ĐÁNH GIÁ CỦA GIẢNG VIÊN HƯỚNG DẪN

1. Thái độ tác phong trong thời gian thực tập:

..................................................................................................................
.................................................................................................................... .
...................................................................................................................
2. Kiến thức chuyên môn:
...................................................................................................................
.................................................................................................................... .
...................................................................................................................
3. Nhận thức thực tế:
...................................................................................................................
.................................................................................................................... .
...................................................................................................................
4. Đánh giá khác:
...................................................................................................................
.................................................................................................................... .
...................................................................................................................
5. Đánh giá chung kết quả thực tập:
...................................................................................................................
...................................................................................................................
...................................................................................................................

………………, ngày ……… tháng ……… năm …………

Giảng viên hướng dẫn
(Ký tên, ghi rõ họ tên)
 MỤC LỤC
MỤC LỤC

MỞ ĐẦU..........................................................................................................1
GIỚI THIỆU VỀ CÔNG TY TNHH GIẢI PHÁP CÔNG NGHỆ
PHƯƠNG ĐÔNG...........................................................................................4
CHƯƠNG 1. CÔNG NGHỆ FIREWALL VÀ CÁC GIẢI PHÁP.............5
1.1. Định nghĩa firewall, chức năng, cấu trúc và phân loại:.........................5
1.1.1. Định nghĩa firewall:........................................................................5
1.1.2. Chức năng của firewall:..................................................................5
1.1.3. Cấu trúc firewall:............................................................................5
1.1.4. Phân loại firewall:...........................................................................6
1.2. Các giải pháp firewall:...........................................................................6
1.2.1. Phần mềm mã nguồn mở OPNSense Firewall:...............................7
1.2.2. Phần mềm nguồn mở IPCop firewall:.............................................9
1.2.3. Phần mềm Firewall Check Point Technologies’ Safe@Office:....10
1.2.4. Phần mềm FortiGate Antivirus Firewall:.....................................11
1.3. Đánh giá, tổng kết và phân tích, lựa chọn công nghệ:.........................12
CHƯƠNG 2. GIỚI THIỆU VÀ CÀI ĐẶT OPNSENSE...........................14
2.1. Giới thiệu lịch sử xuất xứ của OPNSense:...........................................14
2.2. Một số tính năng của Pfsense:..............................................................16
2.2.1. OPNSense Aliases:........................................................................16
2.2.2. NAT:...............................................................................................16
2.2.3. Firewall Rules:..............................................................................17
2.2.4. Firewall Schedules:.......................................................................17
2.3. Một số dịch vụ của OPNSense:............................................................17
2.3.1. DHCP Server:................................................................................17
2.3.2. Cài đặt Package:...........................................................................17
2.3.3. Backup và Recovery:.....................................................................18
2.3.4. Load Balancer:..............................................................................18
2.3.5. VPN trên OPNSense:.....................................................................18
2.3.6. Remote Desktop:............................................................................18
2.4. Cài đặt OPNSense:...............................................................................19
CHƯƠNG 3. TRIỂN KHAI OPNSENSE..................................................39
3.1. Mô hình triển khai:...............................................................................39
3.2. Tính năng của OPNSense Firewall:.....................................................39
3.2.1. OPNSense Aliases:........................................................................39
3.2.2. Firewall Rules................................................................................40
3.2.3. NAT:...............................................................................................44
3.2.4. IDS/IPS:.........................................................................................47
3.2.5. Firewall Schedules:.......................................................................51
 3.3. Dịch vụ của OPNSense:.......................................................................53
3.3.1. DHCP Server:................................................................................53
3.3.2. Cài đặt Package:...........................................................................55
3.3.3. Backup và Recovery:.....................................................................56
3.3.4. Traffic Shaping:.............................................................................57
3.3.5. VPN:..............................................................................................61
3.3.6. Captive Portal:..............................................................................76
3.3.6.1. Chuẩn bị:....................................................................................76
3.3.6.2. Thiết lập:.....................................................................................76
3.3.7. Load Balancing:............................................................................87
3.3.8. Failover:........................................................................................94
3.3.9. Web Filtering:................................................................................96
KẾT LUẬN.................................................................................................108
1. Kết quả đạt được:..................................................................................108
2. Những mặt hạn chế:..............................................................................108
3. Hướng phát triển tương lai:...................................................................108
TÀI LIỆU THAM KHẢO............................................................................109
 MỞ ĐẦU

Trong những năm gần đây, nền công nghệ thông tin của đất nước ta
đã có những bước tiến vượt bậc. Đi đôi cùng với sự phát triển về công
nghệ, mạng lưới cơ sở hạ tầng cũng đã được nâng cấp, tạo điều kiện cho
các dịch vụ gia tăng, trao đổi thông qua mạng bùng nổ. Nhưng cùng với sự
phát triển của hệ thống mạng, đặc biệt là sự phát triển rộng khắp của hệ
thống mạng toàn cầu (Internet), các vụ tấn công phá hoại trên mạng diễn ra
ngày càng nhiều và ngày càng nghiêm trọng hơn. Chúng xuất phát từ rất
nhiều mục đích, như là để khẳng định khả năng của bản thân, để thoả mãn
một lợi ích cá nhân, hay vì những mâu thuẫn, cạnh tranh…nhưng tựu
chung lại đã gây ra một hậu quả rất nghiêm trọng cả về vật chất và uy tín
của doanh nghiệp, tổ chức.
Đối với các doanh nghiệp, vai trò của Internet là không thể phủ
nhận, ứng dụng thương mại điện tử vào công việc kinh doanh giúp cho các
doanh nghiệp không những giảm đi các chi phí thông thường mà còn có thể
mở rộng đối tác, quảng bá sản phẩm cũng như liên kết với khách hàng.
Nhưng chấp nhận điều đó cũng có nghĩa là doanh nghiệp đang đứng trước
nguy cơ đối mặt với các rủi ro và nguy hiểm từ Internet. Chính vì lý do đó
vấn đề an ninh mạng đang trở nên nóng bỏng hơn bao giờ hết, các doanh
nghiệp cũng đã dần nhận thức được điều này và có những quan tâm đặc
biệt hơn tới hạ tầng an ninh mạng. Một trong những thành phần căn bản và
hữu ích nhất có thể kể tới trong hạ tầng đó là hệ thống firewall – công nghệ
đang ngày càng được cải tiến và phát triển đa dạng, phong phú. Xuất phát
từ nhu cầu thực tế, khi các doanh nghiệp rất cần một hệ thống firewall để
bảo vệ họ, đồ án ra đời hy vọng có thể tìm kiếm một giải pháp nào đó cho
vấn đề này.

