TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO ĐỒ ÁN CHUYÊN NGÀNH ĐỀ TÀI: TÌM HIỀU VỀ BẢO MẬT VÀ TRIỂN KHAI TƯỜNG LỬA PFSENSE CHO MẠNG DOANH NGHIỆP Ngành: CÔNG NGHỆ THÔNG TIN Chun ngành: MẠNG MÁY TÍNH VÀ TRUYỀN THƠNG Sinh viên thực hiện: Nguyễn Văn Phát MSSV: 1811060564 Trần Cao Đăng Duy MSSV: 1811062591 Phạm Việt Cường MSSV: 1811060921 Giáo viên hướng dẫn: ThS Nguyễn Lê Văn TP HỒ CHÍ MINH – 12/2021 0 Tieu luan TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO ĐỒ ÁN CHUYÊN NGÀNH ĐỀ TÀI: TÌM HIỀU VỀ BẢO MẬT VÀ TRIỂN KHAI TƯỜNG LỬA PFSENSE CHO MẠNG DOANH NGHIỆP Ngành: CÔNG NGHỆ THÔNG TIN Chuyên ngành: MẠNG MÁY TÍNH VÀ TRUYỀN THƠNG Sinh viên thực hiện: Nguyễn Văn Phát MSSV: 1811060564 Trần Cao Đăng Duy MSSV: 1811062591 Phạm Việt Cường MSSV: 1811060921 Giáo viên hướng dẫn: ThS Nguyễn Lê Văn TP.HỒ CHÍ MINH – 12/2021 I 0 Tieu luan LỜI CAM ĐOAN Nhóm chúng em xin cam đoan ni dung ca đồ án chuyên ngành đề tài “Tìm hiểu bảo mật triển khai tường lửa pfsense cho mạng doạnh nghiệp” sn phm ca nhóm chúng em Nhng vn đề đưc trnh bày đồ án kt qu ca trnh hc tp, nghiên cu, làm việc ca nhóm Tt c tài liệu tham kho c xut x r ràng đưc trch dẫn hp pháp Nhóm chúng em xin chu hồn toàn trách nhiệm cho li cam đoan ca mnh TP.Hồ Ch Minh, ngày tháng năm 2021 Ngưi cam đoan Nguyễn Văn Phát Phạm Việt Cường Trần Cao Đăng Duy II 0 Tieu luan LỜI CẢM ƠN Đầu tiên, nhóm chúng em xin gửi li cm ơn chân thành đn ging viên Trưng Đại hc Công Nghệ TP.HCM – HUTECH, đặc biệt quý thầy, cô thuc khoa Công Nghệ Thơng Tin nhiệt tình ging dạy truyền đạt cho em nhng kin thc Công Nghệ Thông Tin vơ bổ ích thi gian thực hành báo cáo Nhóm chúng em xin chân thành bày t ỏ lòng bit ơn đn Thầy Ths Nguyễn Lê Văn ngưi ht lòng giúp đỡ tạo mi điều kiện tốt nht cho nhóm chúng em hồn thành báo cáo Thầy hướng dẫn rt tn tình, gii đáp nhng thắc mắc hướng em tin đ để hoàn thành báo cáo mt cách tốt nht Cuối cùng, nhóm chúng em xin gửi li cm ơn đn gia đnh, anh ch bạn hỗ tr cho em rt nhiều suốt trình hc tp, nghiên cu thực đề tài mt cách hồn chỉnh Nhóm chúng em xin kính chúc Ban Giám Hiệu nhà trưng quý Thầy Cô sc khỏe, vui vẻ đạt nhiều thành công công việc TP.Hồ Ch Minh, ngày tháng năm 2021 III 0 Tieu luan Mục Lục LI CAM ĐOAN II LI CẢM ƠN III DANH MỤC HÌNH ẢNH VI CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI 1.1 Lý chọn đề tài 1.2 Nội dung báo cáo CHƯƠNG 2: CƠ SỞ LÝ THUYẾT 2.1 Tổng quan cộng nghệ firewall 2.1.1 Định nghĩa firewall 2.1.2 Chức firewall 2.1.3 Cấu trúc firewall 2.1.4 Phân loại firewall 2.2 Giới thiệu tường lửa pfsense 2.3.1 pfSense Aliases 2.3.2 NAT 2.3.3 Firewall Rules 2.3.4 Firewall Schedules 2.4 Một số dịch vụ Pfsense 2.4.1 DHCP Server 2.4.2 Cài đặt Packages 