PfSense là một ứng dụng có chức năng định tuyến vào tường lửa mạnh và miễn phí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo mật. Bẳt đầu vào năm 2004, khi m0n0wall mới bắt đầu chập chững– đây là một dự án bảo mật tập trung vào các hệ thống nhúng – pfSense đã có hơn 1 triệu download và được sử dụng để bảo vệ các mạng ở tất cả kích cỡ, từ các mạng gia đình đến các mạng lớn của của các công ty. Ứng dụng này có một cộng đồng phát triển rất tích cực và nhiều tính năng đang được bổ sung trong mỗi phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn định và khả năng linh hoạt của nó.
GIỚI THIỆU CHUNG VỀ PFSENSE
Khái niệm về pfsense
PfSense là một ứng dụng định tuyến và tường lửa mạnh mẽ, miễn phí, giúp mở rộng mạng mà không làm giảm bảo mật Ra mắt vào năm 2004, pfSense đã thu hút hơn 1 triệu lượt tải và được sử dụng để bảo vệ mạng lưới từ gia đình đến doanh nghiệp lớn Ứng dụng này có một cộng đồng phát triển năng động, liên tục bổ sung tính năng mới trong mỗi phiên bản để nâng cao bảo mật, ổn định và tính linh hoạt.
Tường lửa và các tính năng nổi bật
Pfsense tích hợp nhiều tính năng giống như các thiết bị tường lửa và router thương mại, bao gồm giao diện người dùng đồ họa (GUI) trên nền Web, giúp việc quản lý trở nên dễ dàng hơn.
PfSense, được xây dựng trên nền tảng FreeBSD và sử dụng giao thức Common Address Redundancy Protocol (CARP), cung cấp khả năng dự phòng hiệu quả bằng cách cho phép quản trị viên kết hợp nhiều tường lửa vào một nhóm tự động chuyển đổi dự phòng Hệ thống này hỗ trợ nhiều kết nối mạng diện rộng (WAN), giúp thực hiện cân bằng tải một cách linh hoạt Đặc biệt, việc cài đặt và cấu hình phần mềm PfSense không yêu cầu phần cứng cao, chỉ cần một máy tính với cấu hình P3, RAM 128 MB và ổ cứng HDD 1GB là đủ để thiết lập tường lửa PfSense.
Tuy nhiên đặc thù Pfsense là tường lửa ngăn các nguy hại giữa mạng WAN và mạng LAN nên máy cài đặt Pfsense yêu cầu tối thiểu 2 card mạng.
PfSense là một tường lửa mềm mạnh mẽ, cho phép người dùng cài đặt trên bất kỳ máy tính nào, đặc biệt là máy chủ, để bảo vệ hệ thống mạng doanh nghiệp Được xem là tường lửa nguồn mở tốt nhất cho doanh nghiệp vừa và nhỏ với dưới 1000 người dùng, pfSense có khả năng xử lý hàng triệu kết nối đồng thời Ngoài ra, pfSense còn tích hợp nhiều tính năng mở rộng, vượt trội hơn so với các tường lửa thông thường và cả các thiết bị tường lửa cứng của các thương hiệu nổi tiếng.
Các tính năng nổi bật:
Chặn truy cập theo khu vực địa lý.
Quản lý chất lượng QoS.
Quản trị mạng không dây.
Giám sát/Phân tích mạng.
Quản lý tên miền (DC), hỗ trợ tên miền động (DynDNS).
Cho phép chạy song hành, failover.
Hỗ trợ ngôn ngữ tiếng Việt (*).
Tự động cập nhật black list.
Tự động nâng cấp phiên bản.
Lợi ích của pfsense đem lại
Tường lửa pfSense hoàn toàn miễn phí và có giá cả ưu thế vượt trội, không đồng nghĩa với chất lượng kém Với hiệu năng cao và mã nguồn cùng hệ điều hành đã được tối ưu hóa, pfSense hoạt động ổn định mà không cần nền tảng phần cứng mạnh Điều này giúp doanh nghiệp tiết kiệm chi phí triển khai, đồng thời mang lại sự linh hoạt và khả năng mở rộng chưa từng có khi cần nhiều hơn một tường lửa.
pfSense không chỉ đơn thuần là một tường lửa mà còn là một thiết bị mạng toàn diện với nhiều tính năng hữu ích Khi gặp sự cố mạng, doanh nghiệp có thể nhanh chóng tận dụng các chức năng đa dạng của pfSense để tìm ra giải pháp hiệu quả, tiết kiệm thời gian và công sức thay vì phải tìm kiếm thiết bị mới.
Khả năng quản lý tường lửa pfSense rất dễ dàng nhờ vào giao diện web trực quan Đặc biệt, pfSense có giao diện quản trị bằng tiếng Việt, được dịch bởi các chuyên gia hệ thống mạng của Techlink, giúp người dùng dễ dàng hiểu và sử dụng Điều này mang lại sự thoải mái cho các nhà quản trị mạng trong việc theo dõi và quản lý các hoạt động của tường lửa.
