TÌM HIỂU FIREWALL PFSENSE VÀ SMOOTHWALL

Trang 1

KHOA CÔNG NGHỆ THÔNG TIN

=======0o0=======

BÁO CÁO THUYẾT TRÌNH LINUX

ĐỀ TÀI: 01 TÌM HIỂU FIREWALL PFSENSE VÀ SMOOTHWALL

 GVHD: Lê Ngọc Sơn

 Nhóm Trình Bày:

 Nguyễn Chí Tâm-0964125

 Đặng Quang Tân-0964127

 Phân Công Công Việc:

Trang 2

4 Những hạn chế của Firewall 2

II Firewall pfSense 3

1.Giới thiệu Firewall Pfsense: 3

2 Một số chức năng chính của Firewall Pfsense: 2.1: Aliases 3

2.2: Rules (Luật) 4

2.3: Firewall Schedules 5

2.4: NAT 6

2.5: Traffic shaper (Quản lý băng thông) 7

2.6: Virtual Ips 9

3.Một số dịch vụ của pfsense 3.1: captive portal 10

3.2: DHCP Server 11

3.3: DHCP Relay 12

3.4: Load Balancing 13

3.5: VPN PPTP Để sử dụng chức năng này bạn vào VPN => PPTP 13

3.6: Một số chức năng khác 15

4 Mô Hình 15

5 Cài đặt Fimrewall pfsense, Cấu hình interface và DHCP server 16

5.1: Cài Đặt Pfsense 16

5.2: Cấu hình card mạng cho máy Pfsense 26

5.3: Đặt IP và thiết lập DHCP cấp phát vào bên trong mạng LAN 27

5.4: Máy Client xin IP do PFSENSE cấp phát 29

6 Tiến hành cấu hình một số dịch vụ trong Pfsense:………31

6.1: Cấu hình pfsense và cân bằng tải( load balancer)………31

Trang 3

1 Giới thiệu Firewall Smoothwall 63

2 Smoothwall Express có 3 mode hoạt động lúc cài đặt 64

3 Các loại cấu hình Network 64

4 Ưu điểm 64

5 Hạn chế 65

6 Một số chức năng trong Smoothwall 65

6.1 Ip block: 65

6.2 WebProxy: 66

6.3 Outgoing: 67

6.4 IDS: 68

6.5 Remote Access: 69

6.6 DHCP: 70

6.7 Timed Access: 71

6.8 Pop3 proxy: 72

6.9 Interface: 73

6.10 Time 74

6.11 Static dns: 75

6.12 IM proxy 76

7 Cài đặt và Cấu hình Smoothwall: 77

7.1 Cài Đặt: Cho đĩa cd hoặc file iso Smoothwall Express vào 77

7.2.Cấu hình Smoothwall 89

7.3 Cấu hình DHCP 91

7.4 Cấu hình web proxy 93

7.5 Cấu hình IDS(snort): 95

7.6 Bật tính năng SSH để remote access 96

Trang 5

Firewall Trên Linux Page 1

I Firmewall là gì?

1 Định nghĩa

 Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network)

 Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty,

tổ chức, ngành hay một quốc gia, và Internet Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet

 Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) giữa mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet:

2 Chức năng

Chức năng chính của Firewall là kiểm soát luồng thông tin giữa Intranet và Internet

Intranet firewall Internet

Cụ thể:

 Cho phép hoặc cấm những dịch vụ từ bên trong truy nhập ra ngoài

 Kiểm soát ngời sử dụng và việc truy nhập của ngời sử dụng

 Cho phép hoặc cấm những dịch vụ bên ngoài truy nhập vào trong

Trang 6

Firewall Trờn Linux Page 2

 Kiểm soỏt địa chỉ truy nhập, cấm địa chỉ truy nhập

 Theo dừi luồng dữ liệu mạng giữa bờn trong (Intranet) và bờn ngoài (Internet)

 …

3 Cỏc thành phần của Firemwall

Firewall chuẩn bao gồm một hay nhiều cỏc thành phần sau đõy:

 Bộ lọc packet (packet-filtering router)

 Cổng ứng dụng (application-level gateway hay proxy server)

 Cổng mạch (circuite level gateway)

4 Những hạn chế của Firewall

 Firewall không đủ thông minh nh- con ng-ời để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nh-ng phải xác định rõ các thông số địa chỉ

 Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi qua" nó Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một

