Professional Documents
Culture Documents
Em xin gửi lời cảm ơn trân trọng nhất của mình tới thầy giáo hướng dẫn
tốt nghiệp, Ths. Vũ Chí Cường, bộ môn Truyền thông và mạng máy tính, khoa
Công nghệ thông tin, trường đại học Vinh, người đã tận tình hướng dẫn và chỉ
bảo em, cung cấp cho em những kiến thức và tài liệu quý giá, giúp em định
hướng trong quá trình nghiên cứu thực hiện đồ án tốt nghiệp. Nhờ sự giúp đỡ
tận tâm của thầy, em mới có thể hoàn thành được đồ án này.
Em xin bày tỏ lòng biết ơn sâu sắc nhất tới các thầy cô giáo trong trường
đại học Vinh nói chung và khoa Công nghệ thông tin nói riêng, những người đã
trang bị cho em nền tảng kiến thức quý giá trong suốt 5 năm học vừa qua.
Cuối cùng, em xin cảm ơn gia đình, bạn bè và những người thân đã luôn
luôn thương yêu, động viên và khuyến khích em trong thời gian qua.
Trong những năm gần đây, nền công nghệ thông tin của đất nước ta đã có
những bước tiến vượt bậc. Đi đôi cùng với sự phát triển về công nghệ, mạng
lưới cơ sở hạ tầng cũng đã được nâng cấp, tạo điều kiện cho các dịch vụ gia
tăng, trao đổi thông qua mạng bùng nổ. Nhưng cùng với sự phát triển của hệ
thống mạng, đặc biệt là sự phát triển rộng khắp của hệ thống mạng toàn cầu
(Internet), các vụ tấn công phá hoại trên mạng diễn ra ngày càng nhiều và ngày
càng nghiêm trọng hơn. Chúng xuất phát từ rất nhiều mục đích, như là để khẳng
định khả năng của bản thân, để thoả mãn một lợi ích cá nhân, hay vì những mâu
thuẫn, cạnh tranh…nhưng tựu chung lại đã gây ra một hậu quả rất nghiêm trọng
cả về vật chất và uy tín của doanh nghiệp, tổ chức.
Đối với các doanh nghiệp, vai trò của Internet là không thể phủ nhận, ứng
dụng thương mại điện tử vào công việc kinh doanh giúp cho các doanh nghiệp
không những giảm đi các chi phí thông thường mà còn có thể mở rộng đối tác,
quảng bá sản phẩm cũng như liên kết với khách hàng. Nhưng chấp nhận điều đó
cũng có nghĩa là doanh nghiệp đang đứng trước nguy cơ đối mặt với các rủi ro
và nguy hiểm từ Internet. Chính vì lý do đó vấn đề an ninh mạng đang trở nên
nóng bỏng hơn bao giờ hết, các doanh nghiệp cũng đã dần nhận thức được điều
này và có những quan tâm đặc biệt hơn tới hạ tầng an ninh mạng. Một trong
những thành phần căn bản và hữu ích nhất có thể kể tới trong hạ tầng đó là hệ
thống firewall – công nghệ đang ngày càng được cải tiến và phát triển đa dạng,
phong phú. Xuất phát từ nhu cầu thực tế, khi các doanh nghiệp rất cần một hệ
thống firewall để bảo vệ họ, đồ án ra đời hy vọng có thể tìm kiếm một giải pháp
nào đó cho vấn đề này.
Khái niệm này đã có từ rất lâu khi công nghệ thông tin nói chung và
mạng máy tính nói riêng phát triển. Thay đổi qua từng thời kì từ những sản
phẩm và công nghệ đơn giản nhất cho đến những bước phát triển vượt bậc như
hiện nay để cho ra đời những thiết kế với sức mạnh và khả năng đáp ứng nổi
trội. Luôn luôn được quan tâm trong rất nhiều các công nghệ trên thị trường bảo
mật, các dòng firewall ngày nay với tính đa dạng đã có thể phù hợp với nhu cầu
của tất cả các doanh nghiệp đặt ra, từ những hệ thống lớn và hiện đại đến những
hệ thống nhỏ, đơn giản.
