CHƯƠNG I: GIỚI THIỆU CHUNG VỀ PFSENSE31.1Khái niệm về pfsense31.2Tường lửa và các tính năng nổi bật31.3Lợi ích của pfsense đem lại4CHƯƠNG 2: CÁC TÌNH HUỐNG ỨNG DỤNG52.1CấmCho phép các truy cập từ bên ngoài hoặc bên trong mạng nội bộ52.2Cấm truy cập theo thời gian biểu52.3Cho phép truy cập máy chủ nội bộ từ internet52.4Mỗi người dùng có một tài khoản riêng để truy cập wireless62.5Sử dụng tên miền động miễn phí72.6Kết nối mạng nội bộ của các chi nhánh với nhau8CHƯƠNG III: CÁCH CÀI ĐẶT PFSENSE83.1Chuẩn bị bộ cài pfsense83.2Cài đặt pfSense trên vmware workstation93.3Cấu hình pfsense153.4Đăng nhập pfsense và cấu hình cơ bản26
TRƯỜNG ĐẠI HỌC MỎ -ĐỊA CHẤT KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN MÔN HỌC AN NINH MẠNG ĐỀ TÀI Tìm hiểu pfsense triển khai thử nghiệm Nhóm:07 SINH VIÊN THỰC HIỆN 1621050882 LÊ MINH TRƯỜNG 1621050864 TRẦN VĂN HIỆP 162105062 BẠCH QUỐC TOẢN 1621050297 TRẦN ĐÌNH CƯỜNG Người hướng dẫn: ĐỖ NHƯ HẢI Đồ án môn học AN NINH MẠNG PHỤ LỤC Đồ án môn học AN NINH MẠNG CHƯƠNG I: GIỚI THIỆU CHUNG VỀ PFSENSE 1.1Khái niệm pfsense PfSense ứng dụng có chức định tuyến vào tường lửa mạnh miễn phí, ứng dụng cho phép bạn mở rộng mạng mà không bị thỏa hiệp bảo mật Bẳt đầu vào năm 2004, m0n0wallmới bắt đầu chập chững– dự án bảo mật tập trung vào hệ thống nhúng – pfSense có triệu download sử dụng để bảo vệ mạng tất kích cỡ, từ mạng gia đình đến mạng lớn của cơng ty Ứng dụng có cộng đồng phát triển tích cực nhiều tính bổ sung phát hành nhằm cải thiện tính bảo mật, ổn định khả linh hoạt 1.2Tường lửa tính bật Pfsense bao gồm nhiều tính mà bạn thấy thiết bị tường lửa router thương mại, chẳng hạn GUI Web tạo quản lý cách dễ dàng PfSense dựa FreeBSD giao thức Common Address Redundancy Protocol (CARP) FreeBSD, cung cấp khả dự phòng cách cho phép quản trị viên nhóm hai nhiều tường lửa vào nhóm tự động chuyển đổi dự phòng Vì hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên thực việc cân tải Đặc điểm quan trọng cấu hình để cài đặt sử dụng phần mềm Pfsense khơng đòi hỏi cao Chúng ta cần máy tính P3,Ram 128 MB ,HDD 1GB đủ để dựng tường lửa Pfsense Tuy nhiên đặc thù Pfsense tường lửa ngăn nguy hại mạng WAN mạng LAN nên máy cài đặt Pfsense yêu cầu tối thiểu card mạng PfSense tường lửa mềm, tức bạn cần máy tính bất kì, tốt máy chủ, cài đặt pfSense có tường lửa mạnh mẽ cho hệ thống mạng doanh nghiệp Trong phân khúc tường lửa cho doanh nghiệp vừa nhỏ, với khoảng 1000 người sử dụng, pfSense đánh giá tường lửa nguồn mở tốt với khả đáp ứng lên tới hàng triệu kết nối đồng thời Không thế, tường lửa pfSense có nhiều tính mở rộng tích hợp, tất một, vượt xa tưởng lửa thông thường, kể tường lửa cứng hãng tiếng thiết bị mạng Đồ án môn học AN NINH MẠNG Các tính bật: • • • • • • • • • • • • • • lửa tầng L3, L4, L7 Chặn truy cập theo khu vực địa lý Quản lý chất lượng QoS Proxy Quản trị mạng không dây Hỗ trợ VLAN Cân bẳng tải VPN theo giao thức Giám sát/Phân tích mạng Quản lý tên miền (DC), hỗ trợ tên miền động (DynDNS) Cho phép chạy song hành, failover Hỗ trợ ngôn ngữ tiếng Việt (*) Tự động cập nhật black list Tự động nâng cấp phiên 1.3Lợi ích pfsense đem lại Hồn tồn miễn phí, giá ưu vượt trội tường lửa pfSense Tuy nhiên, rẻ khơng có nghĩa chất lượng, tường lửa pfSense hoạt động ổn định với hiệu cao, tối ưu hóa mã nguồn hệ điều hành Cũng thê, pfSense khơng cần tảng phần cứng mạnh Nếu doanh nghiệp khơng có đường truyền tốc độ cao, tường lửa pfSense cần cài đặt lên máy tính cá nhân