Nhóm 2 Báo Cáo Đồ Án Chuyên Ngànhbáo Cáo Đồ Án Chuyên Ngành Tìm Hiều Về Bảo Mật Và Triển Khai Tường Lửa Pfsense Cho Mạng Doanh Nghiệp.pdf

III Đầu tiên, nhóm chúng em xin gửi l i cm ơn chân thành đ n các ging viên Trưng Đại hc Công Ngh TP.HCM ệ – HUTECH, đặc biệt là quý th y, cô ầ thuc khoa Công Ngh ệThông Tin đã nhi

TỔNG QUAN VỀ ĐỀ TÀI

Lý do ch ọn đề tài

Trong th i k nhân lo ỳ ại con ngưi đang phát triển công nghi p hóa, hiệ ện đại ha đt nước, ngành công nghệ thông tin ca đt nước ta đã c nhng thành công vưt bc Đi đôi cùng v i s phát tri n v công ngh thông tin, mớ ự ể ề ệ ạng lưới cơ sở ạ ầ h t ng m ng máy tính và ạ truyền thông cũng đã đưc nâng cp, tạo điều ki n cho các d ch v m ng ệ  ụ ạ gia tăng, trao đổi thông qua m ng phạ ổ bin trên toàn cầu Nhưng cùng vớ ựi s phát tri n m nh m c a h ể ạ ẽ  ệ thống mạng máy tính, đặc biệt là sự phát triển rng khắp nơi ca hệ thống m ng Internet, ạ các v t n công phá ho i và l y c p dụ  ạ  ắ  liệu trên m ng di n ra ngày càng nhi u và ngày ạ ễ ề càng nghiêm trng hơn Chúng xut phát t r t nhi u mừ  ề ục đch khác nhau như là để đánh cắp d liệu quan tr ng, truy ền mã đc hay vì nh ng mâu thu n, c ẫ ạnh tranh…nhưng tp trung lại đã gây ra mt hu qu rt nghiêm trng c về v t ch t và uy tín c a doanh nghi p    ệ đang sử dụng mạng

Chính vì thy tầm quan tr ng c a v  n đề bo m t m ng máy tính c a doanh nghi p nên  ạ  ệ chúng em đã chn đề tài chn đề tài “TÌM HI U V B O M T VÀ TRI N KHAI HỂ Ề Ả Ậ Ể Ệ

THỐNG TƯỜNG LỬA PFSENSE CHO MẠNG DOANH NGHIỆP” làm đồ án chuyên ngành c a nhóm chúng em N i dung đồán gồm 3 chương.

Chương 1: Tổng quan đề tài

Chương 2: Cơ sở lý thuyt

N i dung báo cáo 1 ộ CHƯƠNG 2: CƠ SỞ LÝ THUYẾT

Chương 1: Tổng quan về đề tài

Chương 2: Cơ sở lí thuyt

- T ng quan v công ngh firewall và gi i thi u pfsense ổ ề ệ ớ ệ

T ng quan v c ng ngh firewall 3 ổ ề ộ ệ 1 Định nghĩa firewall

CHƯƠNG 2: CƠ SỞ LÝ THUYẾT

2.1 Tổng quan v c ng ngh Firewall ề ộ ệ

Firewall là m t ph n c ầ a hệ thống hay mạng máy tnh đưc thi t k  để điều khi n ể truy nh p gi a các m ng b  ạ ằng cách ngăn chặn các truy cp không đưc phép trong khi cho phép các truy n thông h p lề  ệ N cũng là mt hay m t nhóm các thi t b    đưc cu hnh để cho phép, ngăn cn, mã hóa, gii mã hay proxy lưu lưng trao đổi ca các máy tính gia các mi n bề o mt khác nhau d a trên mự t b các lut (rule) hay tiêu chun nào khác

Chc năng chnh ca firewall là kiểm soát lưu lưng gia hai hay nhiều mạng có mc đ tin cy khác nhau để từ đ thi p cơ cht l điều khiển luồng thông tin gia chúng

