo mật cho mình, tất nhiên giá cả của thiết bị đó phải ở mức chấp nhậnđược. Các nhà cung cấp dịch vụ bảo mật đã bắt tay vào để tạo ra các sản phẩmcung cấp hệ thống an toàn “ tất cả-trong-một” (all-in-one) cho một công ty, tổSVTH: Tôn Thất HảiTrang 649K-CNTTchức. Các giải pháp đó có thể là phần cứng cũng như phần mềm nhưng đặcđiểm nổi trội của nó là được tạo nên hướng tới nhu cầu trong hoạt động kinhdoanh của các doanh nghiệp. Được tối ưu cho mục đích sử dụng , các doanhnghiệp không cần đến một hệ thống phức tạp với độ an toàn cao, họ chỉ cần mộthệ thống có thể bảo vệ họ vừa đủ trước các mối an ninh bên ngoài, đồng thời họcũng muốn tích hợp nhiều tính năng để có thể khai thác từ các sản phẩm bảomật đó. Bằng cách điểm qua một số sản phẩm hiện tại, có thể từ đó đưa ra cácnhận định hữu ích từ các chuyên gia bảo mật mạng đối với vấn đề an ninh mạngcho các doanh nghiệp.1.2.1. Phần mềm nguồn mở pfSense firewallLà một trong số các sản phẩm firewall nguồn mở được đánh giá cao nhấthiện nay, nó hoàn toàn miễn phí. Được tách ra từ dự án xây dựng sản phẩmm0n0wall cho các hệ thống nhúng, pfSense được tập trung hướng tới việc càiđặt và chạy ổn định trên các máy tính thông thường. Bản thân pfSense là mộtphần mềm độc lập riêng biệt với hệ điều hành FreeBSD nhỏ gọn được thiết kếriêng và đóng gói cùng, điều này cho phép pfSense cài đặt và chạy trực tiếp lêncác máy tính thông thường mà không cần phải cài đặt trước một hệ điều hànhnền nào khác. Kế thừa các tính năng từ m0n0wall, pfSense đã phát triển để trởthành một firewall mạnh mẽ với đầy đủ các tính năng đáp ứng được nhu cầu từnhững mạng gia đình, doanh nghiệp nhỏ cho đến các hệ thống lớn với hàngngàn thiết bị kết nối mạng. Để có được thành công đó là sự phát triển vượt trộikhi chỉ từ nền tảng lọc gói và định tuyến thuần túy, một danh sách dài các tínhnăng liên quan và các gói cài đặt hữu ích được bổ sung tạo nên một hệ thốnglinh hoạt và vững chắc.Sau đây là danh sách một số đặc trưng và tính năng nổi bật của firewallpfSense:• Chức năng tường lửa lọc gói.• Công nghệ stateful• Dịch địa chỉ mạng (NAT)• Khả năng dự phòng (redundency)• Cân bằng tải: outbound/inbound• Mạng riêng ảo: SSL VPN, IPSec Site-to-site VPN, PPTP VPN• Giám sát và thống kê• Dynamic DNS• DHCP Server and Relay• PPPoE Server• DNS forwarderSVTH: Tôn Thất HảiTrang 749K-CNTT• …1.2.2. Phần mềm nguồn mở IPCop firewallCùng với pfSense firewall vừa được trình bày ở trên, IPCop firewall cũnglà sản phẩm được đánh giá cao và sử dụng phổ biến hiện nay trong thế giớinguồn mở. IPCop là một phần được tách ra từ Linux, bắt nguồn từ SmoothWallvà phát triển thành một dự án riêng. Bản thân IPCop cũng tương tự như pfSensefirewall là một phần mềm độc lập riêng biệt với hệ điều hành nhỏ gọn trên nềnRedHat’s Enterprise được thiết kế và đóng gói cùng, điều này cho phép IPCopđược cài đặt và vận hành riêng biệt trực tiếp lên các máy tính thông thường màkhông có bất kì một đòi hỏi nào khác, hay nói chính xác nó là một hệ điều hànhhoàn chỉnh với tính năng firewall. Kế thừa từ SmoothWall nhưng mã của IPCopđã được thay đổi để chạy trên file system là ext3, thêm vào độ tin cậy cho sảnphẩm, ngoài ra nó cũng được bổ sung vào các tính năng tối ưu của phiên bảnSmoothWall như hỗ trợ ADSL. Hầu hết các ứng dụng trên phiên bảnSmoothWall hiện nay đều có trên IPCop, hơn thế nó còn được cung cấp tốt vàhỗ trợ nhiều dịch vụ hơn. Nếu muốn chạy phiên bản SmoothWall ta phải có sảnphẩm được phân phối từ nhà sản xuất và không miễn phí, trong khi đó IPCop làphần mềm có bản quyền và được cung cấp hoàn toàn miễn phí từ GPL. Được sửdụng chính như một firewall, internet gateway cho các doanh nghiệp vừa vànhỏ, IPCop có các đặc trưng và tính năng chính sau:• Tính năng firewall dựa trên IPTable/IPChains• Mở rộng các cổng giao tiếp hỗ trợ: Analog modem, ISDN modem,hay ADSL modem, và có thể hỗ trợ các kết nối PPP hay PPPoEADSL tới mạng Ethernet.