Chính vì những lẽ trên mà khi doanh nghiệp thực sự chú trọng đến hạ
tầng an ninh mạng của mình thì firewall là một trong thành phần nên được quan
tâm hàng đầu. Phải có những tiêu chí và giới hạn đặt ra cho sản phẩm tùy thuộc
vào điều kiện và mục đích. Yêu cầu về hệ thống firewall vì thế cũng có sự khác
nhau với từng đối tượng doanh nghiệp. Với các doanh nghiệp nhỏ mà mục đích
Firewall là một phần của hệ thống hay mạng máy tính được thiết kế để
điều khiển truy nhập giữa các mạng bằng cách ngăn chặn các truy cập không
được phép trong khi cho phép các truyền thông hợp lệ. Nó cũng là một hay một
nhóm các thiết bị được cấu hình để cho phép, ngăn cản, mã hóa, giải mã hay
proxy lưu lượng trao đổi của các máy tính giữa các miền bảo mật khác nhau
dựa trên một bộ các luật (rule) hay tiêu chuẩn nào khác.
Chức năng chính của firewall là kiểm soát lưu lượng giữa hai hay nhiều
mạng có mức độ tin cậy khác nhau để từ đó thiết lập cơ chế điều khiển luồng
thông tin giữa chúng. Cụ thể là:
• Cho phép hoặc ngăn cản truy nhập vào ra giữa các mạng.
• Theo dõi luồng dữ liệu trao đổi giữa các mạng.
• Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
• Kiểm soát nội dung thông tin lưu chuyển trên mạng.
Có rất nhiều tiêu chí có thể được sử dụng phân loại các sản phẩm
firewall, ví dụ như cách chia ra thành firewall cứng (thiết bị được thiết kế
chuyên dụng hoạt động trên hệ điều hành dành riêng cùng một số xử lý trên các
mạch điện tử tích hợp) và firewall mềm (phần mềm firewall được cài đặt trên
máy tính thông thường)…Nhưng có lẽ việc phân loại firewall thông qua công
nghệ của sản phẩm firewall đó được xem là phổ biến và chính xác hơn tất cả.
Một số giải pháp firewall tiêu biểu dành cho doanh nghiệp
Không có đủ tài chính để trang bị các thiết bị bảo mật đắt tiền cũng như
thuê các chuyên gia bảo mật chăm sóc cho mạng doanh nghiệp, điều đó không
có nghĩa là thị trường bảo mật của các doanh nghiệp thiếu đi những tiềm năng
trong cơ hội kinh doanh. Bản thân các doanh nghiệp cũng có những nhận thức
ban đầu về các mối lo ngại bảo mật, và họ sẵn sàng bỏ tiền ra để trang bị các
thiết bị bảo mật cho mình, tất nhiên giá cả của thiết bị đó phải ở mức chấp nhận
được. Các nhà cung cấp dịch vụ bảo mật đã bắt tay vào để tạo ra các sản phẩm
cung cấp hệ thống an toàn “ tất cả-trong-một” (all-in-one) cho một công ty, tổ
Là một trong số các sản phẩm firewall nguồn mở được đánh giá cao nhất
hiện nay, nó hoàn toàn miễn phí. Được tách ra từ dự án xây dựng sản phẩm
m0n0wall cho các hệ thống nhúng, pfSense được tập trung hướng tới việc cài
đặt và chạy ổn định trên các máy tính thông thường. Bản thân pfSense là một
phần mềm độc lập riêng biệt với hệ điều hành FreeBSD nhỏ gọn được thiết kế
riêng và đóng gói cùng, điều này cho phép pfSense cài đặt và chạy trực tiếp lên
các máy tính thông thường mà không cần phải cài đặt trước một hệ điều hành
nền nào khác. Kế thừa các tính năng từ m0n0wall, pfSense đã phát triển để trở
thành một firewall mạnh mẽ với đầy đủ các tính năng đáp ứng được nhu cầu từ
những mạng gia đình, doanh nghiệp nhỏ cho đến các hệ thống lớn với hàng
ngàn thiết bị kết nối mạng. Để có được thành công đó là sự phát triển vượt trội
khi chỉ từ nền tảng lọc gói và định tuyến thuần túy, một danh sách dài các tính
năng liên quan và các gói cài đặt hữu ích được bổ sung tạo nên một hệ thống
linh hoạt và vững chắc.
