Professional Documents
Culture Documents
Bảo Vệ An Toàn Mạng Sử Dụng Tường Lửa Pfsense
Bảo Vệ An Toàn Mạng Sử Dụng Tường Lửa Pfsense
ĐỒ ÁN MÔN HỌC 2
MÔN HỌC: ĐIỆN - ĐIỆN TỬ VIỄN THÔNG
Đề tài
Lớp: D21_VT01
MSSV: DH42112477
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
NHẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
MỤC LỤC
LỜI MỞ ĐẦU
-Mạng Internet ngày càng phát triển ngày một rộng rãi và hầu như
lứa tuổi nào cũng đều sử dụng cả. Bên cạnh những lợi ích tuyệt vời
như xem video, hình ảnh, xem phim, tra cứu thông tin… thì cũng tiềm
tàng những nguy cơ bị xâm nhập bất hợp pháp và đánh cắp dữ liệu cá
nhân. Do đó mà Firewall xuất hiện như một giải pháp vô cùng hữu
hiệu cho các doanh nghiệp, cá nhân hiện nay. Firewall ra đời giúp
ngăn chặn được những cuộc tấn công mạng xảy ra, lọc tất cả những
thông tin thông qua kết nối Internet vào mạng và hệ thống máy tính
của một cá nhân hoặc một doanh nghiệp nào đó. Firewall đóng vai trò
như một thiết bị cung cấp cho công ty hoặc tổ chức một giải pháp để
kiểm soát một cách chặt chẽ việc kết nối Internet của họ. Các bức
tường lửa có thể ngăn chặn hết tất cả các lượng truy cập đến từ
những IP không rõ ràng. Ở bài thực hành này chúng ta sẽ tìm hiểu và
xây dựng mô hình mạng an toàn sử dụng tường lửa pfSense, bởi
pfSense được đánh giá là tường lửa nguồn mở tốt nhất hiện nay.
- Tường lửa là công cụ cần thiết trong việc quản lý và kiểm soát
lưu lượng mạng, là một thiết bị mạng được sử dụng để lọc lưu
lượng truy cập, thường được triển khai giữa một mạng riêng và
một mạng kết nối đến Internet.Ngoài ra tường lửa cũng có thể
được triển khai để phân chia giữa các phòng ban trong một công
ty. Nếu không có tường lửa, hệ thống mạng sẽ không thể hạn
chế lưu lượng truy cập độc hại từ Internet thâm nhập vào mạng
nội bộ. Lưu lượng mạng thông qua tường lửa được lọc dựa trên
các chính sách đã được thiết lập, còn được gọi là các bộ lọc
hoặc danh sách kiểm soát truy cập (ACL). Chúng cơ bản là một
bộ các chỉ lệnh có nhiệm vụ lọc ra các luồng dữ liệu nguy hại
hoặc không được cho phép truy cập, chỉ có các kết nối cho phép
mới vượt qua hàng rào an ninh được cung cấp bởi các tường
lửa. Tường lửa là một biện pháp hiệu quả trong việc ngăn chặn
hay lọc lưu lượng truy cập, chống lại các lượt truy cập không
hợp pháp cố gắng kết nối từ bên ngoài vào mạng nội bộ bên
trong, đồng thời ngăn chặn các dữ liệu độc hại dựa trên thông
tin các gói đi vào, ứng dụng, giao thức hay địa chỉ nguồn.