- Cho phép hoặc ngăn cn truy nh p vào ra gi a các m ng   ạ

- Theo dõi luồng d liệu trao đổi gia các m ng ạ

- Kiểm soát ngưi sử d ng và vi c truy nh p cụ ệ  a ngư ử d ng i s ụ

- Kiểm soát ni dung thông tin lưu chuyển trên m ng ạ

Không hoàn toàn gi ng nhau gi a các s n phố   m đưc thi t k b i các hãng b o m  ở  t, tuy nhiên có nh ng thành ph ần cơ bn sau trong c u trúc c a m t firewall nói chung (mà    mt số trong đ sẽ đưc tìm hiểu r hơn trong phần 2.2 về các công nghệ firewall):

- Các chính sách m ng (network policy) ạ

- Các cơ ch xác thực nâng cao (advanced authentication mechanisms)

- Thống kê và phát hi n các hoệ ạt đng bt thưng (logging and detection of suspicious activity)

Có r t nhi u tiêu chí có th ề ể đưc s d ng phân lo i các s n ph m firewall, ví d ử ụ ạ   ụ như cách chia ra thành firewall cng (thi t b   đưc thi t k chuyên d ng ho  ụ ạt đng trên h ệ điều hành dành riêng cùng mt số xử lý trên các mạch điệ ử tích hp) và firewall mềm n t (phần mềm firewall đưc cài đặt trên máy tnh thông thưng)…Nhưng c lẽ vi c phân loệ ại firewall thông qua công ngh c a s n phệ   m firewall đ đưc xem là ph bi n và chính xác ổ  hơn tt c

2.2 Giới thiệu tường l a Pfsense ử Để bo vệ cho hệ thống mạng bên trong thì chúng ta có nhiều gii pháp như sử dụng Router Cisco, dùng tưng lửa ca Microsoft như ISA…

Tuy nhiên nh ng thành ph n k  ầ ể trên tương đố ối t n kém Vì vy đối với ngưi dùng không mu n t n tiố ố ền nhưng lại mu n có mố t tưng lửa bo v hệ ệ thống m ng bên ạ trong (m ng nạ i b) khi mà chúng ta giao ti p v ối hệthống m ng bên ngoài (Internet) thạ ì pfsense là mt gii pháp ti t ki m và hi u qu t ệ ệ  ương đối tốt nht đối với ngưi dùng PfSense là mt ng d ng có chụ c năng đnh tuyn vào tưng l a m nh và mi n ử ạ ễ phí, ng d ng này s cho phép b n m r ng m ng c a mình mà không b  ụ ẽ ạ ở  ạ  thỏa hi p v s ệ ề ự bo mt B t ẳ đầu vào năm 2004, khi monowall mới bắt đầu ch p ch ng   đây là mt dựán bo mt tp trung vào các h ệthống nhúng pfSense đã có hơn 1 triệu download và đưc sử dụng để  b o v các m ng ệ ạ ở t t c kích c  ỡ, t ừcác mạng gia đình đn các m ng lạ ớn ca ca các công ty Ứng d ng này có mụ t cng ng phát tri n r t tích cđồ ể  ực và nhiều tính năng đang đưc bổ sung trong mỗi phát hành nhằm ci thiện hơn na tính bo mt, sự ổn đnh và kh năng linh hoạt ca nó

Pfsense bao g m nhiồ ều tnh năng mà bạn v n th y trên các thiẫ  t b tưng lửa hoặc router thương mại, chẳng hạn như GUI trên nền Web tạo sự qu n lý mt cách d dàng  ễ Trong khi đ phần mềm miễn phí này còn có nhiều tính năng n tưng đối v i ớ firewall/router miễn ph, tuy nhiên cũng c mt số ạ h n ch 

Pfsense hỗ tr c bở  l i đa ch nguỉ ồn và đa chỉ đch, cổng ngu n hoồ ặc cổng đch hay đa chỉ IP N cũng hỗ tr chnh sách đnh tuyn và có thể hoạt đng trong các ch đ bridge hoặc transparent, cho phép bạn ch cỉ ần đặt pfSense ở gia các thit b mạng mà  không cần đòi h i vi c c u hình b sung PfSense cung c p network address translation ỏ ệ  ổ 

Gi i thi ớ ệu tường lửa pfsense

(NAT) và tính năng chuyển tip cổng, tuy nhiên ng dụng này vẫn còn mt số h n ch ạ  với Point-to-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và Session Initiation Protocol (SIP) khi s d ng NAT ử ụ