1
 Khái niệm này đã có từ rất lâu khi công nghệ thông tin nói chung và
mạng máy tính nói riêng phát triển. Thay đổi qua từng thời kì từ những sản
phẩm và công nghệ đơn giản nhất cho đến những bước phát triển vượt bậc
như hiện nay để cho ra đời những thiết kế với sức mạnh và khả năng đáp
ứng nổi trội. Luôn luôn được quan tâm trong rất nhiều các công nghệ trên
thị trường bảo mật, các dòng firewall ngày nay với tính đa dạng đã có thể
phù hợp với nhu cầu của tất cả các doanh nghiệp đặt ra, từ những hệ thống
lớn và hiện đại đến những hệ thống nhỏ, đơn giản.
Chính vì những lẽ trên mà khi doanh nghiệp thực sự chú trọng đến
hạ tầng an ninh mạng của mình thì firewall là một trong thành phần nên
được quan tâm hàng đầu. Phải có những tiêu chí và giới hạn đặt ra cho sản
phẩm tùy thuộc vào điều kiện và mục đích. Yêu cầu về hệ thống firewall vì
thế cũng có sự khác nhau với từng đối tượng doanh nghiệp. Với các doanh
nghiệp nhỏ mà mục đích chính là trao đổi thông tin, liên lạc thì có lẽ một
sản phẩm firewall đơn giản với giá cả vừa phải đáp ứng được các yêu cầu
tối thiểu như tính năng lọc gói, NAT, khả năng lọc virus, quét mail, ngăn
chặn thư rác hay kết nối VPN…(một security gateway all-in-one ngăn cách
giữa mạng nội bộ và internet) là sự lựa chọn hợp lý. Nhưng đối với các
doanh nghiệp cỡ vừa hoặc khá lớn thì hệ thống firewall không đơn giản chỉ
có thế, có thể có nhiều firewall với các chức năng chuyên dụng đứng kết
hợp với nhau tại vùng biên của mạng tạo nên một sức mạnh và khả năng
đáp ứng hiệu năng cao cho truy nhập vào ra, hơn thế (mà đặc biệt với các
doanh nghiệp kinh doanh dịch vụ) có khi firewall chỉ làm nhiệm vụ bảo vệ
cho một phần nhỏ của mạng có vai trò quan trọng hoặc cần mức độ an toàn
cao (như hệ thống server hosting dịch vụ…). Với doanh nghiệp lớn và rất
lớn (tập đoàn, ISP…) thì yêu cầu lại phức tạp hơn rất nhiều. Hệ thống cần
được thiết kế và tính toán chi tiết, không đơn giản là một thiết bị bảo vệ
đơn thuần mà nó còn phải phối hợp với các thành phần bảo mật khác trên

2
mạng tạo ra một hạ tầng thống nhất và có khả năng tự phản ứng và đáp trả
lại tấn công mạng.
Để hướng tới mục tiêu tạo ra một sản phẩm hữu ích và thiết thực, đồ
án tập trung vào việc phân tích các rủi ro và nhu cầu cần bảo vệ của doanh
nghiệp, tìm hiểu các công nghệ hiện tại thích hợp để từ đó xây dựng nên hệ
thống firewall đáp ứng yêu cầu đặt ra. Chính vì thấy tầm quan trọng của
vấn đề bảo mật nên em chọn đề tài “TÌM HIỂU VÀ TRIỂN KHAI HỆ
THỐNG TƯỜNG LỬA OPNSENSE” làm đồ án thực tập tốt nghiệp của
mình.

3
 GIỚI THIỆU VỀ CÔNG TY TNHH GIẢI PHÁP CÔNG
NGHỆ PHƯƠNG ĐÔNG

Công Ty TNHH Giải Pháp Công Nghệ Phương Đông là một trong
những công ty cung cấp các sản phẩm công nghệ và các dịch vụ và giải
pháp về công nghệ tại Việt Nam. Công ty được thành lập vào ngày
25/01/2016. Công Ty TNHH Giải Pháp Công Nghệ Phương Đông đã và
đang từng bước xây dựng và phát triển vững mạnh, đạt nhiều thành tựu và
dần khẳng định vị thế là đơn vị công nghệ tiên phong. Công Ty TNHH Giải
Pháp Công Nghệ Phương Đông không chỉ là điểm tựa an toàn cho khách
hàng cá nhân mà còn sát cánh với các doanh nghiệp trong sự nghiệp phát
triển công nghệ Việt Nam.

Với mục tiêu lấy sự hài lòng của khách hàng làm trọng tâm của hoạt
động kinh doanh, Công Ty TNHH Giải Pháp Công Nghệ Phương Đông
liên tục hoàn thiện cơ chế hoạt động, đào tạo đội ngũ cán bộ nhân viên toàn
hệ thống nhằm nâng cao chất lượng dịch vụ, phục vụ ngày càng tốt hơn
nhu cầu đa dạng của khách hàng. Công Ty TNHH Giải Pháp Công Nghệ
Phương Đông luôn nỗ lực để khẳng định vị trí là công ty công nghệ uy tín
cao trên thị trường, cùng với chất lượng dịch vụ tốt, qua đó cung cấp cho
khách hàng các sản phẩm công nghệ có chất lượng tốt, an toàn và linh hoạt.

Hiện nay, Công Ty TNHH Giải Pháp Công Nghệ Phương Đông đang
cung cấp rất nhiều sản phẩm công nghệ và các dịch vụ giải pháp công nghệ
như: Buôn bán máy vi tính, các thiết bị ngoại vi, phần mềm, xử lý dữ liệu,
xuất bản phần mềm, hoạt động viễn thông có dây, cho thuê các máy chủ
riêng phục vụ cho nhu cầu công việc ,….

4
 CHƯƠNG 1. CÔNG NGHỆ FIREWALL VÀ CÁC
GIẢI PHÁP

1.1. Định nghĩa firewall, chức năng, cấu trúc và phân loại:
1.1.1. Định nghĩa firewall:
Firewall là một phần của hệ thống hay mạng máy tính được thiết kế
để điều khiển truy nhập giữa các mạng bằng cách ngăn chặn các truy cập
không được phép trong khi cho phép các truyền thông hợp lệ. Nó cũng là
một hay một nhóm các thiết bị được cấu hình để cho phép, ngăn cản, mã
hóa, giải mã hay proxy lưu lượng trao đổi của các máy tính giữa các miền
bảo mật khác nhau dựa trên một bộ các luật (rule) hay tiêu chuẩn nào khác.

1.1.2. Chức năng của firewall:

Chức năng chính của firewall là kiểm soát lưu lượng giữa hai hay
nhiều mạng có mức độ tin cậy khác nhau để từ đó thiết lập cơ chế điều
khiển luồng thông tin giữa chúng. Cụ thể là:
 Cho phép hoặc ngăn cản truy nhập vào ra giữa các mạng.
 Theo dõi luồng dữ liệu trao đổi giữa các mạng.
 Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
 Kiểm soát nội dung thông tin lưu chuyển trên mạng.

1.1.3. Cấu trúc firewall:

Không hoàn toàn giống nhau giữa các sản phẩm được thiết kế bởi
các hãng bảo mật, tuy nhiên có những thành phần cơ bản sau trong cấu trúc
của một firewall nói chung (mà một số trong đó sẽ được tìm hiểu rõ hơn
trong phần 2.2 về các công nghệ firewall):
 Bộ lọc gói (packet filtering).
 Application gateways / Proxy server.

5
  Circuit level gateway.
 Các chính sách mạng (network policy).
 Các cơ chế xác thực nâng cao (advanced authentication
mechanisms).
 Thống kê và phát hiện các hoạt động bất thường (logging and
detection of suspicious activity).

1.1.4. Phân loại firewall:

Có rất nhiều tiêu chí có thể được sử dụng phân loại các sản phẩm
firewall, ví dụ như cách chia ra thành firewall cứng (thiết bị được thiết kế
chuyên dụng hoạt động trên hệ điều hành dành riêng cùng một số xử lý trên
các mạch điện tử tích hợp) và firewall mềm (phần mềm firewall được cài
đặt trên máy tính thông thường)…Nhưng có lẽ việc phân loại firewall
thông qua công nghệ của sản phẩm firewall đó được xem là phổ biến và
chính xác hơn tất cả.

1.2. Các giải pháp firewall:

Khái niệm về firewall đã ra đời từ rất lâu, cùng với sự phát triển đa
dạng của các sản phẩm firewall khác nhau trên thị trường thì công nghệ
firewall cũng ngày một đổi mới với những xử lý phức tạp và cao cấp hơn.
Phần sau xin trình bày khái quát về quá trình phát triển của công nghệ
firewall.

