BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG BÁO CÁO THỰC TẬP TỐT NGHIỆP ĐẠI HỌC Đề tài: “NGHIÊN CỨU VỀ TƯỜNG LỬA PFSENSE” Người hướng dẫn : ThS HUỲNH THANH TÂM Sinh viên thực : VŨ HOÀNG Mã số sinh viên : N17DCAT030 Lớp : D17CQAT01-N Khóa : 2017 – 2022 Hệ : ĐẠI HỌC CHÍNH QUY TP.HCM, tháng … năm 2021 BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG BÁO CÁO THỰC TẬP TỐT NGHIỆP ĐẠI HỌC Đề tài: “NGHIÊN CỨU VỀ TƯỜNG LỬA PFSENSE” Người hướng dẫn : ThS HUỲNH THANH TÂM Sinh viên thực : VŨ HOÀNG Mã số sinh viên : N17DCAT030 Lớp : D17CQAT01-N Khóa : 2017 – 2022 Hệ : ĐẠI HỌC CHÍNH QUY TP.HCM, tháng … năm 2021 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG CƠ SỞ TẠI TP HỒ CHÍ MINH Khoa Cơng nghệ thơng tin CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự – Hạnh phúc TP Hồ Chí Minh, ngày 24 tháng 07 năm 2021 PHIẾU GIAO ĐỀ CƯƠNG THỰC TẬP TỐT NGHIỆP Căn Quyết định số /QĐ-HVCS ./07/2021 Phó Giám đốc Học viện – Phụ trách Cơ sở TP Hồ Chí Minh việc “Giao nhiệm vụ thực tập tốt nghiệp cho sinh viên – Hệ Đại học quy – Khóa 2017-2021 – Nganh Công nghệ thông tin, Đa phương tiện, An toan thông tin”; Khoa Công nghệ thông tin giao nhiệm vụ thực đề cương thực tập tốt nghiệp cho sinh viên: Họ tên sinh viên : VŨ HỒNG Mã SV: N17DCAT030 Lớp: D17CQAT01-N Nganh: An tồn thơng tin Hình thức đao tạo: Đại học quy Nội dung thực tập chính: Nghiên cứu tường lửa Pfsense Nơi đăng ký thực tập: Đơn vị chủ quản: Đơn vị sở tiếp nhận thực tập: Fujinet System JSC Địa chỉ: WASECO, 10 Phổ Quang, Q.Tân Bình Số ĐT… Số Fax:………………………………………… Đề cương thực tập: Lý thuyết: - Tìm hiểu chức firewall PFSense (NAT, ROUTING, Proxy, VPN, …) - Tìm hiểu mơ hình triển khai Pfsense - Tìm hiểu cấu trúc dịng lệnh firewall PFSense Thực hành: Xây dựng mơ hình triển khai va thực nghiệm kịch cấu hình cho firewall PFSense Giáo viên hướng dẫn: ThS Huỳnh Thanh Tâm Yêu cầu kết thực hiện: Kết thúc tập tốt nghiệp, sinh viên phải lập Báo cáo kết thực tập, có ý kiến đánh giá sở thực tập, hình thức theo quy định Học viện Thời gian thực hiện: Từ 26 tháng 07 năm 2021 đến 03 tháng 09 năm 2021 Nơi nhận: - Sinh viên có tên khoản 1; - Lưu VP khoa KHOA CÔNG NGHỆ THÔNG TIN LỜI CẢM ƠN Lời đầu tiên, em xin phép gửi lời tri ân sâu sắc đến thầy cô trường Học Viện Cơng Nghệ Bưu Chính Viễn Thơng sở TP.HCM tận tình dẫn dắt va truyền đạt cho em nhiều kiến thức quý báu trong năm học vừa qua Đặc biệt, em xin gửi lời cảm ơn chân tới ThS.Huỳnh Thanh Tâm Thầy truyền đạt kiến thức, hướng dẫn em nghiên cứu va thực hanh suốt trình thực đề tai Em không tiếp thu thêm nhiều kiến thức ma học tinh thần va thái độ lam việc nghiêm túc từ thầy Đó la hanh trang cần thiết cho trình lam việc tương lai Em xin chân cảm ơn ban lãnh đạo Công ty Cổ phần FUJINET SYSTEMS (FUJINET SYSTEMS JSC) chấp nhận cho em thực tập trục tuyến giai đoạn giãn cách, phòng chống dịch theo thị 16 va tạo điều kiện cho em tham gia học hỏi, áp dụng kiến thức vao thực