2.4.3 Cấu hình NTP Server cho Pfsense 2.4.4 Cài đặt Failover Load Balancing cho Ffsense 2.4.5 High Availability Sync CARP 2.5 Cài đặt Pfsense 2.6 Triển khai Pfsense 15 2.6.1 Tính Pfsense 15 2.6.2 Một số dịch vụ Pfsense 19 CHƯƠNG 3: KẾT LUẬN 45 3.1 Kết đạt 45 3.2 Những mặt hạn ch ế 45 IV 0 Tieu luan 3.3 Hướng phát triển tương lai 45 TÀI LIỆU THAM KHẢO 46 V 0 Tieu luan DANH MỤC HÌNH ẢNH Hình 1: Mơ hình tường lửa pfsense Hình 2: Màn hình welcome to pfsense Hình 3: Hệ thống hỏi có muốn tạo VLANs khơng, chọn “N” Hình 4: Chọn card mạng WAN thứ nhất, ch ọn card “ em1” Hình 5: Chọn card cho mạng LAN bên “em0” Hình 6: Chọn card mạng cho WAN2 “em2” 10 Hình 7: Sau gán xong, chọn “y” 10 Hình 8: Cài đặt Interface (card mạng) Chọn mục 11 Hình 9: Cài đặt IP cho mạng LAN, chọn “2” 11 Hình 10: Chọn địa Ipv4 “10.10.10.10” 12 Hình 11: Chọn “24” Subnetmask 12 Hình 12: H ệ thống hỏi có nên kích hoạt chức DHCP không ? Chọn “y” đồng ý Pfsese DHCP Server 13 Hình 13: Gán Range Ipv4 c ần cấp cho mạng LAN “10.10.10.100” kết thúc “ 10.10.10.200” 13 Hình 14: H ệ thống hỏi có cấu hình Pfsense làm Webserver khơng, chọn “n” khơng đồng ý N ếu đồng ý chức tái hiệ n cách cài đặt Virtual Server 14 Hình 15: Cài đặt hồn tất 14 Hình 16: Giao di ện Aliases 15 Hình 17: Giao di ện NAT 15 Hình 18: Giao di ện Rules 16 Hình 19: Giao di ện Edit Rules 16 Hình 20: Giao di ện Firewall Schedules 17 Hình 21: Giao di ện Edit Firewall Schedules 17 Hình 22: Tạo ví dụ lịch học tu ần Firewall Schedules 18 Hình 23: Kết ví dụ Firewall Schedules 18 Hình 24: Giao di ện DHCP Server 19 Hình 25: Giao di ện Package Manager 20 Hình 26: Thử cài đặt Package Manager 20 Hình 27: Đã cài đặt thành cơng 21 Hình 28: Giao di ện Web Pfsense 22 Hình 29: Pfsense Dashboard 22 Hình 30: NTP 23 Hình 31: Settings NTP 24 Hình 32: Ki ểm tra Sevices c NTP 24 Hình 33: Kết NTP hoạt động 25 Hình 34: Giao diện đồ họa Dashboard Pfsense 26 Hình 35: Cấu hình Interface WAN thành WAN1 26 VI 0 Tieu luan Hình 36: Cấu hình OTP thành WAN2 27 Hình 37: B ỏ chọn Block Private Networks để bỏ chặn traffic từ hệ thống mạng nội 27 Hình 38: Sau cấu hình tất c ả Interface 28 Hình 39: Giao di ện Gateways để cấu hình Monitor IP 28 Hình 40: Cấu hình Monitor IP cho WAN1 29 Hình 41: Cấu hình Monitor IP cho WAN2 29 Hình 42: Kết sau cấu hình 30 Hình 43: Giao di ện Gateway Groups 30 Hình 44: Tạo Groups 31 Hình 45: Giao diện Firewall Rules 31 Hình 46: Chỉnh sửa Gateway cho mạng LAN 32 Hình 47: Kết sau chỉnh sửa 32 Hình 48: Kết LoadBalancer 33 Hình 49: Traffic Graph 33 Hình 50: Tạo Group WAN1 Failover 34 Hình 51: Tạo Group WAN2 Failover 34 Hình 52: Giao di ện sau tạo Group 35 Hình 53: Tạo Rules WAN1 Failover cho card mạng LAN 36 Hình 