Professional Documents
Culture Documents
Bài thực hành 02. Triển khai tường lửa PfSense
Bài thực hành 02. Triển khai tường lửa PfSense
Hà Nội, 3 - 2020
1
MỤC LỤC
2
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
3
LỜI CẢM ƠN
Em xin gửi lời cảm ơn chân thành và sự tri ân sâu sắc đối với các thầy cô
khoa An toàn thông tin, đặc biệt thầy Cao Minh Tuấn đã nhiệt tình hướng dẫn, tạo
điều kiện tốt nhất để em hoàn thành bài báo cáo thực tập tốt nghiệp này. Trong quá
trình thực tập, cũng như là trong quá trình làm bài báo cáo thực tập, khó tránh khỏi
sai sót, rất mong các thầy, cô bỏ qua. Đồng thời do trình độ lý luận cũng như kinh
nghiệm thực tiễn còn hạn chế nên bài báo cáo không thể tránh khỏi những thiếu
sót, em rất mong nhận được ý kiến đóng góp thầy, cô để có thể học thêm được
nhiều kinh nghiệm và sẽ hoàn thành tốt hơn trong đồ án tốt nghiệp. Cuối cùng em
kính chúc quý thầy, cô dồi dào sức khỏe và thành công trong sự nghiệp cao quý.
4
LỜI MỞ ĐẦU
Mạng Internet ngày càng phát triển ngày một rộng rãi và hầu như lứa tuổi
nào cũng đều sử dụng cả. Bên cạnh những lợi ích tuyệt vời như xem video, hình
ảnh, xem phim, tra cứu thông tin… thì cũng tiềm tàng những nguy cơ bị xâm nhập
bất hợp pháp và đánh cắp dữ liệu cá nhân. Do đó mà Firewall xuất hiện như một
giải pháp vô cùng hữu hiệu cho các doanh nghiệp, cá nhân hiện nay. Firewall ra đời
giúp ngăn chặn được những cuộc tấn công mạng xảy ra, lọc tất cả những thông tin
thông qua kết nối Internet vào mạng và hệ thống máy tính của một cá nhân hoặc
một doanh nghiệp nào đó. Firewall đóng vai trò như một thiết bị cung cấp cho công
ty hoặc tổ chức một giải pháp để kiểm soát một cách chặt chẽ việc kết nối Internet
của họ. Các bức tường lửa có thể ngăn chặn hết tất cả các lượng truy cập đến từ
những IP không rõ ràng. Ở bài thực hành này chúng ta sẽ tìm hiểu và xây dựng mô
hình mạng an toàn sử dụng tường lửa pfSense, bởi pfSense được đánh giá là tường
lửa nguồn mở tốt nhất hiện nay.
5
CHƯƠNG I: FIREWALL PFSENSE
6
cách kết hợp hai hoặc nhiều hơn các loại tường lửa vào một giải pháp tường lửa
duy nhất.
1.1.1. Static packet-filtering firewall
Packet-filter lọc lưu lượng truy cập bằng cách kiểm tra thông tin header của
gói tin. Thông thường, các chính sách để tường lửa lọc sẽ dựa vào thông số liên
quan tới IP nguồn, IP đích, và cổng dịch vụ. Tường lửa dạng này không thể cung
cấp cơ chế xác thực người dùng hay có thể xác định được gói tin đến từ bên trong
hay bên ngoài mạng riêng, dẫn đến việc dễ dàng bị lừa với các gói tin giả mạo.
Static packet filter được xem là khởi đầu cho hệ thống tường lửa, hoạt động ở lớp 3
(lớp Mạng) của mô hình OSI. Nó cũng có thể được coi là thiết bị định tuyến hoặc
xem như một router thông thường.
8
Hình 3: Circuit-level firewall
1.1.4. Stateful inspection firewall
Tường lửa kiểm tra trạng thái đánh giá hiện trạng hoặc bối cảnh lưu lượng
mạng. Bằng cách kiểm tra nguồn và địa chỉ đích, sử dụng các ứng dụng, nguồn
gốc, và mối quan hệ giữa các gói hiện tại và các gói trước của cùng một session.
