BÁO cáo môn học cơ sở AN TOÀN THÔNG TIN đề tài tìm HIỂU và SO SÁNH TÍNH NĂNG của một số LOẠI TƯỜNG lửa
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.64 MB, 62 trang )
HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOAAN TỒN THƠNG TIN
BÁO CÁO MƠN HỌC
CƠ SỞ AN TỒN THƠNG TIN
Đề tài:
TÌM HIỂU VÀ SO SÁNH TÍNH NĂNG CỦA MỘT SỐ LOẠI
TƯỜNG LỬA
Sinh viên thực hiện:
NGUYỄN HỒNG ANH AT160504
NGUYỄN THANH HẢI AT160221
NHĨM 2
Giảng viên hướng dẫn:
TS. NGUYỄN NGỌC TOÀN
Hà Nội, 9-2022
TIEU LUAN MOI download : moi nhat
MỤC LỤC
CHƯƠNG 1. GIỚI THIỆU VỀ TƯỜNG LỬA VÀ SO SÁNH MỘT SỐ LOẠI
TƯỜNG LỬA PHỔ BIẾN
...................................................................................................
1.1. Tổng quan về tường lửa ............................................................................................
1.1.1. Khái niệm về tường lửa
.......................................................................................
1.1.2. Tác dụng của tường lửa
......................................................................................
1.1.3. Cấu trúc của tường lửa
.......................................................................................
1.1.4. Phân loại tường lửa ............................................................................................
1.1.5. Nguyên lý hoạt động tường lửa
...........................................................................
1.2. So sánh một số loại tường lửa phổ biến
...................................................................
1.2.1. Cisco ASA
............................................................................................................
1.2.2. Fortigate
.............................................................................................................
1.2.3. So sánh ................................................................................................................
CHƯƠNG 2. TỔNG QUAN VỀ TƯỜNG LỬA IPTABLES VÀ TƯỜNG LỬA
PFSENSE ..............................................................................................................................
2.1. Tổng quan về tưởng lửa Iptables
.............................................................................
2.1.1. Giới thiệu về Iptables ..........................................................................................
2.1.2. Thành phần của Iptables
.....................................................................................
2.1.3. Cấu hình Iptables..............................................................................................10
2.1.4. Các câu lệnh cơ bản Iptables............................................................................ 11
2.2. Tổng quan về tường lửa Pfsense............................................................................12
2.2.1. Giới thiệu về Pfsense........................................................................................12
2.2.2. Tính năng của Pfsense......................................................................................13
CHƯƠNG 3. TRIỂN KHAI XÂY DỰNG TƯỜNG LỬA IPTABLES VÀ TƯỜNG
LỬA PFSENSE.................................................................................................................. 18
3.1. Triển khai Iptables..................................................................................................18
3.1.1. Mơ tả................................................................................................................18
3.1.2. Chuẩn bị...........................................................................................................18
3.1.3. Mơ hình cài đặt........................................................................................18
TIEU LUAN MOI download : moi nhat
3.1.4. Một số câu lệnh cơ bản sử dụng trong tường lửa Iptables................................19
3.1.5. Các kịch bản thực hiện.....................................................................................19
3.2. Thiết lập và cấu hình tường lửa PfSense..............................................................23
3.2.1. Mơ tả................................................................................................................23
3.2.2. Chuẩn bị...........................................................................................................23
3.2.3. Mơ hình cài đặt.................................................................................................23
3.2.4. Chuẩn bị các máy ảo........................................................................................24
3.2.5. Máy ảo PfSense................................................................................................27
3.2.6. Cài đặt tường lửa PfSense................................................................................28
3.2.7. Cấu hình tường lửa cơ bản...............................................................................29
3.2.8. Quản trị tường lửa bằng đồ họa.......................................................................32
3.2.9. Tạo tập luật theo kịch bản................................................................................34
TIEU LUAN MOI download : moi nhat
DANH MỤC KÍ HIỆU VÀ TỪ NGỮ VIẾT TẮT
STT
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
TIEU LUAN MOI download : moi nhat
chỉ
TIEU LUAN MOI download : moi nhat
LỜI MỞ ĐẦU
Trong thời đại ngày nay, Internet phát triển mạnh mẽ, nhu cầu kết nối, chia sẻ, trao
đổi dữ liệu trên mạng dần trở thành một phần thiết yếu trong cuộc sống. Kèm theo đó sự
gia tăng các vụ tấn công mạng và xâm nhập cơ sở dữ liệu đang gia tăng nhanh chóng với
các cách thức tinh vi và khó lường. Vì vậy, vấn đề bảo mật mạng đã trở nên quan trọng
hơn đối với người dùng máy tính cá nhân, các tổ chức và quân sự.