• Hỗ trợ DMZ (sử dụng tối đa 4 giao diện mạng)• Quản trị thông qua giao diện web• Truy nhập từ xa thông qua dịch vụ SSH server cung cấp• DHCP server• Caching DNS• TCP/UDP port forwarding• Hệ thống phát hiện xâm nhập Snort• Hỗ trợ IPSec VPN• …1.2.3. Phần mềm Firewall Check Point Technologies’ Safe@OfficeSVTH: Tôn Thất HảiTrang 849K-CNTTCheck Point Software Technologies’ Safe@Office (giá $299 ) sử dụngcông nghệ INSPECT cung cấp một cho doanh nghiệp một bức tường lửa chắcchắn, kiểm soát các truy nhập ra vào mạng của công ty. Các công cụSafe@Office 500 và Safe@Office 500W Unified Threat Management được dựatrên các phần mềm Firewall-1 và VPN-1 của Check Point, được sửa lại cho hợpvới các thiết bị nhúng. Các thành phần được thiết kế để cài đặt tại doanh nghiệp,do nhân viên tại văn phòng hoặc nhà cung cấp hay bán lại dịch vụ quản lí. Tổnggiám đốc Liran Eshel của SofaWare cho biết, các sản phẩm Safe@Office đãthỏa mãn được những yêu cầu dễ sử dụng và có thể thuê người ngoài quản lí làcác yếu tố quan trọng cho các doanh nghiệp. Các công cụ trong Safe@Officeđược thiết kế để giải quyết nhưng chức năng bảo mật sau:• Tổ chức thông báo rộng rãi các chính sách đến toàn thể nhân viêncông ty. Đồng thời tổ chức các buổi tập huấn, đào tạo nhân viênnhằm áp dụng triệt để các quy định về khai thác tài nguyên côngty.• Quét virus khi trao đổi e-mail, tải file về, duyệt nội dung web haytrên bất cứ dịch vụ có cổng do người dùng định nghĩa nào (userdefined port) với thông tin đặc tả cập nhật từ Check Point.• Ngăn ngừa xâm nhập với khả năng không cho phép một ứng dụngnào đó như các hệ thống chia sẻ file ngang hàng (peer-to-peer filesharing systems) đặc trưng.• Kiểm soát lưu lượng giao thông mạng (traffic monitoring) và côngcụ xử lí sự cố (troubleshooting tools) có thể dùng để gán nhiềubăng thông hơn cho các ứng dụng quan trọng.• Các tính năng mạng riêng ảo VPN (virtual private network) để đảmbảo an toàn cho kết nối với các văn phòng chi nhánh.• Khả năng tạo ra các điểm truy cập không dây với WPA2 (Wi-FiProtected Access) và IPSec (Internet Protocol Security).Giá khởi điểm của Safe@Office 500 là 299 USD cho thiết bị/ 5 ngườidùng. Thiết bị 500W giá 449 USD/ 5 người dùng. Cả hai sản phẩm đều có thểcấp phép cho 25 hoặc vô hạn người dùng. Những người đăng kí cập nhật tườnglửa và chống virus sẽ phải trả ít nhất 10 USD/tháng.1.2.4. Phần mềm FortiGate Antivirus FirewallPhần mềm FortiGate Antivirus Firewall (có giá khoảng $340 ) bao gồmchức năng chống virus dựa trên công nghệ mạng, công cụ lọc nội dung internetSVTH: Tôn Thất HảiTrang 949K-CNTTvà email, tường lửa, mạng riêng ảo và hệ thống phát hiện, ngăn chặn xâm nhập.Phần mềm này có thể cài đặt một cách dễ dàng và tự động cập nhật từFortiProtect. Phần mềm này có thể được cấu hình theo nhiều cách khác nhau,thậm chí có thể cấu hình cho doanh nghiệp với 10 người dùng. Một số tính năngcó thể kể đến:• Ngăn chặn virus• Lọc nội dung lưu lượng web• Lọc spam• Chức năng tường lửa• Chế độ NAT hoặc định tuyến• Chế độ trong suốt• VLANvà các domain ảo• Hệ thống ngăn chặn xâm nhập• Mạng riêng ảo (VPN)• Tính năng dự phòng• Quản lý qua giao diện web• Hỗ trợ giao diện dòng lệnh• Thống kê và báo cáo1.3.