PfSense đưc dựa trên FreeBSD và giao thc Common Address Redundancy Protocol (CARP) c a FreeBSD, cung c p kh   năng dự phòng b ng cách cho phép các ằ qun tr viên nhóm hai hoặc nhiề ưng l a vào m t nhóm t u t ử  ự đng chuy n ể đổi d ự phòng Vì nó h ỗtr nhi u kề t nối m ng di n r ng (WAN) nên có thạ ệ  ể thực hiện vi c cân ệ bằng t i Tuy nhiên có m t hạn ch v i nó  ớ ởchỗ chỉ có thểthực hiện cân b ng lằ ưu lưng phân ph i giố a hai k ốt n i WAN và b n không th ạ ểchỉ đnh đưc lưu lưng cho qua mt kt nối

Hình 1: Mô hnh tưng lửa Pfsense

Aliases c thể giúp bạn tit kiệm mt lưng lớn thi gian nu bạn sử dụng chúng mt cách chính xác

Mt Aliases ngắn cho phép bạn sử dụng cho mt host ,cổng hoặc mạng c thể đưc sử dụng khi tạo các rules trong pfSense Sử dụng Aliases sẽ giúp bạn cho phép bạn lưu tr nhiều mục trong mt nơi duy nht c nghĩa là bạn không cần tạo ra nhiều rules cho nhm các máy hoặc cổng

M t s d ch v ộ ố ị ụ c a Pfsense 6 ủ 1 DHCP Server

PfSense cung cp network address translation (NAT) và tnh năng chuyển ti p c ng,  ổ tuy nhiên ng d ng này v n còn m ụ ẫ t số ạ h n ch v i Point- -Point Tunneling Protocol  ớ to (PPTP), Generic Routing Encapsulation (GRE) và Session Initiation Protocol (SIP) khi sử d ng NAT ụ

Trong Firewall bạn cũng c thể cu hnh các thit lp NAT nu cần sử dụng cổng chuyển tip cho các dch vụ hoặc cu hnh NAT tĩnh (1:1) cho các host cụ thể Thit lp mặc đnh ca NAT cho các kt nối outbound là automatic/dynamic, tuy nhiên bạn c thể thay đổi kiểu manual nu cần

Nơi lưu các rules (Lut) c a Firewall Để vào Rules ca pfsense vào Firewall

Mặc đnh pfsense cho phép m i trafic ra/vào h  ệthống B n ph i tạ  ạo ra các rules để qun lí mạng bên trong firewall

Các Firewall rules có th ể đư ắp x p c s  đểnó có chỉ hoạt đng vào các thi điểm nht đnh trong ngày hoặc vào nh ng ngày  nht đnh cụ thể hoặc các ngày trong tuần

DHCP Server chỉnh cu hnh cho mạng TCP/IP bằng cách tự đng gán các đa chỉ IP cho khách hàng khi h vào mạng

Ngưi dùng có nhu c u ầ cài đặt thêm các chc năng ở  m r ng c a  chương trnh cài đặt pfSense ,b n ạ có thể thêm các gói t mừ t lựa ch n các ph n m m  ầ ề

Gói có thể đưc cài đặt b ng cách s d ng Package Manager, n m t i menu System ằ ử ụ ằ ạPackage Manager s hi n th tẽ ể  t c các gói có s n bao g m m t ẵ ồ  mô t ng n g n v ắ  ềchc năng ca nó

2.4.3 Cấu hình NTP Server cho Pfsense

Dch vụ này giúp ngưi dùng đòng b thi gian mạng NTP (Network Time Protocol)là để đồng b đồng hồ các hệ thống máy tnh thông qua mạng d liệu chuyển mạch gi với đ trễ bin đổi Dch vụ này đưc thit k để tránh nh hưởng ca đ trễ bin đổi bằng cách sử dụng b đệm jitter

2.4.4 Cài đặt Failover và Load Balancing cho Pfsense

Chc năng này sử dụng nền tng Pfsense để cân bằng ti cho traffic từ mạng LAN ra nhiều nhành WAN