- Hầu hết các tường lửa cung cấp cơ chế log, kiểm định và khả
năng giám sát cũng như hệ thống phát hiện xâm nhập (IDS) cơ
bản. Cần lưu ý rằng tường lửa không thể ngăn chặn virus hoặc
các mã độc hay lây lan qua các đường đi khác khi người dùng
vô tình hay cố ý cho phép các đoạn mã độc thực thi đằng sau
tường lửa. Ngoài hoạt động kết nối mạng, tường lửa còn lưu lại
các thông tin về các sự kiện như: Thời gian boot/reboot thiết bị
tường lửa. Trạng thái dịch vụ như: proxy, các dịch vụ phụ
thuộc. Thay đổi cấu hình. Lỗi hệ thống tường lửa. Tường lửa
chỉ là một phần của một giải pháp bảo mật tổng thể. Với một
tường lửa có nhiều các cơ chế bảo mật được tập trung tại một
nơi, điều này tạo ra rủi ro làm hệ thống mạng có thể bị mất kết
nối trong trường hợp thiết bị tường lửa có sự cố. Để bảo vệ tốt
hơn cho hệ thống thì chúng ta cần kết hợp nhiều tường lửa với
nhau để bổ trợ cho nhau trong trường hợp một tường lửa bị tấn
công. Có bốn loại tường lửa cơ bản: (Simple) Packet Filters,
Circuit-Level, ApplicationLevel và Stateful Multilayer
Inspection. Cũng có nhiều cách để tạo ra bức tường lửa an toàn
bằng cách kết hợp hai hoặc nhiều hơn các loại tường lửa vào
một giải pháp tường lửa duy nhất.
1.1.1.Static packet-filtering firewall
-Packet-filter lọc lưu lượng truy cập bằng cách kiểm tra thông tin header
của gói tin. Thông thường, các chính sách để tường lửa lọc sẽ dựa vào
thông số liên quan tới IP nguồn, IP đích, và cổng dịch vụ. Tường lửa
dạng này không thể cung cấp cơ chế xác thực người dùng hay có thể xác
định được gói tin đến từ bên trong hay bên ngoài mạng riêng, dẫn đến
việc dễ dàng bị lừa với các gói tin giả mạo. Static packet filter được xem
là khởi đầu cho hệ thống tường lửa, hoạt động ở lớp 3 (lớp Mạng) của mô
hình OSI. Nó cũng có thể được coi là thiết bị định tuyến hoặc xem như
một router thông thường
Hì
nh 1: Packet-filter trong mô hình OSI
Hình 6: Two-tier
Hình 7: Three-tier
a. Aliases(bí danh)
Trong pfsense, firewall không thể có 1 rule gồm nhiều nhóm IP hoặc
1 nhóm port. Vì vậy, điều ta cần làm là gom nhóm các IP, Port hoặc URL
vào thành 1 alias . Một alias sẽ cho phép thay thế 1 host, 1 dải mạng,
nhiều IP riêng biệt hay 1 nhóm port, URL … Alias giúp ta tiết kiệm được
phần lớn thời gian nếu bạn sử dụng một cách chính xác như thay vì sử
dụng hàng loạt rule để thiết lập cho nhiều địa chỉ, ta có thể sử dụng 1 rule
duy nhất để gom nhóm lại.
- Các thành phần trong Aliases:
o Host: tạo nhóm các địa chỉ IP.
o Network: tạo nhóm các mạng.
o Port: Cho phép gom nhóm các port nhưng không cho phép tạo nhóm các
protocol. Các protocol được sử dụng trong các rule
Ngoài 3 kiểu NAT: port forward, 1:1 và outbound, pfsense còn hỗ trợ
NAT Npt. Phương thức này thực hiện NAT đối với Ipv6.
c.Rules (Luật)
Là nơi lưu trữ tất cả các luật ra, vào trên pfsense. Mặc định PfSense
cho phép mọi kết nối ra, vào (tại cổng LAN có sẵn rule any à any). Ta
phải tạo các rule để quản lý mạng bên trong.
Một số lựa chọn trong Destination và Source.
Any: Tất cả
Single host or alias: Một địa chỉ ip hoặc là một bí danh.
Lan subnet: Đường mạng LAN.
Network: địa chỉ mạng.
LAN address: Tất cả địa chỉ mạng nội bộ.
Wan address: Tất cả địa chỉ mạng bên ngoài.
PTP clients: Các clients thực hiện kết nối VPN sử dụng giao thức
PPT.
PPPoE clients: Các clients thực hiện kết nối VPN sử dụng giao thức
PPPoE.
CARP
Có thể được sử dụng bởi các tường lửa chính nó để chạy các dịch vụ
hoặc được chuyển tiếp.
Tạo ra lớp 2 lưu lượng cho các VIP (Virtual IP).
Có thể được sử dụng cho clustering (tường lửa và tường lửa chủ
failover chế độ chờ).