tế ma em học trường Vì lần đầu em tiếp xúc với môi trường lam việc thực tế công ty nên bai lam em cịn có nhiều thiếu sót Em mong nhận thơng cảm va đóng góp ý kiến q thầy va phía cơng ty toan thể bạn Sau cùng, em xin chúc quý thầy cô khoa Công nghệ thông tin va thầy Huỳnh Thanh Tâm thật dồi dao sức khỏe để tiếp tục truyền đạt kiến thức cho hệ mai sau TP Hồ Chí Minh, 24 tháng năm 2021 SINH VIÊN THỰC HIỆN ĐỀ TÀI Vũ Hoang VŨ HOÀNG - N17DCAT030 VŨ HOÀNG - N17DCAT030 MỤC LỤC LỜI CẢM ƠN DANH MỤC CÁC KÍ HIỆU VIẾT TẮT DANH MỤC CÁC BẢNG, SƠ ĐỒ, HÌNH .9 LỜI MỞ ĐẦU 12 Mục tiêu 12 Phương pháp nghiên cứu 12 CHƯƠNG I: GIỚI THIỆU VỀ TƯỜNG LỬA PFSENSE .13 Tổng quan tường lửa .13 1.1 Tường lửa ? 13 1.2 Tác dụng tường lửa 14 Tường lửa PfSense .15 2.1 Giới thiệu PfSense 15 CHƯƠNG II: TÌM HIỂU CÁC CHỨC NĂNG CỦA TƯỜNG LỬA PFSENSE 18 Các chức dịch vụ firewall pfSense 18 1.1 Aliases (Bí danh) 18 1.2 Rules ( Luật) 19 1.3 NAT (Biên dịch địa mạng) 20 1.4 Routing (Định tuyến) 20 1.5 Virtual Ips ( IP ảo) .21 1.6 Schedules ( Lịch trình) 22 1.7 Traffic Sharper ( Quản lý băng thông) 23 Một số chức dịch vụ khác 24 2.1 VPN 24 2.1.1 Open VPN 25 2.1.2 IPSec (Giao thức bảo mật internet) .26 2.1.3 L2TP (Giao thức đường hầm lớp) 27 2.2 Package Manager ( Trình quản lý gói) 28 2.3 Captive Portal ( Cổng cố định) 29 VŨ HOÀNG - N17DCAT030 2.4 DHCP (Giao thức Cấu hình Host Động) 31 2.4.1 DHCP Server 31 2.4.2 DHCP relay 32 CHƯƠNG III: TÌM HIỂU VÀ XÂY DỰNG MƠ HÌNH TRIỂN KHAI PFSENSE 33 Cài đặt PfSense 33 Triển khai mơ hình với tường lửa pfSense .38 2.1 Mơ hình Firewall topology cho mạng doanh nghiệp 38 2.1.1 Chuẩn bị 38 2.1.2 Cài đặt máy ảo 39 2.1.3 Cấu hình interface 40 2.2 Thực nghiệm số kịch .44 2.2.1 Cấu hình rules cho máy kết nối với .44 2.2.2 Cấu hình rules chặn số kết nối .48 2.2.3 Cấu hình NAT để máy LAN kết nối đến internet 50 2.2.4 Cấu hình NAT Port Forward để đưa web server lên internet 52 2.2.5 Cấu hình dịch vụ Captive Portal cho máy LAN 55 2.2.6 Thiết lập lịch trình cho luật 57 CHƯƠNG IV: ĐÁNH GIÁ VÀ KẾT LUẬN 60 TÀI LIỆU THAM KHẢO 61 VŨ HOÀNG - N17DCAT030 DANH MỤC CÁC KÍ HIỆU VIẾT KÍ HIỆU Ý NGHĨA ACL Access Control List VLAN Virtual Local Area Network VPN Virtual Private Network DNS Domain Name System DynDNS Dynamic DNS DC Domain Controller NAT Network Address Translation QoS Quality of Service VOIP Voice Over IP P2P Peer to Peer PPTP Point to Point Tunneling Protocal L2TP Layer Tunneling Protocal WAN Wide Area Network LAN Local Area Network DMZ Demilitarized Zone DHCP Dynamic Host Configuration Protocol IIS Internet Information Service URL Uniform Resource Locator MAC Media Access Control DANH MỤC CÁC BẢNG, SƠ ĐỒ, Hình 1- Tường lửa 13 Hình 1- Cơng dụng tường lửa 14 Hình 2- Tường lửa PfSense 15 Hình 2- pfSense Firewall 16 Hình 2- Giao diện web PfSense 17 Hình 3- Aliases pfSense 18 Hình 3- Edit Aliases 18 Hình 3- Rules pfSense 19 Hình 3- NAT Port Forward pfSense 20 Hình 3- NAT 1:1 pfSense 