Tìm hiểu về pfsense và triển khai thử nghiệm

CHƯƠNG I: GIỚI THIỆU CHUNG VỀ PFSENSE31.1Khái niệm về pfsense31.2Tường lửa và các tính năng nổi bật31.3Lợi ích của pfsense đem lại4CHƯƠNG 2: CÁC TÌNH HUỐNG ỨNG DỤNG52.1CấmCho phép các truy cập từ bên ngoài hoặc bên trong mạng nội bộ52.2Cấm truy cập theo thời gian biểu52.3Cho phép truy cập máy chủ nội bộ từ internet52.4Mỗi người dùng có một tài khoản riêng để truy cập wireless62.5Sử dụng tên miền động miễn phí72.6Kết nối mạng nội bộ của các chi nhánh với nhau8CHƯƠNG III: CÁCH CÀI ĐẶT PFSENSE83.1Chuẩn bị bộ cài pfsense83.2Cài đặt pfSense trên vmware workstation93.3Cấu hình pfsense153.4Đăng nhập pfsense và cấu hình cơ bản26

KHOA CÔNG NGHỆ THÔNG TIN

SINH VIÊN THỰC HIỆN

1 1621050882 LÊ MINH TRƯỜNG

2 1621050864 TRẦN VĂN HIỆP

3 16210506

Người hướng dẫn: ĐỖ NHƯ HẢI

PHỤ LỤC

PHỤ LỤC 2

CHƯƠNG I: GIỚI THIỆU CHUNG VỀ PFSENSE 3

1.1Khái niệm về pfsense 3

1.2Tường lửa và các tính năng nổi bật 3

1.3Lợi ích của pfsense đem lại 4

CHƯƠNG 2: CÁC TÌNH HUỐNG ỨNG DỤNG 5

2.1Cấm/Cho phép các truy cập từ bên ngoài hoặc bên trong mạng nội bộ 5

2.2Cấm truy cập theo thời gian biểu 5

2.3Cho phép truy cập máy chủ nội bộ từ internet 5

2.4Mỗi người dùng có một tài khoản riêng để truy cập wireless 6

2.5Sử dụng tên miền động miễn phí 7

2.6Kết nối mạng nội bộ của các chi nhánh với nhau 8

CHƯƠNG III: CÁCH CÀI ĐẶT PFSENSE 8

3.1Chuẩn bị bộ cài pfsense 8

3.2Cài đặt pfSense trên vmware workstation 9

3.3Cấu hình pfsense 15

3.4Đăng nhập pfsense và cấu hình cơ bản 26

CHƯƠNG I: GIỚI THIỆU CHUNG VỀ PFSENSE

1.1Khái niệm về pfsense

PfSense là một ứng dụng có chức năng định tuyến vào tường lửa mạnh và miễnphí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo mật Bẳt đầu vào năm 2004, khi m0n0wallmới bắt đầu chập chững– đây là một dự án bảo mật tập trung vào các hệ thống nhúng – pfSense đã

có hơn 1 triệu download và được sử dụng để bảo vệ các mạng ở tất cả kích cỡ, từcác mạng gia đình đến các mạng lớn của của các công ty Ứng dụng này có một cộng đồng phát triển rất tích cực và nhiều tính năng đang được bổ sung trong mỗi phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn định và khả năng linh hoạt của nó

1.2Tường lửa và các tính năng nổi bật

Pfsense bao gồm nhiều tính năng mà bạn vẫn thấy trên các thiết bị tường lửa hoặc router thương mại, chẳng hạn như GUI trên nền Web tạo sự quản lý một cách dễ dàng

PfSense được dựa trên FreeBSD và giao thức Common Address Redundancy Protocol (CARP) của FreeBSD, cung cấp khả năng dự phòng bằng cách cho phép các quản trị viên nhóm hai hoặc nhiều tường lửa vào một nhóm tự động chuyển đổi dự phòng Vì nó hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên có thể thực hiện việc cân bằng tải

Đặc điểm khá quan trọng là cấu hình để cài đặt sử dụng phần mềm Pfsense không đòi hỏi cao Chúng ta chỉ cần một máy tính P3,Ram 128 MB ,HDD 1GB cũng đủ để dựng được tường lửa Pfsense

Tuy nhiên đặc thù Pfsense là tường lửa ngăn các nguy hại giữa mạng WAN và mạng LAN nên máy cài đặt Pfsense yêu cầu tối thiểu 2 card mạng