2.4.5 High Availability Sync và CARP

High Availability c nghĩa là “Đ sẵn sàng cao“, nhng máy ch, thit b loại này luôn luôn sẵn sàng phục vụ, ngưi sử dụng không cm thy n b trục trặc, hỏng hc gây gián đoạn Để đm bo đưc điều đ, tối thiểu c mt cặp máy, thit b chạy song song, liên tục liên lạc với nhau, cái chnh hỏng, cái phụ sẽ lp tc bit và tự đng thay th

Thông thưng các nhm máy ch đưc gi là "CARP cluster" nhưng CARP chỉ là mt phần High Availability đạt đưc bằng cách sử dụng sự kt hp ca nhiều kỹ thut c liên quan, bao gồm c CARP, trạng thái đồng b (pfsync), và cu hnh đồng b (XMLRPC Sync)

Common Address Redundancy Protocol (CARP): đưc sử dụng bởi các node để chia sẻ 1

IP o (virtual IP) gia nhiều nút với nhau sao cho khi 1 node fail th IP o đ vẫn hoạt đng bởi các node khác CARP đưc bắt nguồn từ OpenBSD như 1 thay th mã nguồn mở cho giao thc route o VRRP (The Virtual Router Redundancy Protocol)

CARP sử dụng multicast v vy cần chú ý tới các switch trên hệ thống c hạn ch hoặc block, filter đa chỉ multicast hay không.

Cài đặt Pfsense

Hình 2: Màn hình welcome to pfsense

Hình 3: Hệ thống hỏi có mu n t o VLANs không, chố ạ n “N”

9 Hình 4: Ch n card m ng WAN th ạ  nht, chn card “ em1”

Hình 5: Chn card cho mạng LAN bên trong “em0”

Hình 6: Chn card mạng cho WAN2 “em2”

Hình 7: Sau khi gán xong, chn “y”

11 Hình 8: Cài đặt các Interface (card m ng) Ch n mạ  ục 2

Hình 9: Cài đặt IP cho mạng LAN, chn “2”

Hình 12: H ệthống h i mình có nên kích ho t chỏ ạ c năng DHCP không ? Chn “y” là đồng ý Pfsese là DHCP Server

Hình 13: Gán Range Ipv4 c n c p cho mầ  ạng LAN “10.10.10.100” và kt thúc là “

Hình 14: H ệthống h i có c u hình Pfsense làm Webserver không, chỏ  n “n” không đồng ý Nu đồng ý thì chc năng tái hiện trong cách cài đặt Virtual Server

Tri n khai Pfsense 15 ể 1 Tính năng của Pfsense

2.6.1.1 Pfsense Aliases Để tạo mt Aliases chúng ta vào Firewall -> Aliases

2.6.1.2 NAT Để tạo mt NAT chúng ta vào Firewall ->NAT

2.6.1.3 Firewall Rules Để tạo mt Rules chúng ta vào Firewall -> Rules

Hình 18: Giao di n Rules ệ Để add các rules mới ta nhn vào biểu tưng Add, rồi chúng ta thit lp tnh năng cho nó

Hình 19: Giao di n Edit Rules ệ

2.6.1.4 Firewall Schedules Để tạo mt Schedules m i vào Firewall > Schedules ớ

Hình 20: Giao di n Firewall Schedules ệ Sau đ nhn vào Add để các Firewall rules có thểđưc sắp xpđể nócóchỉhoạt đng vào các thi điểmnht đnhtrong ngàyhoặcvào nhng ngàynht đnhcụ thểho c các ặ ngàytrong tu n ầ

Hình 21: Giao di n Edit Firewall Schedules ệ

Ví dụ: Tạo lch Lichhoctrongtuan ca tháng 11 g m các ngày th 3, 5, 7 và thồ  i điểm t ừ

Hình 22: Tạo ví d l ch hụ  c trong tuần c a Firewall Schedules

Sau khi t o xong nh n Add Time ạ 

Xong rồi nh n save s ẽ ra kt qu

Hình 23: Kt qu  c a ví d trong Firewall Schedules ụ

DHCP chỉnh c u hình m ng TCP/IP b ng cách t  ạ ằ ự đng gán các đa ch ỉ IP cho ngưi dùng khi vào m ng ạ