bắt đầu hoạt động Điều góp phần làm giảm chi phí triển khai, đồng thời tạo nên linh hoạt, tính mở rộng/sẵn sàng chưa có, doanh nghiệp muốn có nhiều tường lửa Không tường lửa, pfSense hoạt động thiết bị mạng tổng hợp với đầy đủ tính tồn diện sẵn sàng lúc Khi có vấn đề hệ thống mạng phát sinh, thay phải loay hoay tìm thiết bị thời gian đặt hàng, doanh nghiệp kết hợp tính đa dạng pfSense để tạo thành giải pháp hợp lý, khắc phục cố Không phần quan trọng khả quản lý Tường lửa pfSense quản trị cách dễ dàng, sáng qua giao diện web Hơn nữa, pfSense có giao diện web quản trị tiếng Việt, chuyên gia hệ thống mạng Techlink biên dịch, nên việc sử dụng trở nên đơn giản rõ ràng, giúp nhà quản trị mạng thực thoải mái thấu hiểu hoạt động tường lửa Đồ án môn học AN NINH MẠNG Như vậy, tường lửa pfSense kết hợp hoàn hảo mạnh mẽ, đem lại hợp lý cho nhà tài chính, tin tưởng cho nhà quản trị CHƯƠNG 2: CÁC TÌNH HUỐNG ỨNG DỤNG 2.1Cấm/Cho phép truy cập từ bên ngồi bên mạng nội Mơ tả: Hiện tại, doanh nghiệp có máy chủ dịch vụ nhiều người dùng bên mạng nội Doanh nghiệp muốn: - Từ bên mạng internet, người dùng phép truy cập vào số dịch vụ bên định - Từ bên mạng nội bộ, người dùng phép truy cập tới dịch vụ internet định Giải pháp: Đây tính tường lửa, pfSense hồn tồn đáp ứng u cầu pfSense tiến hành cấm/cho phép truy cập thông qua thông số địa IP, port, tên miền… 2.2Cấm truy cập theo thời gian biểu Mô tả: Doanh nghiệp qui định, thời gian làm việc từ 8h tới 12h sáng, 13h00 tới 17h00 Trong khoảng thời gian làm việc, nhân viên không sử dụng mạng internet để chat yahoo messenger, skype, hay xem phim Trong khoảng thời gian nghỉ trưa, từ 12h tới 13h, nhân viên thoải mái truy cập internet Đồ án môn học AN NINH MẠNG Giải pháp: pfSense không đặt luật cấm/cho phép, mà thiết lập lịch biểu tác dụng cho luật Trong trường hợp trên, quản trị mạng xây dựng luật cấm truy cập chat/xem phim, đồng thời tạo lịch biểu theo thời gian làm việc, cuối đem kết hợp luật lịch biểu Đây đặc tính hữu ích, nên triển khai để tạo thoải mái định doanh nghiệp Nhà quản trị mạng thao tác thủ công hàng ngày 2.3Cho phép truy cập máy chủ nội từ internet Mô tả: Hiện tại, doanh nghiệp có địa IP tĩnh Thơng qua đó, doanh nghiệp muốn đưa dịch vụ web, chia sẻ file, CRM, ERP bên mạng internet, để đối tác, nhà cung cấp… truy nhập vào Đây nhu cầu phổ biến Giải pháp : pfSense hỗ trợ NAT (PAT) với khả ánh xạ cổng dịch vụ với máy chủ khác nhau, đáp ứng yêu cầu Cách thực đơn giản, phần lớn tường lửa thực Nhược điểm người dùng phải nhớ số hiệu cổng truy nhập Đồ án môn học AN NINH MẠNG Giải pháp : pfSense hỗ trợ reverve proxy với khả ánh xạ ánh xạ tên miền máy chủ khác nhau, đáp ứng yêu cầu Các tường lửa khác khơng có tính này, bắt buộc phải có nhiều IP tĩnh 2.4Mỗi người dùng có tài khoản riêng để truy cập wireless Mô tả: Hiện tại, doanh nghiệp sử dụng mạng wireless để nhân viên sử dụng Doanh nghiệp có mạng Đồ án môn học AN NINH MẠNG wireless riêng dành cho khách hàng đến công ty Đôi khi, khách hàng cá nhân mạng wireless sử dụng băng thông nhiều, chẳng hạn để xem phim online, làm ảnh hưởng tới công việc người khác, doanh nghiệp khơng thể xác định Hoặc sau thời gian định kỳ, để an toàn, doanh nghiệp thay đổi mật truy nhập wireless phải báo lại cho tất dùng nội phiền phức Bấm vào để xem "một số trường hợp ứng dụng captiveportal" Giải pháp: để kiểm sốt truy cập wireless, doanh nghiệp mua thiết bị wireless controller với giá thành không rẻ Như thế, nhà quản