Các VIP đã được trong cùng một subnet IP của giao diện thực.
Sẽ trả lời ICMP ping nếu được phép theo các quy tắc tường lửa.
Proxy ARP.
Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có
thể được chuyển tiếp.
Tạo ra lớp 2 lưu lượng cho các VIP.
Các VIP có thể được trong một subnet khác với IP của giao diện
thực.
Không trả lời gói tin ICMP ping.
Other
Có thể được sử dụng nếu các tuyến đường cung cấp cho bạn VIP của
bạn dù sao mà không cần thông báo lớp 2.
Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có
thể được chuyển tiếp.
Các VIP có thể được trong một subnet khác với các giao diện IP.
Không trả lời ICMP ping.
f.Traffic shaper(quản lí băng thông )
Hàng qACK: dành cho các gói ACK (gói xác nhận) trong giao thức
TCP ở những ứng dụng chính cần được hỗ trợ như HTTP, SMTP …
luồng thông tin ACK tương đối nhỏ nhưng lại rất cần thiết để duy trì
tốc độ lưu thông lớn.
Hàng qVoIP: dành cho những loại lưu thông cần đảm bảo độ trễ
nghiêm ngặt, thường dưới 10ms như VoIP, video conferences.
Hàng qGames: dành cho những loại lưu thông cần đảm bảo độ trễ rất
chặt chẽ, thường dưới 50ms như SSH, game online …
Hàng qOthersHigh: dành cho các loại ứng dụng quan trọng có tính
tương tác rất cao, cần đáp ứng nhanh, cần độ trễ thấp như: NTP, DNS,
SNMP …
Hàng qOthersDefault: dành cho các giao thức ứng dụng quan trọng có
tính tương tác vừa, cần độ đáp ứng nhất định như HTTP, IMAP …
Hàng qOthersLow: dành cho các giao thức ứng dụng quan trọng nhưng
có tính tương tác thấp như SMTP, POP3, FTP
Hàng qP2P: dành cho cho các ứng dụng không tương tác, không cần
đáp ứng nhanh như bittorrent
Mặc định trong pfsense, các hàng sẽ có độ ưu tiên từ thấp đến cao: qP2P <
qOthersLow < qOthersDefault < qOthersHigh < qGames < qACK <
qVoIP. Ta có thể chỉnh lại độ ưu tiên priority cũng như dung lượng băng
thông bandwidth mặc định mà các hàng chiếm để nâng cao băng thông
cho các hàng tương ứng.
Pfsense cũng hỗ trợ giới hạn tốc độ download/upload của 1 IP hoặc 1 dải
IP với ta thiết lập thông số tại phần limiter. Firewall pfsense hỗ trợ chặn
những ứng dụng chạy trên layer 7 – application trong mô hình OSI như
sip, ftp, http … trong phần Layer 7.
g. Schedules(lịch trình )
Chức năng lập lịch trong pfSense cho phép cấu hình thời gian hoạt
động của hệ thống một cách tự động thông qua bảng thời gian đã được
thiết lập sẵn. Bằng cách này, hệ thống pfSense sẽ tự động điều chỉnh các
firewall rule theo thời gian lập lịch.
Hình 14.schedules
Chúng ta thực hiện cấu hình chỉ cho phép truy cập webserver của công ty
vào thời gian đã được chỉ định trong mục Schedules. Tại menu cấu hình
tường lửa rule, thực hiện chỉ định thời gian biểu đã được tạo trước đó.
1.2.4. VPN
-VPN (Virtual Private Network) là một kiểu kết nối cho phép các
máy tính truyền thông với nhau thông qua một môi trường chia sẻ như
mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu.
Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc
bằng một header có chứa những thông tin định tuyến, cho phép dữ liệu có
thể gửi từ máy truyền qua môi trường mạng chia sẻ và đến được máy
nhận, như truyền trên các đường ống riêng được gọi là tunnel. Để bảo
đảm tính riêng tư và bảo mật trên môi trường chia sẻ này, các gói tin
được mã hoá và chỉ có thể giải mã với những khóa thích hợp, ngăn ngừa
trường hợp “trộm” gói tin trên đường truyền. Chức năng này của pfSense
được đánh giá là rất tốt.