Tường lửa kiểm tra trạng thái có thể cấp một phạm vi truy cập rộng cho người
dùng và các hoạt động có thẩm quyền, chủ động theo dõi và ngăn chặn người sử
dụng thực hiện các hoạt động trái phép. Tường lửa kiểm tra trạng thái thường hoạt
động hiệu quả hơn so với tường lửa mức Ứng dụng, được xem là tường lửa thế hệ
thứ ba, hoạt động ở lớp Mạng và lớp Giao vận (lớp 3 và 4) của mô hình OSI .
9
1.1.5. Các mô hình triển khai tường lửa
Có ba dạng kiến trúc tường lửa thường được triển khai là: một lớp, hai lớp,
và ba lớp (còn được gọi là nhiều lớp). Kiến trúc tường lửa một lớp được kết nối
thông qua một router đến Internet (hoặc những vùng mạng không an toàn khác).
Mô hình tường lửa một lớp khá hữu ích trong việc ngăn chặn các cuộc tấn công cơ
bản, kiến trúc này thực hiện được các cơ chế bảo mật tối thiểu.
Kiến trúc tường lửa hai lớp sử dụng một tường lửa có ba network interface
trở lên, cho phép thiết lập thêm một vùng DMZ hoặc Extranet để giao tiếp với
mạng bên ngoài. DMZ được sử dụng đặt những hệ thống máy chủ thông tin mà
người dùng bên ngoài có thể truy cập.
Một kiến trúc ba lớp là việc triển khai của nhiều mạng con giữa mạng nội bộ
và Internet ngăn cách bởi các tường lửa. Mỗi tường lửa có quy tắc lọc nghiêm ngặt
hơn để hạn chế các quyền truy cập bất hợp lệ vào hệ thống mạng dữ liệu nhạy cảm.
Mạng ngoài cùng thường được triển khai như là một vùng DMZ. Lớp mạng thứ hai
có nhiệm vụ như một lớp mạng chuyển tiếp nhằm phục vụ các tính năng phức tạp
theo yêu cầu của máy chủ tại vùng DMZ (ví dụ: database, web service…). Mạng
con thứ ba hoặc back-end có thể hỗ trợ mạng nội bộ. Kiến trúc này là an toàn nhất,
tuy nhiên mức độ triển khai và quản lý phức tạp hơn so với các kiến trúc còn lại.
10
Hình 6: Two-tier
Hình 7: Three-tier
PfSense hỗ trợ lọc bởi địa chỉ nguồn và địa chỉ đích, cổng nguồn hoặc cổng
đích hay địa chỉ IP. Nó cũng hỗ trợ chính sách định tuyến và cơ chế hoạt động
11
trong chế độ brigde hoặc transparent, cho phép bạn chỉ cần đặt pfSense ở giữa các
thiết bị mạng mà không cần đòi hỏi việc cấu hình bổ sung. PfSense cung cấp cơ
chế NAT và tính năng chuyển tiếp cổng, tuy nhiên ứng dụng này vẫn còn một số
hạn chế với Point-to-Point Tunneling Protocol (PPTP), Generic Routing
Encapsulation (GRE) và Session Initiation Protocol (SIP) khi sử dụng NAT.
a. Aliases
Trong pfsense, firewall không thể có 1 rule gồm nhiều nhóm IP hoặc 1 nhóm
port. Vì vậy, điều ta cần làm là gom nhóm các IP, Port hoặc URL vào thành 1 alias .
Một alias sẽ cho phép thay thế 1 host, 1 dải mạng, nhiều IP riêng biệt hay 1 nhóm
12
port, URL … Alias giúp ta tiết kiệm được phần lớn thời gian nếu bạn sử dụng một
cách chính xác như thay vì sử dụng hàng loạt rule để thiết lập cho nhiều địa chỉ, ta
có thể sử dụng 1 rule duy nhất để gom nhóm lại.