54: Tạo Rules WAN2 Failover cho card mạng LAN 37 Hình 55: B ảng liệt kê sau thêm Rules 37 Hình 56: Gán DNS Server cho Gateway 38 Hình 57: Kết 38 Hình 58: Cấu hình Pfsense 39 Hình 59: Cấu hình Pfsense 39 Hình 60: Giao di ện cài đặt High Availability Sync CARP 40 Hình 61: Giao di ện cài đặt High Availability Sync CARP 40 Hình 62: Giao di ện cài đặt High Availability Sync CARP 41 Hình 63: Cấu hình IP ảo cho LAN WAN 42 Hình 64: Thực trình 43 Hình 65: Thực trình 43 VII 0 Tieu luan CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI 1.1 Lý chọn đề tài Trong thi k ỳ nhân loại ngưi phát triển cơng nghiệp hóa, đại ha đt nước, ngành công nghệ thông tin ca đt nước ta c nhng thành công vưt bc Đi đôi với phát triển công nghệ thông tin, mạng lưới sở hạ tầng mạng máy tính truyền thông đưc nâng cp, tạo điều kiện cho dch vụ mạng gia tăng, trao đổi thông qua mạng phổ bin toàn cầu Nhưng với phát triển mạnh mẽ ca hệ thống mạng máy tính, đặc biệt phát triển rng khắp nơi ca hệ thống mạng Internet, vụ tn công phá hoại ly cắp d liệu mạng diễn ngày nhiều ngày nghiêm trng Chúng xut phát từ rt nhiều mục đch khác để đánh cắp d liệu quan trng, truyền mã đc hay nhng mâu thuẫn, cạnh tranh…nhưng tp trung lại gây mt hu qu rt nghiêm trng c vt cht uy tín ca doanh nghiệp sử dụng mạng Chính thy tầm quan trng ca vn đề bo mt mạng máy tính ca doanh nghiệp nên chúng em chn đề tài chn đề tài “TÌM HIỂU VỀ BẢO MẬT VÀ TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA PFSENSE CHO MẠNG DOANH NGHIỆP” làm đồ án chuyên ngành ca nhóm chúng em Ni dung đồ án gồm chương Chương 1: Tổng quan đề tài Chương 2: Cơ sở lý thuyt Chương 3: Kt lun 1.2 Nội dung báo cáo Chương 1: Tổng quan đề tài Chương 2: Cơ sở lí thuyt - Tổng quan công nghệ firewall giới thiệu pfsense - Cài đặt pfsense - Triển khai pfsense 0 Tieu luan Chương 3: Kt lun 0 Tieu luan Hình 46: Chỉnh sửa Gateway cho mạng LAN Sau áp dụng thay đổi, bạn thy gateway đưc hiển th hnh Hình 47: Kt qu sau chỉnh sửa Như vy hoàn thành cu hnh LoadBanlancer, tip theo test trnh hoạt đng ca dch vụ Bước : Kiểm tra LoadBalancer Để kiểm tra LoadBalancer, vào Status menu bm vào ‘Gateway’ để chắn c Gateways online Gateways offline 32 0 Tieu luan Hình 48: Kt qu LoadBalancer Mục ‘Traffic Graph’ menu ‘ Status’ cho ngưi qun tr thy lưu lưng Traffic qua Gateway theo thi gian thực Hình 49: Traffic Graph Bước : Cài đặt cấu hình Failover PfSense Để cu hnh Failover Pfsense, cần tạo nhng Tier khác Di chuyển đn menu ‘System’ chn ‘Routing’ Tại c thể thy Gateways đưc gán cho LoadBalancer, v vy tin hành tạo nhm khác dành cho Failover Chn ‘Group’ System: Gateway Groups Ở tạo Group,1 Group cho WAN1 Group cho WAN2 Nu WAN1 mt kt nối hệ thống tự đng chuyển