Một số giải pháp firewall tiêu biểu dành cho doanh nghiệp
Không có đủ tài chính để trang bị các thiết bị bảo mật đắt tiền cũng
như thuê các chuyên gia bảo mật chăm sóc cho mạng doanh nghiệp, điều
đó không có nghĩa là thị trường bảo mật của các doanh nghiệp thiếu đi
những tiềm năng trong cơ hội kinh doanh. Bản thân các doanh nghiệp cũng
có những nhận thức ban đầu về các mối lo ngại bảo mật, và họ sẵn sàng bỏ

6
tiền ra để trang bị các thiết bị bảo mật cho mình, tất nhiên giá cả của thiết
bị đó phải ở mức chấp nhận được. Các nhà cung cấp dịch vụ bảo mật đã bắt
tay vào để tạo ra các sản phẩm cung cấp hệ thống an toàn “ tất cả-trong-
một” (all-in-one) cho một công ty, tổ chức. Các giải pháp đó có thể là phần
cứng cũng như phần mềm nhưng đặc điểm nổi trội của nó là được tạo nên
hướng tới nhu cầu trong hoạt động kinh doanh của các doanh nghiệp. Được
tối ưu cho mục đích sử dụng , các doanh nghiệp không cần đến một hệ
thống phức tạp với độ an toàn cao, họ chỉ cần một hệ thống có thể bảo vệ
họ vừa đủ trước các mối an ninh bên ngoài, đồng thời họ cũng muốn tích
hợp nhiều tính năng để có thể khai thác từ các sản phẩm bảo mật đó. Bằng
cách điểm qua một số sản phẩm hiện tại, có thể từ đó đưa ra các nhận định
hữu ích từ các chuyên gia bảo mật mạng đối với vấn đề an ninh mạng cho
các doanh nghiệp.

1.2.1. Phần mềm mã nguồn mở OPNSense Firewall:

Là một trong số các sản phẩm firewall nguồn mở được đánh giá cao
hiện nay có thể so sanh ngang với cả Pfsense, nó hoàn toàn miễn phí. Được
tách ra từ dự án xây dựng sản phẩm m0n0wall cho các hệ thống nhúng,
OPNSense được tập trung hướng tới việc cài đặt và chạy ổn định trên các
máy tính thông thường. Bản thân OPNSense là một phần mềm độc lập
riêng biệt với hệ điều hành FreeBSD nhỏ gọn được thiết kế riêng và đóng
gói cùng, điều này cho phép OPNSense cài đặt và chạy trực tiếp lên các
máy tính thông thường mà không cần phải cài đặt trước một hệ điều hành
nền nào khác. Kế thừa các tính năng từ m0n0wall, OPNSense đã phát triển
để trở thành một firewall mạnh mẽ với đầy đủ các tính năng đáp ứng được
nhu cầu từ những mạng gia đình, doanh nghiệp nhỏ cho đến các hệ thống
lớn với hàng ngàn thiết bị kết nối mạng. Để có được thành công đó là sự
phát triển vượt trội khi chỉ từ nền tảng lọc gói và định tuyến thuần túy, một

7
danh sách dài các tính năng liên quan và các gói cài đặt hữu ích được bổ
sung tạo nên một hệ thống linh hoạt và vững chắc.
OPNsense có hầu hết các tính năng có trên các tường lửa thương mại
đắt tiền và nhiều tính năng khác theo từng trường hợp. Ta có thể kể đến
một số tính năng như:
 Traffic Shaper
 Two-factor Authentication throughout the system
 Captive portal
 Forward Caching Proxy (transparent) with Blacklist support
 Virtual Private Network (site to site & road warrior,
IPsec, OpenVPN & legacy PPTP support)
 High Availability & Hardware Failover ( with
configuration synchronization & synchronized state
tables)
 Intrusion Detection and Prevention
 Build-in reporting and monitoring tools including RRD
Graphs
 Netflow Exporter
 Network Flow Monitoring
 Support for plugins
 DNS Server & DNS Forwarder
 DHCP Server and Relay
 Dynamic DNS
 Encrypted configuration backup to Google Drive
 Stateful inspection firewall
 Granular control over state table
 802.1Q VLAN support

8
1.2.2. Phần mềm nguồn mở IPCop firewall:
Cùng với pfSense firewall, IPCop firewall cũng là sản phẩm được
đánh giá cao và sử dụng phổ biến hiện nay trong thế giới nguồn mở. IPCop
là một phần được tách ra từ Linux, bắt nguồn từ SmoothWall và phát triển
thành một dự án riêng. Bản thân IPCop cũng tương tự như pfSense firewall
là một phần mềm độc lập riêng biệt với hệ điều hành nhỏ gọn trên nền
RedHat’s Enterprise được thiết kế và đóng gói cùng, điều này cho phép
IPCop được cài đặt và vận hành riêng biệt trực tiếp lên các máy tính thông
thường mà không có bất kì một đòi hỏi nào khác, hay nói chính xác nó là
một hệ điều hành hoàn chỉnh với tính năng firewall. Kế thừa từ
SmoothWall nhưng mã của IPCop đã được thay đổi để chạy trên file
system là ext3, thêm vào độ tin cậy cho sản phẩm, ngoài ra nó cũng được
bổ sung vào các tính năng tối ưu của phiên bản SmoothWall như hỗ trợ
ADSL. Hầu hết các ứng dụng trên phiên bản SmoothWall hiện nay đều có
trên IPCop, hơn thế nó còn được cung cấp tốt và hỗ trợ nhiều dịch vụ hơn.
Nếu muốn chạy phiên bản SmoothWall ta phải có sản phẩm được phân
phối từ nhà sản xuất và không miễn phí, trong khi đó IPCop là phần mềm
có bản quyền và được cung cấp hoàn toàn miễn phí từ GPL. Được sử dụng
chính như một firewall, internet gateway cho các doanh nghiệp vừa và nhỏ,
IPCop có các đặc trưng và tính năng chính sau:
 Tính năng firewall dựa trên IPTable/IPChains
 Mở rộng các cổng giao tiếp hỗ trợ: Analog modem, ISDN
modem, hay ADSL modem, và có thể hỗ trợ các kết nối PPP
hay PPPoE ADSL tới mạng Ethernet.
 Hỗ trợ DMZ (sử dụng tối đa 4 giao diện mạng)
 Quản trị thông qua giao diện web
 Truy nhập từ xa thông qua dịch vụ SSH server cung cấp
 DHCP server

9
  Caching DNS
 TCP/UDP port forwarding
 Hệ thống phát hiện xâm nhập Snort
 Hỗ trợ IPSec VPN
 …

1.2.3. Phần mềm Firewall Check Point Technologies’ Safe@Office:

Check Point Software Technologies’ Safe@Office (giá $299 ) sử
dụng công nghệ INSPECT cung cấp một cho doanh nghiệp một bức tường
lửa chắc chắn, kiểm soát các truy nhập ra vào mạng của công ty. Các công
cụ Safe@Office 500 và Safe@Office 500W Unified Threat Management
được dựa trên các phần mềm Firewall-1 và VPN-1 của Check Point, được
sửa lại cho hợp với các thiết bị nhúng. Các thành phần được thiết kế để cài
đặt tại doanh nghiệp, do nhân viên tại văn phòng hoặc nhà cung cấp hay
bán lại dịch vụ quản lí. Tổng giám đốc Liran Eshel của SofaWare cho biết,
các sản phẩm Safe@Office đã thỏa mãn được những yêu cầu dễ sử dụng và
có thể thuê người ngoài quản lí là các yếu tố quan trọng cho các doanh
nghiệp. Các công cụ trong Safe@Office được thiết kế để giải quyết nhưng
chức năng bảo mật sau:
 Tổ chức thông báo rộng rãi các chính sách đến toàn thể nhân
viên công ty. Đồng thời tổ chức các buổi tập huấn, đào tạo
nhân viên nhằm áp dụng triệt để các quy định về khai thác tài
nguyên công ty.
 Quét virus khi trao đổi e-mail, tải file về, duyệt nội dung web
hay trên bất cứ dịch vụ có cổng do người dùng định nghĩa nào
(user-defined port) với thông tin đặc tả cập nhật từ Check
Point.