Theo Báo cáo Rủi ro Toàn cầu năm 2019 của Diễn đàn Kinh tế Thế giới, các cuộc tấn
cơng an tồn, an ninh mạng hiện nằm trong số những rủi ro hàng đầu trên tồn cầu. Các
cuộc tấn cơng mạng có thể dẫn đến thiệt hại hàng tỷ đô la trong lĩnh vực kinh doanh, đặc
biệt là khi máy chủ của ngân hàng, bệnh viện, nhà máy điện và thiết bị thông minh bị
xâm nhập. Điều này có thể dẫn đến những thiệt hại nghiêm trọng thay vì hỗ trợ sự phát
triển kinh tế, xã hội. Việc xuất hiện của các công nghệ bảo mật trở thành mối quan tâm
lớn của bảo mật mạng. Nhiều doanh nghiệp tự bảo mật bằng tường lửa và cơ chế mã hóa
để giảm thiểu các cuộc tấn cơng có thể được gửi qua mạng.
Nhận thấy tầm quan trọng cũng như xu hướng phát triển trong tương lai và được sự
hướng dẫn của thầy Nguyễn Ngọc Toàn, chúng em đã nghiên cứu đề tài: “Tìm hiểu và so
sánh tính năng của một số loại tường lửa”. Đề tài trình bày những vấn đề tổng quan về
tường lửa, một số loại tường lửa phổ biến, tường lửa Iptables, tường lửa Pfsense với
những nội dung như sau:
Chương 1: Giới thiệu về tường lửa và so sánh một số loại tường lửa phổ biến
Chương 2: Tổng quan về tường lửa Iptables và tường lửa Pfsense
Chương 3: Triển khai xây dựng tường lửa Iptables và tường lửa Pfsense
TIEU LUAN MOI download : moi nhat
CHƯƠNG 1. GIỚI THIỆU VỀ TƯỜNG LỬA VÀ SO SÁNH MỘT SỐ
LOẠI TƯỜNG LỬA PHỔ BIẾN
1.1. Tổng quan về tường lửa
Trong phần này chúng em dự định trình bày về khái niệm, tác dụng, cấu trúc, cũng
phân loại tường lửa
1.1.1. Khái niệm về tường lửa
Thuật ngữ tường lửa (firewall) là từ mượn trong kỹ thuật thiết kế xây dựng nhằm
để ngăn chặn, hạn chế hoả hoạn. Trong lĩnh vực công nghệ thơng tin, firewall là kỹ
thuật được tích hợp vào hệ thống mạng với mục đích chống lại sự truy cập trái phép,
giúp bảo vệ thông tin, dữ liệu nội bộ và hạn chế sự xâm nhập từ bên ngoài. Firewall có
chức năng đúng như tên gọi của nó, là bức tường lửa bảo vệ máy tính, máy tính bảng
hay điện thoại thông minh khỏi những mối nguy hiểm khi truy cập mạng Internet.
1.1.2. Tác dụng của tường lửa
Tường lửa mang đến nhiều tác dụng có lợi cho hệ thống máy tính. Cụ thể:
Tường lửa ngăn chặn các truy cập trái phép vào mạng riêng. Nó hoạt động như
người gác cửa, kiểm tra tất cả dữ liệu đi vào hoặc đi ra từ mạng riêng. Khi phát
hiện có bất kỳ sự truy cập trái phép nào thì nó sẽ ngăn chặn, khơng cho traffic đó
tiếp cận đến mạng riêng.
Tường lửa giúp chặn được các cuộc tấn công mạng.
Firewall hoạt động như chốt chặn kiểm tra an ninh. Bằng cách lọc thơng tin
kết nối qua internet vào mạng hay máy tính cá nhân.