Hình 8: Aliases
Pfsense có hỗ trợ nat static dưới dạng NAT 1:1. Điều kiện để thực hiện được
nat 1:1 là ta phải có IP public. Khi thực hiện NAT 1:1 thì IP private được nat sẽ
luôn ra ngoài bằng IP public tương ứng và các port cũng tương ứng trên IP public.
Pfsense hỗ trợ nat outbound mặc định với Automatic outbound NAT rule
generation. Để cấu hình thủ công, ta chọn Manual Outbound NAT rule generation
13
(AON - Advanced Outbound NAT) và xóa các rule mặc định của pfsense đi đồng
thời cấu hình thêm các rule outbound.
Ngoài 3 kiểu NAT: port forward, 1:1 và outbound, pfsense còn hỗ trợ NAT Npt.
Phương thức này thực hiện NAT đối với Ipv6.
c. Rules (Luật)
Là nơi lưu trữ tất cả các luật ra, vào trên pfsense. Mặc định PfSense cho phép
mọi kết nối ra, vào (tại cổng LAN có sẵn rule any à any). Ta phải tạo các rule để
quản lý mạng bên trong.
Một số lựa chọn trong Destination và Source.
Any: Tất cả
Single host or alias: Một địa chỉ ip hoặc là một bí danh.
Lan subnet: Đường mạng LAN.
Network: địa chỉ mạng.
LAN address: Tất cả địa chỉ mạng nội bộ.
Wan address: Tất cả địa chỉ mạng bên ngoài.
PTP clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPT.
PPPoE clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPPoE.
14
Hình 10: Giao diện Rules
d. Schedules
Chức năng lập lịch trong pfSense cho phép cấu hình thời gian hoạt động của hệ
thống một cách tự động thông qua bảng thời gian đã được thiết lập sẵn. Bằng cách
này, hệ thống pfSense sẽ tự động điều chỉnh các firewall rule theo thời gian lập
lịch.
e. Traffic shaper
15
Hình 12: Traffic shaper
Đây là tính năng giúp quản trị mạng có thể tinh chỉnh, tối ưu hóa đường truyền
trong pfsense. Trong pfsense, 1 đường truyền băng thông sẽ chia ra các hàng khác
nhau. Có 7 loại hàng trong pfsense:
Hàng qACK: dành cho các gói ACK (gói xác nhận) trong giao thức TCP ở
những ứng dụng chính cần được hỗ trợ như HTTP, SMTP … luồng thông tin
ACK tương đối nhỏ nhưng lại rất cần thiết để duy trì tốc độ lưu thông lớn.
Hàng qVoIP: dành cho những loại lưu thông cần đảm bảo độ trễ nghiêm ngặt,
thường dưới 10ms như VoIP, video conferences.
Hàng qGames: dành cho những loại lưu thông cần đảm bảo độ trễ rất chặt chẽ,
thường dưới 50ms như SSH, game online …
Hàng qOthersHigh: dành cho các loại ứng dụng quan trọng có tính tương tác rất
cao, cần đáp ứng nhanh, cần độ trễ thấp như: NTP, DNS, SNMP …
Hàng qOthersDefault: dành cho các giao thức ứng dụng quan trọng có tính
tương tác vừa, cần độ đáp ứng nhất định như HTTP, IMAP …
Hàng qOthersLow: dành cho các giao thức ứng dụng quan trọng nhưng có tính
tương tác thấp như SMTP, POP3, FTP
Hàng qP2P: dành cho cho các ứng dụng không tương tác, không cần đáp ứng
nhanh như bittorrent
Mặc định trong pfsense, các hàng sẽ có độ ưu tiên từ thấp đến cao: qP2P <
qOthersLow < qOthersDefault < qOthersHigh < qGames < qACK < qVoIP. Ta có
thể chỉnh lại độ ưu tiên priority cũng như dung lượng băng thông bandwidth mặc
định mà các hàng chiếm để nâng cao băng thông cho các hàng tương ứng.
16
Pfsense cũng hỗ trợ giới hạn tốc độ download/upload của 1 IP hoặc 1 dải IP với ta
thiết lập thông số tại phần limiter. Firewall pfsense hỗ trợ chặn những ứng dụng
chạy trên layer 7 – application trong mô hình OSI như sip, ftp, http … trong phần
Layer 7.
f. Virtual Ips.
