LỜI CẢM ƠN

Em xin gửi lời cảm ơn trân trọng nhất của mình tới thầy giáo hướng dẫn
tốt nghiệp, Ths. Vũ Chí Cường, bộ môn Truyền thông và mạng máy tính, khoa
Công nghệ thông tin, trường đại học Vinh, người đã tận tình hướng dẫn và chỉ
bảo em, cung cấp cho em những kiến thức và tài liệu quý giá, giúp em định
hướng trong quá trình nghiên cứu thực hiện đồ án tốt nghiệp. Nhờ sự giúp đỡ
tận tâm của thầy, em mới có thể hoàn thành được đồ án này.
Em xin bày tỏ lòng biết ơn sâu sắc nhất tới các thầy cô giáo trong trường
đại học Vinh nói chung và khoa Công nghệ thông tin nói riêng, những người đã
trang bị cho em nền tảng kiến thức quý giá trong suốt 5 năm học vừa qua.
Cuối cùng, em xin cảm ơn gia đình, bạn bè và những người thân đã luôn
luôn thương yêu, động viên và khuyến khích em trong thời gian qua.

Ngày 25 tháng 11 năm 2012

Người thực hiện

Tôn Thất Hải

SVTH: Tôn Thất Hải 49K-CNTT

Trang 1
 LỜI MỞ ĐẦU

Trong những năm gần đây, nền công nghệ thông tin của đất nước ta đã có
những bước tiến vượt bậc. Đi đôi cùng với sự phát triển về công nghệ, mạng
lưới cơ sở hạ tầng cũng đã được nâng cấp, tạo điều kiện cho các dịch vụ gia
tăng, trao đổi thông qua mạng bùng nổ. Nhưng cùng với sự phát triển của hệ
thống mạng, đặc biệt là sự phát triển rộng khắp của hệ thống mạng toàn cầu
(Internet), các vụ tấn công phá hoại trên mạng diễn ra ngày càng nhiều và ngày
càng nghiêm trọng hơn. Chúng xuất phát từ rất nhiều mục đích, như là để khẳng
định khả năng của bản thân, để thoả mãn một lợi ích cá nhân, hay vì những mâu
thuẫn, cạnh tranh…nhưng tựu chung lại đã gây ra một hậu quả rất nghiêm trọng
cả về vật chất và uy tín của doanh nghiệp, tổ chức.
Đối với các doanh nghiệp, vai trò của Internet là không thể phủ nhận, ứng
dụng thương mại điện tử vào công việc kinh doanh giúp cho các doanh nghiệp
không những giảm đi các chi phí thông thường mà còn có thể mở rộng đối tác,
quảng bá sản phẩm cũng như liên kết với khách hàng. Nhưng chấp nhận điều đó
cũng có nghĩa là doanh nghiệp đang đứng trước nguy cơ đối mặt với các rủi ro
và nguy hiểm từ Internet. Chính vì lý do đó vấn đề an ninh mạng đang trở nên
nóng bỏng hơn bao giờ hết, các doanh nghiệp cũng đã dần nhận thức được điều
này và có những quan tâm đặc biệt hơn tới hạ tầng an ninh mạng. Một trong
những thành phần căn bản và hữu ích nhất có thể kể tới trong hạ tầng đó là hệ
thống firewall – công nghệ đang ngày càng được cải tiến và phát triển đa dạng,
phong phú. Xuất phát từ nhu cầu thực tế, khi các doanh nghiệp rất cần một hệ
thống firewall để bảo vệ họ, đồ án ra đời hy vọng có thể tìm kiếm một giải pháp
nào đó cho vấn đề này.
Khái niệm này đã có từ rất lâu khi công nghệ thông tin nói chung và
mạng máy tính nói riêng phát triển. Thay đổi qua từng thời kì từ những sản
phẩm và công nghệ đơn giản nhất cho đến những bước phát triển vượt bậc như
hiện nay để cho ra đời những thiết kế với sức mạnh và khả năng đáp ứng nổi
trội. Luôn luôn được quan tâm trong rất nhiều các công nghệ trên thị trường bảo
mật, các dòng firewall ngày nay với tính đa dạng đã có thể phù hợp với nhu cầu
của tất cả các doanh nghiệp đặt ra, từ những hệ thống lớn và hiện đại đến những
hệ thống nhỏ, đơn giản.
Chính vì những lẽ trên mà khi doanh nghiệp thực sự chú trọng đến hạ
tầng an ninh mạng của mình thì firewall là một trong thành phần nên được quan
tâm hàng đầu. Phải có những tiêu chí và giới hạn đặt ra cho sản phẩm tùy thuộc
vào điều kiện và mục đích. Yêu cầu về hệ thống firewall vì thế cũng có sự khác
nhau với từng đối tượng doanh nghiệp. Với các doanh nghiệp nhỏ mà mục đích