Sau đây là danh sách một số đặc trưng và tính năng nổi bật của firewall
pfSense:
• Chức năng tường lửa lọc gói.
• Công nghệ stateful
• Dịch địa chỉ mạng (NAT)
• Khả năng dự phòng (redundency)
• Cân bằng tải: outbound/inbound
• Mạng riêng ảo: SSL VPN, IPSec Site-to-site VPN, PPTP VPN
• Giám sát và thống kê
• Dynamic DNS
• DHCP Server and Relay
• PPPoE Server
• DNS forwarder
Cùng với pfSense firewall vừa được trình bày ở trên, IPCop firewall cũng
là sản phẩm được đánh giá cao và sử dụng phổ biến hiện nay trong thế giới
nguồn mở. IPCop là một phần được tách ra từ Linux, bắt nguồn từ SmoothWall
và phát triển thành một dự án riêng. Bản thân IPCop cũng tương tự như pfSense
firewall là một phần mềm độc lập riêng biệt với hệ điều hành nhỏ gọn trên nền
RedHat’s Enterprise được thiết kế và đóng gói cùng, điều này cho phép IPCop
được cài đặt và vận hành riêng biệt trực tiếp lên các máy tính thông thường mà
không có bất kì một đòi hỏi nào khác, hay nói chính xác nó là một hệ điều hành
hoàn chỉnh với tính năng firewall. Kế thừa từ SmoothWall nhưng mã của IPCop
đã được thay đổi để chạy trên file system là ext3, thêm vào độ tin cậy cho sản
phẩm, ngoài ra nó cũng được bổ sung vào các tính năng tối ưu của phiên bản
SmoothWall như hỗ trợ ADSL. Hầu hết các ứng dụng trên phiên bản
SmoothWall hiện nay đều có trên IPCop, hơn thế nó còn được cung cấp tốt và
hỗ trợ nhiều dịch vụ hơn. Nếu muốn chạy phiên bản SmoothWall ta phải có sản
phẩm được phân phối từ nhà sản xuất và không miễn phí, trong khi đó IPCop là
phần mềm có bản quyền và được cung cấp hoàn toàn miễn phí từ GPL. Được sử
dụng chính như một firewall, internet gateway cho các doanh nghiệp vừa và
nhỏ, IPCop có các đặc trưng và tính năng chính sau:
• Tổ chức thông báo rộng rãi các chính sách đến toàn thể nhân viên
công ty. Đồng thời tổ chức các buổi tập huấn, đào tạo nhân viên
nhằm áp dụng triệt để các quy định về khai thác tài nguyên công
ty.
• Quét virus khi trao đổi e-mail, tải file về, duyệt nội dung web hay
trên bất cứ dịch vụ có cổng do người dùng định nghĩa nào (user-
defined port) với thông tin đặc tả cập nhật từ Check Point.
• Ngăn ngừa xâm nhập với khả năng không cho phép một ứng dụng
nào đó như các hệ thống chia sẻ file ngang hàng (peer-to-peer file-
sharing systems) đặc trưng.
• Kiểm soát lưu lượng giao thông mạng (traffic monitoring) và công
cụ xử lí sự cố (troubleshooting tools) có thể dùng để gán nhiều
băng thông hơn cho các ứng dụng quan trọng.
• Các tính năng mạng riêng ảo VPN (virtual private network) để đảm
bảo an toàn cho kết nối với các văn phòng chi nhánh.