Tường lửa pfSense là giải pháp tối ưu và mạnh mẽ, mang lại sự an toàn cho các nhà tài chính và tạo dựng niềm tin vững chắc cho các nhà quản trị.
CÁC TÌNH HUỐNG ỨNG DỤNG
Cấm/Cho phép các truy cập từ bên ngoài hoặc bên
Mô tả: Hiện tại, doanh nghiệp có các máy chủ dịch vụ và nhiều người dùng bên trong mạng nội bộ Doanh nghiệp muốn:
Từ bên ngoài mạng internet, người dùng chỉ được phép truy cập vào một số dịch vụ bên trong nhất định.
Từ bên trong mạng nội bộ, người dùng chỉ được phép truy cập tới các dịch vụ internet nhất định.
pfSense là một giải pháp tường lửa hiệu quả, đáp ứng đầy đủ yêu cầu cấm hoặc cho phép truy cập dựa trên các thông số như địa chỉ IP, cổng và tên miền Tính năng này là cơ bản và thiết yếu cho mọi hệ thống bảo mật mạng.
Cấm truy cập theo thời gian biểu
Doanh nghiệp quy định giờ làm việc từ 8h đến 12h và 13h đến 17h Trong thời gian làm việc, nhân viên không được phép sử dụng internet để chat qua Yahoo Messenger, Skype hay xem phim Tuy nhiên, trong khoảng thời gian nghỉ trưa từ 12h đến 13h, nhân viên có thể thoải mái truy cập internet.
pfSense không chỉ cho phép quản trị mạng thiết lập các luật cấm hoặc cho phép, mà còn hỗ trợ tạo lịch biểu cho những luật này Quản trị viên có thể xây dựng các luật cấm truy cập vào các trang chat hoặc xem phim, đồng thời tạo lịch biểu dựa trên thời gian làm việc và kết hợp chúng lại Tính năng này rất hữu ích, giúp mang lại sự thoải mái cho doanh nghiệp và giảm thiểu công việc thủ công hàng ngày cho quản trị viên mạng.
Cho phép truy cập máy chủ nội bộ từ internet
Doanh nghiệp hiện đang sở hữu một địa chỉ IP tĩnh và mong muốn triển khai các dịch vụ như web, chia sẻ file, CRM, ERP ra bên ngoài internet Mục tiêu là để các đối tác và nhà cung cấp có thể dễ dàng truy cập vào các dịch vụ này, đáp ứng nhu cầu ngày càng phổ biến trong việc kết nối và hợp tác.
Giải pháp 1: pfSense cung cấp hỗ trợ NAT (PAT) cho phép ánh xạ các cổng dịch vụ đến nhiều máy chủ khác nhau, đáp ứng yêu cầu một cách hiệu quả Phương pháp này dễ thực hiện và hầu hết các tường lửa đều có khả năng này Tuy nhiên, nhược điểm là người dùng cần phải nhớ số hiệu cổng truy cập.
Giải pháp 2: pfSense cung cấp tính năng reverse proxy, cho phép ánh xạ tên miền tới các máy chủ khác nhau, đáp ứng nhu cầu linh hoạt trong quản lý lưu lượng Trong khi đó, nhiều tường lửa khác không hỗ trợ tính năng này hoặc yêu cầu sử dụng nhiều địa chỉ IP tĩnh.
Mỗi người dùng có một tài khoản riêng để truy cập wireless
Hiện nay, doanh nghiệp sử dụng mạng wireless cho nhân viên và có một mạng riêng cho khách hàng Tuy nhiên, đôi khi có người dùng trong mạng wireless tiêu tốn quá nhiều băng thông, như xem phim online, gây ảnh hưởng đến công việc của người khác mà doanh nghiệp không thể xác định được Hơn nữa, việc thay đổi mật khẩu truy cập wireless định kỳ để đảm bảo an toàn cũng tạo ra sự phiền phức khi phải thông báo lại cho tất cả người dùng nội bộ.
Bấm vào đây để xem "một số trường hợp ứng dụng captive-portal"
Để kiểm soát truy cập wireless hiệu quả, doanh nghiệp có thể đầu tư vào các thiết bị wireless controller, tuy nhiên, điều này đòi hỏi nhà quản trị mạng phải làm quen với nhiều loại thiết bị và phần mềm quản trị khác nhau Một giải pháp tiết kiệm và hiệu quả là sử dụng pfSense, cho phép quản lý mạng wireless với số lượng mạng không giới hạn Thông qua pfSense, doanh nghiệp có thể tạo tài khoản truy cập wireless riêng cho từng người dùng, đồng thời phân bổ băng thông tối đa cho mỗi người Ngoài ra, doanh nghiệp còn có thể phát hành voucher truy cập wireless cho khách hàng vãng lai với hạn mức sử dụng trong ngày Đặc biệt, doanh nghiệp có thể tận dụng mạng wireless để quảng cáo, hướng người dùng chưa xác thực đến trang web giới thiệu công ty, một tính năng hữu ích trong các môi trường như bệnh viện, khách sạn và trường học.
