BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG BÁO CÁO THỰC TẬP TỐT NGHIỆP ĐẠI HỌC Đề tài: “NGHIÊN CỨU VỀ TƯỜNG LỬA PFSENSE” Người hướng dẫn : ThS HUỲNH THANH TÂM Sinh viên thực : VŨ HOÀNG Mã số sinh viên : N17DCAT030 Lớp : D17CQAT01-N Khóa : 2017 – 2022 Hệ : ĐẠI HỌC CHÍNH QUY TP.HCM, tháng … năm 2021 BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG BÁO CÁO THỰC TẬP TỐT NGHIỆP ĐẠI HỌC Đề tài: “NGHIÊN CỨU VỀ TƯỜNG LỬA PFSENSE” Người hướng dẫn : ThS HUỲNH THANH TÂM Sinh viên thực : VŨ HOÀNG Mã số sinh viên : N17DCAT030 Lớp : D17CQAT01-N Khóa : 2017 – 2022 Hệ : ĐẠI HỌC CHÍNH QUY TP.HCM, tháng … năm 2021 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG CƠ SỞ TẠI TP HỒ CHÍ MINH Khoa Cơng nghệ thơng tin CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự – Hạnh phúc TP Hồ Chí Minh, ngày 24 tháng 07 năm 2021 PHIẾU GIAO ĐỀ CƯƠNG THỰC TẬP TỐT NGHIỆP Căn Quyết định số /QĐ-HVCS ngày ./07/2021 Phó Giám đốc Học viện – Phụ trách Cơ sở TP Hồ Chí Minh việc “Giao nhiệm vụ thực tập tốt nghiệp cho sinh viên – Hệ Đại học quy – Khóa 2017-2021 – Ngành Công nghệ thông tin, Đa phương tiện, An toàn thông tin”; Khoa Công nghệ thông tin giao nhiệm vụ thực đề cương thực tập tốt nghiệp cho sinh viên: Họ tên sinh viên : VŨ HỒNG Mã SV: N17DCAT030 Lớp: D17CQAT01-N Ngành: An tồn thơng tin Hình thức đào tạo: Đại học quy Nội dung thực tập chính: Nghiên cứu tường lửa Pfsense Nơi đăng ký thực tập: Đơn vị chủ quản: Đơn vị sở tiếp nhận thực tập: Fujinet System JSC Địa chỉ: WASECO, 10 Phổ Quang, Q.Tân Bình Số ĐT… Số Fax:………………………………………… Đề cương thực tập: Lý thuyết: - Tìm hiểu chức firewall PFSense (NAT, ROUTING, Proxy, VPN, …) - Tìm hiểu mơ hình triển khai Pfsense - Tìm hiểu cấu trúc dịng lệnh firewall PFSense Thực hành: Xây dựng mơ hình triển khai và thực nghiệm kịch cấu hình cho firewall PFSense Giáo viên hướng dẫn: ThS Huỳnh Thanh Tâm Yêu cầu kết thực hiện: Kết thúc tập tốt nghiệp, sinh viên phải lập Báo cáo kết thực tập, có ý kiến đánh giá sở thực tập, hình thức theo quy định Học viện Thời gian thực hiện: Từ ngày 26 tháng 07 năm 2021 đến ngày 03 tháng 09 năm 2021 Nơi nhận: - Sinh viên có tên khoản 1; - Lưu VP khoa KHOA CÔNG NGHỆ THÔNG TIN LỜI CẢM ƠN Lời đầu tiên, em xin phép gửi lời tri ân sâu sắc đến thầy cô trường Học Viện Cơng Nghệ Bưu Chính Viễn Thơng sở TP.HCM tận tình dẫn dắt và truyền đạt cho em nhiều kiến thức quý báu trong năm học vừa qua Đặc biệt, em xin gửi lời cảm ơn chân thành tới ThS.Huỳnh Thanh Tâm Thầy truyền đạt kiến thức, hướng dẫn em nghiên cứu và thực hành suốt trình thực đề tài Em không tiếp thu thêm nhiều kiến thức mà học tinh thần và thái độ làm việc