CARP
Có thể được sử dụng bởi các tường lửa chính nó để chạy các dịch vụ hoặc
được chuyển tiếp.
Tạo ra lớp 2 lưu lượng cho các VIP (Virtual IP).
Có thể được sử dụng cho clustering (tường lửa và tường lửa chủ failover chế
độ chờ).
Các VIP đã được trong cùng một subnet IP của giao diện thực.
Sẽ trả lời ICMP ping nếu được phép theo các quy tắc tường lửa.
17
Proxy ARP.
Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được
chuyển tiếp.
Tạo ra lớp 2 lưu lượng cho các VIP.
Các VIP có thể được trong một subnet khác với IP của giao diện thực.
Không trả lời gói tin ICMP ping.
Other
Có thể được sử dụng nếu các tuyến đường cung cấp cho bạn VIP của bạn dù
sao mà không cần thông báo lớp 2.
Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được
chuyển tiếp.
Các VIP có thể được trong một subnet khác với các giao diện IP.
Không trả lời ICMP ping.
1.2.4. VPN
VPN (Virtual Private Network) là một kiểu kết nối cho phép các máy tính
truyền thông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng
vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu. Để cung cấp kết nối giữa các
máy tính, các gói thông tin được bao bọc bằng một header có chứa những thông tin
định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường mạng chia sẻ
và đến được máy nhận, như truyền trên các đường ống riêng được gọi là tunnel. Để
bảo đảm tính riêng tư và bảo mật trên môi trường chia sẻ này, các gói tin được mã
hoá và chỉ có thể giải mã với những khóa thích hợp, ngăn ngừa trường hợp “trộm”
gói tin trên đường truyền. Chức năng này của pfSense được đánh giá là rất tốt.
18
IPSec có vai trò rất quan trọng trong việc giải quyết các vấn đề mà chúng ta cố
giải quyết nó với firewall. IPSec (IP Security) đề ra một tập các chuẩn được phát
triển bởi Internet Engineering Tast Force (IETF). IPSec giải quyết hai vấn đề gây
hại cho bộ giao thức IP: Sự xác thực host-to-host (cho các host biết là chúng đang
nói chuyện với nhau mà không phải là sự giả mạo) và việc mã hóa (ngăn chặn
những kẻ tấn công xem dữ liệu trong luồng lưu lượng giữa hai máy). Đây là các
vấn đề mà firewall cần giải quyết. Mặc dù firewall có thể làm giảm nguy cơ tấn
công trên Internet mà không cần sự xác thực và mã hóa, nhưng vẫn còn hai vấn đề
lớn ở đây: tính toàn vẹn và sự riêng tư của thông tin đang truyền giữa hai host và
sự giới hạn trong việc đặt ra các loại kết nối giữa các mạng khác nhau. IPSec giúp
giải quyết các vấn đề này. Có vài khả năng đặc biệt khi chúng ta xem xét sự kết
hợp giữa các firewall với các host cho phép IPSec. Cụ thể là, VPN, việc lọc gói tốt
hơn (lọc những gói mà có tiêu đề xác thực IPSec), và các firewall lớp ứng dụng sẽ
cung cấp sự xác minh host tốt hơn bằng cách sử dụng tiêu đề xác thực IPSec thay
cho “just trusting” địa chỉ IP hiện tại.
b. PPTP VPN
Pfsense có thể hoạt động như một máy chủ PPTP VPN, là một trong ba tùy
chọn của VPN, là lựa chọn phổ biến nhất vì hầu hết các hệ điều hành đã được xây
dựng trong PPTP client. Bao gồm tất cả các phiên bản Windows từ Windows 95.