10
  Ngăn ngừa xâm nhập với khả năng không cho phép một ứng
dụng nào đó như các hệ thống chia sẻ file ngang hàng (peer-
to-peer file-sharing systems) đặc trưng.
 Kiểm soát lưu lượng giao thông mạng (traffic monitoring) và
công cụ xử lí sự cố (troubleshooting tools) có thể dùng để gán
nhiều băng thông hơn cho các ứng dụng quan trọng.
 Các tính năng mạng riêng ảo VPN (virtual private network) để
đảm bảo an toàn cho kết nối với các văn phòng chi nhánh.
 Khả năng tạo ra các điểm truy cập không dây với WPA2 (Wi-
Fi Protected Access) và IPSec (Internet Protocol Security).

Giá khởi điểm của Safe@Office 500 là 299 USD cho thiết bị/ 5 người
dùng. Thiết bị 500W giá 449 USD/ 5 người dùng. Cả hai sản phẩm đều có
thể cấp phép cho 25 hoặc vô hạn người dùng. Những người đăng kí cập
nhật tường lửa và chống virus sẽ phải trả ít nhất 10 USD/tháng.

1.2.4. Phần mềm FortiGate Antivirus Firewall:

Phần mềm FortiGate Antivirus Firewall (có giá khoảng $340 ) bao
gồm chức năng chống virus dựa trên công nghệ mạng, công cụ lọc nội
dung internet và email, tường lửa, mạng riêng ảo và hệ thống phát hiện,
ngăn chặn xâm nhập. Phần mềm này có thể cài đặt một cách dễ dàng và tự
động cập nhật từ FortiProtect. Phần mềm này có thể được cấu hình theo
nhiều cách khác nhau, thậm chí có thể cấu hình cho doanh nghiệp với 10
người dùng. Một số tính năng có thể kể đến:
 Ngăn chặn virus
 Lọc nội dung lưu lượng web
 Lọc spam
 Chức năng tường lửa

11
  Chế độ NAT hoặc định tuyến
 Chế độ trong suốt
 VLANvà các domain ảo
 Hệ thống ngăn chặn xâm nhập
 Mạng riêng ảo (VPN)
 Tính năng dự phòng
 Quản lý qua giao diện web
 Hỗ trợ giao diện dòng lệnh
 Thống kê và báo cáo

1.3. Đánh giá, tổng kết và phân tích, lựa chọn công nghệ:
Việc đầu tiên và quan trọng trong bài toán xây dựng hệ thống
firewall là việc lựa chọn công nghệ nào sẽ được áp dụng. Rõ ràng với một
firewall được tích hợp trong một phần cứng chuyên dụng sẽ là một thiết bị
hoàn hảo. Nhưng thực tế, các sản phẩm phần cứng đó không dễ dàng có thể
có được ở Việt Nam, đi kèm với nó là việc giá thành sản phẩm bị tăng lên
do chi phí phần cứng.
Sau khi tiến hành khảo sát và tìm hiểu, giải pháp đưa ra là thiết lập
một firewall bằng phần mềm, khi triển khai, bản thân doanh nghiệp sẽ tận
dụng phần cứng có sẵn trong công ty mình để làm nền triển khai phần mềm
bên trên. Phần mềm cần được thiết kế để sao có thể chạy trên các phần
cứng không đòi hỏi giá thành cao cũng như dễ dàng thay thế và sửa chữa
được. Và lựa chọn được đưa ra khi sử dụng các phần mềm mã nguồn mở
để xây dựng hệ thống.
Ưu điểm của phần mềm mã nguồn mở là rất rõ ràng, trước hết là chi
phí khi không phải bỏ tiền ra mua bản quyền phần mềm, thêm vào đó, mã
nguồn mở cho phép chỉnh sửa bên trong hệ thống để từ đó thay đổi cho phù
hợp với nhu cầu sử dụng. Các phần mềm mã nguồn mở cũng nối tiếng

12
trong sự tùy biến của mình, có thể hoạt động trên những phần cứng không
yêu cầu cấu hình cao (một máy tính Pentium IV 3.0GHZ, RAM 1GB là có
thể đủ với vai trò một firewall hoàn thiện cho một doanh nghiệp dưới 100
người dùng).
Trong quá trình tìm hiểu, có rất nhiều phần mềm mã nguồn mở được
thiết kế để đóng vai trò một gateway như vậy. Mỗi phần mềm có những ưu
nhược điểm khác nhau. Trong số đó, OPNSense (https://opnsense.org/)
được lựa chọn vì nó phù hợp với chức năng của một firewall hoàn thiện. Sở
dĩ như vậy là bởi vì OPNSense có được những ưu điểm trong việc dễ dàng
cài đặt và vận hành (một trong những trở ngại so với sản phẩm thương mại
của phần mềm nguồn mở), cùng với đó là nền tảng hệ thống ổn định và các
chức năng phong phú được cung cấp mà đồ án xin được trình bày rõ ngay
sau đây

13
CHƯƠNG 2. GIỚI THIỆU VÀ CÀI ĐẶT OPNSENSE

2.1. Giới thiệu lịch sử xuất xứ của OPNSense:

Để bảo vệ cho hệ thống mạng bên trong thì chúng ta có nhiều giải
pháp như sử dụng Cisco ASA, dùng tường lửa của Microsoft như ISA….
Tuy nhiên những thành phần kể trên tương đối tốn kém. Vì vậy đối
với người dùng không muốn tốn tiền nhưng lại muốn có một tường lửa bảo
vệ hệ thống mạng bên trong (mạng nội bộ) khi mà chúng ta giao tiếp vối hệ
thống mạng bên ngoài (Internet) thì OPNSENSE là một giải pháp tiết kiệm
và hiệu quả tương đối tốt nhất đối với người dùng.
Dự án OPNsense bắt đầu vào tháng 1 năm 2015 như là một nhánh
của bức tường lửa pfSense đã được thiết lập. Nhóm nghiên cứu đã tuyên bố
rằng các lý do cho sự chuyển hướng của dự án bắt nguồn từ loại pfSense
được sử dụng vào thời điểm đó, và một phần từ niềm tin của họ rằng họ có
thể tạo một bức tường lửa an toàn hơn.
Khi Netgate mua lại pfSense và có ý muốn chỉ cung cấp bản thương
mại, thu hẹp bản miễn phí đã gây ra nhiều tranh cãi, nhiều thành viên trong
nhóm phát triển đã không đồng ý với định hướng của Netgate. Từ đó họ
quyết định dựng nên một open source firewall khác là OPNsense (vào năm
2014).
Khi dự án m0n0wall chính thức ngừng hoạt động và đóng cửa vào
tháng 2 năm 2015, nhà phát triển m0n0wall (Manuel Kasper) đã giới thiệu
đội ngũ developers của mình cho OPNsense. Như vậy, OPNsense chính
thức được xem như là người thừa kế chính thức của m0n0wall.