Hình 24: Giao di n c a DHCP Server ệ 

Ngưi dùng c nhu cầu cài đặt thêm mt số chc năng ca Pfsense

Ngưi dùng vào t i menu System Package Manager s ạ ẽhiển th t t c các gói có    sẵn bao g m m t mô t ồ  ngắn g n v  ềchc năng a nó c Để cài đặt mt gói phần mềm, hãy nhp vào "intall" biểu tưng trên bên ph i c a trang

Hình 25: Giao di n c a Package Manager ệ 

Hình 26: Thử cài đặt trên Package Manager Sau khi hoàn thành cài đặt gói , mới sẽ hiển th trong "Installed packages" caPfsense Package Manager

Hình 27: Đã cài đặt thành công

2.6.2.3 C u hình NTP Server cho Pfsense ấ

Cài đặt NTP Server trên Pfsense ta làm các bước như sau:

Mở trình duy t Web, chúng ta nhệ p vào đa chỉ IP c a Pfsense và truy c p vào giao di n   ệ Web:

Như đã cài đặt IP mạng LAN trước đ, mnh nhp vào: https://10.10.10.10 sau đ giao diện Web s hi n ra ẽ ệ

Hình 28: Giao di n Web c a Pfsense ệ  Ở màn hnh đăng nhp này ta sẽ nhp username và password:

Sau khi đăng nhp thành công sẽ chuyển đn Pfsense Dashboard:

Hình 29: Pfsense Dashboard Truy c p vào menu Service -> NTP 

Hình 30: NTP Ở màn hình chính ca NTP, ta truy cp vào tab setting và thực hi n cu hình: ệ

Interface – chn card mạng mà pfSense chạy dch vụ NTP.

Time Servers – nhp vào NTP time server

Add thêm vào NTP server – hỗ tr.

Hình 31: Settings NTP Để kiểm tra trạng thái ca dch vụ, truy cp vào Status-> Services

Hình 32: Ki m tra Sevices c a NTP ể 

Và sau đ trong v dụ ca mnh, ta c thể thy NTP service đang hoạt đng

Hình 33: Kt qu NTP hoạt đng

2.6.2.4 Cài đặt Failover và Load Balancing cho Pfsense

Bước 1: Cấu hình Network Interface:

Setup các thông số như sau :

IP Address Wan1 : Nhn từ DHCP

IP Address Wan2 : Nhn từ DHCP

Trước khi tin hành các bước tip the chúng ta cần đm bo rằng Pfso, ense đã đưc cài đặt và chạy đưc

Sau khi login đưc vào giao diện đồ ha, bạn sẽ thy chỉ mới c card Lan, Wan như hnh bên dưới :

Hình 34: Giao diện đồ  h a Dashboard Pfsense Để cu hình Interface chn Interface từ Menu và click vào WAN để thêm mô t vào WAN1, chn save để lưu thay đổi.

Hình 35: C u hình Interface WAN thành WAN1 

Mt lần n a Click vào Interfaces và ch n OPT1, stick vào Enable Interface để đổi tên từ OPT1 sang WAN2

Tip theo, ch n DHCP m c IPv4 Configuration Type, ho c DHCP6 m c IPv6  ở ụ ặ ở ụConfiguration Type

Hình 36: C u hình OTP 1 thành WAN2  Tại Page cu hình WAN2, ph n cu i trang có m c Reserved Networks, bầ ố ụ ỏ chn Block Private Networks, để ỏ chặ b n traffic t h ừ ệthống m ng nạ i b Click Save để lưu thay đổi.

Hình 37: Bỏ chn Block Private Networks để ỏ chặ b n traffic t h ừ ệthống m ng nạ   i bSau đ cun lên đầu trang, sẽ thy hiện dòng Apply Changes, click vào để xác nhn thay đổi có hiệu lực

Bây gi tại Dashboard bạn sẽ thy hiện 3 interface:

Hình 38: Sau khi c u hình t t c Interface Vy là chúng ta đã cu hnh cơ bn cho 2 WAN, bây gi sẽ tip tục cu hình

Bước 2 : Cấu hình Monitor IP :

Trước khi cu hình LoadBalancer cho Pfsense, chúng ta cần cu hình Monitor IP cho LoadBalancer Bm vào ‘System’ trên menu và chn ‘Routing’

Hình 39: Giao diện Gateways để  c u hình Monitor IP ở trang ‘Edit gateway’, nhp vào đa ch IP cho c 2 WAN1 và WAN2 Ở WAN1 dùng ỉ đa ch DNS ca ISP là 218.248.233 Ở WAN2 dùng cỉ a Google đ là 8.8.8.8.