đ-ờng dial-up, hoặc sự rò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm

 Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu driven attack) Khi có một số ch-ơng trình đ-ợc chuyển theo th- điện tử, v-ợt qua firewall vào trong mạng đ-ợc bảo vệ và bắt đầu hoạt động ở đây

(data- Một ví dụ là các virus máy tính Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu đ-ợc chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall

Trang 7

II Firewall pfSense

1 Giới thiệu Firewall Pfsense:

 Pfsense là một phiên bản mã nguồn mở, miễn phí, được tùy chỉnh cho bản phân phối FreeBSD để sử dụng như firewall hay router

 Pfsense có thể được quản trị dễ dàng bằng giao diện web

 Pfsense bao gồm rất nhiều tính năng và được ứng dụng rộng rãi từ SOHO cho tới các tổ

 PfSense là một gói phần mềm firewall hoàn chỉnh, nó có thể được cài đặt trên một

PC hay một embedded PC.Với phần mềm miễn phí được phát triển trên phiên bản của FreeBSD, Pfsense được cài đặt đơn giản, tương thích với một PC cấu hình thấp

 Đặc điểm cũng khá quan trọng là cấu hình để cài đặt và sử dụng phần mềm Pfsense không đòi hỏi phải cao như những phần mềm mới hiện nay Chúng ta chỉ cần một máy tính P3, Ram 128, HDD 1GB thì cũng đủ để dựng nên một tường lửa Pfsense bảo vệ mạng bện trong

2 Một số chức năng chính của Firewall Pfsense:

2.1: Aliases.

 Với tính năng này chúng ta có thể gom nhóm các ports, hosts hoặc Network(s) khác nhau và đặt cho chúng một cái tên chung để thiết lập nhưng quy tắc được dễ dàng và nhanh chóng hơn Để vào Aliases của pfsense vào Firewall → Aliases

Trang 8

 Các thành phần trong Aliases:

- Hosts : tạo nhóm các địa chỉ IP

- Network : tạo nhóm các mạng

- Port : Cho phép gom nhóm các port nhưng không cho phép tạo nhóm

các protocol Các protocol được sử dụng trong các rule

2.2: Rules (Luật)

 Nơi lưu các rules (Luật) của Firewall Để vào Rules của pfsense vào Firewall → Rules

Trang 9

 Mặc định pfsense cho phép mọi trafic ra/vào hệ thống Bạn phải tạo ra các rules để quản lí mạng bên trong firewall

 Một số lựa chọn trong Destination và Source

- Any : tất cả

- Single host or alias: Một địa chỉ ip hoặc là một bí danh

- Lan subnet: Đường mạng Lan

- Network : Địa chỉ mạng

- Lan address: Tất cả địa chỉ mạng nội bộ

- Wan address: Tất cả địa chỉ mạng bên ngoài

- PPTP clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPTP

- PPPoE clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPPoE

2.3: Firewall Schedules

 Các Firewall rules có thể được sắp xếp để nó có chỉ hoạt động vào các thời điểm nhất định trong ngày hoặc vào những ngày nhất định cụ thể hoặc các ngày trong tuần

 Đây là một cơ chế rất hay vì nó thực tế với những yêu cầu của các doanh nghiệp muốn quản lí nhân viên sử dụng internet trong giò hành chính

 Để tạo một Schedules mới vào Firewall => Schedules : Nhấn dấu +

 ví dụ: ở đây Tạo lịch tên GioLamViec của tháng 11 Từ thứ hai đến thứ bẩy và thời gian từ 7giờ đến 17 giờ

Trang 10

 Sau khi tạo xong nhấn Add Time => Save

Trang 11

2.5: Traffic shaper (Quản lý băng thông).

Với tính năng Traffic Sharper giúp bạn theo dõi và quản lí băng thông mạng dễ dàng và hiệu quả hơn

 Để cấu hình Traffic Sharper ta chọn Firewall => Traffic Sharper =>Next

Trang 12

 Trong Traffic Sharper Hỗ trợ Voice IP

 Hỗ trợ Hỗ trợ mạng ngang hàng như BitTorent , CuteMX,…

Trang 13

 Hỗ trợ mạng chơi game như BattleNET , Battlefield2,…và một số game trực tuyến

2.6: Virtual Ips.