20 Hình 3- NAT Outbound pfSense 20 Hình 3- Routing pfSense .21 Hình 3- Virtual IPs pfSense 22 Hình 3- Firewall Schedules 22 Hình 3- 10 Schedule details 23 Hình 3- 11 Traffic Sharper pfSense .23 Hình 4- VPN .24 Hình 4- Available VPN Service 25 Hình 4- OpenVPN pfSense 25 Hình 4- OpenVPN pfSense – Cryptographic Setting .26 Hình 4- OpenVPN pfSense – Cryptographic Setting .26 Hình 4- IPSec pfSense - Tunnel 27 Hình 4- L2TP pfSense 28 Hình 4- Package Manage 28 Hình 4- Captive portal example 29 Hình 4- 10 Captive portal configuration .30 Hình 4- 11 Captive portal configuration 30 Hình 4- 12 Captive portal configuration 30 Hình 5- pfSense download page 33 Hình 5- Installing-mode .33 Hình 5- Installing-Accept 34 Hình 5- Installing-Purpose 34 Hình 5- Installing-Select Keymap 35 Hình 5- Installing 35 Hình 5- Installing-Process bar 36 Hình 5- Installing-Manual Configuration 36 Hình 5- Installing-Conplete 37 Hình 5- 10 pfSense main screen 37 Hình 6- Setup VMWare pfSense 39 Hình 6- Setup VMWare LAN 39 Hình 6- Setup VMWare DMZ .39 Hình 6- Assign Interfaces 40 Hình 6- VLANs set up 40 Hình 6- Enter WAN interface name 40 Hình 6- LAN and DMZ interface names .40 Hình 6- pfSense's web interface 41 Hình 6- Dash board 41 Hình 6- 10 System setting 42 Hình 6- 11 WAN interface .42 Hình 6- 12 LAN interface 43 Hình 6- 13 DMZ interface .43 Hình 6- 14 pfSense interfaces 44 Hình 7- WAN's rules 44 Hình 7- Allow WAN to any 45 Hình 7- Allow LAN to any rules 45 Hình 7- DMZ’s rule 45 Hình 7- Allow DMZ to any 46 Hình 7- Ping from LAN to WAN 46 Hình 7- Ping from LAN to DMZ 46 Hình 7- Ping from DMZ to LAN 47 Hình 7- Ping from DMZ to WAN 47 Hình 7- 10 Ping from WAN to LAN .48 Hình 7- 11 Ping from WAN to DMZ 48 Hình 7- 12 Block WAN to LAN 49 Hình 7- 13 Ping fail from WAN to LAN 49 Hình 7- 14 Block DMZ to LAN 49 Hình 7- 15 Ping fail from DMZ to LAN 50 Hình 7- 16 NAT Outbound rule .50 Hình 7- 17 NAT Outbound rule 51 Hình 7- 18 NAT Outbound rule 51 Hình 7- 19 NAT Outbound ping test 51 Ping DMZ  LAN ( ip máy server la 192.168.10.3) Hình 7- Ping from DMZ to LAN Ping DMZ  WAN Hình 7- Ping from DMZ to WAN o Máy thật vùng WAN Ping WAN  LAN Hình 7- 10 Ping from WAN to LAN Ping WAN  DMZ Hình 7- 11 Ping from WAN to DMZ  Sau kiểm tra, tất máy kết nối với 2.2.2 Cấu hình rules chặn số kết nối - Khơng cho máy từ internet (WAN) kết nối vao máy LAN o Tạo rule block Action chọn block để chặn Interface  WAN Protocal  any Source chọn WAN net Desination chọn LAN net Hình 7- 12 Block WAN to LAN o Tiến hanh ping kiểm tra ta thấy kết nối bị chặn Hình 7- 13 Ping fail from WAN to LAN - Chặn kết nối từ máy DMZ tới vùng LAN o Tạo rule block Action chọn block để chặn Interface  DMZ Protocal  any Source chọn DMZ net Desination chọn LAN net Hình 7- 14 Block DMZ to LAN o Tiến hanh ping kiểm tra ta thấy kết nối bị chặn Hình 7- 15 Ping fail from DMZ to LAN  Sau cấu hình xong kết nối WAN đến LAN va DMZ đến LAN bị chặn 2.2.3 