Dễ dàng kiểm soát các kết nối vào website hoặc hạn chế một số kết nối từ
người dùng mà doanh nghiệp, tổ chức, cá nhân không mong muốn.
Người dùng có thể tùy chỉnh tường lửa theo nhu cầu sử dụng. Bằng cách
thiết lập các chính sách bảo mật phù hợp.
1.1.3. Cấu trúc của tường lửa
Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc có
chức năng router. Các phần mềm quản lí an ninh chạy trên hệ thống máy chủ. Thông
thường là các hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và kế
toán (Accounting).
1.1.4. Phân loại tường lửa
a. Tường lửa kiểm tra trạng thái
Tường lửa kiểm tra trạng thái là một loại tường lửa theo dõi và giám sát trạng thái
của bất kỳ kết nối mạng nào đang hoạt động. Nó cũng có thể phân tích lưu lượng đến
1
TIEU LUAN MOI download : skknchat123@gmail .com moi nhat
cùng với việc tìm kiếm các rủi ro dữ liệu có thể xảy ra. Loại tường lửa này nằm ở Lớp
3 và Lớp 4 của mơ hình Kết nối Hệ thống mở (OSI)
Một trong những chức năng đi kèm với tường lửa trạng thái là khả năng ngăn chặn
lưu lượng độc hại xâm nhập hoặc rời bỏ mạng riêng. Hơn nữa nó có thể giám sát trạng
thái tổng thể của giao tiếp mạng và phát hiện các nỗ lực truy cập mạng trái phép
Ưu điểm
o
o
o
o
Khả năng ngăn chặn các cuộc tấn cơng
Khả năng ghi nhật kí mở rộng
Sẽ khơng mở một loạt các cổng để lưu lượng truy cập
Biết trạng thái kết nối
Nhược điểm
o
Có thể khó định dạng cấu hình
o
Khơng có khả năng tránh những cuộc tấn cơng cấp ứng dụng
o
Một số giao thức khơng có thơng tin trạng thái
Duy trì một bảng trạng thái đồi hỏi chi phí bổ
o
xung b. Tường lửa bộ lọc gói
Tường lửa khơng trạng thái cịn được gọi là tường lửa lọc gói. Đây là một trong
những loại tường lửa cơ bản và lâu đời nhất hiện có. So với những loại khác, loại
tường lửa này hoạt động nội tuyến ở ngoại vi của mạng. Loại tường lửa như thế này
khơng định tuyến các gói, mà thay vào đó so sánh mọi gói nhận được với một bộ quy
tắc được xác định trước.
Bởi vì nó chỉ cung cấp bảo mật cơ bản, người dùng có thể đặt nó để bảo vệ khỏi
các mối đe dọa đã biết, nhưng nó sẽ khơng hoạt động tốt với các mối đe dọa chưa biết.
Ưu điểm
o
Không tốn nhiều chi phí bảo trì
o
Q trình xử lý các gói được thực hiện cực kỳ nhanh chóng
o
Lọc lưu lượng cho tồn bộ mạng có thể được thực hiện với một thiết
bị duy nhất
Nhược điểm
o
Trong một số trường hợp, nó có thể phức tạp để cấu hình và khó quản lý
o
Khả năng ghi nhật ký bị giới hạn ở đây
o
Khi nói đến các cuộc tấn công ứng dụng, không thể tránh chúng
o
Không hỗ trợ xác thực người dùng
o
Khơng thể bảo vệ hồn tồn khỏi tất cả các cuộc tấn công giao thức TCP /
IP
c.
Tường lửa cổng cấp ứng dụng
Tường lửa cổng cấp ứng dụng, viết tắt là (ALG), là một proxy tường lửa cung cấp
bảo mật mạng. Nó được thiết kế để lọc lưu lượng nút đến theo các thông số kỹ thuật cụ
2
TIEU LUAN MOI download : skknchat123@gmail .com moi nhat
thể, có nghĩa đơn giản là, dữ liệu duy nhất được lọc ở đây là từ một ứng dụng mạng
được truyền.
Đối với các ứng dụng mạng có thể hoạt động với ALG, một số trong số đó là Giao
thức truyền tệp (FTP), Telnet, Giao thức truyền trực tuyến thời gian thực (RTSP) và
BitTorrent.