Tuy nhiên nó không được đảm bảo an toàn, không nên sử dụng.
c. OpenVPN
OPENVPN là một giải pháp SSL VPN mã nguồn mở có thể được sử dụng cho
cả client truy cập từ xa và kết nối kiểu site-to-site. Nó hỗ trợ client trên phạm vi
rộng của các hệ điều hành bao gồm tất cả BSD, Linux, Mac OS X, Windows 2000
trở đi. Chức năng này tương đường với cấu hình trực diện. Địa điểm chính được
cấu hình như client đang kết nối với máy chủ tại địa điểm từ xa đó.
19
a. DHCP Server
Dịch vụ này cho phép pfSense cấp địa chỉ IP và các thông tin cấu hình cho
client trong mạng LAN.
b. DHCP Relay
Dịch vụ này cho phép pfSense forward yêu cầu cấp IP của client nằm trong một
subnet nào đó tới một DHCP server cho trước. Chỉ được phép chạy một trong hai
dịch vụ DHCP server và DHCP relay.
c. Dynamic DNS
Pfsense cho phép đăng ký địa chỉ IP của WAN interface của nhiều nhà cung cấp
DNS động. Nó rất hữu ích khi muốn điều khiển từ xa.
Chức năng SNMP của pfSense sẽ cho phép giám sát từ xa các thông số hệ
thống pfSense. Tùy thuộc vào các tùy chọn cho phép mà có thể theo dõi như: lưu
lượng mạng, hàng đợi, thông tin chung hệ thống(CPU, bộ nhớ….).
Được dùng để đánh thức máy tính đã tắt bằng cách gửi gói tin đặc biệt “Magic
packet”. Các NIC trong máy tính phải được hỗ trợ WOL và phải được cấu hình
đúng. Thông thường thiết lập WOL của NIC ở BIOS.
f. PPPoE Server
Pfsense có thể hoạt động như một máy chủ PPPoE, chấp nhận hoặc xác thực kết
nối từ client PPPoE trên interface cục bộ. Nó được dùng để bắt buộc người dùng
20
xác thực trước khi được quyền truy cập mạng hoặc kiểm soát hoạt động đăng nhập
của họ.
21
CHƯƠNG II: XÂY DỰNG BÀI THỰC HÀNH: BẢO VỆ
AN TOÀN MẠNG SỬ DỤNG TƯỜNG LỬA PFSENSE
2.1. Mô hình
- WAN: 192.168.1.0/24. Sử dụng card mạng VmNet0 (Auto bridging) - Phân vùng
mạng kết nối Internet
- DMZ: 20.1.1.0/24 VmNet8 (Host-only) - Phân vùng đặt các máy chủ web.
- Internal (LAN) 10.0.0.0/24 VmNet1 (Host-only) - Phân vùng mạng nội bộ.
- VPN: 30.1.1.0/24 – Mạng riêng ảo, truy cập kết nối từ xa.
Đầu tiên chúng ta cần truy cập địa chỉ trang chủ: http://pfSense.org để tải file
cài đặt pfSense. Chọn kiến trúc vi xử lí ( Intel hoặc AMD ). Sau đó tiến hành
download file Image về máy, lưu ý nhớ chọn bản mới nhất với hiện tại là bản
2.4.4. Sau khi tải xong ta mở VMWare lên vào tạo máy ảo mới, add 3 card mạng
cho PfSense.
Tại màn hình cài đặt của pfSense, một menu sẽ hiển thị các tùy chọn cài đặt. Có
thể bấm phím 1 để cài đặt mặc định. Nếu không chọn thì máy tính sẽ tự động chọn
cài đặt mặc định.
23
Ở màn hình kế tiếp, bấm vào “Accept” để di chuyển đến tiến trình cài đặt kế tiếp.
Tiếp theo tại màn hình Welcome to pfSense, ta chọn Install pfSense.
24
Chọn cài đặt mặc định với keymap, chọn Select.
Chương trình hỏi muốn phân vùng ổ đĩa không, ta chọn Auto rồi nhấn OK.
25
pfSense bắt đầu cài đặt…
26
Khi cài đặt hoàn tất, chọn Reboot để Reboot lại chương trình.