14
 OPNsense chứa một giao diện rất phong phú được viết bằng Phalcon
PHP, đó là một niềm vui thực sự. Ngoài việc OPNsense hấp dẫn hơn giao
diện người dùng của pfSense, nó được phần nào tạo ra bởi niềm tin của
nhóm rằng giao diện đồ họa không nên có quyền truy cập root, vì điều này
có thể gây ra các vấn đề bảo mật.
OPNsense cung cấp các cập nhật bảo mật hàng tuần để nhanh chóng
đáp ứng các mối đe dọa. Nó bao gồm nhiều tính năng nâng cao mà bạn
thường chỉ tìm thấy trong các tường lửa thương mại như Forward Caching
Proxy và Intrusion Detection. Nó cũng hỗ trợ việc sử dụng OpenVPN.
Tường lửa sử dụng hệ thống ngăn chặn xâm nhập nội tuyến. Đây là
một hình thức kiểm tra gói sâu mạnh mẽ, trong đó OPNsense không chỉ
chặn địa chỉ IP hoặc cổng mà còn kiểm tra và dừng các gói dữ liệu cá nhân
hoặc các kết nối trước khi chúng đến được người gửi. OPNsense cũng cung
cấp LibreSSL trên OpenSSL.
Giao diện người dùng có thanh tìm kiếm đơn giản và mô-đun sức
khỏe hệ thống mới. Mô-đun này tương tác và cung cấp phản hồi trực quan

15
khi phân tích mạng của bạn. Bây giờ, bạn có thể xuất dữ liệu của mình ở
định dạng CSV để phân tích thêm.

Hình 2.1. Mô hình triển khai.

2.2. Một số tính năng của Pfsense:

2.2.1. OPNSense Aliases:
Aliases có thể giúp bạn tiết kiệm một lượng lớn thời gian nếu bạn sử
dụng chúng một cách chính xác.
Một Aliases ngắn cho phép bạn sử dụng cho một host ,cổng hoặc mạng có
thể được sử dụng khi tạo các rules trong OPNSense .Sử dụng Aliases sẽ
giúp bạn cho phép bạn lưu trữ nhiều mục trong một nơi duy nhất có nghĩa
là bạn không cần tạo ra nhiều rules cho nhóm các máy hoặc cổng.

2.2.2. NAT:
OPNSense cung cấp network address translation (NAT) và tính
năng chuyển tiếp cổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với
Point-to-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation
(GRE) và Session Initiation Protocol (SIP) khi sử dụng NAT.

16
 Trong Firewall bạn cũng có thể cấu hình các thiết lập NAT nếu cần
sử dụng cổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1)
cho các host cụ thể. Thiết lập mặc định của NAT cho các kết nối outbound
là automatic/dynamic, tuy nhiên bạn có thể thay đổi kiểu manual nếu cần.

2.2.3. Firewall Rules:

Nơi lưu các rules (Luật) của Firewall. Để vào Rules của pfsense vào
Firewall → Rules.
Mặc định pfsense cho phép mọi trafic ra/vào hệ thống .Bạn phải tạo ra các
rules để quản lí mạng bên trong firewall.

2.2.4. Firewall Schedules:

Các Firewall rules có thể được sắp xếp để nó có chỉ hoạt động vào
các thời điểm nhất định trong ngày hoặc vào những ngày nhất định cụ thể
hoặc các ngày trong tuần.

2.3. Một số dịch vụ của OPNSense:

2.3.1. DHCP Server:
DHCP Server chỉnh cấu hình cho mạng TCP/IP bằng cách tự động
gán các địa chỉ IP cho khách hàng khi họ vào mạng.

2.3.2. Cài đặt Package:

Người dùng có nhu cầu thêm các chức năng mở rộng của chương
trình cài đặt OPNSense, bạn có thể thêm các gói từ một lựa chọn các phần
mềm.
Gói có thể được cài đặt bằng cách sử dụng Package Manager, nằm
tại menu System. Package Manager sẽ hiển thị tất cả các gói có sẵn bao
gồm một mô tả ngắn gọn về chức năng của nó.

17
2.3.3. Backup và Recovery:
Dịch vụ này giúp người dùng có thể sao lưu hay khôi phục cấu hình
pfsense lại.

2.3.4. Load Balancer:

Chức năng cân băng tải của OPNSense có những đặc điểm:
Ưu điểm:
- Miễn phí.
- Có khả năng bổ sung thêm tính năng bằng gói dịch vụ cộng thêm.
- Dễ cài đặt, cấu hình.

Hạn chế:
- Phải trang bị thêm modem nếu không có sẵn.
- Không được hỗ trợ từ nhà sản xuất như các thiết bị cân bằng tải khác.
- Vẫn chưa có tính năng lọc URL như các thiết bị thương mại.
- Đòi hỏi người sử dụng phải có kiến thức cơ bản về mạng để cấu hình.

2.3.5. VPN trên OPNSense:

VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường
là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng
LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường
dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa
mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa.

2.3.6. Remote Desktop:

Remote Desktop giúp bạn có thể điều khiển từ xa một máy tính trong
mạng của mình.

18
2.4. Cài đặt OPNSense:
Trên máy tính cài OPNsense chúng ta bỏ đĩa OPNSense LiveCD
Installer.. vào ổ CD/DVD để tiến hành cài đặt.

Màn hình Welcome của OPNSense.

Nhấn bất kỳ nút nào để bắt đầu quá trình cài đặt.

19
Tiến hành log in vào với username là installer và password là opnsense.

Chúng ta sẽ được chuyển hướng tới màn hình cài đặt. Chọn OK để bắt đầu.

20
Chọn vào Accept these Settings.

Chọn vào Guided Installation.

21
Chọn vào dòng đầu tiên.

Chọn vào GPT/UEFI Mode.

22
Chọn Yes.

Quá trình cài đặt đang diễn ra.

23
Thiết lập root password khi đăng nhập vào firewall.

Sau khi hoàn tất chọn reboot để khởi động lại firewall.

24
Tiến hành đăng nhập vào firewall bằng tài khoản root vừa tạo.

Giao diện sau khi đăng nhập thành công.

25
Bây giờ chúng ta sẽ tiến hành chia Interface. Chọn option 1.

Firewall sẽ hỏi muốn cấu hình VLAN hay không. Chọn No.

26
Chọn card mạng WAN. Ở đây là em0.

Chọn card mạng LAN.

Firewall hỏi chúng ta có muôn thực thi các cấu hình vừa nãy. Chọn Yes.
Các Interface còn lại chúng ta sẽ tiến hành tạo trong phần WebGUI.

27
Tiếp theo chúng ta sẽ tiến hành đặt IP cho các Interface. Chọn Option 2.

Chọn card mạng cần cấu hình. Ở đây sẽ chọn card LAN trước.

28
Firewall sẽ hỏi chúng ta muốn cấu hình IP thông qua DHCP. Chọn No.

Nhập vào IP cho card LAN.

Nhập Subnet mask cho card LAN.

Enter để trống.

Firewall sẽ hỏi chúng ta muốn cấu hình DHCP trên Interface này không.
Chọn No.

29
Chọn No.

Bây giờ chúng ta có thể truy cập vào WebGUI bằng địa chỉ như trên.

30
Máy Client trong mạng LAN tiến hành đặt IP tĩnh. Và truy cập vào
WebGUI của OPNSense.

Đăng nhập bằng tài khoản root tạo lúc cài đặt.

31
Khi đăng nhập vào chúng ta sẽ tiến hành thiết lập một vài Setup thông qua
Wizard.

Cấu hình hostname, DNS cho OPNSense.

32
Chọn Timezone cho OPNSense.

Theo như mô hình bên trên là chúng ta sẽ xin DHCP cho WAN nên chúng
ta sẽ Next qua bước này.

33
Card LAN chúng ta cũng cấu hình rồi nên chọn Next để qua bước tiếp theo.

Phần root password nếu muốn giữ passwd cũ thì chỉ cần bỏ trống còn nếu
muốn đổi mới thì nhập passwd mới vào.

34
Reload lại firewall.

35
Giao diện DashBoard của OPNSense.

Theo mô hình chúng ta còn một vùng DMZ nên chúng ta sẽ tiến hành cấu
hình card mạng DMZ.

Interfaces  Assignments  Click vào dấu cộng như hình để thêm card
DMZ.