sang WAN2, ngưc lại 33 0 Tieu luan Tin hành tạo nhm tên ‘WAN1Failover’ , chn WAN1 với Tier1 WAN2 với Tier2, nu WAN1 hỏng chuyển sang WAN2 Ở Trigger Lever chn Packet Loss, bt k gi tin ping đn DNS không c tn hiệu tr li tự đng chuyển sang WAN2 Hình 50: Tạo Group WAN1 Failover Làm tương tự hướ ng dẫn WAN2 để t ạo ‘WAN2Failover’ Hình 51: Tạo Group WAN2 Failover Như vy c Group, Group cho LoadBanlancing, Group cho Failover 34 0 Tieu luan Hình 52: Giao diện sau tạo Group Bước 7: Cấu hình Firewall Rules cho Failover Bây gi, cần gán Firewall Rules cho Failover Để cu hnh Firewall Rules di chuyển đn menu ‘Firewall’ chn ‘Rules’ Ở Lan phi add thêm rule dành cho Failover Click vào biểu tưng Add pha bên phi để thêm vào Rule : Thay đổi sau : Interface = LAN Protocol = any Source = LAN net Description = mô t cho Failover 35 0 Tieu luan Hình 53: Tạo Rules WAN1 Failover cho card mạng LAN Ở Display Features ca Gateway , chn ‘WAN1Failover’ save lại Làm tương tự để cu hình WAN2Failover 36 0 Tieu luan Hình 54: Tạo Rules WAN2 Failover cho card mạng LAN Sau thêm vào nhng Rule trên, thy nhng rule liệt kê dành cho LoadBanlancer Failover Hình 55: Bng liệt kê sau thêm Rules Gán tối thiểu DNS Server cho Gateway click apply changes để áp dụng thay đổi Từ menu ‘System’, chn ‘ General Setup’ kiểm tra với DNS tương ng, mà gán cho Gateway 37 0 Tieu luan Hình 56: Gán DNS Server cho Gateway Chn menu ‘Status’ click vào ‘Gateway’ để kiểm tra tình trạng Hình 57: Kt qu Như vy hồn thành cài đặt, cu hình Failover cho pfSENSE Tổng kết : PfSense LoadBalancer Failover c thể đưc sử dụng h gia đnh, mạng doanh nghiệp… nu bạn c từ kt nối Internet ca ISP trở lên Thay v phi tr tiền cho mt Router chuyên nghiệp với chc LoadBalancer, c thể dùng pfSense để thay th rt hiệu qu 38 0 Tieu luan 2.6.2.5 High Availability Sync CARP Cu hình hồn chỉnh ca máy Pfsense 1: Hình 58: Cu hình Pfsense Cu hình hồn chỉnh ca máy Pfsense 2: Hình 59: Cu hình Pfsense 39 0 Tieu luan Sau cu hình xong tin hành cu hình window XP chc High Availability Sync CARP : Hình 60: Giao diện cài đặt High Availability Sync CARP Hình 61: Giao diện cài đặt High Availability Sync CARP 40 0 Tieu luan Hình 62: Giao diện cài đặt High Availability Sync CARP Còn nhng cài đặt cu hnh để chc high availability sync cho máy ch đồng thi cài đặt máy Pfsense l ại backup đề phòng trưng hp máy ch mt th máy phụ lên thay th my ch trì hoạt đng 41 0 Tieu luan Hình 63: Cu hình IP o cho LAN WAN Còn cu hnh đa IP o cho LAN & WAN: Tác dụng ca đa o tránh trưng router cht th máy đn đa IP dừng lại c đia mạng LAN o th khác sau máy đn đa chỉa ip o n xét xem đa chi ip router cịn hoạt đng ko nu khơng th chuyển qua đa ip lại ca router 42 0 Tieu luan