Virtual IP được sử dụng để cho phép pfSense đúng cách chuyển tiếp lưu lượng cho

những việc như chuyển tiếp cổng NAT, NAT Outbound, và NAT 1:1 Họ cũng cho phép các tính năng như failover, và có thể cho phép các dịch vụ trên router để gắn kết với địa chỉ IP khác nhau

 CARP

Trang 14

 Có thể được sử dụng bởi các bức tường lửa chính nó để chạy các dịch vụ hoặc được chuyển tiếp

 Tạo ra lớp 2 traffic cho các VIP

 Có thể được sử dụng cho clustering (tường lửa và tường lửa chủ failover chế độ chờ)

 Các VIP đã được trong cùng một subnet IP của giao diện thực

 Sẽ trả lời ICMP ping nếu được phép theo các quy tắc tường lửa

 Proxy ARP

 Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được

chuyển tiếp

 Tạo ra lớp 2 giao thông cho các VIP

 Các VIP có thể được trong một subnet khác với IP của giao diện thực

 Không trả lời gói tin ICMP ping

 Other

 Có thể được sử dụng nếu các tuyến đường cung cấp cho bạn VIP của bạn dù sao

mà không cần thông báo lớp 2

 Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được

chuyển tiếp

 Các VIP có thể được trong một subnet khác với các giao diện IP

 Không trả lời ICMP Ping

3 Một số dịch vụ của pfsense

3.1: captive portal

Captive portal cho phép admin có thể chuyển hướng client tới một trang web khác, từ trang web này client có thể phải chứng thực trước khi kết nối tới internet Tính năng captive portal nằm ở mục Services/captive portal

Trang 15

 Captive portal: Tinh chỉnh các chức năng của Captive Portal

- Enable captive portal: Đánh dấu chọn nếu muốn sử dụng captive portal

- Maximum concurrent connections:Giới hạn các connection trên mỗi

ip/user/mac

- Idle timeout:Nếu mỗi ip không còn truy cập mạng trong 1 thời gian xác định

thì sẽ ngắt kết nối của ip/user/mac

- Hard timeout: Giới hạn thời gian kết nối của mỗi ip/users/mac

- Logout popup windows: Xuất hiện 1 popup thông báo cho ip/user/mac

- Redirect URL: Địa chỉ URL mà người dùng sẽ được direct tới sau khi đăng

nhập

 Pass-though MAC: Các MAC address được cấu hình trong mục này sẽ được bỏ

qua,không authentication

 Allowed IP address: Các IP address được cấu hình sẽ không authentication

 Users: Tạo local user để dùng kiểu authentication: local user

 File Manager: Upload trang quản lý của Captive portal lên pfsense

Có 3 kiểu chứng thực client:

 No authentication: pfsense sẽ điều hướng người dùng tới 1 trang nhất định mà

không chứng thực

 Local user manager: pfsense hỗ trợ tạo user để chứng thực

 Radius authentication: Chứng thực bằng radius server (Cần chỉ ra địa chỉ ip của

Trang 16

 Bật tính năng cấp IP động cho các máy client

Trang 17

 Chỉ được phép chạy một trong dịch vụ DHCP server và DHCP relay

3.4: Load Balancing.

Với chức năng này bạn có thể điều phối mạng hay còn gọi là cân bằng tải mạng

Có 2 loại load balacing trên pfSense:

 Gateway load balancing: được dùng khi có nhiều kết nối WAN Client bên trong LAN khi muốn kết nối ra ngoài Internet thì pfSense lựa chon card WAN để

chuyển packet ra card đó giúp cho việc cân bằng tải cho đường truyền

 Server load balancing: cho phép cân bằng tải cho các server của mình Được dùng phổ biến cho các web server, mail server và server ko hoạt động nữa thì sẽ bị remove

3.5: VPN PPTP.

Để sử dụng chức năng này bạn vào VPN => PPTP

 Chọn Enable PPTP server để bật tính năng VPN

 Server address : Địa chỉ server mà client sẽ kết nối vào

 Remote address range :Dải địa chỉ IP sẽ cấp khi VPN Client kết nối

Trang 18

 RADIUS : Chứng thực qua RADIUS

Trang 19

3.6: Một số chức năng khác

 System Log: theo dõi mọi hoạt động của hệ thống pfSense và các dịch vụ mà

pfsense cung cấp Mọi hoạt động của hệ thống và dịch vụ đều được ghi lai

 System Status: Liệt kê các thông tin và tình trạng của hệ thống

 Service Status: Hiển thị trạng thái của tất cả các service co trong hệ thống Mỗi

service có hai trạng thái là: running, stopped

 Interface Status: hiển thị thông tin của tất cả card mạng

 RRD Graph: Hiện thị các thông tin dưới dạng đồ thị.Các thông tin mà RRD Graph

 Router ADSL1: 192.168.1.200

 Router ADSL2: 192.168.2.200

Trang 20

Trên máy tính cài Pfsense chúng ta bỏ đĩa pfSense-1.2.3-LiveCD.iso vào để cài đặt