Chúng ta nên chỉ ra rằng ALG cung cấp một trong những giao diện mạng cấp cao
nhất an tồn nhất. Để giải thích điều này tốt hơn, chúng ta hãy xem một ví dụ đơn giản
về cách mọi thứ hoạt động.
Khi máy khách di chuyển để yêu cầu quyền truy cập vào máy chủ trên mạng cho
các tài nguyên cụ thể, trước tiên máy khách kết nối với máy chủ proxy và từ đó, máy
chủ proxy đó thiết lập kết nối với máy chủ chính.
Ưu điểm
o
o
o
o
o
Ghi nhật ký lưu lượng truy cập dễ dàng hơn
Hiệu suất mạng tốt hơn nhiều
Khó kích hoạt kết nối trực tiếp từ bên ngồi mạng chính
Hỗ trợ bộ nhớ đệm nội dung
Nhược điểm
o
Khả năng của thông lượng tác động
Ứng dụng tác động
d. Tường lửa thế hệ tiếp theo
Đây là một loại tường lửa kiểm tra gói tin sâu có thể mở rộng ra ngồi kiểm tra
cổng / giao thức. Khơng chỉ vậy, nó cịn vượt ra khỏi quy trình chặn để cung cấp thử
nghiệm cấp ứng dụng, lên đến Lớp 7.
Như bạn có thể nói, đây là phiên bản nâng cao hơn của hệ thống tường lửa điển
hình, nhưng nó cung cấp các lợi ích tương tự. Tuy nhiên, khơng giống như các hệ
thống tường lửa truyền thống, NGFW áp dụng cả lọc gói tin động và tĩnh cùng với hỗ
trợ VPN để bảo mật tất cả các kết nối đến giữa mạng, internet và tường lửa.
Ưu điểm
o
An toàn hơn những nơi khác ở đây
o
Ghi nhật ký chi tiết hơn
o
Hỗ trợ xác thực người dùng
o
Về mặt kiểm tra mức ứng dụng, điều này được hỗ trợ lên đến Lớp 7
của mơ hình OSI
Nhược điểm
o
Sẽ sử dụng nhiều tài nguyên hệ thống hơn khi so sánh với những tài
nguyên khác
o
Tổng chi phí đắt hơn
o
Để hạn chế âm tính và dương tính giả, cần phải tinh chỉnh nhiều hơn.
3
TIEU LUAN MOI download : skknchat123@gmail .com moi nhat
1.1.5. Nguyên lý hoạt động tường lửa
ộ
(packet).
và tái l p l
Khi m
ậ ạ ở
t gói tin đ
M
B
ẽ ự
l
ộọ
ki m
Firewall s
ể
thơng
sau:
trong s
ố
c gói tin có kh
ậ ủ
tra tồn b
ở
các lu
tin
(Ipv4).
Version: Phiên b n c
IP Header Length: Đ
th
cc
Type of Service
ướ
Size of Datagram: Kích th
ạ
các phân đo n
Flag: Là m
Identification: D
tin và báo
Time To Live:
cho ng
được sử dụng để tránh quá trình lặp lại của gói tin (tr
Header
hạn).
ng
Protocol: Giao th
ườ
c
th
ằ
ứ
khơng b ng nhau, nó s
Destination
TCP); ng
Source Address: Đ a ch
Address: Đ a ch
n.
Source port: C ng ngu
ị
N
u gói tin th
Destination
chuy
ế
Options: Tùy ch
ể
ể
Do vi
n qua, ng
đ cn
i
Firewall ki
ượ
c ki m tra d
ộ
ữ
dung thông tin c
mang theo nh
4
TIEU LUAN MOI download : skknchat123@gmail .com moi nhat
Hình 1.1. Tường lửa ngăn chặn tấn cơng của virus máy tính
Bảng 1.1. Tường lửa cho phép hoặ từ chối máy tính truy cập
Hình 1.2. Tường lửa kiểm sốt bằng cổng truy cậo Port
1.2. So sánh một số loại tường lửa phổ biến
5
TIEU LUAN MOI download : skknchat123@gmail .com moi nhat
1.2.1. Cisco ASA
Phần mềm Cisco Adaptive Security Appliance (ASA) là phần mềm điều hành cốt
lõi cho bộ ASA của Cisco. Nó hỗ trợ nhiều tùy chọn tường lửa và bảo mật mạng
chuyên biệt, cho phép người dùng tùy chỉnh theo nhu cầu kinh doanh của họ. Nó được
mở rộng cho các doanh nghiệp thông qua ASA “phân cụm”, cho phép tải xử lý 128
Gbps và 50 triệu kết nối đồng thời.