• Khả năng tạo ra các điểm truy cập không dây với WPA2 (Wi-Fi
Protected Access) và IPSec (Internet Protocol Security).
Giá khởi điểm của Safe@Office 500 là 299 USD cho thiết bị/ 5 người
dùng. Thiết bị 500W giá 449 USD/ 5 người dùng. Cả hai sản phẩm đều có thể
cấp phép cho 25 hoặc vô hạn người dùng. Những người đăng kí cập nhật tường
lửa và chống virus sẽ phải trả ít nhất 10 USD/tháng.
Phần mềm FortiGate Antivirus Firewall (có giá khoảng $340 ) bao gồm
chức năng chống virus dựa trên công nghệ mạng, công cụ lọc nội dung internet
1.3. Đánh giá, tổng kết và phân tích, lựa chọn công nghệ
Việc đầu tiên và quan trọng trong bài toán xây dựng hệ thống firewall là
việc lựa chọn công nghệ nào sẽ được áp dụng. Rõ ràng với một firewall được
tích hợp trong một phần cứng chuyên dụng sẽ là một thiết bị hoàn hảo. Nhưng
thực tế, các sản phẩm phần cứng đó không dễ dàng có thể có được ở Việt Nam,
đi kèm với nó là việc giá thành sản phẩm bị tăng lên do chi phí phần cứng.
Sau khi tiến hành khảo sát và tìm hiểu, giải pháp đưa ra là thiết lập một
firewall bằng phần mềm, khi triển khai, bản thân doanh nghiệp sẽ tận dụng
phần cứng có sẵn trong công ty mình để làm nền triển khai phần mềm bên trên.
Phần mềm cần được thiết kế để sao có thể chạy trên các phần cứng không đòi
hỏi giá thành cao cũng như dễ dàng thay thế và sửa chữa được. Và lựa chọn
được đưa ra khi sử dụng các phần mềm mã nguồn mở để xây dựng hệ thống.
Ưu điểm của phần mềm mã nguồn mở là rất rõ ràng, trước hết là chi phí
khi không phải bỏ tiền ra mua bản quyền phần mềm, thêm vào đó, mã nguồn
mở cho phép chỉnh sửa bên trong hệ thống để từ đó thay đổi cho phù hợp với
nhu cầu sử dụng. Các phần mềm mã nguồn mở cũng nối tiếng trong sự tùy biến
của mình, có thể hoạt động trên những phần cứng không yêu cầu cấu hình cao
Hạn chế
- Phải trang bị thêm modem nếu không có sẵn.
- Không được hỗ trợ từ nhà sản xuất như các thiết bị cân bằng tải khác.
- Vẫn chưa có tính năng lọc URL như các thiết bị thương mại.
- Đòi hỏi người sử dụng phải có kiến thức cơ bản về mạng để cấu hình.
Phần này hỏi mình có muốn tạo Vlans không. Chọn “N”.
Ở đây chỉ có 2 card WAN. Nếu có tiếp thì có thể dùng tiếp. Ở đây hết rồi,
nên bỏ trắng Enter.
Tiếp theo, cài đặt cho các Interface(card mạng). Lựa chọn ”2″.
Sau đó, nó xuất hiện một câu có nên kích hoạt chức năng DHCP không?
Chọn yes “y”. Đồng ý Pfsense là DHCP Server.
Nhấn vào nút “+” và thiết lập các thuộc tính cho tính năng NAT
Để add rules mới nhấn vào biểu tương dấu , rồi thiết lập tính năng cho nó.
Ví dụ: Tạo rules Cấm truy cập web sử dụng công 80 cho các máy LAN trong đó
MayLan là tên Aliases .Sau khi tạo xong nhấn Save và Apply Changes
Các Firewall rules có thể được sắp xếp để nó có chỉ hoạt động vào các thời
điểm nhất định trong ngày hoặc vào những ngày nhất định cụ thể hoặc các ngày
trong tuần.