- PfSense đã cung cấp Open VPN, IPSec, L2TP có sẵn sau khi cài đặt để người
dùng có thể nhanh chóng sử dụng.
1.2.5.Open VPN
- OpenVPN là một VPN mã nguồn mở sử dụng sử dụng giao thức
SSLv3/TLSv1 và OpenSSL để tạo ra các kết nối site-to-site an toàn. Nó cho
phép các bên xác thực lẫn nhau bằng khóa bí mật chia sẻ trước (pre-shared
secret key) và chứng thư khoá công khai (public key certificate) hoặc tên người
dùng/mật kh
Hình 15 open vpn
-Mã hóa OpenVPN bao gồm một kênh dữ liệu và một kênh điều khiển. Kênh
điều khiển để xử lý việc trao đổi key, trong khi kênh dữ liệu mã hóa lưu lượng
truy cập web của người dùng VPN
IPSec có vai trò rất quan trọng trong việc giải quyết các vấn đề mà
chúng ta cố giải quyết nó với firewall. IPSec (IP Security) đề ra một tập
các chuẩn được phát triển bởi Internet Engineering Tast Force (IETF).
IPSec giải quyết hai vấn đề gây hại cho bộ giao thức IP: Sự xác thực
host-to-host (cho các host biết là chúng đang nói chuyện với nhau mà
không phải là sự giả mạo) và việc mã hóa (ngăn chặn những kẻ tấn công
xem dữ liệu trong luồng lưu lượng giữa hai máy). Đây là các vấn đề mà
firewall cần giải quyết. Mặc dù firewall có thể làm giảm nguy cơ tấn công
trên Internet mà không cần sự xác thực và mã hóa, nhưng vẫn còn hai vấn
đề lớn ở đây: tính toàn vẹn và sự riêng tư của thông tin đang truyền giữa
hai host và sự giới hạn trong việc đặt ra các loại kết nối giữa các mạng
khác nhau. IPSec giúp giải quyết các vấn đề này. Có vài khả năng đặc
biệt khi chúng ta xem xét sự kết hợp giữa các firewall với các host cho
phép IPSec. Cụ thể là, VPN, việc lọc gói tốt hơn (lọc những gói mà có
tiêu đề xác thực IPSec), và các firewall lớp ứng dụng sẽ cung cấp sự xác
minh host tốt hơn bằng cách sử dụng tiêu đề xác thực IPSec thay cho
“just trusting” địa chỉ IP hiện tại.
b. PPTP VPN
Pfsense có thể hoạt động như một máy chủ PPTP VPN, là một trong
ba tùy chọn của VPN, là lựa chọn phổ biến nhất vì hầu hết các hệ điều
hành đã được xây dựng trong PPTP client. Bao gồm tất cả các phiên bản
Windows từ Windows 95. Tuy nhiên nó không được đảm bảo an toàn,
không nên sử dụng.
c. OpenVPN
a. DHCP Server
- Là một máy chủ thực hiện việc kết nối mạng. Nó có chức
năng phản hồi thông tin khi máy trạm (DHCP client) phát yêu
cầu. Ngoài ra, DHCP server còn có nhiệm vụ truyền thông tin
một cách hợp lý nhất đến các thiết bị, đồng thời,thực hiện cấu
hình cổng mặc định (Default gateway) hay Subnet mask.
- Cấu hình DHCP Server:
o Tích Enable DHCP Server on LAN interface để bật dịch vụ
o Range: Nhập range IP muốn cấp cho máy trạm
b. DHCP Relay
Dịch vụ này cho phép pfSense forward yêu cầu cấp IP của client
nằm trong một subnet nào đó tới một DHCP server cho trước.
- Chỉ được phép chạy một trong hai dịch vụ DHCP server và
DHCP relay.
- Cấu hình DHCP relay:
o Tích Enable DHCP relay on interface để bật dịch vụ
o Interface(s): nơi tiếp nhận request về DHCP
o Append circuit ID and agent ID to requests: thêm mã định
dahn
o Destination server : địa chỉ IP của DHCP server chuyển hướng
đến
Hình 17.DHCP relay
c. Dynamic DNS
Pfsense cho phép đăng ký địa chỉ IP của WAN interface của nhiều nhà
cung cấp DNS động. Nó rất hữu ích khi muốn điều khiển từ xa.