SVTH: Tôn Thất Hải 49K-CNTT

Trang 2
chính là trao đổi thông tin, liên lạc thì có lẽ một sản phẩm firewall đơn giản với
giá cả vừa phải đáp ứng được các yêu cầu tối thiểu như tính năng lọc gói, NAT,
khả năng lọc virus, quét mail, ngăn chặn thư rác hay kết nối VPN…(một
security gateway all-in-one ngăn cách giữa mạng nội bộ và internet) là sự lựa
chọn hợp lý. Nhưng đối với các doanh nghiệp cỡ vừa hoặc khá lớn thì hệ thống
firewall không đơn giản chỉ có thế, có thể có nhiều firewall với các chức năng
chuyên dụng đứng kết hợp với nhau tại vùng biên của mạng tạo nên một sức
mạnh và khả năng đáp ứng hiệu năng cao cho truy nhập vào ra, hơn thế (mà đặc
biệt với các doanh nghiệp kinh doanh dịch vụ) có khi firewall chỉ làm nhiệm vụ
bảo vệ cho một phần nhỏ của mạng có vai trò quan trọng hoặc cần mức độ an
toàn cao (như hệ thống server hosting dịch vụ…). Với doanh nghiệp lớn và rất
lớn (tập đoàn, ISP…) thì yêu cầu lại phức tạp hơn rất nhiều. Hệ thống cần được
thiết kế và tính toán chi tiết, không đơn giản là một thiết bị bảo vệ đơn thuần mà
nó còn phải phối hợp với các thành phần bảo mật khác trên mạng tạo ra một hạ
tầng thống nhất và có khả năng tự phản ứng và đáp trả lại tấn công mạng.
Để hướng tới mục tiêu tạo ra một sản phẩm hữu ích và thiết thực, đồ án
tập trung vào việc phân tích các rủi ro và nhu cầu cần bảo vệ của doanh nghiệp,
tìm hiểu các công nghệ hiện tại thích hợp để từ đó xây dựng nên hệ thống
firewall đáp ứng yêu cầu đặt ra.
Chính vì thấy tầm quan trọng của vấn đề bảo mật nên em chọn đề tài
“TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA PFSENSE”
làm đồ án tốt nghiệp của mình. Nội dung đồ án gồm 3 chương.
Chương 1: Công nghệ firewall và các giải pháp
Chương 2: Giới thiệu và cài đặt PfSense.
Chương 3: Triển khai PfSense
Do nhiều yếu tố khách quan và tầm hiểu biết chưa sâu sắc nên đồ án còn
nhiều thiếu sót và hạn chế, em rất mong nhận được ý kiến đóng góp của quý
Thầy, Cô giáo và các bạn để có thể hoàn thiện hơn nữa.

SVTH: Tôn Thất Hải 49K-CNTT

Trang 3
 MỤC LỤC
1.1. Định nghĩa, chức năng, cấu trúc và phân loại...........................................5
1.2. Các giải pháp firewall................................................................................6
Một số giải pháp firewall tiêu biểu dành cho doanh nghiệp............................6
1.3. Đánh giá, tổng kết và phân tích, lựa chọn công nghệ.............................10
2.1. Giới thiệu lịch sử xuất xứ của pfSense-------------------------------------11
2.3.5. VPN trên Pfsense------------------------------------------------------------15
3.1. Tính năng của pfsense firewall................................................................25
3.1.1. PFSense Aliases-------------------------------------------------------------25
3.1.2. NAT---------------------------------------------------------------------------26
3.1.3. Firewall Rules----------------------------------------------------------------27
3.1.4. Firewall Schedules----------------------------------------------------------28
3.2. Một số dịch vụ của pfsense.....................................................................29
3.2.1. DHCP Server-----------------------------------------------------------------29
3.2.2. Cài đặt Packages-------------------------------------------------------------29
3.2.3. Backup and Recovery------------------------------------------------------31
3.2.4. Load Balancer----------------------------------------------------------------32
3.2.5. VPN trên Pfsense------------------------------------------------------------38
3.2.6. Cấu hình Remote Desktop-------------------------------------------------49

SVTH: Tôn Thất Hải 49K-CNTT

Trang 4
 CHƯƠNG I: CÔNG NGHỆ FIREWALL VÀ CÁC GIẢI PHÁP

1.1. Định nghĩa, chức năng, cấu trúc và phân loại

1.1.1. Định nghĩa firewall

Firewall là một phần của hệ thống hay mạng máy tính được thiết kế để
điều khiển truy nhập giữa các mạng bằng cách ngăn chặn các truy cập không
được phép trong khi cho phép các truyền thông hợp lệ. Nó cũng là một hay một
nhóm các thiết bị được cấu hình để cho phép, ngăn cản, mã hóa, giải mã hay
proxy lưu lượng trao đổi của các máy tính giữa các miền bảo mật khác nhau
dựa trên một bộ các luật (rule) hay tiêu chuẩn nào khác.

1.1.2. Chức năng của firewall

Chức năng chính của firewall là kiểm soát lưu lượng giữa hai hay nhiều
mạng có mức độ tin cậy khác nhau để từ đó thiết lập cơ chế điều khiển luồng
thông tin giữa chúng. Cụ thể là:
• Cho phép hoặc ngăn cản truy nhập vào ra giữa các mạng.
• Theo dõi luồng dữ liệu trao đổi giữa các mạng.
• Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
• Kiểm soát nội dung thông tin lưu chuyển trên mạng.

1.1.3. Cấu trúc của firewall

SVTH: Tôn Thất Hải 49K-CNTT

Trang 5
 Không hoàn toàn giống nhau giữa các sản phẩm được thiết kế bởi các
hãng bảo mật, tuy nhiên có những thành phần cơ bản sau trong cấu trúc của một
firewall nói chung (mà một số trong đó sẽ được tìm hiểu rõ hơn trong phần 2.2
về các công nghệ firewall):
• Bộ lọc gói (packet filtering)
• Application gateways / Proxy server
• Circuit level gateway
• Các chính sách mạng (network policy)
• Các cơ chế xác thực nâng cao (advanced authentication
mechanisms)
• Thống kê và phát hiện các hoạt động bất thường (logging and
detection of suspicious activity)

1.1.4. Phân loại firewall

Có rất nhiều tiêu chí có thể được sử dụng phân loại các sản phẩm
firewall, ví dụ như cách chia ra thành firewall cứng (thiết bị được thiết kế
chuyên dụng hoạt động trên hệ điều hành dành riêng cùng một số xử lý trên các
mạch điện tử tích hợp) và firewall mềm (phần mềm firewall được cài đặt trên
máy tính thông thường)…Nhưng có lẽ việc phân loại firewall thông qua công
nghệ của sản phẩm firewall đó được xem là phổ biến và chính xác hơn tất cả.