Đánh giá, tổng kết và phân tích, lựa chọn công nghệViệc đầu tiên và quan trọng trong bài toán xây dựng hệ thống firewall làviệc lựa chọn công nghệ nào sẽ được áp dụng. Rõ ràng với một firewall đượctích hợp trong một phần cứng chuyên dụng sẽ là một thiết bị hoàn hảo. Nhưngthực tế, các sản phẩm phần cứng đó không dễ dàng có thể có được ở Việt Nam,đi kèm với nó là việc giá thành sản phẩm bị tăng lên do chi phí phần cứng.Sau khi tiến hành khảo sát và tìm hiểu, giải pháp đưa ra là thiết lập mộtfirewall bằng phần mềm, khi triển khai, bản thân doanh nghiệp sẽ tận dụngphần cứng có sẵn trong công ty mình để làm nền triển khai phần mềm bên trên.Phần mềm cần được thiết kế để sao có thể chạy trên các phần cứng không đòihỏi giá thành cao cũng như dễ dàng thay thế và sửa chữa được. Và lựa chọnđược đưa ra khi sử dụng các phần mềm mã nguồn mở để xây dựng hệ thống.Ưu điểm của phần mềm mã nguồn mở là rất rõ ràng, trước hết là chi phíkhi không phải bỏ tiền ra mua bản quyền phần mềm, thêm vào đó, mã nguồnmở cho phép chỉnh sửa bên trong hệ thống để từ đó thay đổi cho phù hợp vớinhu cầu sử dụng. Các phần mềm mã nguồn mở cũng nối tiếng trong sự tùy biếncủa mình, có thể hoạt động trên những phần cứng không yêu cầu cấu hình caoSVTH: Tôn Thất HảiTrang 1049K-CNTT(một máy tính Pentium IV 3.0GHZ, RAM 1GB là có thể đủ với vai trò mộtfirewall hoàn thiện cho một doanh nghiệp dưới 100 người dùng).Trong quá trình tìm hiểu, có rất nhiều phần mềm mã nguồn mở được thiếtkế để đóng vai trò một gateway như vậy. Mỗi phần mềm có những ưu nhượcđiểm khác nhau. Trong số đó, pfSense () được lựa chọnvì nó phù hợp với chức năng của một firewall hoàn thiện. Sở dĩ như vậy là bởivì pfSense có được những ưu điểm trong việc dễ dàng cài đặt và vận hành (mộttrong những trở ngại so với sản phẩm thương mại của phần mềm nguồn mở),cùng với đó là nền tảng hệ thống ổn định và các chức năng phong phú đượccung cấp mà đồ án xin được trình bày rõ ngay sau đây.CHƯƠNG II : GIỚI THIỆU VÀ CÀI ĐẶT PFSENSE2.1. Giới thiệu lịch sử xuất xứ của pfSenseĐể bảo vệ cho hệ thống mạng bên trong thì chúng ta có nhiều giải phápnhư sử dụng Router Cisco, dùng tường lửa của Microsoft như ISA….Tuy nhiên những thành phần kể trên tương đối tốn kém. Vì vậy đối vớingười dùng không muốn tốn tiền nhưng lại muốn có một tường lửa bảo vệ hệthống mạng bên trong (mạng nội bộ) khi mà chúng ta giao tiếp vối hệ thốngmạng bên ngoài (Internet) thì PFSENSE là một giải pháp tiết kiệm và hiệu quảtương đối tốt nhất đối với người dùng.pfSense là một ứng dụng có chức năng định tuyến vào tường lửa mạnh vàmiễn phí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bịthỏa hiệp về sự bảo mật. Bẳt đầu vào năm 2004, khi m0n0wall mới bắt đầuchập chững– đây là một dự án bảo mật tập trung vào các hệ thống nhúng –pfSense đã có hơn 1 triệu download và được sử dụng để bảo vệ các mạng ở tấtcả kích cỡ, từ các mạng gia đình đến các mạng lớn của của các công ty. Ứngdụng này có một cộng đồng phát triển rất tích cực và nhiều tính năng đang đượcbổ sung trong mỗi phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn địnhvà khả năng linh hoạt của nóSVTH: Tôn Thất