Chức năng SNMP của pfSense sẽ cho phép giám sát từ xa các thông
số hệ thống pfSense. Tùy thuộc vào các tùy chọn cho phép mà có thể theo
dõi như: lưu lượng mạng, hàng đợi, thông tin chung hệ thống(CPU, bộ
nhớ….).
Được dùng để đánh thức máy tính đã tắt bằng cách gửi gói tin đặc biệt
“Magic packet”. Các NIC trong máy tính phải được hỗ trợ WOL và phải
được cấu hình đúng. Thông thường thiết lập WOL của NIC ở BIOS.
f. PPPoE Server
Pfsense có thể hoạt động như một máy chủ PPPoE, chấp nhận hoặc
xác thực kết nối từ client PPPoE trên interface cục bộ. Nó được dùng để
bắt buộc người dùng xác thực trước khi được quyền truy cập mạng hoặc
kiểm soát hoạt động đăng nhập của họ.
2.1.Mô hình
Ở màn hình kế tiếp, bấm vào “Accept” để di chuyển đến tiến trình cài đặt
kế tiếp.
Tiếp theo tại màn hình Welcome to pfSense, ta chọn Install pfSense.
Chọn cài đặt mặc định với keymap, chọn Select.
Chương trình hỏi muốn phân vùng ổ đĩa không, ta chọn Auto rồi nhấn
OK.
pfSense bắt đầu cài đặt…
Khi cài đặt hoàn tất, chọn Reboot để Reboot lại chương trình.
Sau khi Reboot, bạn sẽ thấy xuất hiện màn hình với 3 card mạng:
Option đầu tiên là VLAN, thông thường thì VLAN không cần thiết, chỉ
khi nào các hệ thống mạng nâng cao mới cần đến VLAN, nên chúng ta
chọn No. Hệ thống pfSense sẽ có 3 card mạng, nhưng ở đây là em0, em1
và em2. Ta sẽ gán card mạng em0 là card WAN và em1 là card LAN và
em2 cho DMZ. Card LAN sẽ bật các tính năng Firewall, NAT
Nếu không cần đặt tên card mạng, bấm vào Return key. Hệ thống sẽ trả
về cofirm YES/NO. Bấm Y và enter để tiếp tục.
Sau khi cấu hình cơ bản pfSense, sẽ có được menu như bên dưới.
Địa chỉ IP card WAN được cấp động từ DHCP. Nếu cần thiết có thể gán
địa chỉ tĩnh. Lan IP mặc định là 192.168.1.1. Muốn thay đổi địa chỉ IP thì
chọn OPTION 2 là set interfaces IP address. Tiến hành cấu hình địa chỉ
IP tĩnh, subnet mask, và gateway cho LAN.
Bỏ DHCP và tiếp tục chọn Y. Đối với card LAN, nếu bật dịch vụ DHCP
chúng ta cần gán dãy địa chỉ IP để cấp cho máy con. Sau khi cấu hình
xong tất cả, hệ thống sẽ cung cấp cho bạn đường dẫn để truy
cập pfSense qua giao thức web.
Tại máy con, mở trình duyệt và nhập vào địa chỉ http://172.16.0.10. Giao
diện đăng nhập pfSense hiện ra trong đó nhập vào user và password mặc
định lần lượt là “ admin “ và “pfsense”.
Ở lần đầu login, cửa sổ setup sẽ hiện ra thông báo pfSense sẽ hướng dẫn
cài đặt lần đầu, ta có thể điền các thông tin hoặc để mặc định và Next đến
khi kết thúc. Sau khi cấu hình xong, màn hình quản lý firewall xuất hiện
Như vậy, chúng ta đã cài đặt thành công PfSense.
- Mặc định pfSense cho phép các clinet trong mạng LAN có thể truy cập
mạng
- Đầu tiên, ta cấu hình Rules không cho bất kỳ máy nào trong mạng LAN
được phép truy cập mạng.