nghiêm túc từ thầy Đó là hành trang cần thiết cho trình làm việc tương lai Em xin chân thành cảm ơn ban lãnh đạo Công ty Cổ phần FUJINET SYSTEMS (FUJINET SYSTEMS JSC) chấp nhận cho em thực tập trục tuyến giai đoạn giãn cách, phòng chống dịch theo thị 16 và tạo điều kiện cho em tham gia học hỏi, áp dụng kiến thức vào thực tế mà em học trường Vì lần đầu em tiếp xúc với môi trường làm việc thực tế công ty nên bài làm em cịn có nhiều thiếu sót Em mong nhận thơng cảm và đóng góp ý kiến q thầy và phía cơng ty toàn thể bạn Sau cùng, em xin chúc quý thầy cô khoa Công nghệ thông tin và thầy Huỳnh Thanh Tâm thật dồi dào sức khỏe để tiếp tục truyền đạt kiến thức cho hệ mai sau TP Hồ Chí Minh, ngày 24 tháng năm 2021 SINH VIÊN THỰC HIỆN ĐỀ TÀI Vũ Hoàng VŨ HOÀNG - N17DCAT030 VŨ HOÀNG - N17DCAT030 MỤC LỤC LỜI CẢM ƠN DANH MỤC CÁC KÍ HIỆU VIẾT TẮT DANH MỤC CÁC BẢNG, SƠ ĐỒ, HÌNH .9 LỜI MỞ ĐẦU 12 Mục tiêu 12 Phương pháp nghiên cứu 12 CHƯƠNG I: GIỚI THIỆU VỀ TƯỜNG LỬA PFSENSE .13 Tổng quan tường lửa .13 1.1 Tường lửa ? 13 1.2 Tác dụng tường lửa 14 Tường lửa PfSense .15 2.1 Giới thiệu PfSense 15 CHƯƠNG II: TÌM HIỂU CÁC CHỨC NĂNG CỦA TƯỜNG LỬA PFSENSE 18 Các chức dịch vụ firewall pfSense 18 1.1 Aliases (Bí danh) 18 1.2 Rules ( Luật) 19 1.3 NAT (Biên dịch địa mạng) 20 1.4 Routing (Định tuyến) 20 1.5 Virtual Ips ( IP ảo) .21 1.6 Schedules ( Lịch trình) 22 1.7 Traffic Sharper ( Quản lý băng thông) 23 Một số chức dịch vụ khác 24 2.1 VPN 24 2.1.1 Open VPN 25 2.1.2 IPSec (Giao thức bảo mật internet) .26 2.1.3 L2TP (Giao thức đường hầm lớp) 27 2.2 Package Manager ( Trình quản lý gói) 28 2.3 Captive Portal ( Cổng cố định) 29 VŨ HỒNG - N17DCAT030 2.4 DHCP (Giao thức Cấu hình Host Động) 31 2.4.1 DHCP Server 31 2.4.2 DHCP relay 32 CHƯƠNG III: TÌM HIỂU VÀ XÂY DỰNG MƠ HÌNH TRIỂN KHAI PFSENSE 33 Cài đặt PfSense 33 Triển khai mơ hình với tường lửa pfSense .38 2.1 Mơ hình Firewall topology cho mạng doanh nghiệp 38 2.1.1 Chuẩn bị 38 2.1.2 Cài đặt máy ảo 39 2.1.3 Cấu hình interface 40 2.2 Thực nghiệm số kịch .44 2.2.1 Cấu hình rules cho máy kết nối với .44 2.2.2 Cấu hình rules chặn số kết nối .48 2.2.3 Cấu hình NAT để máy LAN kết nối đến internet 50 2.2.4 Cấu hình NAT Port Forward để đưa web server lên internet 52 2.2.5 Cấu hình dịch vụ Captive Portal cho máy LAN 55 2.2.6 Thiết lập lịch trình cho luật 57 CHƯƠNG IV: ĐÁNH GIÁ VÀ KẾT LUẬN 60 TÀI LIỆU THAM KHẢO 61 VŨ HOÀNG - N17DCAT030 DANH MỤC CÁC KÍ HIỆU VIẾT KÍ HIỆU Ý NGHĨA ACL Access Control List VLAN Virtual Local Area Network VPN Virtual Private Network DNS Domain Name System DynDNS Dynamic DNS DC Domain Controller NAT Network Address Translation QoS