HảiTrang 1149K-CNTTPfsense bao gồm nhiều tính năng mà bạn vẫn thấy trên các thiết bị tườnglửa hoặc router thương mại, chẳng hạn như GUI trên nền Web tạo sự quản lýmột cách dễ dàng. Trong khi đó phần mềm miễn phí này còn có nhiều tính năngấn tượng đối với firewall/router miễn phí, tuy nhiên cũng có một số hạn chế.Pfsense hỗ trợ lọc bởi địa chỉ nguồn và địa chỉ đích, cổng nguồn hoặccổng đích hay địa chỉ IP. Nó cũng hỗ trợ chính sách định tuyến và có thể hoạtđộng trong các chế độ bridge hoặc transparent, cho phép bạn chỉ cần đặtpfSense ở giữa các thiết bị mạng mà không cần đòi hỏi việc cấu hình bổ sung.pfSense cung cấp network address translation (NAT) và tính năng chuyển tiếpcổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với Point-to-PointTunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và SessionInitiation Protocol (SIP) khi sử dụng NAT.pfSense được dựa trên FreeBSD và giao thức Common AddressRedundancy Protocol (CARP) của FreeBSD, cung cấp khả năng dự phòng bằngcách cho phép các quản trị viên nhóm hai hoặc nhiều tường lửa vào một nhómtự động chuyển đổi dự phòng. Vì nó hỗ trợ nhiều kết nối mạng diện rộng(WAN) nên có thể thực hiện việc cân bằng tải. Tuy nhiên có một hạn chế với nóở chỗ chỉ có thể thực hiện cân bằng lưu lượng phân phối giữa hai kết nối WANvà bạn không thể chỉ định được lưu lượng cho qua một kết nối.SVTH: Tôn Thất HảiTrang 1249K-CNTT2.2. Một số tính năng của Pfsense2.2.1. pfSense AliasesAliases có thể giúp bạn tiết kiệm một lượng lớn thời gian nếu bạn sử dụngchúng một cách chính xác.Một Aliases ngắn cho phép bạn sử dụng cho một host ,cổng hoặc mạng có thểđược sử dụng khi tạo các rules trong pfSense .Sử dụng Aliases sẽ giúp bạn chophép bạn lưu trữ nhiều mục trong một nơi duy nhất có nghĩa là bạn không cầntạo ra nhiều rules cho nhóm các máy hoặc cổng.2.2.2. NATPfSense cung cấp network address translation (NAT) và tính năng chuyểntiếp cổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với Point-to-PointTunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và SessionSVTH: Tôn Thất HảiTrang 1349K-CNTTInitiation Protocol (SIP) khi sử dụng NAT.Trong Firewall bạn cũng có thể cấu hình các thiết lập NAT nếu cần sử dụngcổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1) cho các host cụthể. Thiết lập mặc định của NAT cho các kết nối outbound làautomatic/dynamic, tuy nhiên bạn có thể thay đổi kiểu manual nếu cần.2.2.3. Firewall RulesNơi lưu các rules (Luật) của Firewall. Để vào Rules của pfsense vàoFirewall → Rules.Mặc định pfsense cho phép mọi trafic ra/vào hệ thống .Bạn phải tạo ra các rulesđể quản lí mạng bên trong firewall.2.2.4. Firewall SchedulesCác Firewall rules có thể được sắp xếp để nó có chỉ hoạt động vào các thờiđiểm nhất định trong ngày hoặc vào những ngày nhất định cụ thể hoặc các ngàytrong tuần.2.3. Một số dịch vụ của Pfsense2.3.1. DHCP ServerDHCP Server chỉnh cấu hình cho mạng TCP/IP bằng cách tự động gán cácđịa chỉ IP cho khách hàng khi họ vào mạng.2.3.2. Cài đặt PackagesNgười dùng có nhu cầu thêm các chức năng mở rộng của chương trình càiđặt pfSense ,bạn có thể thêm các gói từ một lựa chọn các phần mềm.Gói có thể được cài đặt bằng cách sử dụng Package Manager, nằm tại menuSystem. Package Manager sẽ hiển thị tất cả các gói có sẵn bao gồm một mô tảngắn gọn về chức năng của nó2.3.3. Backup and RecoveryDịch vụ này giúp người dùng có thể sao lưu hay khôi phục cấu hình pfsenselại.2.3.4. Load BalancerChức năng cân băng tải của pfsense có những đặc điểmƯu điểm- Miễn phí.SVTH: Tôn Thất HảiTrang 1449K-CNTT- Có khả năng bổ sung thêm tính năng bằng gói dịch vụ cộng thêm.