1.2. Các giải pháp firewall

Khái niệm về firewall đã ra đời từ rất lâu, cùng với sự phát triển đa dạng
của các sản phẩm firewall khác nhau trên thị trường thì công nghệ firewall cũng
ngày một đổi mới với những xử lý phức tạp và cao cấp hơn. Phần sau xin trình
bày khái quát về quá trình phát triển của công nghệ firewall.

Một số giải pháp firewall tiêu biểu dành cho doanh nghiệp
Không có đủ tài chính để trang bị các thiết bị bảo mật đắt tiền cũng như
thuê các chuyên gia bảo mật chăm sóc cho mạng doanh nghiệp, điều đó không
có nghĩa là thị trường bảo mật của các doanh nghiệp thiếu đi những tiềm năng
trong cơ hội kinh doanh. Bản thân các doanh nghiệp cũng có những nhận thức
ban đầu về các mối lo ngại bảo mật, và họ sẵn sàng bỏ tiền ra để trang bị các
thiết bị bảo mật cho mình, tất nhiên giá cả của thiết bị đó phải ở mức chấp nhận
được. Các nhà cung cấp dịch vụ bảo mật đã bắt tay vào để tạo ra các sản phẩm
cung cấp hệ thống an toàn “ tất cả-trong-một” (all-in-one) cho một công ty, tổ

SVTH: Tôn Thất Hải 49K-CNTT

Trang 6
chức. Các giải pháp đó có thể là phần cứng cũng như phần mềm nhưng đặc
điểm nổi trội của nó là được tạo nên hướng tới nhu cầu trong hoạt động kinh
doanh của các doanh nghiệp. Được tối ưu cho mục đích sử dụng , các doanh
nghiệp không cần đến một hệ thống phức tạp với độ an toàn cao, họ chỉ cần một
hệ thống có thể bảo vệ họ vừa đủ trước các mối an ninh bên ngoài, đồng thời họ
cũng muốn tích hợp nhiều tính năng để có thể khai thác từ các sản phẩm bảo
mật đó. Bằng cách điểm qua một số sản phẩm hiện tại, có thể từ đó đưa ra các
nhận định hữu ích từ các chuyên gia bảo mật mạng đối với vấn đề an ninh mạng
cho các doanh nghiệp.

1.2.1. Phần mềm nguồn mở pfSense firewall

Là một trong số các sản phẩm firewall nguồn mở được đánh giá cao nhất
hiện nay, nó hoàn toàn miễn phí. Được tách ra từ dự án xây dựng sản phẩm
m0n0wall cho các hệ thống nhúng, pfSense được tập trung hướng tới việc cài
đặt và chạy ổn định trên các máy tính thông thường. Bản thân pfSense là một
phần mềm độc lập riêng biệt với hệ điều hành FreeBSD nhỏ gọn được thiết kế
riêng và đóng gói cùng, điều này cho phép pfSense cài đặt và chạy trực tiếp lên
các máy tính thông thường mà không cần phải cài đặt trước một hệ điều hành
nền nào khác. Kế thừa các tính năng từ m0n0wall, pfSense đã phát triển để trở
thành một firewall mạnh mẽ với đầy đủ các tính năng đáp ứng được nhu cầu từ
những mạng gia đình, doanh nghiệp nhỏ cho đến các hệ thống lớn với hàng
ngàn thiết bị kết nối mạng. Để có được thành công đó là sự phát triển vượt trội
khi chỉ từ nền tảng lọc gói và định tuyến thuần túy, một danh sách dài các tính
năng liên quan và các gói cài đặt hữu ích được bổ sung tạo nên một hệ thống
linh hoạt và vững chắc.
Sau đây là danh sách một số đặc trưng và tính năng nổi bật của firewall
pfSense:
• Chức năng tường lửa lọc gói.
• Công nghệ stateful
• Dịch địa chỉ mạng (NAT)
• Khả năng dự phòng (redundency)
• Cân bằng tải: outbound/inbound
• Mạng riêng ảo: SSL VPN, IPSec Site-to-site VPN, PPTP VPN
• Giám sát và thống kê
• Dynamic DNS
• DHCP Server and Relay
• PPPoE Server
• DNS forwarder

SVTH: Tôn Thất Hải 49K-CNTT

Trang 7
 • …

1.2.2. Phần mềm nguồn mở IPCop firewall

Cùng với pfSense firewall vừa được trình bày ở trên, IPCop firewall cũng
là sản phẩm được đánh giá cao và sử dụng phổ biến hiện nay trong thế giới
nguồn mở. IPCop là một phần được tách ra từ Linux, bắt nguồn từ SmoothWall
và phát triển thành một dự án riêng. Bản thân IPCop cũng tương tự như pfSense
firewall là một phần mềm độc lập riêng biệt với hệ điều hành nhỏ gọn trên nền
RedHat’s Enterprise được thiết kế và đóng gói cùng, điều này cho phép IPCop
được cài đặt và vận hành riêng biệt trực tiếp lên các máy tính thông thường mà
không có bất kì một đòi hỏi nào khác, hay nói chính xác nó là một hệ điều hành
hoàn chỉnh với tính năng firewall. Kế thừa từ SmoothWall nhưng mã của IPCop
đã được thay đổi để chạy trên file system là ext3, thêm vào độ tin cậy cho sản
phẩm, ngoài ra nó cũng được bổ sung vào các tính năng tối ưu của phiên bản
SmoothWall như hỗ trợ ADSL. Hầu hết các ứng dụng trên phiên bản
SmoothWall hiện nay đều có trên IPCop, hơn thế nó còn được cung cấp tốt và
hỗ trợ nhiều dịch vụ hơn. Nếu muốn chạy phiên bản SmoothWall ta phải có sản
phẩm được phân phối từ nhà sản xuất và không miễn phí, trong khi đó IPCop là
phần mềm có bản quyền và được cung cấp hoàn toàn miễn phí từ GPL. Được sử
dụng chính như một firewall, internet gateway cho các doanh nghiệp vừa và
nhỏ, IPCop có các đặc trưng và tính năng chính sau:

• Tính năng firewall dựa trên IPTable/IPChains

• Mở rộng các cổng giao tiếp hỗ trợ: Analog modem, ISDN modem,
hay ADSL modem, và có thể hỗ trợ các kết nối PPP hay PPPoE
ADSL tới mạng Ethernet.
• Hỗ trợ DMZ (sử dụng tối đa 4 giao diện mạng)
• Quản trị thông qua giao diện web
• Truy nhập từ xa thông qua dịch vụ SSH server cung cấp
• DHCP server
• Caching DNS
• TCP/UDP port forwarding
• Hệ thống phát hiện xâm nhập Snort
• Hỗ trợ IPSec VPN
• …

1.2.3. Phần mềm Firewall Check Point Technologies’ Safe@Office

SVTH: Tôn Thất Hải 49K-CNTT

Trang 8
 Check Point Software Technologies’ Safe@Office (giá $299 ) sử dụng
công nghệ INSPECT cung cấp một cho doanh nghiệp một bức tường lửa chắc
chắn, kiểm soát các truy nhập ra vào mạng của công ty. Các công cụ
Safe@Office 500 và Safe@Office 500W Unified Threat Management được dựa
trên các phần mềm Firewall-1 và VPN-1 của Check Point, được sửa lại cho hợp
với các thiết bị nhúng. Các thành phần được thiết kế để cài đặt tại doanh nghiệp,
do nhân viên tại văn phòng hoặc nhà cung cấp hay bán lại dịch vụ quản lí. Tổng
giám đốc Liran Eshel của SofaWare cho biết, các sản phẩm Safe@Office đã
thỏa mãn được những yêu cầu dễ sử dụng và có thể thuê người ngoài quản lí là
các yếu tố quan trọng cho các doanh nghiệp. Các công cụ trong Safe@Office
được thiết kế để giải quyết nhưng chức năng bảo mật sau:

• Tổ chức thông báo rộng rãi các chính sách đến toàn thể nhân viên
công ty. Đồng thời tổ chức các buổi tập huấn, đào tạo nhân viên
nhằm áp dụng triệt để các quy định về khai thác tài nguyên công
ty.
• Quét virus khi trao đổi e-mail, tải file về, duyệt nội dung web hay
trên bất cứ dịch vụ có cổng do người dùng định nghĩa nào (user-
defined port) với thông tin đặc tả cập nhật từ Check Point.
• Ngăn ngừa xâm nhập với khả năng không cho phép một ứng dụng
nào đó như các hệ thống chia sẻ file ngang hàng (peer-to-peer file-
sharing systems) đặc trưng.
• Kiểm soát lưu lượng giao thông mạng (traffic monitoring) và công
cụ xử lí sự cố (troubleshooting tools) có thể dùng để gán nhiều
băng thông hơn cho các ứng dụng quan trọng.
• Các tính năng mạng riêng ảo VPN (virtual private network) để đảm
bảo an toàn cho kết nối với các văn phòng chi nhánh.
• Khả năng tạo ra các điểm truy cập không dây với WPA2 (Wi-Fi
Protected Access) và IPSec (Internet Protocol Security).

Giá khởi điểm của Safe@Office 500 là 299 USD cho thiết bị/ 5 người
dùng. Thiết bị 500W giá 449 USD/ 5 người dùng. Cả hai sản phẩm đều có thể
cấp phép cho 25 hoặc vô hạn người dùng. Những người đăng kí cập nhật tường
lửa và chống virus sẽ phải trả ít nhất 10 USD/tháng.

1.2.4. Phần mềm FortiGate Antivirus Firewall

Phần mềm FortiGate Antivirus Firewall (có giá khoảng $340 ) bao gồm
chức năng chống virus dựa trên công nghệ mạng, công cụ lọc nội dung internet

SVTH: Tôn Thất Hải 49K-CNTT

Trang 9
và email, tường lửa, mạng riêng ảo và hệ thống phát hiện, ngăn chặn xâm nhập.
Phần mềm này có thể cài đặt một cách dễ dàng và tự động cập nhật từ
FortiProtect. Phần mềm này có thể được cấu hình theo nhiều cách khác nhau,
thậm chí có thể cấu hình cho doanh nghiệp với 10 người dùng. Một số tính năng
có thể kể đến:
• Ngăn chặn virus
• Lọc nội dung lưu lượng web
• Lọc spam
• Chức năng tường lửa
• Chế độ NAT hoặc định tuyến
• Chế độ trong suốt
• VLANvà các domain ảo
• Hệ thống ngăn chặn xâm nhập
• Mạng riêng ảo (VPN)
• Tính năng dự phòng
• Quản lý qua giao diện web
• Hỗ trợ giao diện dòng lệnh
• Thống kê và báo cáo

1.3. Đánh giá, tổng kết và phân tích, lựa chọn công nghệ

Việc đầu tiên và quan trọng trong bài toán xây dựng hệ thống firewall là
việc lựa chọn công nghệ nào sẽ được áp dụng. Rõ ràng với một firewall được
tích hợp trong một phần cứng chuyên dụng sẽ là một thiết bị hoàn hảo. Nhưng
thực tế, các sản phẩm phần cứng đó không dễ dàng có thể có được ở Việt Nam,
đi kèm với nó là việc giá thành sản phẩm bị tăng lên do chi phí phần cứng.
Sau khi tiến hành khảo sát và tìm hiểu, giải pháp đưa ra là thiết lập một
firewall bằng phần mềm, khi triển khai, bản thân doanh nghiệp sẽ tận dụng
phần cứng có sẵn trong công ty mình để làm nền triển khai phần mềm bên trên.
Phần mềm cần được thiết kế để sao có thể chạy trên các phần cứng không đòi
hỏi giá thành cao cũng như dễ dàng thay thế và sửa chữa được. Và lựa chọn
được đưa ra khi sử dụng các phần mềm mã nguồn mở để xây dựng hệ thống.
Ưu điểm của phần mềm mã nguồn mở là rất rõ ràng, trước hết là chi phí
khi không phải bỏ tiền ra mua bản quyền phần mềm, thêm vào đó, mã nguồn
mở cho phép chỉnh sửa bên trong hệ thống để từ đó thay đổi cho phù hợp với
nhu cầu sử dụng. Các phần mềm mã nguồn mở cũng nối tiếng trong sự tùy biến
của mình, có thể hoạt động trên những phần cứng không yêu cầu cấu hình cao