Hình 40: C u hình Monitor IP cho WAN1  Cu hnh tương tự cho WAN2 Ở đây ngưi vit dùng DNS ca Google thay cho DNS ca ISP B m vào Save và thoát ra 

Hình 41: C u hình Monitor IP cho WAN2 

Bm vào Apply Change để thay đổi có hiệu lực

Hình 42: Kt qu sau khi c u hình  Bước 3 : Cấu hình Gateway Group

Sau khi cu hnh Gateway Monitoring, click vào Gateway Group để tạo mt Gateway Group Bm vào nút Add bên phi để thêm Gateway Group mới

Hình 43: Giao di n c a Gateway Groups ệ  Đặt tên cho Group và chn Tier cho WAN1 và WAN2, bm save để lưu thay đổi Để cu hnh LoadBalancer chúng ta cần chn cùng mt Tier cho các gateway

Hình 44: Tạo Groups Bước 4 : cấu hình Firewall Rules:

Sau khi tạo Group, tip theo chúng ta sẽ tạo Firewall Rule cho Group, bm vào Firewall ở menu và chn Rules Chn Lan interface và cu hnh

Hình 45: Giao di n c a Firewall Rules ệ Tại cuối trang, M c Display Advanced, m c Gateway ch n LoadBalancer-LoadBalancer ụ ụ  vừa tạo và bm Save đểáp dụng thay đổi

Hình 46: Ch nh s a Gateway cho m ng LAN ỉ ử ạ Sau khi áp dụng thay đổi, bạn có th ểthy gateway đã đưc hi n thể  như hnh dưới.

Hình 47: Kt qu sau khi ch nh s a ỉ ử

Như vy là chúng ta đã hoàn thành cu hnh LoadBanlancer, tip theo sẽ test quá trnh hoạt đng ca dch vụ

Bước 5 : Kiểm tra LoadBalancer. Để kiểm tra LoadBalancer, vào Status ở thanh menu và bm vào ‘Gateway’ để chắc chắn rằng c 1 Gateways đang online và 1 Gateways đang offline.

Mục ‘Traffic Graph’ ở dưới menu ‘ Status’ sẽ cho ngưi qun tr thy lưu lưng Traffic đi qua Gateway theo thi gian thực

Hình 49: Traffic Graph Bước 6 : Cài đặt và cấu hình Failover bằng PfSense Để cu hnh Failover bằng Pfsense, chúng ta cần tạo nhng Tier khác nhau Di chuyển đn menu ‘System’ và chn ‘Routing’ Tại đây chúng ta c thể thy các Gateways đã đưc gán cho LoadBalancer, v vy hãy tin hành tạo 2 nhm khác dành cho Failover.

Chn ‘Group’ ở dưới System: Gateway Groups Ở đây chúng ta sẽ tạo 2 Group,1 Group cho WAN1 và 1 Group cho WAN2 Nu WAN1 mt kt nối hệ thống sẽ tự đng chuyển sang WAN2, và ngưc lại

Tin hành tạo nhm tên ‘WAN1Failover’ , chn WAN1 với Tier1 và WAN2 với Tier2, nu WAN1 hỏng sẽ chuyển sang WAN2 Ở Trigger Lever chn Packet Loss, bt k gi tin ping nào đn DNS không c tn hiệu tr li sẽ tự đng chuyển sang WAN2

Hình 50: Tạo Group WAN1 Failover Làm tương tự như hướng dẫn ở trên đố ới WAN2 để ạo ‘WAN2Failover’.i v t

Hình 51: Tạo Group WAN2 Failover Như vy là chúng ta đã c 3 Group, 1 Group cho LoadBanlancing, và 2 Group cho Failover

Hình 52: Giao di n sau khi t o các Group ệ ạ Bước 7: Cấu hình Firewall Rules cho Failover