PfSense là tường lửa mềm, tức là bạn chỉ cần một máy tính bất kì, hoặc tốt hơn

là một máy chủ, rồi cài đặt pfSense là đã có ngay một tường lửa mạnh mẽ cho hệthống mạng trong doanh nghiệp Trong phân khúc tường lửa cho doanh nghiệp vừa và nhỏ, với khoảng dưới 1000 người sử dụng, pfSense được đánh giá là tường lửa nguồn mở tốt nhất hiện nay với khả năng đáp ứng lên tới hàng triệu kết nối đồng thời Không những thế, tường lửa pfSense còn có nhiều tính năng

mở rộng tích hợp, tất cả trong một, vượt xa các tưởng lửa thông thường, kể cả các tường lửa cứng của các hãng nổi tiếng về thiết bị mạng

Các tính năng nổi bật:

 lửa tầng L3, L4, L7

 Chặn truy cập theo khu vực địa lý

 Quản lý chất lượng QoS

 Quản lý tên miền (DC), hỗ trợ tên miền động (DynDNS)

 Cho phép chạy song hành, failover

 Hỗ trợ ngôn ngữ tiếng Việt (*)

 Tự động cập nhật black list

 Tự động nâng cấp phiên bản

1.3Lợi ích của pfsense đem lại

Hoàn toàn miễn phí, giá cả là ưu thế vượt trội của tường lửa pfSense Tuy nhiên, rẻ không có nghĩa là kém chất lượng, tường lửa pfSense hoạt động cực kỳ ổn định với hiệu năng cao, đã tối

ưu hóa mã nguồn và cả hệ điều hành Cũng chính vì thê,

pfSense không cần nền tảng phần cứng mạnh Nếu doanh

nghiệp không có đường truyền tốc độ cao, tường lửa pfSense chỉcần cài đặt lên một máy tính cá nhân là có thể bắt đầu hoạt động Điều đó càng góp phần làm giảm chi phí triển khai, đồng thời tạo nên sự linh hoạt, tính mở rộng/sẵn sàng chưa từng có, khi doanh nghiệp muốn có nhiều hơn một tường lửa

Không chỉ là một tường lửa, pfSense hoạt động như một thiết

bị mạng tổng hợp với đầy đủ mọi tính năng toàn diện sẵn sàng bất cứ lúc nào Khi có một vấn đề về hệ thống mạng phát sinh, thay vì phải loay hoay tìm thiết bị và mất thời gian đặt hàng, doanh nghiệp có thể kết hợp các tính năng đa dạng trên

pfSense để tạo thành giải pháp hợp lý, khắc phục sự cố ngay lậptức

Không kém phần quan trọng là khả năng quản lý Tường lửa

pfSense được quản trị một cách dễ dàng, trong sáng qua giao

diện web Hơn thế nữa, pfSense đã có giao diện web quản trị duy nhất bằng tiếng Việt, được các chuyên gia hệ thống mạng của Techlink biên dịch, nên việc sử dụng càng trở nên đơn giản

và rõ ràng, giúp các nhà quản trị mạng thực sự thoải mái và thấu hiểu về mọi hoạt động của tường lửa

Như vậy, tường lửa pfSense là sự kết hợp hoàn hảo và mạnh

mẽ, đem lại sự hợp lý cho các nhà tài chính, và sự tin tưởng cho các nhà quản trị

CHƯƠNG 2: CÁC TÌNH HUỐNG ỨNG DỤNG

2.1Cấm/Cho phép các truy cập từ bên ngoài hoặc bên trong mạng nội bộ

Mô tả: Hiện tại, doanh nghiệp có các máy chủ dịch vụ và nhiều

người dùng bên trong mạng nội bộ Doanh nghiệp muốn:

- Từ bên ngoài mạng internet, người dùng chỉ được phéptruy cập vào một số dịch vụ bên trong nhất định

- Từ bên trong mạng nội bộ, người dùng chỉ được phép truycập tới các dịch vụ internet nhất định

Giải pháp: Đây là tính năng cơ bản của mọi tường lửa, pfSense

hoàn toàn đáp ứng yêu cầu này pfSense có thể tiến hànhcấm/cho phép các truy cập thông qua các thông số về địa chỉ IP,port, tên miền…

2.2Cấm truy cập theo thời gian biểu

Mô tả: Doanh nghiệp qui định, thời gian làm việc từ 8h tới 12h

sáng, và 13h00 tới 17h00 Trong khoảng thời gian làm việc,nhân viên không được sử dụng mạng internet để chat yahoomessenger, skype, hay xem phim Trong khoảng thời gian nghỉtrưa, từ 12h tới 13h, nhân viên có thể thoải mái truy cậpinternet