Sau khi Reboot, bạn sẽ thấy xuất hiện màn hình với 3 card mạng:
27
Option đầu tiên là VLAN, thông thường thì VLAN không cần thiết, chỉ khi nào các
hệ thống mạng nâng cao mới cần đến VLAN, nên chúng ta chọn No. Hệ thống
pfSense sẽ có 3 card mạng, nhưng ở đây là em0, em1 và em2. Ta sẽ gán card
mạng em0 là card WAN và em1 là card LAN và em2 cho DMZ. Card LAN sẽ bật
các tính năng Firewall, NAT.
Nếu không cần đặt tên card mạng, bấm vào Return key. Hệ thống sẽ trả về
cofirm YES/NO. Bấm Y và enter để tiếp tục.
Sau khi cấu hình cơ bản pfSense, sẽ có được menu như bên dưới.
28
Địa chỉ IP card WAN được cấp động từ DHCP. Nếu cần thiết có thể gán địa chỉ
tĩnh. Lan IP mặc định là 192.168.1.1. Muốn thay đổi địa chỉ IP thì chọn OPTION 2
là set interfaces IP address. Tiến hành cấu hình địa chỉ IP tĩnh, subnet mask, và
gateway cho LAN.
Bỏ DHCP và tiếp tục chọn Y. Đối với card LAN, nếu bật dịch vụ DHCP chúng ta
cần gán dãy địa chỉ IP để cấp cho máy con. Sau khi cấu hình xong tất cả, hệ thống
sẽ cung cấp cho bạn đường dẫn để truy cập pfSense qua giao thức web.
29
Tại máy con, mở trình duyệt và nhập vào địa chỉ http://10.1.1.1. Giao diện đăng
nhập pfSense hiện ra trong đó nhập vào user và password mặc định lần lượt là “
admin “ và “pfsense”.
Ở lần đầu login, cửa sổ setup sẽ hiện ra thông báo pfSense sẽ hướng dẫn cài đặt lần
đầu, ta có thể điền các thông tin hoặc để mặc định và Next đến khi kết thúc. Sau
khi cấu hình xong, màn hình quản lý firewall xuất hiện
30
Như vậy, chúng ta đã cài đặt thành công PfSense.
31
- Kiểm tra kết nối mạng:
32
- Client 2: Window Sever 2019, địa chỉ ip 10.1.1.16 thuộc mạng LAN.
Như vậy 2 client đều kết nối mạng thành công. Tiếp theo ta sẽ tiên hành thiết lập
Rules cho 2 máy này. Để thiết lập Rules, ta vào giao diện web pfSense, Firewall >
chọn Rules, chọn Tab LAN.
- Mặc định pfSense cho phép các clinet trong mạng LAN có thể truy cập mạng
33
- Đầu tiên, ta cấu hình Rules không cho bất kỳ máy nào trong mạng LAN được
phép truy cập mạng.
Kết quả:
34
Như vậy cả 2 máy đã không thể truy được internet.
b. Chặn 1 máy.
Ở đây, ta sẽ tiến hành chặn máy 10.1.1.15, các máy còn lại trong LAN sẽ truy cập
bình thường.
Kết quả:
35
- Client 1 không truy cập được và client 2 truy cập bình thường.
Như vậy, các trang web khác truy cập bình thường, nhưng không thể truy cập
facebook.
Ta sẽ chặn 3 trang web Facebook, Youtube và Zing News. Ta ping các trang web
để lấy địa chỉ IP
37
Sau đó vào Aliases, Tab IP chọn Add để tạo nhóm các ip, ở đây có tên
Blockweb:
38
Kết quả:
e. Schedules
39
Ta có thể tạo 1 bản schedules, lập lịch các ngày trong tuần hoặc các giờ trong ngày
để cho phép các máy trong mạng LAN được phép truy cập mạng.
Ta tiến hành thiết lập luật và chọn bản schedules vừa tạo vào
Kết quả: Ngày chủ nhật nên không thể truy cập được vào mạng.
40
f. Giới hạn băng thông.
Đầu tiên ta sẽ test băng thông mạng. Truy cập https://www.speedtest.net/ để kiểm
tra tốc độ mạng.