Hình 64: Thực trình Ở enable DHCP server interface ca LAN lên để cu hnh Hình 65: Thực trình Ở phần gateway mặc đnh Pfsense sử dụng card mà n cp làm gateway Tuy nhiên nu muốn chn ip khác để làm gateway th đặt vào 43 0 Tieu luan Ngoài để tránh trưng hp router trang cp DHCP th cu hnh Failover peer IP điền đa ca router backup vào để tránh trưng hp cu hnh high availability sync cu hnh xong bên router backup tự hiểu phi tr cho router master Sau cu hnh bước router cht router lên làm ch v vy vẫy c thể vào mạng router sống lại th quyền làm ch đưc chuyển lại cho router router trở v tr backup ca mnh 44 0 Tieu luan CHƯƠNG 3: KẾT LUẬN 3.1 Kết đạt - Nắm đưc quy trình xây dựng hệ thống Pfsense - Hiểu đưc cách thc tích hp phát triển hệ thống Pfsense - Nắm đưc tình hình an tồn an ninh mạng yêu cầu hệ thống tưng lửa doanh nghiệp, công nghệ sn phm tưng lửa th trưng bo mt na y - Bổ sung thêm mt số dch vụ bo mt khác hổ tr cho tưng lửa 3.2 Những mặt hạn chế - Do phát triển FreeBSD, hệ thống gặp nhiều kh khăn việc tương thch với mt số thit b phần cng việc triển khai đồ án - Tnh cân t i đưc phát triển rt tốt chưa thực tối ưu với nhng yêu cầu phc tạp đưc đặt - Với lần nghiên cu chúng em chưa hiểu ht Pfsense 3.3 Hướng phát triển tương lai - Với nhng nhu cầu thit thực ca doanh nghiệp nay, sn phm cần đưc phát triển nhiều na, bổ sung tnh mới, dch vụ thử nghiệm đ ổn đnh hiệu xử lý ca sn phm - Trở thành mt sn phm đưc sử dụng c tnh thương mại sử dụng mã nguồn mở 45 0 Tieu luan TÀI LIỆU THAM KHẢO [1] https://docs.netgate.com/manuals/pfsense/en/latest/the-pfsense-documentation.pdf [2] Cisco.Press.CCSP.SNPA.Official.Exam.Certification.Guide.3rd.Edition.Apr.06 [3] pfSense forum: http://forum.pfsense.org/ [4] http://pfsense.trendchiller.com/transparent_firewall.pdf [5] http://files.pfsense.org/mirror/tutorials/openvpn/pfsense-ovpn.pdf [6] pfSense Handbook: http://doc.m0n0.ch/handbook/index.html 46 0 Tieu luan ... t? ? ?m quan trng ca v? ? ?n ? ?ề b? ? ?o m? ? ?t m? ??ng m? ?y t? ?nh ca doanh nghiệp n? ?n chúng em ch? ?n ? ?ề t? ?i ch? ?n ? ?ề t? ?i ? ?T? ?M HI? ? ?U V? ?? B? ? ?O M? ? ?T V? ? TRI? ? ?N KHAI H? ?? THỐNG T? ?ỜNG LỬA PFSENSE CHO M? ??NG DOANH NGHIỆP” l? ?m. ..TRƯỜNG ĐẠI H? ??C CÔNG NGHỆ TP HCM KHOA CÔNG NGHỆ THÔNG TIN B? ?O C? ?O ĐỒ ? ?N CHUY? ?N NGÀNH ? ?Ề T? ?I: T? ?M HI? ? ?U V? ?? B? ? ?O M? ? ?T V? ? TRI? ? ?N KHAI T? ?ỜNG LỬA PFSENSE CHO M? ??NG DOANH NGHIỆP Ngành: CÔNG NGHỆ THÔNG TIN... t? ? ?o m? ??i đi? ?u ki? ?n t? ? ?t nh? ?t cho nh? ?m chúng em ho? ?n thành b? ?o c? ?o Thầy h? ?ớng d? ?n r? ?t t? ?n t? ?nh, gii đáp nhng thắc m? ??c h? ?ớng em ti? ?n đ ? ?ể ho? ?n thành b? ?o c? ?o m? ? ?t cách t? ? ?t nh? ?t Cuối cùng, nh? ?m chúng