Giải pháp: pfSense không chỉ đặt các luật cấm/cho phép, mà còn có thể thiết lập

lịch biểu tác dụng cho các luật này Trong trường hợp trên, quản trị mạng có thểxây dựng các luật cấm truy cập chat/xem phim, đồng thời tạo ra một lịch biểu theothời gian làm việc, cuối cùng là đem kết hợp giữa luật và lịch biểu Đây là một đặctính rất hữu ích, nên được triển khai để tạo ra sự thoải mái nhất định trong doanhnghiệp Nhà quản trị mạng cũng không phải thao tác thủ công hàng ngày

2.3Cho phép truy cập máy chủ nội bộ từ internet

Mô tả: Hiện tại, doanh nghiệp đã có một địa chỉ IP tĩnh Thông

qua đó, doanh nghiệp muốn đưa các dịch vụ web, chia sẻ file,CRM, ERP ra bên ngoài mạng internet, để các đối tác, nhà cungcấp… có thể truy nhập vào Đây là nhu cầu rất phổ biến

Giải pháp 1 : pfSense hỗ trợ NAT (PAT) với khả năng ánh xạ các

cổng dịch vụ với các máy chủ khác nhau, đáp ứng được yêu cầutrên Cách thực hiện này đơn giản, và phần lớn các tường lửa đều

có thể thực hiện được Nhược điểm là người dùng phải nhớ được

số hiệu cổng truy nhập

Giải pháp 2 : pfSense hỗ trợ reverve proxy với khả năng ánh

xạ ánh xạ tên miền về các máy chủ khác nhau, đáp ứng được yêu cầu trên Các tường lửa khác không có tính năng này, hoặcbắt buộc phải có nhiều IP tĩnh

2.4Mỗi người dùng có một tài khoản riêng để truy cập wireless

Mô tả: Hiện tại, doanh nghiệp đang sử dụng mạng wireless để

các nhân viên sử dụng Doanh nghiệp cũng có một mạngwireless riêng dành cho các khách hàng đến công ty Đôi khi,khách hàng hoặc một cá nhân nào đó trong mạng wireless sửdụng băng thông quá nhiều, chẳng hạn để xem phim online,làm ảnh hưởng tới công việc của người khác, nhưng doanhnghiệp không thể xác định được đó là ai Hoặc sau một thời gianđịnh kỳ, để an toàn, doanh nghiệp thay đổi mật khẩu truy nhậpwireless và phải báo lại cho tất cả ngươi dùng nội bộ rất phiềnphức

Bấm vào đây để xem "một số trường hợp ứng dụng portal"

captive-Giải pháp: để kiểm soát truy cập wireless, doanh nghiệp có

thể mua các thiết bị wireless controller với giá thành không hề

rẻ Như thế, nhà quản trị mạng phải làm việc với loại thiết bị

mới, phải làm quen với các trang web và phần mềm quản trịcủa các loại thiết bị khác nhau.

pfSense tích hợp chức năng quản trị mạng wireless với sốlượng mạng không hạn chế Thông qua pfSense, doanh nghiệp

có thể tạo ra các tài khoản truy cập wireless riêng cho từngngười dùng, cho phép băng thông tối đa cho từng người dùng.Doanh nghiệp cũng có thể tạo ra các voucher, có tác dụnggiống như thẻ cào truy cập wireless, để phát cho các kháchhàng vãng lai tới sử dụng, và chỉ có hạn mức sử dụng trongngày Hơn thế nữa, doanh nghiệp có thể quảng cáo dựa trênmạng wireless này, bằng cách định hướng các truy nhập củangười dùng chưa được xác thực về một trang web giới thiệucông ty (tính năng này hay được áp dụng trong các bệnh viện,khách sạn, trường học, nơi có nhiều khách vãng lai)

2.5Sử dụng tên miền động miễn phí

Mô tả: Trong doanh nghiệp, có một chi nhánh nào đó có hệ

thống mạng, nhưng không mua địa chỉ IP tĩnh và tên miền Vìvậy, người dùng/khách hàng từ bên ngoài internet không thểtruy cập được vào hệ thống mạng nội bộ bên trong để truy cậpthông tin cần thiết

Giải pháp: hoàn toàn miễn phí, doanh nghiệp có thể sử dụng tên miền động

được cung cấp bởi noip, dyndns… Cách này có ưu điểm là việc sử dụng hoàntoàn giống như tên miền tĩnh và IP tĩnh, và nhược điểm là phải cài một phầnmềm được cung cấp bởi noip, dyndns lên một máy tính nào đó trong mạng nội

bộ, để phần mềm đó cập nhật thường xuyên địa chỉ IP, rồi lại phải cấu hìnhtường lửa để cho phép phần mềm đó hoạt động

Với pfSense, vẫn theo cơ chế tên miền động như trên, nhưng tất cả các nhượcđiểm đều được khắc phục Thay vì phải tải về phần mềm cung cấp địa chỉ IPvới nguồn gốc không rõ ràng, pfSense có chức năng riêng để tự tiến hành việcnày, mà không phải cài đặt lên bất cứ một máy tính nào khác Như vậy,

pfSense vừa là tường lửa, vừa tự động cập nhật IP động cho hệ thống quản lýtên miền toàn cầu, rất nhanh chóng và bảo đảm an toàn.