Kết quả:
Như vậy cả 2 máy đã không thể truy được internet.
b. Chặn 1 máy.
Ở đây, ta sẽ tiến hành chặn máy 172.16.0.102, các máy còn lại trong
LAN sẽ truy cập bình thường.
Kết quả:
- Client 1 không truy cập được và client 2 truy cập bình thường.
e. Schedules
Ta tiến hành thiết lập luật và chọn bản schedules vừa tạo vào
Kết quả: Ngày chủ nhật nên không thể truy cập được vào mạng.
f. Giới hạn băng thông.
Tại giao diện web pfSense, Firewall > Traffic Shaper > Limiters. Tạo 2
Limiter để giới hạn Upload và DownLoad là 10 Mbps. Ngoài ra ở đây
chúng ta có thể thiết lập Schedules ( Đặt thời gian áp dụng đối với
Limiter )
Tiếp theo chúng ta sẽ thiết lập luật và add 2 Limiter vừa tạo vào ô In/Out
Pie:
Vào https://www.speedtest.net/ để kiểm tra lại tốc độ.
Mạng DMZ có dải địa chỉ IP 172.21.0.100/16. Client trong mạng DMZ
có IP: 172.21.0.102/16.
2.4.1. Cấu hình truy cập internet
- Khi mới thêm card mạng DMZ, khác với mạng LAN thì tường lửa
pfSense sẽ không có luật nào trong DMZ vì vậy client trong DMZ sẽ
không thể truy cập được mạng.
Vì vậy ta phải thiết thêm luật cho phép client trong DMZ được
phép truy cập mạng. Ở đây ta có thể thiết lập tất cả các client trong DMZ
đều được phép truy cập mạng hoặc chỉ client nhất định như ảnh dưới đây:
Sau đó , các client trong DMZ đều có thể truy cập mạng được mạng.
Ngoài ra, đối với mạng DMZ ta đều có thể thiết lập các Rules tương tự
trong LAN như Schedules, Aliases, giới hạn băng thông, đóng mở port,...
Sau đó, ta click vào Browse 20.1.1.20:80 (http) để mở trong trình duyệt.
Nếu kết quả như ở dưới là chưa thành công
Nguyên nhân có thể là do lần đầu cài đặt, Directory Browsing chưa được
bật. Khắc phục bằng cách: Trong giao diện Features views, ta vào
Directory Browsing để kiểm tra.
Ta thấy Directory Browsing đang bị Disabled, cần Enable và load lại
trình duyệt kiểm tra.
• Interface: WAN
• Protocol: TCP
• Source: any
• Dest Address: WAN address
• Dest Prots: 80 (HTTP)
• NAT IP: 20.1.1.20 (IP máy WEB/FTP/EMAIL)
• NAT Port: 80 (HTTP)
Trên Client của LAN, và ngoài Internet (WAN) ta sẽ tiến hành nhập địa
chỉ IP của card WAN (192.168.1.6) sẽ hiển thị nội dung website mới vừa
tạo trên máy WEB/FTP/EMAIL.
Máy ngoài Internet:
PfSense hỗ trợ IPSec, OpenVPN, và cả PPTP. Nếu cần một kết nối
VPN nhanh và có ít băng thông hiện hữu so với được yêu cầu bởi các kết
nối SSL VPN mà vẫn đảm bảo bảo mật tốt, hãy chọn IPSec VPN. Cũng
cần lưu ý thêm là có một số hạn chế của IPSec VPN trên pfSense. Với
cấu hình IPSec đơn giản, các hạn chế của pfSense có thể vẫn đảm bảo ở
mức độ nào đó và nó làm việc tốt với các cài đặt (liền kề) site-to-site. Nên
ta có thể sử dụng OpenVPN để khắc phục một số hạn chế trên của IPSec.
OpenVPN có thể cho phép tăng độ an toàn vì nó sử dụng SSL. Đầu tiên,
ta vào System > Cert. Manager > CAs chọn Add để tạo CA.
Ấn Save, ta được kết quả:
Sau khi điền thông tin xong ấn Save, ta tạo được thành công Certificates.