36
Lúc này sẽ xuất hiện một card mới với tên là OPT1. Nhấp đúp chuột vào
card này.

Enable Interface này lên và đổi tên thành DMZ.

37
Chọn Static Ipv4 để cấu hình IP cho card DMZ này.

Cấu hình IP và chọn Save.

Chọn vào Apply Changes.

Quay trở lại DashBoard chúng ta đã thấy IP cho DMZ đã cấu hình thành
công.

38
 CHƯƠNG 3. TRIỂN KHAI OPNSENSE.

3.1. Mô hình triển khai:

Mô hình triển khai.

3.2. Tính năng của OPNSense Firewall:

3.2.1. OPNSense Aliases:
Để tạo một Alias chúng ta vào Firewall  Aliases.

39
Chọn vào dấu + ở hình để tiến hành thêm Alias mới.

Chúng ta có rất nhiều lựa chọn cho Aliases. Tùy vào nhu cầu sử dụng mà
chúng ta sẽ chọn Type thích hợp. Sau khi chọn xong nhấn Save.

3.2.2. Firewall Rules.

Để tạo một Rule thì chúng ta sẽ vài Firewall  Rules và chọn
Interface mà chúng ta muốn thiết lập Rule lên.
Mặc định các cổng như LAN sẽ có Rule mặc dịnh là cho phép Any
điều đó có nghĩa là chúng ta có thể truy cập Internet. Nhưng chúng ta cần
thiết lập lại Rule cho phù hợp và đem lại an toàn nhất cho hệ thống chúng
ta.

40
Chọn Add để tiến hành thêm Rule.

Bây giờ chúng ta sẽ tạo một Rule Block Ping. Action chọn Block, Interface
là LAN, Protocol chọn ICMP.

41
Source là lớp mạng LAN, Destination là Any nghĩa là LAN có thể truy cập
Web, sử dụng Mail và các dịch vụ khác nhưng sẽ không cho thực hiện việc
ping ra ngoài Internet lẫn bên trong mạng nội bộ. Sau khi xong chọn Save.

Rule đã được tạo thành công.

42
Đây là hình ảnh trước khi cấu hình Rule chặn Ping. Từ LAN có thể ping
qua các lớp mạng khác.

Sau khi có Rule chặn ping thì bây giờ LAN không thể ping thới bất kỳ đâu
trong mạng nội bộ và bên ngoài Internet.

LAN vẫn có thể sử dụng các dịch vụ khác.

43
3.2.3. NAT:
Bây giờ chúng ta sẽ tiến hành NAT Port để Publish Web Server ở
vùng DMZ ra ngoài Internet.
Firewall  NAT  Port Forward. Chọn Add để tạo mới một NAT.

Chọn Interface WAN. Các cấu hình còn lại chọn như hình.

44
Destination chúng ta sẽ chọn WAN Addr, Des Port sẽ là DNS do chúng ta
dựng Webserver và có sử DNS để phân giải nên chúng ta cũng cần phải
NAT DNS. Redirect chúng ta sẽ cho chuyển qua IP của máy Web Server.
Redirect port cũng là DNS. Các lựa chọn còn lại để mặc định.
Như vậy chúng ta phân tích NAT Port này như sau: Khi có Traffic DNS từ
bên ngoài mà tới địa chi WAN thì firewall sẽ thực hiện việc chuyển tiếp
traffic đó qua IP của Web Server.

Chọn Save và Apply Changes. Sau đó tiếp tục tạo NAT Port cho Traffic
HTTP và HTTPS.

45
Hai NAT Port đã được tạo thành công.

Bây giờ chúng ta sẽ qua firewall Rule của WAN và DMZ để thực hiện mở
Rule cho việc Publish Web Server.

Firewall Rule của WAN.

46
Firewall Rule của DMZ.

Trên máy Client bên ngoài Internet tiến hành truy cập vào Web Server.

3.2.4. IDS/IPS:
Chúng ta sẽ sử dụng Suricata để làm IPS/IDS. Trên OPNSense mặc
định Suricata đã có sẵn trong Firewall.

47
Chọn Services  Intrution Detection  Administration

Enable chức năng IPS/IDS lên. Mục Interface chọn hết tất cả Interface hoặc
tùy vào nhu cầu mà sẽ có lựa chọn thích hợp. Chọn Apply.

48
Mục Download tiến hành Enable và Download các ruleset về.

Enable các Rule thích hợp và chọn Apply.

49
 Bây giờ chúng ta sẽ dùng một máy Kali Linux thâm nhập vào mạng
LAN của mình có IP là: 172.24.46.101 tiến hành thực hiện Metaploit vào
mạng LAN của mình và sau đó chọn vào mục Alert để xem kết quả.

Kali thực hiện Metaploit.

Kết quả.

50
Chọn vào hình cây viết để xem chi tiết log file.

3.2.5. Firewall Schedules:

Các Firewall rules có thể được sắp xếp để nó có chỉ hoạt động vào
các thời điểm nhất định trong ngày hoặc vào những ngày nhất định cụ thể
hoặc các ngày trong tuần.
Để tạo một Schedule: Firewall  Setting  Schedules. Nhấn dấu
Add để thêm một Schedule.

51
Thiết lập ngày tháng mong muốn cho phù hợp với nhu cầu.

Sau khi xong chọn Save để lưu.

52
Qua Firewall Rule. Chọn rule mà muốn thiết lập Schedule, kéo xuống tìm
mục schedule và chọn schedule thích hợp mà mình vừa tạo.

3.3. Dịch vụ của OPNSense:

3.3.1. DHCP Server:

Tại mục Services chọn DHCPv4.

53
Chọn Interface mà bạn muốn cấu hình DHCP lên đó. Ở đây là Interface
LAN. Tại mục Range chọn dãy IP của mạng.

Nhập vào DNS và Gateway cho DHCP ở card LAN. Sau đó chọn Save và
Apply Changes để lưu các thay đổi.

54
Qua máy Client tiến hành xin IP động.

3.3.2. Cài đặt Package:

Người dùng có nhu cầu thêm các chức năng mở rộng của chương
trình cài đặt OPNSense, bạn có thể thêm các gói từ một lựa chọn các phần
mềm.

55
Chọn vào Firmware  Plugins  Check for updates.

Sau khi check for update xong thì firewall sẽ hiện ra các gói plugin cho
người dùng. Bấm vào dấu + để tiến hành cài đặt gói về firewall.

3.3.3. Backup và Recovery:

Chọn System  Configuration  Backup

Chọn Download Configuration.

Để tiến hành khôi phục lại thì vẫn đường dẫn trên chúng ta kéo xuống sẽ
thấy mục Restore.

56
Chọn Restore Configuration.

3.3.4. Traffic Shaping:

Chúng ta sẽ tiến hành giới hạn băng thông ở một số vùng LAN nếu
như hạ tầng của chúng ta chia thành nhiều LAN.
Để làm điều đó OPNSense hỗ trợ cho chúng ta traffic shaping để tiến
hành giới hạn lại băng thông cho khu vực chỉ định.

Việc Download một file lúc chưa có Shaping diễn ra là 8.8MB/s.

57
Chọn Shaper  Pipes.

Tạo ra Download và Upload Pipes. Chọn dấu cộng như hình.

58
Tạo ra Pipes Download như hình giới hạng băng thông lại là 3Mbps. Chọn
Save.

Tiến hành tạo Rule cho Pipes Download.

59
Chọn Interface ra Outside. Source là any vì chúng ta đang thiết lập rule cho
Download. Destination là lớp mạng LAN nơi chúng ta muốn giới hạn băng
thông lại. Check Enable trên rule.

Target chọn vào Pipes Download vừa tạo. Chọn Save.

60
Chọn Apply để lưu cấu hình.

Bây giờ qua máy Client và tiến hành tải một tệp về và kiểm tra tốc độ
Download của tệp đó.