Cấu hình NAT để máy LAN kết nối đến internet - Do card mạng máy LAN la host-only nên khơng thể kết nối đến internet Vì ta cần phải cấu hình NAT để máy vùng LAN kết nối đến internet - Đầu tiên tạo rule cho NAT Outbound với cấu hình sau o Interface chọn WAN o Address family  IPv4 Hình 7- 16 NAT Outbound rule o Protocal  Any o Source điền subnet mask 192.168.10.0/24 vùng LAN Hình 7- 17 NAT Outbound rule o Chọn Static Port Hình 7- 18 NAT Outbound rule - o Chọn Save để lưu cầu hình Tiến hanh ping đến ip 222.255.239.85 ( gamek.vn) để kiểm tra Hình 7- 19 NAT Outbound ping test  Nhìn vao hình ta thấy trước tạo Rule NAT Outbound máy LAN ping ip ngoai internet Nhưng sau tạo Rule NAT Outbound ping đến web gamek.vn Dưới la hình ảnh sau truy cập trang web Hình 7- 20 Access internet 2.2.4 Cấu hình NAT Port Forward để đưa web server lên internet - Window server có hỗ trợ dịch vụ tạo web server nên ta sử dụng để tạo trang web va đưa internet cho máy vùng WAN truy cập vao - Đầu tiên la tạo trang web đơn giản với file html máy window server Hình 8- Basic html web - Đưa file html vừa tạo vao thự mục chạy IIS va đổi tên iisstart Hình 8- IIS index file - Tiến hanh khởi động dịch vụ IIS cách mở Start va gõ “IIS” Hình 8- Searching IIS - Chọn server  Chuột phải  Start Hình 8- Start running server - TIếp theo la tạo Port Forward rule cho pfSense: Firewall  NAT  Port Forward  ADD Hình 8- Open NAT - Với cấu hình rule : o Chọn Interface áp dụng rule la WAN o Protocol chọn TCP/UDP o Source mặc định la any o Destination chọn WAN address để áp dụng cho máy ngoai internet o Redirect target IP chọn Single host va điền IP web server 11.0.0.2 Hình 8- Port Forward rule setting - Cuối tiến hanh kiểm tra xem truy cập từ internet vao thấy trang web hay khơng Hình 8- Access website  Kết cho thấy ta truy cập trang web vừa tạo lúc cách sử dụng địa IP cổng WAN Chứng tỏ IP chuyển hướng đến web server 2.2.5 Cấu hình dịch vụ Captive Portal cho máy LAN - Trên menu chọn Services  Captive Portal., sau chọn Add để thêm - Ta cấu sau: o Đánh dấu Enable o Interface chọn LAN Hình 9- Captive Portal configuration o Ở mục Idle timeout va hard timeout ta điền (phút) để tiện cho việc kiểm tra o Do khơng sử dụng trang mặc định nên ta tích vao ô Enable lựa chọn logo va ảnh tùy chọn Hình 9- Custom Login page - Phần xác thực lựa chọn tùy vao mục đích trang Ở ta bắt máy LAN xác thực username va password Hình 9- 3.Captive Portal Authentication - Nhấn Save để lưu lại Hình 9- Captive Portal Zones  Lưu ý: sử dụng DNS server 8.8.8.8 google ta cần phải thêm vao mục Allowed IP Address để pfsense xử lý trước xác thực Nêu khơng trang xác thực không - Bây ta tiến hanh truy cập web để kiẻm tra Hình 9- Login page - Khi sử dụng tai khoản admin pfSense để xác thực vao trang web mong muốn Hình 9- Destination page  Sau đăng nhập hoan tất ta truy cập internet thoải mái thời gian định ma không cần phải xác thực lại 2.2.6 Thiết lập lịch