Quality of Service VOIP Voice Over IP P2P Peer to Peer PPTP Point to Point Tunneling Protocal L2TP Layer Tunneling Protocal WAN Wide Area Network LAN Local Area Network DMZ Demilitarized Zone DHCP Dynamic Host Configuration Protocol IIS Internet Information Service URL Uniform Resource Locator MAC Media Access Control VŨ HỒNG - DANH MỤC CÁC BẢNG, SƠ ĐỒ, Hình 1- Tường lửa 13 Hình 1- Công dụng tường lửa 14 Hình 2- Tường lửa PfSense 15 Hình 2- pfSense Firewall 16 Hình 2- Giao diện web PfSense 17 Hình 3- Aliases pfSense 18 Hình 3- Edit Aliases 18 Hình 3- Rules pfSense 19 Hình 3- NAT Port Forward pfSense 20 Hình 3- NAT 1:1 pfSense 20 Hình 3- NAT Outbound pfSense 20 Hình 3- Routing pfSense .21 Hình 3- Virtual IPs pfSense 22 Hình 3- Firewall Schedules 22 Hình 3- 10 Schedule details 23 Hình 3- 11 Traffic Sharper pfSense .23 Hình 4- VPN .24 Hình 4- Available VPN Service 25 Hình 4- OpenVPN pfSense 25 Hình 4- OpenVPN pfSense – Cryptographic Setting .26 Hình 4- OpenVPN pfSense – Cryptographic Setting .26 Hình 4- IPSec pfSense - Tunnel 27 Hình 4- L2TP pfSense 28 Hình 4- Package Manage 28 Hình 4- Captive portal example 29 Hình 4- 10 Captive portal configuration .30 Hình 4- 11 Captive portal configuration 30 Hình 4- 12 Captive portal configuration 30 Hình 5- pfSense download page 33 Hình 5- Installing-mode .33 Hình 5- Installing-Accept 34 Hình 5- Installing-Purpose 34 Hình 5- Installing-Select Keymap 35 Hình 5- Installing 35 VŨ HỒNG - Hình 5- Installing-Process bar 36 Hình 5- Installing-Manual Configuration 36 Hình 5- Installing-Conplete 37 Hình 5- 10 pfSense main screen 37 Hình 6- Setup VMWare pfSense 39 Hình 6- Setup VMWare LAN 39 Hình 6- Setup VMWare DMZ .39 Hình 6- Assign Interfaces 40 Hình 6- VLANs set up 40 Hình 6- Enter WAN interface name 40 Hình 6- LAN and DMZ interface names .40 Hình 6- pfSense's web interface 41 Hình 6- Dash board 41 Hình 6- 10 System setting 42 Hình 6- 11 WAN interface .42 Hình 6- 12 LAN interface 43 Hình 6- 13 DMZ interface .43 Hình 6- 14 pfSense interfaces 44 Hình 7- WAN's rules 44 Hình 7- Allow WAN to any 45 Hình 7- Allow LAN to any rules 45 Hình 7- DMZ’s rule 45 Hình 7- Allow DMZ to any 46 Hình 7- Ping from LAN to WAN 46 Hình 7- Ping from LAN to DMZ 46 Hình 7- Ping from DMZ to LAN 47 Hình 7- Ping from DMZ to WAN 47 Hình 7- 10 Ping from WAN to LAN .48 Hình 7- 11 Ping from WAN to DMZ 48 Hình 7- 12 Block WAN to LAN 49 Hình 7- 13 Ping fail from WAN to LAN 49 Hình 7- 14 Block DMZ to LAN 49 Hình 7- 15 Ping fail from DMZ to LAN 50 Hình 7- 16 NAT Outbound rule .50 Hình 7- 17 NAT Outbound rule 51 Hình 7- 18 NAT Outbound rule 51 Hình 7- 19 NAT Outbound ping test 