Tại giao diện web pfSense, Firewall > Traffic Shaper > Limiters. Tạo 2 Limiter để
giới hạn Upload và DownLoad là 10 Mbps. Ngoài ra ở đây chúng ta có thể thiết
lập Schedules ( Đặt thời gian áp dụng đối với Limiter )
41
Tiếp theo chúng ta sẽ thiết lập luật và add 2 Limiter vừa tạo vào ô In/Out Pie:
42
2.4. Thiết lập luật trong mạng DMZ.
Mạng DMZ có dải địa chỉ IP 20.1.1.0/24. Client trong mạng DMZ có IP:
20.1.1.128.
- Khi mới thêm card mạng DMZ, khác với mạng LAN thì tường lửa pfSense sẽ
không có luật nào trong DMZ vì vậy client trong DMZ sẽ không thể truy cập được
mạng.
43
Vì vậy ta phải thiết thêm luật cho phép client trong DMZ được phép truy cập
mạng. Ở đây ta có thể thiết lập tất cả các client trong DMZ đều được phép truy cập
mạng hoặc chỉ client nhất định như ảnh dưới đây:
Sau đó , các client trong DMZ đều có thể truy cập mạng được mạng.
44
Ngoài ra, đối với mạng DMZ ta đều có thể thiết lập các Rules tương tự trong LAN
như Schedules, Aliases, giới hạn băng thông, đóng mở port,...
45
Vào Start chọn Administrative Tools, chọn Sever Manager, Add Roles để cài IIS
46
Chọn tích vào FTP Server
47
Tiếp theo, vào Start chọn Administrative Tools chọn Internet Information Services
(IIS) Manager để Add Site. Điền các thông tin như bên dưới và ấn Ok để lưu.
Sau đó, ta click vào Browse 20.1.1.20:80 (http) để mở trong trình duyệt.
48
Nếu kết quả như ở dưới là chưa thành công
Nguyên nhân có thể là do lần đầu cài đặt, Directory Browsing chưa được bật. Khắc
phục bằng cách: Trong giao diện Features views, ta vào Directory Browsing để
kiểm tra.
49
Ta thấy Directory Browsing đang bị Disabled, cần Enable và load lại trình duyệt
kiểm tra.
50
• Interface: WAN
• Protocol: TCP
• Source: any
• Dest Address: WAN address
• Dest Prots: 80 (HTTP)
• NAT IP: 20.1.1.20 (IP máy WEB/FTP/EMAIL)
• NAT Port: 80 (HTTP)
Trên Client của LAN, và ngoài Internet (WAN) ta sẽ tiến hành nhập địa chỉ IP
của card WAN (192.168.1.6) sẽ hiển thị nội dung website mới vừa tạo trên máy
WEB/FTP/EMAIL.
51
Máy trong mạng LAN:
PfSense hỗ trợ IPSec, OpenVPN, và cả PPTP. Nếu cần một kết nối VPN
nhanh và có ít băng thông hiện hữu so với được yêu cầu bởi các kết nối SSL VPN
mà vẫn đảm bảo bảo mật tốt, hãy chọn IPSec VPN. Cũng cần lưu ý thêm là có một
số hạn chế của IPSec VPN trên pfSense. Với cấu hình IPSec đơn giản, các hạn chế
của pfSense có thể vẫn đảm bảo ở mức độ nào đó và nó làm việc tốt với các cài đặt
(liền kề) site-to-site. Nên ta có thể sử dụng OpenVPN để khắc phục một số hạn chế
trên của IPSec. OpenVPN có thể cho phép tăng độ an toàn vì nó sử dụng SSL. Đầu
tiên, ta vào System > Cert. Manager > CAs chọn Add để tạo CA.
52
Ấn Save, ta được kết quả:
53
Sau khi điền thông tin xong ấn Save, ta tạo được thành công Certificates.