Traffic Shaping đã được cấu hình thành công.

3.3.5. VPN:
VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường
là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng
LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường
dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa
mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa.
Bây giờ chúng ta sẽ tiến hành dùng OpenVPN để thiết lập VPN
Client to Site cho hệ thống của chúng ta.

61
Chọn System  Trust  Authorities để tiến hành thêm Certificate
Authority.

Chọn như hình bên trên.

Nhập thông tin cho CA. Chọn Save.

Tiếp theo chúng ta sẽ tạo Certificate. Đi đến System  Trust 

Certificates.

62
Chọn Add.

Chọn như hình.

63
Tạo Comman Name và chọn Save.

64
Certificate đã được tạo.

Bây giờ chúng ta sẽ tiến hành thêm user trên firewall.

Đi tới System  Access  Users. Chọn Add và tiến hành tạo ra một user.

65
Chọn như hình và Save.

66
Lúc này chúng ta sẽ được chuyển qua mục tạo Certificate cho user hieukm
này. Chọn như hình.

Chọn như hình và Save.

67
Bây giờ chúng ta sẽ tiến hành thêm một SSL Server. Đi tới VPN 
OpenVPN  Servers. Chọn Add.

Chọn các thông số như hình trên.

Interface WAN và port chạy là 1194.

68
Chọn các thông số mã hóa như hình.

69
Nhập vào IP Tunnel và IP local mà chúng ta muốn remote tới.

Disable Ipv6, các lựa chọn cuối để mặc định. Sau đó chọn Save.

70
Tạo thành công SSL Server.

Bây giờ chúng ta sẽ cấu hình firewall rule để chấp nhận các traffic đi vào
LAN.
Đi tới Firewall  Rules  OpenVPN. Tạo rule cho phép traffic đi vào
LAN.

Bây giờ chúng ta sẽ tạo Rule cho Interface WAN.

71
Cấu hình Export cho Client.
Đi tới VPN  OpenVPN  Client Export.

Chọn Export type là Viscosity. Các phần còn lại để mặc định.

72
Kéo xuống phía dưới và tiến hành tải file config về máy client.

Trên máy Client tiến hành truy cập vào trang

https://www.sparklabs.com/viscosity/
Và tiến hành tãi Viscosity về cài đặt trên máy Client.

Double Click file config vừa tải về để import các config của VPN vào máy
của Client.

Đăng nhập vào username và password đã tạo trên firewall.

73
VPN kết nối thành công.

74
Các rule dành cho OpenVPN cũng đã chạy thành công. Rule bao gồm cho
phép truy cập tất cả dịch vụ trong LAN và chặn ping.

Trên tường lửa chúng ta sẽ thấy được kết nối VPN của client hieukm.

75
3.3.6. Captive Portal:
Captive portal là 1 tính năng thuộc dạng flexible, chỉ có trên các
firewall thương mại lớn. tính năng này giúp redirect trình duyệt của người
dùng vào 1 trang web định sẵn, từ đó giúp chúng ta có thể quản lý được
người dùng (hoặc cấm không cho người khác dùng mạng của mình). Tính
năng này tiên tiến hơn các kiểu dăng nhập như WPA, WPA2 ở chỗ người
dùng sẽ thao tác trực tiếp với 1 trang web (http, https) chứ không phải là
bảng đăng nhập khô khang như kiểu authentication WPA, WPA2.

3.3.6.1. Chuẩn bị:

Trên Vmware Workstation gắn 1 card Bridge với Card mạng có dây
của chúng ta.
Một Access Point.
Một Laptop Client hoặc Smart Phone.

3.3.6.2. Thiết lập:

Card Bridge.

Ta sẽ tiến hành kết nối AP với OPNSense qua cổng có dây của
laptop. Dùng AP nối cổng LAN vào laptop. Truy cập vào AP và tắt DHCP

76
trên con AP này. Tiến hành đặt IP cho Card mạng này thông qua Web
Interface.

Tiến hành Assignments một card mạng.

77
Enable Interface.

Đặt IP cho card mạng này.

78
Thiết lập Rule cho vùng này có thể ra Internet và thiết lập một số Rule để
đảm bảo an toàn cho hệ thống tùy vào nhu cầu của hệ thống mà sẽ thiết lập
Rule thích hợp.

79
Cấu hình DHCP trên card mạng này.

Save và Apply Changes.

Vào Services  Captive Portal

80
Chọn Administration  Chọn vào dấu + để tiến hành Add Zone.

Enable Zone, chọn Interface, chọn Authenticate là Local, thiết lập Idle
time,…

81
Chọn Save.

Qua tab Template, chọn biểu tượng Download và tiến hành tải Template
mẫu về.

82
Chọn vào dấu + và tiến hành Upload Template vừa tải lên Firewall.

83
Chọn Apply.
Tiến hành tạo User trên fiewall.

Tạo một user guest trên firewall.

Bây giờ máy laptop client tiến hành kết nối vào AP.

84
Nhận được IP từ AP.
Mở trình duyệt lên lúc này chúng ta sẽ thấy mục yêu cầu login.

Chọn vào Open Network Login Page.

Login bằng user guest đã tạo bên trên.

85
Sau khi Login.

Truy cập Internet thành công.

86
3.3.7. Load Balancing:
Cân bằng tải có thể được sử dụng để chia tải giữa hai (hoặc nhiều)
ISP. Điều này nâng cao tổng băng thông khả dụng và / hoặc giảm tải trên
mỗi ISP.
Nguyên tắc rất đơn giản: Mỗi kết nối WAN (cổng vào) nhận được
một phần lưu lượng. Lưu lượng có thể được chia đều hoặc có trọng số.
Bước 1: Thêm Monitor IP:
Đi tới System ‣ Gateways ‣ Single

Chọn vào biểu tượng hình bút chì để tiến hành edit. Chọn vào các cổng
WAN chúng ta muốn.

Bạn có thể bỏ qua bước này nếu bạn đã thiết lập IP giám sát và cả hai cổng
đều hiển thị là trực tuyến.

87
Kéo xuống tìm đến mục Monitor IP và sử dụng Monitor IP của Google

Chọn Save.

Làm tương tự với đường WAN thứ 2

88
Chọn Save sau khi cấu hình xong.

Bước 2: Thêm Gateway Group:

Đi tới System ‣ Gateways ‣ Group

Chọn vào chữ Add để tiến hành thêm Gateway Group.

Vì chúng ta cấu hình Load Balancing nên ở 2 Gateway ta chọn cùng Tier
với nhau.
Giải thích Trigger Level:
Member Down: Kích hoạt khi cổng bị mất gói 100%.
Packet Loss: Kích hoạt khi mất gói đến một cổng cao hơn ngưỡng đã
xác định.
High Latency: Kích hoạt khi độ trễ đối với cổng cao hơn ngưỡng đã
xác định của nó.

89
 Packet Loss or High Latency: Kích hoạt cho một trong các điều kiện
trên.
Bước 3: Cấu hình DNS cho mỗi Gateway:
Đi tới System ‣ Settings ‣ General. Đảm bảo mỗi cổng có thiết lập
DNS riêng.

Chọn Save sau khi cấu hình xong.

Bước 4: Thiết lập lại Rule:

Đi tới Firewall ‣ Rules
Đối với ví dụ của chúng ta, chúng ta sẽ cập nhật Rule truyền mạng
LAN mặc định. Nhấp vào bút chì bên cạnh Rule này (Mặc định cho phép
LAN với bất kỳ Rule nào).

90
Bên dưới Gateway chọn WANGROUP chúng ta vừa tạo.

Sau khi cấu hình.