 Màn hình Welcom to FreeBSD! Chào đón chúng ta đến với mã nguồn mở

Firewall Pfsense

Trang 21

 chọn 99 để bắt đầu quá trình cài đặt

 Chọn Accept these settings à Chấp nhận việc cài đặt Pfsense

 Chọn install pfsense để bắt đầu cài pfsense vào ổ cứng

Trang 22

 chọn <Ad0:…> ổ cứng mà Pfsense cần cài đặt

 Chọn Format this Disk Định dạng lại ổ cứng bằng chính chương trình Pfsense

Trang 23

 Chọn Use this geometry à Định dạng Cylinders, Heads, Sectors theo chuẩn Pfsense

Trang 24

 Format Ad0 Bắt đầu tiến hành định dạng theo thiết lập trên

 Chọn Partition Disk Tạo Partiton cho ổ cứng

 Chọn Accept and Create Chấp nhận quá trình tạo Partition

Trang 25

 Chọn Yes, Partition ad0 Xác nhận việc tạo Partition

 Chọn OK

 Chọn <1: 7.99G (… ) > à Thiết lập Primary cho Partition

Trang 26

 chọn ok

 Chọn Accept and Create

Trang 27

 chọn <Symmetric ….>

 Chọn Accept and Install Bootblocks Chấp nhận tạo bootBlocks lên ổ cứng

Trang 28

 chọn ok

Trang 29

 chọn reboot để khởi động lại máy

 Quá trình cài đặt Pfsense lên máy tính hoàn tất

Trang 30

5.2: Cấu hình card mạng cho máy Pfsense

 Enter an Option : 1 Chọn số 1 để bắt đầu thiết lập các Interface

 Do you want to setup VLANs now -> gõ n -> Enter

Trang 31

 Gõ eM0 để thiết lập Interface LAN

 Gõ eM1 để thiết lập Interface WAN

 Gõ eM1 để thiết lập Interface opt1 (Interface WAN2)

 Sau khi thiết lập đủ Interface Chúng ta để trống à Enter

Chon “Y” để tiến hành quá trình thiết lập card mạng

5.3: Đặt IP và thiết lập DHCP cấp phát vào bên trong mạng LAN

 Enter an Option Chọn 2 à Thiết lập IP cho Interface

Trang 32

 Đặt IP cho Interface LAN : 10.0.0.10 à IP Pfsense kết nối với Internel

Enter the new LAN subnet bit count : 24 à Enter

 Chọn “Y” để thiết lập DHCP cấp phát IP cho các máy Client (Network

Internal)

 Tạo Range IP bắt đầu à IP bắt đầu cấp phát cho Client : 10.0.0.50

 Tạo Range IP kết thúc à IP kết thúc cấp phát cho Client : 10.0.0.100

Trang 33

 Sau khi hàn tất ta có IP card LAN là 10.0.0.10 và DHCP cấp range IP :

10.0.0.50 đến 10.10.10.100 cho các máy Client bên trong

5.4: Máy Client xin IP do PFSENSE cấp phát

 Thực hiện lệnh : ipconfig/release

 Thực hiện lệnh : ipconfig/renew

Trang 34

6 Tiến hành cấu hình một số dịch vụ trong Pfsense:

6.1: Cấu hình pfsense và cân bằng tải( load balancer)

a Cấu hình Pfsense

 Tại máy Client -> Cấu hình Pfsen bằng giao diện web

Tên đăng nhập/ mật khẩu là: admin/pfsense

Trang 35

 Chọn Next

 Khai báo DNS Server cho máy Pfsense -> Next

Trang 36

Trang 37

Trang 38

 Thiết lập lại pass cho admin WebGui => Chọn Next

Trang 39

Trang 40

 Đặt IP cho Interface WAN2

Định dạng
Số trang	105
Dung lượng	5,66 MB