SVTH: Tôn Thất Hải 49K-CNTT

Trang 10
(một máy tính Pentium IV 3.0GHZ, RAM 1GB là có thể đủ với vai trò một
firewall hoàn thiện cho một doanh nghiệp dưới 100 người dùng).
Trong quá trình tìm hiểu, có rất nhiều phần mềm mã nguồn mở được thiết
kế để đóng vai trò một gateway như vậy. Mỗi phần mềm có những ưu nhược
điểm khác nhau. Trong số đó, pfSense (http://www.pfsense.com) được lựa chọn
vì nó phù hợp với chức năng của một firewall hoàn thiện. Sở dĩ như vậy là bởi
vì pfSense có được những ưu điểm trong việc dễ dàng cài đặt và vận hành (một
trong những trở ngại so với sản phẩm thương mại của phần mềm nguồn mở),
cùng với đó là nền tảng hệ thống ổn định và các chức năng phong phú được
cung cấp mà đồ án xin được trình bày rõ ngay sau đây.

CHƯƠNG II : GIỚI THIỆU VÀ CÀI ĐẶT PFSENSE

2.1. Giới thiệu lịch sử xuất xứ của pfSense

Để bảo vệ cho hệ thống mạng bên trong thì chúng ta có nhiều giải pháp
như sử dụng Router Cisco, dùng tường lửa của Microsoft như ISA….
Tuy nhiên những thành phần kể trên tương đối tốn kém. Vì vậy đối với
người dùng không muốn tốn tiền nhưng lại muốn có một tường lửa bảo vệ hệ
thống mạng bên trong (mạng nội bộ) khi mà chúng ta giao tiếp vối hệ thống
mạng bên ngoài (Internet) thì PFSENSE là một giải pháp tiết kiệm và hiệu quả
tương đối tốt nhất đối với người dùng.
pfSense là một ứng dụng có chức năng định tuyến vào tường lửa mạnh và
miễn phí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị
thỏa hiệp về sự bảo mật. Bẳt đầu vào năm 2004, khi m0n0wall mới bắt đầu
chập chững– đây là một dự án bảo mật tập trung vào các hệ thống nhúng –
pfSense đã có hơn 1 triệu download và được sử dụng để bảo vệ các mạng ở tất
cả kích cỡ, từ các mạng gia đình đến các mạng lớn của của các công ty. Ứng
dụng này có một cộng đồng phát triển rất tích cực và nhiều tính năng đang được
bổ sung trong mỗi phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn định
và khả năng linh hoạt của nó

SVTH: Tôn Thất Hải 49K-CNTT

Trang 11
 Pfsense bao gồm nhiều tính năng mà bạn vẫn thấy trên các thiết bị tường
lửa hoặc router thương mại, chẳng hạn như GUI trên nền Web tạo sự quản lý
một cách dễ dàng. Trong khi đó phần mềm miễn phí này còn có nhiều tính năng
ấn tượng đối với firewall/router miễn phí, tuy nhiên cũng có một số hạn chế.
Pfsense hỗ trợ lọc bởi địa chỉ nguồn và địa chỉ đích, cổng nguồn hoặc
cổng đích hay địa chỉ IP. Nó cũng hỗ trợ chính sách định tuyến và có thể hoạt
động trong các chế độ bridge hoặc transparent, cho phép bạn chỉ cần đặt
pfSense ở giữa các thiết bị mạng mà không cần đòi hỏi việc cấu hình bổ sung.
pfSense cung cấp network address translation (NAT) và tính năng chuyển tiếp
cổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với Point-to-Point
Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và Session
Initiation Protocol (SIP) khi sử dụng NAT.
pfSense được dựa trên FreeBSD và giao thức Common Address
Redundancy Protocol (CARP) của FreeBSD, cung cấp khả năng dự phòng bằng
cách cho phép các quản trị viên nhóm hai hoặc nhiều tường lửa vào một nhóm
tự động chuyển đổi dự phòng. Vì nó hỗ trợ nhiều kết nối mạng diện rộng
(WAN) nên có thể thực hiện việc cân bằng tải. Tuy nhiên có một hạn chế với nó
ở chỗ chỉ có thể thực hiện cân bằng lưu lượng phân phối giữa hai kết nối WAN
và bạn không thể chỉ định được lưu lượng cho qua một kết nối.