trình cho luật - Bên cạnh việc tạo luật để quản lý ta cịn thiết lập thời gian biểu để áp dụng luật cách linh hoạt - Đầu tiên ta tạo lịch trình cách vao Firewall  Schedules, chọn ADD để thêm - Cấu sau: o Điền thơng tin mơ tả lịch trình Hình 10- Schedule information o Tại phần Month chọn tháng muốn áp dụng o Ở phần Date muốn định cụ thể ta phải click vao tùy ý, khơng áp dụng theo tháng ma ta chọn o Chọn thời gian bắt đầu va thơi gian kết thúc Hình 10- Setup Date/Time o Chọn Add Time để hoan tất - Sau thêm lịch trình ta cần phải áp dụng vao luật: o Vao Rules va chọn luật muốn áp dụng o Mở Display Advanced va chọn lịch trình vừa thêm mục Schedules Hình 10- Advanced options Hình 10- Select schedule o Kết sau áp dụng Hình 10- Rule has applied schedule - Bây ta kiểm tra sau áp dụng lịch trình cách ping  Kết ping thất bại lịch trình không áp dụng cho 28 nên luật áp dụng la “Allow LAN to any” không thực thi CHƯƠNG IV: ĐÁNH GIÁ VÀ KẾT LUẬN Đánh giá - Về mặt lý thuyết em nắm khái niệm va tính tường lửa pfSense: o Biết phần pfSense ưu điểm mang lại cho người dùng so với tường lửa mềm khác o Hiểu chức tường lửa va thiết lập, dịch vụ hỗ trợ pfSense Rules, NAT, Routing, VPN, … o Biết ý nghĩa, cách dùng thiết lập, dòng lệnh giao diện console va giao diện web cai đặt va sử dụng chức - Trong q trình tìm hiểu va triển khai kịch mơ hình tường lửa pfSense em thu nhiều kết quả: o Nắm bắt trình hoạt động pfsense vùng mạng thông qua cỗng kết nối o Quản lý mạng nội thông qua việc cho phép/cấm kết nối máy tính va quy định thời gian áp dụng vao luật o Biết phương thức để trang web internet o Cách bảo mật việc truy cập internet Kết luận - Dựa vao em tìm hiểu va thực hanh trình nghiên cứu tường lửa pfsense ma em hiểu sâu tường lửa nói chung va pfSense nói riêng - Ngoai em cịn phát triển thêm nhiều kịch khác dựa vao chức pfSemse va gói cai đặt thêm (package) - Vì thời gian lam đồ án có giới hạn, cơng ty có nhiều việc va khả cịn hạn chế nên em lam số kịch pfSense firewall Một số tính công cụ chưa sử dụng hết TÀI LIỆU THAM KHẢO Danh mục Website tham khảo: Google search engine, http://www.google.com PfSense documentation, https://docs.netgate.com/pfsense/en/latest/ Trang web https://maychuvatly.com/blog/ Trang web https://itigic.com/ Trang web https://anninhmang.edu.vn/ Trang web https://linuxpip.org/ Trang web https://adminvietnam.org/ ...HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG BÁO CÁO THỰC TẬP TỐT NGHIỆP ĐẠI HỌC Đề tài: “NGHIÊN CỨU VỀ TƯỜNG LỬA PFSENSE? ?? Người hướng dẫn : ThS HUỲNH THANH TÂM Sinh viên thực : VŨ HOÀNG... pháp nghiên cứu 12 CHƯƠNG I: GIỚI THIỆU VỀ TƯỜNG LỬA PFSENSE .13 Tổng quan tường lửa .13 1.1 Tường lửa ? 13 1.2 Tác dụng tường lửa 14 Tường lửa PfSense. .. la PfSense - Về mặt thực nghiệm: Xây dựng mơ hình triển khai va thực nghiệm kịch cấu hình cho firewall PfSense CHƯƠNG I: GIỚI THIỆU VỀ TƯỜNG LỬA PFSENSE Tổng quan tường lửa 1.1 Tường lửa ? - Tường