Để tạo một Schedules mới vào Firewall > Schedules : Nhấn dấu +
Ví dụ:Tạo lịch tên GioLamViec của tháng 12 Từ thứ hai đến thứ bẩy và thời
gian từ 8 giờ đến 17 giờ
Sau khi tạo xong nhấn Add Time
Bên dưới sẽ hiện ra lịch chi tiết vừa thiết lập, Xong nhấn Save
Mặc dù có thể gán địa chỉ IP vĩnh viễn cho bất cứ máy tính nào trên mạng
Sau khi hoàn thành cài đặt , gói mới sẽ hiển thị trong "Installed packages" của
pfSense Package Manager.
Việc sao lưu hay khôi phục cấu hình pfsense cũng tương đối dễ dàng. Bạn chỉ
cần chọn khu vực cần sao lưu hay khôi phục cấu hình của Aliases, NAT, traffic
shaper,PPTP Server,system…
Vào System-> General Setup. Chỉnh sữa DNS để client có thể đi Internet
WAN2:
Vào Status -> Load Balancer kiểm tra trạng thái pool online 2 cái Wan.
Vào máy Pfsense tắt 2 ô của card Vmnet 8 đi. Lập tức sẽ có 3 hoặc 4 đường
link bị đứng:1 2 3 5 7
Tạo rule all traffice cho PPTP. Qua mục PPTP VPN
Chọn add rule, chỉnh thông số như hình bên dưới
Hoàn thành việc tạo rule cho PPTP sẽ như thế này. Cũng
phải tạo Rule cho tất cả traffic đc đi quan Wan 2, làm
tương tự vậy thôi. Sau khi tạo rule cho phép traffic xong,
việc còn lại là nat inbound vào trong.
Tiến hành ping tới card Wan 2 của máy Pfsense, thấy đã thong
Gõ IP WAN2 : 192.168.186.130
Kiểm tra : Ping đến địa chỉ máy Client Internal : 10.10.10.10
Chúng ta chỉ tạo Nat thêm port 3389 nữa thôi. Giống
như làm NAT vpn vậy. Nhớ là phần source giữ nguyên,
cho nó lựa chọn port “any”.
Quá trình còn lại là Test thôi. Vào máy bên ngoài, ở đây
là máy vpnremote như mình tạo lúc trước. Vào Run bấm
“mstcs”.
Nắm được tình hình an ninh mạng và yêu cầu về hệ thống firewall
đối với doanh nghiệp, các công nghệ và sản phẩm firewall trên thị
trường bảo mật hiện nay.
Nắm được quy trình xây dựng hệ thống dựa trên pfSense.
Hiểu được cách thức tích hợp và phát triển hệ thống trên nền
pfSense.
Nâng cao tính năng cân bằng tải cho hệ thống để cho phép hỗ trợ
kết nối outbound nhiều line ADSL.
Bổ sung thêm các dịch vụ bảo mật cao cấp khác hỗ trợ cho
firewall.
Do phát triển trên nền FreeBSD, hệ thống gặp khó khăn trong việc
tương thích với một số phần cứng khi triển khai.
Tính năng cân bằng tải tuy đã được phát triển tốt nhưng chưa thực
sự tối ưu đối với những yêu cầu phức tạp đặt ra.
Với nhu cầu thiết thực của các doanh nghiệp hiện nay, sản phẩm
cần được kiện toàn và phát triển hơn nữa, bổ sung thêm các tính
năng, dịch vụ mới cũng như thử nghiệm về độ ổn định và hiệu
năng xử lý.
Trở thành một sản phẩm có tính thương mại sử dụng mã nguồn
mở.
[2].Cisco.Press.CCSP.SNPA.Official.Exam.Certification.Guide.3rd.Edition.Apr.
06
[4]. http://files.pfsense.org/mirror/tutorials/openvpn/pfsense-ovpn.pdf
[5]. http://pfsense.trendchiller.com/transparent_firewall.pdf
[6].http://files.pfsense.org/mirror/tutorials/policybased_multiwan/policybased_
multiwan.pdf
[8].pfSenseDocs: http://doc.pfsense.org/index.php