SVTH: Tôn Thất Hải 49K-CNTT

Trang 12
2.2. Một số tính năng của Pfsense

2.2.1. pfSense Aliases

Aliases có thể giúp bạn tiết kiệm một lượng lớn thời gian nếu bạn sử dụng
chúng một cách chính xác.
Một Aliases ngắn cho phép bạn sử dụng cho một host ,cổng hoặc mạng có thể
được sử dụng khi tạo các rules trong pfSense .Sử dụng Aliases sẽ giúp bạn cho
phép bạn lưu trữ nhiều mục trong một nơi duy nhất có nghĩa là bạn không cần
tạo ra nhiều rules cho nhóm các máy hoặc cổng.
2.2.2. NAT
PfSense cung cấp network address translation (NAT) và tính năng chuyển
tiếp cổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với Point-to-Point
Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và Session

SVTH: Tôn Thất Hải 49K-CNTT

Trang 13
Initiation Protocol (SIP) khi sử dụng NAT.
Trong Firewall bạn cũng có thể cấu hình các thiết lập NAT nếu cần sử dụng
cổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1) cho các host cụ
thể. Thiết lập mặc định của NAT cho các kết nối outbound là
automatic/dynamic, tuy nhiên bạn có thể thay đổi kiểu manual nếu cần.
2.2.3. Firewall Rules
Nơi lưu các rules (Luật) của Firewall. Để vào Rules của pfsense vào
Firewall → Rules.
Mặc định pfsense cho phép mọi trafic ra/vào hệ thống .Bạn phải tạo ra các rules
để quản lí mạng bên trong firewall.
2.2.4. Firewall Schedules
Các Firewall rules có thể được sắp xếp để nó có chỉ hoạt động vào các thời
điểm nhất định trong ngày hoặc vào những ngày nhất định cụ thể hoặc các ngày
trong tuần.

2.3. Một số dịch vụ của Pfsense

2.3.1. DHCP Server

DHCP Server chỉnh cấu hình cho mạng TCP/IP bằng cách tự động gán các
địa chỉ IP cho khách hàng khi họ vào mạng.

2.3.2. Cài đặt Packages

Người dùng có nhu cầu thêm các chức năng mở rộng của chương trình cài
đặt pfSense ,bạn có thể thêm các gói từ một lựa chọn các phần mềm.
Gói có thể được cài đặt bằng cách sử dụng Package Manager, nằm tại menu
System. Package Manager sẽ hiển thị tất cả các gói có sẵn bao gồm một mô tả
ngắn gọn về chức năng của nó

2.3.3. Backup and Recovery

Dịch vụ này giúp người dùng có thể sao lưu hay khôi phục cấu hình pfsense
lại.

2.3.4. Load Balancer

Chức năng cân băng tải của pfsense có những đặc điểm
Ưu điểm
- Miễn phí.
SVTH: Tôn Thất Hải 49K-CNTT
Trang 14
- Có khả năng bổ sung thêm tính năng bằng gói dịch vụ cộng thêm.
- Dễ cài đặt, cấu hình.

Hạn chế
- Phải trang bị thêm modem nếu không có sẵn.
- Không được hỗ trợ từ nhà sản xuất như các thiết bị cân bằng tải khác.
- Vẫn chưa có tính năng lọc URL như các thiết bị thương mại.
- Đòi hỏi người sử dụng phải có kiến thức cơ bản về mạng để cấu hình.

2.3.5. VPN trên Pfsense

VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là
Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN
ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê
bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của
một tổ chức với địa điểm hoặc người sử dụng ở xa.
2.3.6. Remote Desktop
Remote Desktop giúp bạn có thể điều khiển từ xa một máy tính trong mạng
của mình.

2.4. Cài đặt Pfsense

Trên máy tính cài Pfsense chúng ta bỏ đĩa pfSense LiveCD Installer.. vào ổ
CD/DVD để tiến hành cài đặt.

SVTH: Tôn Thất Hải 49K-CNTT

Trang 15
 Màn hình Welcom to FreeBSD!

Phần này hỏi mình có muốn tạo Vlans không. Chọn “N”.

SVTH: Tôn Thất Hải 49K-CNTT

Trang 16
Chọn Card mạng WAN thứ nhất(primary). Ở đây chọn card “le1″.

Chọn card cho mạng LAN bên trong ” le0″

SVTH: Tôn Thất Hải 49K-CNTT

Trang 17
Chọn Card mạng cho WAN 2 “le2″

Ở đây chỉ có 2 card WAN. Nếu có tiếp thì có thể dùng tiếp. Ở đây hết rồi,
nên bỏ trắng Enter.

SVTH: Tôn Thất Hải 49K-CNTT

Trang 18
Sau khi gán xong, apply cho nó chọn “Y”.

Tiếp theo, cài đặt cho các Interface(card mạng). Lựa chọn ”2″.

SVTH: Tôn Thất Hải 49K-CNTT

Trang 19
Cài đặt IP cho mạng LAN trước. Chọn “2″

Nhập địa chỉ “10.10.10.10″

SVTH: Tôn Thất Hải 49K-CNTT

Trang 20
Đây là subnetmask, chọn “24″

Sau đó, nó xuất hiện một câu có nên kích hoạt chức năng DHCP không?
Chọn yes “y”. Đồng ý Pfsense là DHCP Server.

SVTH: Tôn Thất Hải 49K-CNTT

Trang 21
Gán range IP cần cấp cho mạng LAN. Bắt đầu :”10.10.10.100″

Kết thúc dãy IP cần cấp là “10.10.10.200″

SVTH: Tôn Thất Hải 49K-CNTT

Trang 22
Có cấu hình Pfsense làm webserver không. Chọn “n” , không đồng ý. Nếu
chọn thì chức năng sẽ tái hiện trong cách cài đặt Virtual Server.

SVTH: Tôn Thất Hải 49K-CNTT

Trang 23
SVTH: Tôn Thất Hải 49K-CNTT
Trang 24
 CHƯƠNG III: TRIỂN KHAI PFSENSE

3.1. Tính năng của pfsense firewall

3.1.1. PFSense Aliases
Để tạo một Aliases chúng ta vào Firewall -> Aliases

SVTH: Tôn Thất Hải 49K-CNTT

Trang 25
3.1.2. NAT
Để tạo một NAT chúng ta vào Firewall ->NAT

Nhấn vào nút “+” và thiết lập các thuộc tính cho tính năng NAT

SVTH: Tôn Thất Hải 49K-CNTT

Trang 26
3.1.3. Firewall Rules

Để tạo một Rules chúng ta vào Firewall -> Rules

Để add rules mới nhấn vào biểu tương dấu , rồi thiết lập tính năng cho nó.