51 VŨ HOÀNG - Báo cáo TTTN Đại Chương III: Tìm hiểu xây dựng mơ hình triển khai  Ping DMZ  LAN ( ip máy server là 192.168.10.3) Hình 7- Ping from DMZ to LAN  Ping DMZ  WAN Hình 7- Ping from DMZ to WAN o Máy thật vùng WAN  Ping WAN  LAN VŨ HOÀNG - Báo cáo TTTN Đại Chương III: Tìm hiểu xây dựng mơ hình triển khai Hình 7- 10 Ping from WAN to LAN  Ping WAN  DMZ Hình 7- 11 Ping from WAN to DMZ  Sau kiểm tra, tất máy kết nối với 2.2.2 Cấu hình rules chặn số kết nối - Không cho máy từ internet (WAN) kết nối vào máy LAN o Tạo rule block  Action chọn block để chặn  Interface  WAN  Protocal  any  Source chọn WAN net  Desination chọn LAN net VŨ HOÀNG - Báo cáo TTTN Đại Chương III: Tìm hiểu xây dựng mơ hình triển khai Hình 7- 12 Block WAN to LAN o Tiến hành ping kiểm tra ta thấy kết nối bị chặn Hình 7- 13 Ping fail from WAN to LAN - Chặn kết nối từ máy DMZ tới vùng LAN o Tạo rule block  Action chọn block để chặn  Interface  DMZ  Protocal  any  Source chọn DMZ net  Desination chọn LAN net Hình 7- 14 Block DMZ to LAN VŨ HỒNG - Báo cáo TTTN Đại Chương III: Tìm hiểu xây dựng mơ hình triển khai o Tiến hành ping kiểm tra ta thấy kết nối bị chặn Hình 7- 15 Ping fail from DMZ to LAN  Sau cấu hình xong kết nối WAN đến LAN và DMZ đến LAN bị chặn 2.2.3 Cấu hình NAT để máy LAN kết nối đến internet - Do card mạng máy LAN là host-only nên kết nối đến internet Vì ta cần phải cấu hình NAT để máy vùng LAN kết nối đến internet - Đầu tiên tạo rule cho NAT Outbound với cấu hình sau o Interface chọn WAN o Address family  IPv4 Hình 7- 16 NAT Outbound rule o Protocal  Any o Source điền subnet mask 192.168.10.0/24 vùng LAN VŨ HOÀNG - Báo cáo TTTN Đại Chương III: Tìm hiểu xây dựng mơ hình triển khai Hình 7- 17 NAT Outbound rule o Chọn Static Port Hình 7- 18 NAT Outbound rule - o Chọn Save để lưu cầu hình Tiến hành ping đến ip 222.255.239.85 ( gamek.vn) để kiểm tra Hình 7- 19 NAT Outbound ping test VŨ HOÀNG - Báo cáo TTTN Đại Chương III: Tìm hiểu xây dựng mơ hình triển khai  Nhìn vào hình ta thấy trước tạo Rule NAT Outbound máy LAN ping ip ngoài internet Nhưng sau tạo Rule NAT Outbound ping đến web gamek.vn Dưới là hình ảnh sau truy cập trang web Hình 7- 20 Access internet 2.2.4 Cấu hình NAT Port Forward để đưa web server lên internet - Window server có hỗ trợ dịch vụ tạo web server nên ta sử dụng để tạo trang web và đưa internet cho máy vùng WAN truy cập vào - Đầu tiên là tạo trang web đơn giản với file html máy window server Hình 8- Basic html web - Đưa file html vừa tạo vào thự mục chạy IIS và đổi tên thành iisstart Hình 8- IIS index file VŨ HOÀNG - Báo cáo TTTN Đại - Chương III: Tìm hiểu xây dựng