- Dễ cài đặt, cấu hình.Hạn chế- Phải trang bị thêm modem nếu không có sẵn.- Không được hỗ trợ từ nhà sản xuất như các thiết bị cân bằng tải khác.- Vẫn chưa có tính năng lọc URL như các thiết bị thương mại.- Đòi hỏi người sử dụng phải có kiến thức cơ bản về mạng để cấu hình.2.3.5. VPN trên PfsenseVPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường làInternet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LANở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuêbao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng củamột tổ chức với địa điểm hoặc người sử dụng ở xa.2.3.6. Remote DesktopRemote Desktop giúp bạn có thể điều khiển từ xa một máy tính trong mạngcủa mình.2.4. Cài đặt PfsenseTrên máy tính cài Pfsense chúng ta bỏ đĩa pfSense LiveCD Installer.. vào ổCD/DVD để tiến hành cài đặt.SVTH: Tôn Thất HảiTrang 1549K-CNTTMàn hình Welcom to FreeBSD!Phần này hỏi mình có muốn tạo Vlans không. Chọn “N”.SVTH: Tôn Thất HảiTrang 1649K-CNTTChọn Card mạng WAN thứ nhất(primary). Ở đây chọn card “le1″.Chọn card cho mạng LAN bên trong ” le0″SVTH: Tôn Thất HảiTrang 1749K-CNTTChọn Card mạng cho WAN 2 “le2″Ở đây chỉ có 2 card WAN. Nếu có tiếp thì có thể dùng tiếp. Ở đây hết rồi,nên bỏ trắng Enter.SVTH: Tôn Thất HảiTrang 1849K-CNTTSau khi gán xong, apply cho nó chọn “Y”.Tiếp theo, cài đặt cho các Interface(card mạng). Lựa chọn ”2″.SVTH: Tôn Thất HảiTrang 1949K-CNTTCài đặt IP cho mạng LAN trước. Chọn “2″Nhập địa chỉ “10.10.10.10″SVTH: Tôn Thất HảiTrang 2049K-CNTTĐây là subnetmask, chọn “24″Sau đó, nó xuất hiện một câu có nên kích hoạt chức năng DHCP không?Chọn yes “y”. Đồng ý Pfsense là DHCP Server.SVTH: Tôn Thất HảiTrang 2149K-CNTTGán range IP cần cấp cho mạng LAN. Bắt đầu :”10.10.10.100″Kết thúc dãy IP cần cấp là “10.10.10.200″SVTH: Tôn Thất HảiTrang 2249K-CNTTCó cấu hình Pfsense làm webserver không. Chọn “n” , không đồng ý. Nếuchọn thì chức năng sẽ tái hiện trong cách cài đặt Virtual Server.SVTH: Tôn Thất HảiTrang 2349K-CNTTSVTH: Tôn Thất HảiTrang 2449K-CNTTCHƯƠNG III: TRIỂN KHAI PFSENSE3.1. Tính năng của pfsense firewall3.1.1. PFSense AliasesĐể tạo một Aliases chúng ta vào Firewall -> AliasesSVTH: Tôn Thất HảiTrang 2549K-CNTT

Tài liệu liên quan

Tìm hiểu và triển khai hệ thống đăng nhập một lần cho cổng thông tin dịch vụ. Tìm hiểu, đánh giá và triển khai hệ thống học trực tuyến E-learning.
- 126
- 1
- 7
Tìm hiểu và triển khai hệ quản trị nội dung joomla
- 39
- 458
- 0
Tìm hiểu và triển khai hệ thống hội nghị truyền hình dimdim
- 41
- 945
- 3
Tìm hiểu và triển khai hệ thống mạng với giao thức IPV6
- 43
- 821
- 1
Tìm hiểu và triển khai hệ thống tường lửa pfsense
- 53
- 3
- 12
Tìm hiểu và triển khai hệ thống quản trị nhân sự dựa trên nền tảng OFBiz
- 59
- 979
- 0
BÁO CÁO THỰC TẬP TỐT NGHIỆP - ĐỀ TÀI: TÌM HIỂU VÀ TRIỂN KHAI HỆ THÔNG MẠNG VIỄN THÔNG
- 81
- 3
- 9
Luận văn: Tìm hiểu và triển khai hệ thống quản trị nhân sự dựa trên nền tảng OFBiz ppt
- 59
- 473
- 0
Luận văn công nghệ thông tin Tìm hiểu và triển khai hệ thống đăng nhập 1 lần cho cổng thông tin dịch vụ. Tìm hiểu, đánh giá và triển khai hệ thống học trực tuyến (Elearning).
- 169
- 2
- 15
Nghiên cứu và triễn khai hệ thống tường lửa ISA 2006
- 56
- 2
- 10