Tiếp theo sẽ tạo User, bằng cách chọn System > User Manager,
Chọn Add và điền thông tin để tạo user : “vpn” , password: “1234567890”
54
Ấn Save, tạo thành công User:
Tiếp theo ta phải cài gói OpenVPN vì mặc định trên pfsense chưa cài đặt
Từ System > Package Manager, chọn Tab Available Packages và search OpenVPN
để cài đặt:
55
Tiếp theo vào mục VPN, chọn OpenVPN > Wizards
Ở Type of Server chọn Local User Access. Chọn Next.
56
Certificates ta chọn cái vừa tạo Certificars ở trên, rồi chọn Next
57
Tiếp tục nhấn Next.
58
Tiếp theo Click vào client Export, kéo xuống mục User để tải xuống VPN.
Chọn Current Windows Installer để tải về, Sau đó mở gói cài đặt để Run.
59
Ta sẽ đăng nhập tài khoản vpn1 vừa tạo và chọn OK.
60
2.5.2. Thiết lập luật cho VPN
Để thiết lập luật cho VPN, System > Rules, sau đó ta chọn Tab OpenVPN để
thiết lập luật. Khi cài đặt VPN ở trên ta đã tích vào ô Firewall Rules và OpenVPN,
khi đó hệ thống sẽ tự động tạo cho chúng ta 2 luật, 1 luật ở OpenVPN và 1 luật ở
WAN cho phép kết nối VPN từ xa qua cổng 1194.
Để chặn truy cập VPN, ta chỉ cần chặn VPN kết nối qua cổng 1194 là xong.
61
KẾT LUẬN
Hoàn toàn miễn phí, giá cả là ưu thế vượt trội của tường lửa pfSense. Tuy
nhiên, rẻ không có nghĩa là kém chất lượng, tường lửa pfSense hoạt động cực kỳ
ổn định với hiệu năng cao, đã tối ưu hóa mã nguồn và cả hệ điều hành. Cũng chính
vì thê, pfSense không cần nền tảng phần cứng mạnh. Nếu doanh nghiệp không có
đường truyền tốc độ cao, tường lửa pfSense chỉ cần cài đặt lên một máy tính cá
nhân là có thể bắt đầu hoạt động. Điều đó càng góp phần làm giảm chi phí triển
khai, đồng thời tạo nên sự linh hoạt, tính mở rộng/sẵn sàng chưa từng có, khi
doanh nghiệp muốn có nhiều hơn một tường lửa. Không chỉ là một tường lửa,
pfSense hoạt động như một thiết bị mạng tổng hợp với đầy đủ mọi tính năng toàn
diện sẵn sàng bất cứ lúc nào. Khi có một vấn đề về hệ thống mạng phát sinh, thay
vì phải loay hoay tìm thiết bị và mất thời gian đặt hàng, doanh nghiệp có thể kết
hợp các tính năng đa dạng trên pfSense để tạo thành giải pháp hợp lý, khắc phục sự
cố ngay lập tức.Không kém phần quan trọng đó là khả năng quản lý. Tường lửa
pfSense được quản trị một cách dễ dàng, trong sáng qua giao diện web.
Như vậy, tường lửa pfSense là sự kết hợp hoàn hảo và mạnh mẽ, đem lại sự
hợp lý cho các nhà tài chính, và sự tin tưởng cho các nhà quản trị mạng. Là lựa
chọn hợp lý, đem lại sự an tâm, nhiều lợi ích cho các công ty, doanh nghiệp.
62
TÀI LIỆU THAM KHẢO
[1] https://www.youtube.com/watch?v=Ti7G6WyeUa4
[2] https://www.youtube.com/watch?v=UxjqHRUEIz8&t=599s
[3] https://sites.google.com/site/itopenlab/open-system-box/pfsense-
firewall/pfsense-toan-tap
[4] https://dongpolice.com/cai-dat-va-cau-hinh-pfsense-toan-tap/
[5] https://www.youtube.com/watch?v=dYrmmgtPv5o
[6] https://anninhmang.edu.vn/huong-dan-tao-cau-hinh-rule-trong-pfsense/
[7] https://www.pfsense.org/download/
[8] http://cemis.ueb.edu.vn/bai-viet-Bao-ve-mang-voi-pfSense-1154.html
63