mơ hình triển khai Tiến hành khởi động dịch vụ IIS cách mở Start và gõ “IIS” Hình 8- Searching IIS - Chọn server  Chuột phải  Start Hình 8- Start running server - TIếp theo là tạo Port Forward rule cho pfSense: Firewall  NAT  Port Forward  ADD Hình 8- Open NAT - Với cấu hình rule : o Chọn Interface áp dụng rule là WAN o Protocol chọn TCP/UDP o Source mặc định là any o Destination chọn WAN address để áp dụng cho máy ngoài internet o Redirect target IP chọn Single host và điền IP web server 11.0.0.2 VŨ HOÀNG - Báo cáo TTTN Đại Chương III: Tìm hiểu xây dựng mơ hình triển khai Hình 8- Port Forward rule setting - Cuối tiến hành kiểm tra xem truy cập từ internet vào thấy trang web hay khơng Hình 8- Access website  Kết cho thấy ta truy cập trang web vừa tạo lúc cách sử dụng địa IP cổng WAN Chứng tỏ IP chuyển hướng đến web server VŨ HỒNG - Báo cáo TTTN Đại Chương III: Tìm hiểu xây dựng mơ hình triển khai 2.2.5 Cấu hình dịch vụ Captive Portal cho máy LAN - Trên menu chọn Services  Captive Portal., sau chọn Add để thêm - Ta cấu sau: o Đánh dấu Enable o Interface chọn LAN Hình 9- Captive Portal configuration o Ở mục Idle timeout và hard timeout ta điền (phút) để tiện cho việc kiểm tra o Do không sử dụng trang mặc định nên ta tích vào Enable lựa chọn logo và ảnh tùy chọn Hình 9- Custom Login page - Phần xác thực lựa chọn tùy vào mục đích trang Ở ta bắt máy LAN xác thực username và password VŨ HOÀNG - Báo cáo TTTN Đại Chương III: Tìm hiểu xây dựng mơ hình triển khai Hình 9- 3.Captive Portal Authentication - Nhấn Save để lưu lại Hình 9- Captive Portal Zones  Lưu ý: sử dụng DNS server 8.8.8.8 google ta cần phải thêm vào mục Allowed IP Address để pfsense xử lý trước xác thực Nêu không trang xác thực không - Bây ta tiến hành truy cập web để kiẻm tra Hình 9- Login page VŨ HOÀNG - Báo cáo TTTN Đại - Chương III: Tìm hiểu xây dựng mơ hình triển khai Khi sử dụng tài khoản admin pfSense để xác thực vào trang web mong muốn Hình 9- Destination page  Sau đăng nhập hoàn tất ta truy cập internet thoải mái thời gian định mà không cần phải xác thực lại 2.2.6 Thiết lập lịch trình cho luật - Bên cạnh việc tạo luật để quản lý ta thiết lập thời gian biểu để áp dụng luật cách linh hoạt - Đầu tiên ta tạo lịch trình cách vào Firewall  Schedules, chọn ADD để thêm - Cấu sau: o Điền thông tin mô tả lịch trình Hình 10- Schedule information o Tại phần Month chọn tháng muốn áp dụng o Ở phần Date muốn định ngày cụ thể ta phải click vào ngày tùy ý, khơng áp dụng theo tháng mà ta chọn o Chọn thời gian bắt đầu và thơi gian kết thúc VŨ HOÀNG - Báo cáo TTTN Đại Chương III: Tìm hiểu xây dựng mơ hình triển khai Hình 