trị mạng phải làm việc với loại thiết bị mới, phải làm quen với trang web phần mềm quản trị loại thiết bị khác pfSense tích hợp chức quản trị mạng wireless với số lượng mạng không hạn chế Thông qua pfSense, doanh nghiệp tạo tài khoản truy cập wireless riêng cho người dùng, cho phép băng thông tối đa cho người dùng Doanh nghiệp tạo voucher, có tác dụng giống thẻ cào truy cập wireless, để phát cho khách hàng vãng lai tới sử dụng, có hạn mức sử dụng ngày Hơn nữa, doanh nghiệp quảng cáo dựa mạng wireless này, cách định hướng truy nhập người dùng chưa xác thực trang web giới thiệu cơng ty (tính hay áp dụng bệnh viện, khách sạn, trường học, nơi có nhiều khách vãng lai) Đồ án mơn học AN NINH MẠNG 2.5Sử dụng tên miền động miễn phí Mơ tả: Trong doanh nghiệp, có chi nhánh có hệ thống mạng, khơng mua địa IP tĩnh tên miền Vì vậy, người dùng/khách hàng từ bên ngồi internet khơng thể truy cập vào hệ thống mạng nội bên để truy cập thơng tin cần thiết Giải pháp: hồn tồn miễn phí, doanh nghiệp sử dụng tên miền động cung cấp noip, dyndns… Cách có ưu điểm việc sử dụng hoàn toàn giống tên miền tĩnh IP tĩnh, nhược điểm phải cài phần mềm cung cấp noip, dyndns lên máy tính mạng nội bộ, để phần mềm cập nhật thường xuyên địa IP, lại phải cấu hình tường lửa phép phần mềm hoạt động Với pfSense, theo chế tên miền động trên, tất nhược điểm khắc phục Thay phải tải phần mềm cung cấp địa IP với nguồn gốc khơng rõ ràng, pfSense có chức riêng để tự tiến hành việc này, mà cài đặt lên máy tính khác Như vậy, pfSense vừa tường lửa, vừa tự động cập nhật IP động cho hệ thống quản lý tên miền toàn cầu, nhanh chóng bảo đảm an tồn 2.6Kết nối mạng nội chi nhánh với Mơ tả: Doanh nghiệp có nhiều chi nhánh khắp nơi nước Doanh nghiệp muốn kết nối mạng nội tất chi nhánh với để hoạt động chia thông tin chi nhánh diễn nhanh chóng, an tồn tin cậy 10 Đồ án môn học AN NINH MẠNG -Chọn “No” -chọn “Reboot” 21 Đồ án môn học AN NINH MẠNG -Chọn “Y” -> ”Enter” -tiếp tục “Enter” 22 Đồ án môn học AN NINH MẠNG -Đặt tên cho card WAN: gõ “me0” ->”enter” -Đặt tên cho card LAN: gõ “le0”-> “Enter’’ 23 Đồ án môn học AN NINH MẠNG -chọn “y” -> “Enter” -Chọn option ->”Enter” 24 Đồ án môn học AN NINH MẠNG -Chon -> “Enter” -Cấu hình IP tĩnh cố định cho card WAN: chọn “n” ->”enter” 25 Đồ án môn học AN NINH MẠNG -Đặt IP card WAN là: 192.168.24.144 -> Enter -Chọn subnet lớp C : chọn 24 -> enter 26 Đồ án môn học AN NINH MẠNG -Đăt ip upstream gateway address: 192.168.24.254 -> enter -chon “n” -> “enter” đến kết thúc trình đặt ip card WAN 27 Đồ án mơn học AN NINH MẠNG -Tiếp theo cấu hình IP card mang LAN -Chọn option cấu hình tương tự card WAN với địa ip: 172.16.88.254 28 Đồ án môn học AN NINH MẠNG 3.4Đăng nhập pfsense cấu hình -truy cập link : https://172.16.88.254 - đăng nhập với tài khoản mặc định ban đầu: -tk: admin -mk: pfsense 29 Đồ án môn học AN NINH MẠNG -Đặt Hostname là: Router01 -Đặt Domain : mangmaytinh.com -Primary DNS Server : 1.1.1.1 -Secondary DNS Server : 8.8.8.8 -Tiếp theo chọn Next 30 Đồ án môn học AN NINH MẠNG -Đặt thời gian đồng với thời gian thực -Time zone chọn: Asia/Ho_Chi_Minh -chọn “Next” 31 Đồ án môn học AN NINH MẠNG -bỏ tick “Block private networks from entering via WAN” Và ”Block non-internet router networks from entering via WAN” -Chọn “Next” 32 Đồ án môn học AN NINH MẠNG -chọn “Next” -Đặt lại password (tuỳ ý) 33 Đồ án môn học AN NINH MẠNG -chọn “Reload” -Sau cấu hình xong ta hình bên 34 Đồ án môn học AN NINH MẠNG 35