Bước 5: Thêm Rule cho phép lưu lượng DNS:

Thêm Rule ngay trên Rule cho phép LAN mặc định để đảm bảo lưu
lượng truy cập đến và đi từ tường lửa trên cổng 53 (DNS) sẽ không được
chuyển đến Nhóm cổng mà chúng tôi vừa xác định.

91
Cấu hình như 2 hình trên và chọn Save và Apply Changes.

92
Rule sau khi tạo.

Bây giờ qua Client và tiến hành Download. Như đã kiểm tra Download ở
phần Shaper tốc độ mặc định khi chưa Load Balancing là 8MB/s.

Sau khi cấu hình Load Balancing tốc độ đã tăng đáng kể 25MB/s.

93
3.3.8. Failover:
Đây là chế độ dự phòng trong các hệ thống mạng. Chúng sẽ được
kích hoạt khi hệ thống chính gặp sự cố vì bất kỳ lí do gì như treo máy, hư
máy, virus tấn công, bảo trì…
Đối với việc cấu hình Failover trên OPNSense thì các bước thực hiện
tương tự như Load Balancing:
• Thêm Monitor IP vào Gateway.
• Thêm Gateway Group.
• Chỉnh sử Rule sử dụng Gateway Group.
• Thêm quy tắc tường lửa cho lưu lượng DNS dành cho chính
tường lửa.

Nhưng có một chỗ thay đổi đó là tại mục System ‣ Gateways ‣

Group. Thay vì chọn cùng Tier thì đối với Failover chúng ta sẽ chọn đâu là
Tier chính và đâu là Tier thứ hai.

Chọn save sau khi cấu hình xong.

Để kiểm tra chúng ta sẽ Disconect card NAT bên OPNSense.

94
Qua máy Client tiến hành truy cập Internet.

Máy Client vẫn có thể ra Internet.

95
3.3.9. Web Filtering:
Là một trong những tính năng lọc chất lượng cao. Với tính năng này,
bạn có thể bảo mật thông tin một cách an toàn. Hơn thế, nó còn giúp bạn
ngăn chặn một số đường link, trang web theo yêu cầu.
Lọc web dựa trên danh mục trong OPNsense được thực hiện bằng
cách sử dụng proxy tích hợp và một trong những danh sách đen thương mại
hoặc có sẵn miễn phí.
Bước 1: Cấu hình BlackList:
Tiến hành tải về file Blacklist:
http://dsi.ut-capitole.fr/blacklists/download/blacklists.tar.gz
Đi tới Services ‣ Web Proxy ‣ Administration chọn vào Remote
Access Control Lists. Chọn vào dấu + để thêm danh sách mới.

Chọn vào dấu + để thêm danh sách.

96
Cấu hình các thông số như hình trên. Phần URL chúng ta sẽ dán đường link
download của blacklist. Chọn Save.

Bây giờ chúng ta sẽ tiến hành tải ACL về và Apply những gì vừa cấu hình.
Chọn Download ACLs & Apply.

97
Sau khi tải xong chúng ta chọn vào hình cây viết trên list vừa tạo lúc này
tại mục Category chúng ta thấy có xuất hiện các dạng categories.

Bước 2. Disable Proxy Bypass:

Để đảm bảo không ai có thể vượt qua proxy, bạn cần thêm quy tắc
tường lửa.
Đi tới Firewall ‣ Rules và thêm phần sau vào đầu danh sách quy tắc
trên giao diện LAN (nếu LAN là nơi chứa máy khách và proxy của bạn).
Thêm các Rule để Block HTTP và HTTPS access:

98
Cấu hình hai Rule như hình trên và cho lên đầu danh sách.

Bước 3: Thiết lập Transparent Proxy, Disable Authentication và

Enable Proxy:
Đầu tiên chúng ta sẽ thiết lập Transparent Proxy đi tới Services ‣
Web Proxy ‣ Administration. Chọn Forward Proxy và check vào ô
Transparent HTTP Proxy.

Tiếp theo chọn vào Add New Firewall Rule. Kéo xuống tới NAT
Reflection chọn Enable.

99
Chọn Save.

Tiếp theo chúng ta sẽ chọn Enable SSL Inspection:

Tiếp tục Add Rule cho phần SSL. Và cũng chỉ chỉnh sửa Enable
phần NAT Reflection.

Chọn Save sau khi cấu hình xong.

Bây giờ chúng ta sẽ Disable Authentication.
Đi tới Services ‣ Web Proxy ‣ Administration. Chọn vào Forward
Proxy.

100
Chọn Authentication Setting.

Chọn vào Clear All ở hai mục và chọn Save.

Tiến hành Enable Proxy. Chọn Apply.

Bước 4: Tạo CA.
Tại mục CA to use chọn CA Manager và chọn Add.

101
Chọn như hình. Save.

102
 Tiến hành Export CA về máy.

Chọn Export CA Cert.

Cài đặt CA vào máy

103
Chọn Install Certificate.

Chọn như hình.

104
Import thành công.

Đi tới Web Proxy, chọn Forward Proxy

Tại mục CA to use chọn CA vừa tạo và Apply.

105
Bây giờ qua máy Client tiến hành truy cập vào Facebook.

Truy cập bị từ chối. Mặc định của BlackList chúng ta cấu hình là Block hết
tất cả. Tùy vào yêu cầu của Cty mà chúng ta sẽ có những chính sách thích
hợp.

Bên cạnh đó chúng ta có thể cấm chỉ định một URL nào đó hoặc giới
hạn Subnet nào được duyệt website nào, Subnet nào bị cấm bằng ACL.
Quay lại Web Proxy. Chọn Access Control List. Tại mục Backlist chúng ta
thử đánh một URL bất kỳ.

Bây giờ dùng Client thử truy cập 2 địa chỉ này:

Youtube bị deny.

106
Twitter cũng tương tự.

107
 KẾT LUẬN

1. Kết quả đạt được:

Nắm được tình hình an ninh mạng và yêu cầu về hệ thống firewall
đối với doanh nghiệp, các công nghệ và sản phẩm firewall trên thị trường
bảo mật hiện nay.
Nắm được quy trình xây dựng hệ thống dựa trên OPNSense.
Hiểu được cách thức tích hợp và phát triển hệ thống trên nền
OPNSense.
Nâng cao tính năng cân bằng tải cho hệ thống để cho phép hỗ trợ kết
nối outbound nhiều line ADSL.
Bổ sung thêm các dịch vụ bảo mật cao cấp khác hỗ trợ cho firewall.

2. Những mặt hạn chế:

Do phát triển trên nền FreeBSD, hệ thống gặp khó khăn trong việc
tương thích với một số phần cứng khi triển khai.
Tính năng cân bằng tải tuy đã được phát triển tốt nhưng chưa thực sự
tối ưu đối với những yêu cầu phức tạp đặt ra.
Với chức năng của một firewall all-in-one, hệ thống cần thời gian để
kiểm tra kỹ lưỡng mọi sai sót mắc phải trước khi triển khai rộng rãi.

3. Hướng phát triển tương lai:

Với nhu cầu thiết thực của các doanh nghiệp hiện nay, sản phẩm cần
được kiện toàn và phát triển hơn nữa, bổ sung thêm các tính năng, dịch vụ
mới cũng như thử nghiệm về độ ổn định và hiệu năng xử lý.
Trở thành một sản phẩm có tính thương mại sử dụng mã nguồn mở.

108
 TÀI LIỆU THAM KHẢO

[1]. OPNSenseDocs: https://docs.opnsense.org/

[2]. OPNSense forum: https://forum.opnsense.org/

[3]. Reddit – OPNSense: https://www.reddit.com/r/OPNsenseFirewall/

[4]. FreeBSD Handbook:

http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/index.html

[5]. https://www.tecmint.com/install-and-configure-opnsense-firewall/

[6]. https://en.wikipedia.org/wiki/OPNsense

109