Ví dụ: Tạo rules Cấm truy cập web sử dụng công 80 cho các máy LAN trong đó
MayLan là tên Aliases .Sau khi tạo xong nhấn Save và Apply Changes

SVTH: Tôn Thất Hải 49K-CNTT

Trang 27
3.1.4. Firewall Schedules

Các Firewall rules có thể được sắp xếp để nó có chỉ hoạt động vào các thời
điểm nhất định trong ngày hoặc vào những ngày nhất định cụ thể hoặc các ngày
trong tuần.

Để tạo một Schedules mới vào Firewall > Schedules : Nhấn dấu +

Ví dụ:Tạo lịch tên GioLamViec của tháng 12 Từ thứ hai đến thứ bẩy và thời
gian từ 8 giờ đến 17 giờ
Sau khi tạo xong nhấn Add Time

Bên dưới sẽ hiện ra lịch chi tiết vừa thiết lập, Xong nhấn Save

SVTH: Tôn Thất Hải 49K-CNTT

Trang 28
3.2. Một số dịch vụ của pfsense

3.2.1. DHCP Server

DHCP Server chỉnh cấu hình cho mạng TCP/IP bằng cách tự động gán các địa
chỉ IP cho khách hàng khi họ vào mạng.

Mặc dù có thể gán địa chỉ IP vĩnh viễn cho bất cứ máy tính nào trên mạng

3.2.2. Cài đặt Packages

Người dùng có nhu cầu thêm các chức năng mở rộng của chương trình cài đặt
pfSense ,bạn có thể thêm các gói từ một lựa chọn các phần mềm

SVTH: Tôn Thất Hải 49K-CNTT

Trang 29
Gói có thể được cài đặt bằng cách sử dụng Package Manager, nằm tại menu
System. Package Manager sẽ hiển thị tất cả các gói có sẵn bao gồm một mô tả
ngắn gọn về chức năng của nó.
Để cài đặt một gói phần mềm, hãy nhấp vào "Add" biểu tượng trên bên phải của
trang.

Sau khi hoàn thành cài đặt , gói mới sẽ hiển thị trong "Installed packages" của
pfSense Package Manager.

SVTH: Tôn Thất Hải 49K-CNTT

Trang 30
Loại bỏ một Packages pfSense là tương đối dễ dàng. Từ quan điểm gói cài đặt,
chọn "Hủy bỏ" biểu tượng từ phần bên phải của trang. Việc này sẽ khởi chạy
trình cài đặt gói, mà sẽ hiển thị sự tiến bộ của việc loại bỏ gói.

3.2.3. Backup and Recovery

Để Sao lưu hay khôi phục cấu hình pfsense vào Diagnostics/Backup/restore

Việc sao lưu hay khôi phục cấu hình pfsense cũng tương đối dễ dàng. Bạn chỉ
cần chọn khu vực cần sao lưu hay khôi phục cấu hình của Aliases, NAT, traffic
shaper,PPTP Server,system…

SVTH: Tôn Thất Hải 49K-CNTT

Trang 31
3.2.4. Load Balancer

Vào System-> General Setup. Chỉnh sữa DNS để client có thể đi Internet

Địa chỉ DNS google:8.8.8.8,8.8.4.4

Vào System->Routing sẽ thấy 2 Gateway.

SVTH: Tôn Thất Hải 49K-CNTT

Trang 32
Vào Group tạo theo như hình trên.

Vào Firewall thiết lập Rule cho Wan 1, Lan, Wan 2.

SVTH: Tôn Thất Hải 49K-CNTT

Trang 33
LAN:

WAN2:

SVTH: Tôn Thất Hải 49K-CNTT

Trang 34
Vào Services -> Load Balancer tạo một pool như hình vẽ, port 80

Vào Status -> Load Balancer kiểm tra trạng thái pool online 2 cái Wan.

Test xem khả năng chịu lỗi:

SVTH: Tôn Thất Hải 49K-CNTT
Trang 35
Giả sử download 1 file từ mediafire.com thấy có 8 link down.

Vào máy Pfsense tắt 2 ô của card Vmnet 8 đi. Lập tức sẽ có 3 hoặc 4 đường
link bị đứng:1 2 3 5 7

SVTH: Tôn Thất Hải 49K-CNTT

Trang 36
Ví chỉ là hình nên không xem được,nếu làm thực tế bạn sẽ thấy nó đứng
yên khoảng 7 s, rồi sau đó sẽ chạy lại.

SVTH: Tôn Thất Hải 49K-CNTT

Trang 37
3.2.5. VPN trên Pfsense
VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là
Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN
ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê
bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của
một tổ chức với địa điểm hoặc người sử dụng ở xa

Vào mục VPN chọn PPTP

Chọn Enable PPTP server.

Rồi cấp địa chỉ cho vpn client lấy tùy ý trừ địa chỉ Wan2 ra.

SVTH: Tôn Thất Hải 49K-CNTT

Trang 38
Qua mục user thêm user với tên là “vpn”, password cho
nó là “123″

Tạo rule all traffice cho PPTP. Qua mục PPTP VPN
Chọn add rule, chỉnh thông số như hình bên dưới

SVTH: Tôn Thất Hải 49K-CNTT

Trang 39
Gateway chọn loadbalance

Hoàn thành việc tạo rule cho PPTP sẽ như thế này. Cũng
phải tạo Rule cho tất cả traffic đc đi quan Wan 2, làm
tương tự vậy thôi. Sau khi tạo rule cho phép traffic xong,
việc còn lại là nat inbound vào trong.

SVTH: Tôn Thất Hải 49K-CNTT

Trang 40
Chọn Firewall –>Nat, chỉnh thông số như hình vẽ.