Bây gi, chúng ta cần gán Firewall Rules cho Failover Để cu hnh Firewall Rules di chuyển đn menu ‘Firewall’ và chn ‘Rules’ Ở dưới Lan chúng ta phi add thêm rule dành cho Failover

Click vào biểu tưng Add ở pha bên phi để thêm vào Rule mới :

Hình 53: Tạo Rules WAN1 Failover cho card m ng LAN ạ Ở dưới Display Features c a Gateway , ch n ‘WAN1Failover’ và save lại Làm tương tự để cu hình WAN2Failover

Hình 54: Tạo Rules WAN2 Failover cho card m ng LANạ

Sau khi thêm vào nh ng Rule trên, chúng ta có th  ểthy nh ng rule li t kê dành cho  ệ LoadBanlancer và Failover

Hình 55: B ng li t kê sau khi thêm các Rules  ệ Gán tối thiểu 1 DNS Server cho Gateway và click apply changes để áp dụng thay đổi.

Từ menu ‘System’, chn ‘ General Setup’ và kiểm tra với DNS tương ng, mà chúng ta đã gán cho từng Gateway

Hình 56: Gán DNS Server cho Gateway Chn menu ‘Status’ và click vào ‘Gateway’ để kiểm tra tình trạng

Như vy là chúng ta đã hoàn thành cài đặt, cu hình Failover cho pfSENSE

PfSense LoadBalancer và Failover c thể đưc sử dụng ở các h gia đnh, mạng doanh nghiệp… nu bạn c từ 2 kt nối Internet ca 2 ISP trở lên Thay v phi tr tiền cho mt Router chuyên nghiệp với chc năng LoadBalancer, chúng ta c thể dùng pfSense để thay th rt hiệu qu

2.6.2.5 High Availability Sync và CARP

Cu hình hoàn ch nh c a máy Pfsense 1: ỉ 

Hình 58: C u hình Pfsense 1  Cu hình hoàn ch nh c a máy Pfsense 2: ỉ 

Sau khi đã cu hình xong tin hành cu hình bằng window XP chc năng

High Availability Sync và CARP :

Hình 60: Giao diện cài đặt High Availability Sync và CARP

Hình 61: Giao diện cài đặt High Availability Sync và CARP

Hình 62:Giao diện cài đặt High Availability Sync và CARP

Còn đây là nhng cài đặt cũng như là cu hnh để chc năng high availability sync cho máy ch và ng th đồ i cũng cài đặt máy Pfsense còn lại là backup đề phòng trưng h p  máy ch m t đi th máy phụ ẽ s lên thay th m y ch duy trì ho   ạt đng

Hình 63: C u hình IP o cho LAN và WAN   Còn đây là cu hnh đa chỉ IP o cho LAN & WAN:

Tác dụng ca 2 đa chỉ o là tránh trưng khi router 1 cht đi th máy chỉ đi đn đa chỉ IP này và dừng lại nhưng khi c đia chỉ mạng LAN o này th sẽ khác đi như sau khi máy chỉ đn đa chỉa ip o này n sẽ xét xem đa chi ip router 1 còn hoạt đng ko nu không th sẽ chuyển qua đa chỉ ip con lại ca router 2 và đi ra

Hình 64: Thực hiện quá trình Ở đây chúng ta enable DHCP server trên interface ca LAN lên để cu hnh

Hình 65: Thực hiện quá trình Ở đây phần gateway mặc đnh Pfsense sẽ sử dụng card mà n cp làm gateway

Tuy nhiên nu chúng ta muốn chn ip khác để làm gateway th sẽ đặt vào đây.

Ngoài ra để tránh trưng hp 2 con router trang cp DHCP th chúng ta cu hnh Failover peer IP và điền đa chỉ ca router backup vào để tránh trưng hp trên cũng như chúng ta đã cu hnh high availability sync cho nên khi cu hnh xong bên router backup sẽ tự hiểu phi tr về cho router master

Sau khi cu hnh nhưng bước trên khi router 1 cht đi router 2 sẽ lên làm ch v vy chúng ta vẫy c thể vào mạng nhưng khi router 1 sống lại th quyền làm ch sẽ đưc chuyển lại cho router 1 và router 2 trở về v tr backup ca mnh