10- Setup Date/Time o Chọn Add Time để hoàn tất - Sau thêm lịch trình ta cần phải áp dụng vào luật: o Vào Rules và chọn luật muốn áp dụng o Mở Display Advanced và chọn lịch trình vừa thêm mục Schedules Hình 10- Advanced options Hình 10- Select schedule VŨ HOÀNG - Báo cáo TTTN Đại Chương III: Tìm hiểu xây dựng mơ hình triển khai o Kết sau áp dụng Hình 10- Rule has applied schedule - Bây ta kiểm tra sau áp dụng lịch trình cách ping  Kết ping thất bại lịch trình không áp dụng cho ngày 28 nên luật áp dụng là “Allow LAN to any” khơng thực thi VŨ HỒNG - Báo cáo TTTN Đại Chương IV: Đánh giá & Kết CHƯƠNG IV: ĐÁNH GIÁ VÀ KẾT LUẬN Đánh giá - Về mặt lý thuyết em nắm khái niệm và tính tường lửa pfSense: o Biết thành phần pfSense ưu điểm mang lại cho người dùng so với tường lửa mềm khác o Hiểu chức tường lửa và thiết lập, dịch vụ hỗ trợ pfSense Rules, NAT, Routing, VPN, … o Biết ý nghĩa, cách dùng thiết lập, dòng lệnh giao diện console và giao diện web cài đặt và sử dụng chức - Trong trình tìm hiểu và triển khai kịch mơ hình tường lửa pfSense em thu nhiều kết quả: o Nắm bắt trình hoạt động pfsense vùng mạng thông qua cỗng kết nối o Quản lý mạng nội thông qua việc cho phép/cấm kết nối máy tính và quy định thời gian áp dụng vào luật o Biết phương thức để trang web internet o Cách bảo mật việc truy cập internet Kết luận - Dựa vào em tìm hiểu và thực hành trình nghiên cứu tường lửa pfsense mà em hiểu sâu tường lửa nói chung và pfSense nói riêng - Ngoài em cịn phát triển thêm nhiều kịch khác dựa vào chức pfSemse và gói cài đặt thêm (package) - Vì thời gian làm đồ án có giới hạn, cơng ty có nhiều việc và khả cịn hạn chế nên em làm số kịch pfSense firewall Một số tính cơng cụ chưa sử dụng hết VŨ HOÀNG - TÀI LIỆU THAM KHẢO Danh mục Website tham khảo: Google search engine, http://www.google.com PfSense documentation, https://docs.netgate.com/pfsense/en/latest/ Trang web https://maychuvatly.com/blog/ Trang web https://itigic.com/ Trang web https://anninhmang.edu.vn/ Trang web https://linuxpip.org/ Trang web https://adminvietnam.org/ VŨ HOÀNG - ...HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG BÁO CÁO THỰC TẬP TỐT NGHIỆP ĐẠI HỌC Đề tài: “NGHIÊN CỨU VỀ TƯỜNG LỬA PFSENSE? ?? Người hướng dẫn : ThS HUỲNH THANH TÂM Sinh viên thực : VŨ HOÀNG... pháp nghiên cứu 12 CHƯƠNG I: GIỚI THIỆU VỀ TƯỜNG LỬA PFSENSE .13 Tổng quan tường lửa .13 1.1 Tường lửa ? 13 1.2 Tác dụng tường lửa 14 Tường lửa PfSense. .. ĐỀ CƯƠNG THỰC TẬP TỐT NGHIỆP Căn Quyết định số /QĐ-HVCS ngày ./07/2021 Phó Giám đốc Học viện – Phụ trách Cơ sở TP Hồ Chí Minh việc “Giao nhiệm vụ thực tập tốt nghiệp cho sinh viên – Hệ Đại học