SVTH: Tôn Thất Hải 49K-CNTT

Trang 41
Sau khi hoàn thành sẽ có hình như bên dưới.

SVTH: Tôn Thất Hải 49K-CNTT

Trang 42
Tiếp theo tạo một máy ảo vpnremote bằng winxp, chỉnh lại card mạng là
card vmnet 8, nó sẽ tự động nhận DHCP từ card vmnet 8.

Cài đặt thông số ip cho vpn client.

SVTH: Tôn Thất Hải 49K-CNTT

Trang 43
Vào Run->gõ “cmd” rồi bấm 2 lệnh sau để xin cấp phát ip từ dhcp server
card vmnet 8.

Tiến hành ping tới card Wan 2 của máy Pfsense, thấy đã thong

SVTH: Tôn Thất Hải 49K-CNTT

Trang 44
Trên máy Client External (VPN Client) tạo New Connection Wizard :
Connect to the network at my workplace.

Chọn : Virtual Private Network Connection

SVTH: Tôn Thất Hải 49K-CNTT

Trang 45
Company Name : ton

Gõ IP WAN2 : 192.168.186.130

SVTH: Tôn Thất Hải 49K-CNTT

Trang 46
Khai báo User mà VPN Client muốn VPN về Network Internal.

SVTH: Tôn Thất Hải 49K-CNTT

Trang 47
Quá trình VPN thành công.

Kiểm tra : Ping đến địa chỉ máy Client Internal : 10.10.10.10

SVTH: Tôn Thất Hải 49K-CNTT

Trang 48
3.2.6. Cấu hình Remote Desktop

Chúng ta chỉ tạo Nat thêm port 3389 nữa thôi. Giống
như làm NAT vpn vậy. Nhớ là phần source giữ nguyên,
cho nó lựa chọn port “any”.

SVTH: Tôn Thất Hải 49K-CNTT

Trang 49
Interface Wan 2, Nat vào card Wan 2, port 3389, sau đó
chuyển đến địa chỉ bên trong mạng Lan là 10.10.10.100
trên port 3389
Enable tính năng lên, và filter là Pass.

Chúng ta sẽ được kết quả như hình vẽ.

SVTH: Tôn Thất Hải 49K-CNTT

Trang 50
Phần client cần tạo một user để vpn vào. Công việc đầu
tiên là tạo user mới, sau đó add vào group remote
desktop user.
Kích chuột phải vào My Computer, chọn Management,
chọn Local Users and Group->User
Kích chuột phải tạo user mới.

SVTH: Tôn Thất Hải 49K-CNTT

Trang 51
Tiến hành add user vào group remote hoặc làm như sau
cũng được. Kích chuột phải vào My Computer chọn
Properties, qua tab “Remote” chọn Allow user to
connect …., ô thứ hai ấy. Chọn Select Remote Users, rồi
add user “useremote” vào. Nhấn OK

Quá trình còn lại là Test thôi. Vào máy bên ngoài, ở đây
là máy vpnremote như mình tạo lúc trước. Vào Run bấm
“mstcs”.

SVTH: Tôn Thất Hải 49K-CNTT

Trang 52
 KẾT LUẬN

1. Kết quả đạt được

 Nắm được tình hình an ninh mạng và yêu cầu về hệ thống firewall
đối với doanh nghiệp, các công nghệ và sản phẩm firewall trên thị
trường bảo mật hiện nay.
 Nắm được quy trình xây dựng hệ thống dựa trên pfSense.
 Hiểu được cách thức tích hợp và phát triển hệ thống trên nền
pfSense.
 Nâng cao tính năng cân bằng tải cho hệ thống để cho phép hỗ trợ
kết nối outbound nhiều line ADSL.
 Bổ sung thêm các dịch vụ bảo mật cao cấp khác hỗ trợ cho
firewall.

2. Những mặt hạn chế

 Do phát triển trên nền FreeBSD, hệ thống gặp khó khăn trong việc
tương thích với một số phần cứng khi triển khai.
 Tính năng cân bằng tải tuy đã được phát triển tốt nhưng chưa thực
sự tối ưu đối với những yêu cầu phức tạp đặt ra.

SVTH: Tôn Thất Hải 49K-CNTT

Trang 53
  Với chức năng của một firewall all-in-one, hệ thống cần thời gian
để kiểm tra kỹ lưỡng mọi sai sót mắc phải trước khi triển khai rộng
rãi.

3. Hướng phát triển trong tương lai

 Với nhu cầu thiết thực của các doanh nghiệp hiện nay, sản phẩm
cần được kiện toàn và phát triển hơn nữa, bổ sung thêm các tính
năng, dịch vụ mới cũng như thử nghiệm về độ ổn định và hiệu
năng xử lý.
 Trở thành một sản phẩm có tính thương mại sử dụng mã nguồn
mở.

TÀI LIỆU THAM KHẢO

[1].pfSense Handbook: http://doc.m0n0.ch/handbook/index.html

[2].Cisco.Press.CCSP.SNPA.Official.Exam.Certification.Guide.3rd.Edition.Apr.
06

[3].FreeBSD Handbook: http://www.freebsd.org/doc/en_US.ISO8859-

1/books/handbook/index.html

[4]. http://files.pfsense.org/mirror/tutorials/openvpn/pfsense-ovpn.pdf

[5]. http://pfsense.trendchiller.com/transparent_firewall.pdf

[6].http://files.pfsense.org/mirror/tutorials/policybased_multiwan/policybased_
multiwan.pdf

SVTH: Tôn Thất Hải 49K-CNTT

Trang 54
[7].pfSense forum: http://forum.pfsense.org/

[8].pfSenseDocs: http://doc.pfsense.org/index.php

SVTH: Tôn Thất Hải 49K-CNTT

Trang 55