Tiếp theo sẽ tạo User, bằng cách chọn System > User Manager,
Tiếp theo ta phải cài gói OpenVPN vì mặc định trên pfsense chưa cài đặt
Từ System > Package Manager, chọn Tab Available Packages và search
OpenVPN để cài đặt:
Tiếp theo vào mục VPN, chọn OpenVPN > Wizards
Ở Type of Server chọn Local User Access. Chọn Next.
Certificates ta chọn cái vừa tạo Certificars ở trên, rồi chọn Next
Tiếp theo, ta cài Tunnel Network 30.1.1.0/24 và Local Network
192.168.1.0/24
Chọn Current Windows Installer để tải về, Sau đó mở gói cài đặt để Run.
Ta sẽ đăng nhập tài khoản vpn1 vừa tạo và chọn OK.
Như vậy là ta đã cài xong để kết nối với VPN.
2.5.2. Thiết lập luật cho VPN
Để thiết lập luật cho VPN, System > Rules, sau đó ta chọn Tab OpenVPN
để thiết lập luật. Khi cài đặt VPN ở trên ta đã tích vào ô Firewall Rules và
OpenVPN, khi đó hệ thống sẽ tự động tạo cho chúng ta 2 luật, 1 luật ở
OpenVPN và 1 luật ở WAN cho phép kết nối VPN từ xa qua cổng 1194
Để chặn truy cập VPN, ta chỉ cần chặn VPN kết nối qua cổng 1194 là
xong.
KẾT LUẬN
Hoàn toàn miễn phí, giá cả là ưu thế vượt trội của tường lửa
pfSense. Tuy nhiên, rẻ không có nghĩa là kém chất lượng, tường lửa
pfSense hoạt động cực kỳ ổn định với hiệu năng cao, đã tối ưu hóa mã
nguồn và cả hệ điều hành. Cũng chính vì thê, pfSense không cần nền tảng
phần cứng mạnh. Nếu doanh nghiệp không có đường truyền tốc độ cao,
tường lửa pfSense chỉ cần cài đặt lên một máy tính cá nhân là có thể bắt
đầu hoạt động. Điều đó càng góp phần làm giảm chi phí triển khai, đồng
thời tạo nên sự linh hoạt, tính mở rộng/sẵn sàng chưa từng có, khi doanh
nghiệp muốn có nhiều hơn một tường lửa. Không chỉ là một tường lửa,
pfSense hoạt động như một thiết bị mạng tổng hợp với đầy đủ mọi tính
năng toàn diện sẵn sàng bất cứ lúc nào. Khi có một vấn đề về hệ thống
mạng phát sinh, thay vì phải loay hoay tìm thiết bị và mất thời gian đặt
hàng, doanh nghiệp có thể kết hợp các tính năng đa dạng trên pfSense để
tạo thành giải pháp hợp lý, khắc phục sự cố ngay lập tức.Không kém
phần quan trọng đó là khả năng quản lý. Tường lửa pfSense được quản trị
một cách dễ dàng, trong sáng qua giao diện web.
Như vậy, tường lửa pfSense là sự kết hợp hoàn hảo và mạnh mẽ,
đem lại sự hợp lý cho các nhà tài chính, và sự tin tưởng cho các nhà quản
trị mạng. Là lựa chọn hợp lý, đem lại sự an tâm, nhiều lợi ích cho các
công ty, doanh nghiệp.
[1] https://www.youtube.com/watch?v=Ti7G6WyeUa4
[2] https://www.youtube.com/watch?v=UxjqHRUEIz8&t=599s
[3] https://sites.google.com/site/itopenlab/open-system-box/pfsense-
firewall/pfsense-toan-tap
[4] https://dongpolice.com/cai-dat-va-cau-hinh-pfsense-toan-tap/
[5] https://www.youtube.com/watch?v=dYrmmgtPv5o
[6] https://anninhmang.edu.vn/huong-dan-tao-cau-hinh-rule-trong-
pfsense/
[7] https://www.pfsense.org/download/
[8] http://cemis.ueb.edu.vn/bai-viet-Bao-ve-mang-voi-pfSense-1154.html