2.6Kết nối mạng nội bộ của các chi nhánh với nhau

Mô tả: Doanh nghiệp có nhiều chi nhánh ở khắp nơi trong cả

nước Doanh nghiệp muốn kết nối mạng nội bộ của tất cả các chi nhánh với nhau để hoạt động chia sẽ thông tin giữa các chi nhánh diễn ra nhanh chóng, an toàn và tin cậy

Giải pháp: phương pháp chung của mọi tường lửa là triển khai

mạng LAN ảo – VPN – giữa các chi nhánh Thông thường, người

ta sử dụng IPsec để tạo VPN Nhưng không chỉ dừng lại ở đó, pfSense hỗ trợ thêm cả 4 phương thức khác để tạo VPN, là IPsec, L2TP, PPTP và OpenVPN Đặc biệt OpenVPN rất được thịnh hành trên môi trường Linux, hoàn toàn miễn phí và khôngđòi hỏi người dùng đầu cuối phải hiểu rõ về kỹ thuật

CHƯƠNG III: CÁCH CÀI ĐẶT PFSENSE

3.1Chuẩn bị bộ cài pfsense

– Download và cài đặt Vmware Workstation 15 tại địa

chỉ http://www.mediafire.com/file/71ui47fpf7h3ujn/VMware+Workstation+15.rar

– Download pfSense.iso tại trang chủ của pfSense https://www.pfsense.org

3.2Cài đặt pfSense trên vmware workstation

– Tạo 1 máy ảo mới ( New Virtual Machine Wizard (Ctrl+N) ) Chọn “Custom” -> “Next”

Chọn “Next”

Chọn “Browse” chọn file cài đặt đuôi “iso” đã dow về như hình bên dưới

-Tiếp tục “Next” tới bước bên dưới.

chọn “Customize Hardware”.

-Chọn “add”.

-Chọn “Network Adapter” để tạo them 1 card mạng nữa ->”Next”.

- Card 1 chọn kiểu “NAT”.

- Card 2 chọn “Lan segment” ->chọn “Lan”.

-Tiếp theo chọn “Finish”.

-Qúa trình tạo môi trường máy ảo thành công.

3.3Cấu hình pfsense

-khởi động máy ảo click ”Power on this virtual machine”.

- Bấm Accept.

-chọn “Install” ->chọn “OK”.

-Chọn “Continue with default keymap”.

-Chọn “Select”

-Chọn “Auto (UFS)

-Chọn “OK”

-Chọn “No”

-chọn “Reboot”

-Chọn “Y” -> ”Enter”

-tiếp tục “Enter”

-Đặt tên cho card WAN: gõ “me0” ->”enter”

-Đặt tên cho card LAN: gõ “le0”-> “Enter’’

-chọn “y” -> “Enter”

-Chọn option 2 ->”Enter”

-Chon 1 -> “Enter”

-Cấu hình IP tĩnh cố định cho card WAN: chọn “n” ->”enter”

-Đặt IP card WAN là: 192.168.24.144 -> Enter.

-Chọn subnet ở lớp C : chọn 24 -> enter

-Đăt ip upstream gateway address: 192.168.24.254 -> enter

-chon “n” -> “enter” đến khi kết thúc quá trình đặt ip card WAN.

-Tiếp theo cấu hình IP card mang LAN

-Chọn option 2 cấu hình tương tự card WAN với địa chỉ ip: 172.16.88.254

3.4Đăng nhập pfsense và cấu hình cơ bản

-truy cập link : https://172.16.88.254

- đăng nhập với tài khoản mặc định ban đầu:

-tk: admin

-mk: pfsense

-Đặt thời gian đồng bộ với thời gian thực

-Time zone chọn: Asia/Ho_Chi_Minh

-chọn “Next”

-bỏ tick “Block private networks from entering via WAN”

Và ”Block non-internet router networks from entering via WAN”

-Chọn “Next”

-chọn “Next”

-Đặt lại password (tuỳ ý).

-chọn “Reload”

-Sau khi cấu hình xong ta được hình bên dưới.