Sử dụng tên miền động miễn phí
Trong doanh nghiệp, một chi nhánh có hệ thống mạng nhưng không sở hữu địa chỉ IP tĩnh và tên miền, dẫn đến việc người dùng hoặc khách hàng từ bên ngoài không thể truy cập vào hệ thống mạng nội bộ để lấy thông tin cần thiết.
Giải pháp miễn phí cho doanh nghiệp là sử dụng tên miền động từ các nhà cung cấp như noip hoặc dyndns Phương pháp này có ưu điểm là hoạt động tương tự như tên miền tĩnh và IP tĩnh Tuy nhiên, nhược điểm là cần cài đặt phần mềm từ noip hoặc dyndns trên một máy tính trong mạng nội bộ để cập nhật địa chỉ IP thường xuyên, đồng thời cần cấu hình tường lửa để phần mềm hoạt động hiệu quả.
pfSense cải thiện cơ chế tên miền động bằng cách khắc phục tất cả các nhược điểm trước đây Thay vì phải tải phần mềm từ nguồn không rõ ràng để cung cấp địa chỉ IP, pfSense tích hợp chức năng tự động cập nhật IP mà không cần cài đặt trên máy tính khác Nhờ đó, pfSense không chỉ hoạt động như một tường lửa mà còn tự động quản lý IP động cho hệ thống tên miền toàn cầu, đảm bảo nhanh chóng và an toàn.
Kết nối mạng nội bộ của các chi nhánh với nhau
Doanh nghiệp có nhiều chi nhánh trên toàn quốc đang tìm cách kết nối mạng nội bộ giữa các chi nhánh để tăng cường khả năng chia sẻ thông tin Mục tiêu là đảm bảo quá trình trao đổi dữ liệu diễn ra nhanh chóng, an toàn và đáng tin cậy, giúp cải thiện hiệu quả hoạt động của toàn bộ hệ thống.
Giải pháp: phương pháp chung của mọi tường lửa là triển khai mạng LAN ảo –
VPN giữa các chi nhánh thường sử dụng IPsec để tạo kết nối an toàn Tuy nhiên, pfSense còn hỗ trợ thêm bốn phương thức khác để thiết lập VPN, bao gồm IPsec, L2TP, PPTP và OpenVPN Đặc biệt, OpenVPN rất phổ biến trong môi trường Linux, hoàn toàn miễn phí và không yêu cầu người dùng cuối phải có kiến thức kỹ thuật sâu.
CÁCH CÀI ĐẶT PFSENSE
Chuẩn bị bộ cài pfsense
Download và cài đặt Vmware Workstation 15 tại địa chỉ http://www.mediafire.com/file/71ui47fpf7h3ujn/VMware+Workstation+15.rar
Download pfSense.iso tại trang chủ của pfSense https://www.pfsense.org/
Cài đặt pfSense trên vmware workstation
Tạo 1 máy ảo mới ( New Virtual Machine Wizard (Ctrl+N) ) Chọn
Chọn “Browse” chọn file cài đặt đuôi “iso” đã dow về như hình bên dưới.
Tiếp tục “Next” tới bước bên dưới.
Chọn “Network Adapter” để tạo thêm 1 card mạng nữa → ”Next”.
Card 2 chọn “Lan segment” → chọn “Lan”.
Qúa trình tạo môi trường máy ảo thành công.
Cấu hình pfsense
Khởi động máy ảo click ”Power on this virtual machine”.
Chọn “Continue with default keymap”.
Đặt tên cho card WAN: gõ “em0” → ”enter”.
Cấu hình IP tĩnh cố định cho card WAN: chọn “n” → ”Enter”.
Đặt IP card WAN là: 192.168.24.144 → Enter.
Chọn subnet ở lớp C: chọn 24 → Enter.
Đặt ip upstream gateway address: 192.168.24.254 → Enter.
Chon “n” → “enter” đến khi kết thúc quá trình đặt ip card WAN.
Tiếp theo cấu hình IP card mạng LAN.
Chọn option 2 cấu hình tương tự card WAN với địa chỉ ip: 172.16.88.254.
Đăng nhập pfsense và cấu hình cơ bản
Đăng nhập với tài khoản mặc định ban đầu:
Đặt Domain là: mangmaytinh.com.
Đặt thời gian đồng bộ với thời gian thực.
Time zone chọn: Asia/Ho_Chi_Minh.
Bỏ tick “Block private networks from entering via WAN” Và ”Block non-internet router networks from entering via WAN”.
Sau khi cấu hình xong ta được hình bên dưới.