Cisco ASA cung cấp quy trình thiết lập VPN mạnh mẽ và tích hợp với các dịch vụ
bảo mật khác của Cisco, bao gồm bảo mật Cloud Web và Trustsec. CWS cung cấp bảo
mật hệ thống dựa trên đám mây trên các đám mây công cộng và riêng tư và Trustsec là
một sản phẩm phân đoạn do phần mềm xác định nhằm giảm thiểu phạm vi của các
mối đe dọa mạng và vi phạm dữ liệu. Nền tảng này cũng hỗ trợ IPv4 và IPv6, cho
phép người dùng cải tiến mượt mà hơn trong các Giao thức Internet.
1.2.2. Fortigate
Fortinet’s FortiGate là một sản phẩm tường lửa có khả năng tích hợp cao. Nó có
thể được triển khai tại chỗ hoặc như một Máy ảo trong nhiều mô-đun khác nhau. Mức
độ chi tiết của sản phẩm cho phép người mua điều chỉnh giao dịch mua của họ cho phù
hợp với nhu cầu kinh doanh của họ. FortiGate tích hợp vào mơi trường đa vũ trụ, bao
gồm nền tảng đám mây IaaS và môi trường đám mây công cộng.
Chức năng của FortiGate bao gồm các tính năng chính của tường lửa, chẳng hạn
như ngăn chặn xâm nhập, chống phần mềm độc hại và lọc web. Nó cũng bao gồm
kiểm tra SSL, bảo vệ mối đe dọa và phân đoạn có thể mở rộng, tất cả đều nằm trong
các tiêu chuẩn có độ trễ thấp.
1.2.3. So sánh
Cisco ASA và FortiGate là các sản phẩm cung cấp bảo mật cho các ứng dụng
mạng, bao gồm tường lửa, SSL, lọc web và VPN. Cả Cisco ASA và FortiGate đều
được ưa chuộng trong số các doanh nghiệp có quy mơ vừa đến doanh nghiệp, nhưng
các doanh nghiệp lớn được thành lập có xu hướng chọn ASA, đặc biệt nếu môi trường
máy chủ của họ đã là Cisco. FortiGate phổ biến hơn trong các doanh nghiệp quy mơ
trung bình, những doanh nghiệp có nhiều khả năng nhạy cảm về giá hơn.
Đặc trưng
Cisco ASA và FortiGate cung cấp nhiều dịch vụ giống nhau, nhưng có các tính
năng nổi bật của mỗi dịch vụ.
6
TIEU LUAN MOI download : skknchat123@gmail .com moi nhat
Cisco ASA dễ triển khai và hoạt động tốt trong hầu hết các mơi trường. Nó thích
ứng tốt với các máy chủ quy mô vừa và nhỏ, đặc biệt là các máy chủ đã sử dụng sản
phẩm của Cisco. Người dùng thích VPN để kết nối người dùng từ xa với mạng hoặc
kết nối trang web này với trang web khác và các doanh nghiệp đánh giá cao thành
phần lọc web. Phần cứng đáng tin cậy, cũng như hỗ trợ kỹ thuật của Cisco.
FortiGate là một phiên bản mới hơn trong thế giới an ninh mạng. Nó dễ dàng xử lý
lượng truy cập tăng đột biến và tải máy chủ lớn hơn, đồng thời giá cả phải chăng hơn
so với các đối thủ cạnh tranh tương đương. Giao diện đơn giản để sử dụng và tường
lửa dễ cấu hình. Định giá đơn giản cho phép các doanh nghiệp chỉ trả tiền cho các dịch
vụ mà họ sử dụng.
Hạn chế
Mỗi sản phẩm tường lửa này đều có những hạn chế riêng có thể ảnh hưởng đến
việc khách hàng tiềm năng sẽ chọn sản phẩm nào.
Mặc dù nhiều người dùng đánh giá cao Cisco ASA và hệ thống đáng tin cậy và hỗ
trợ của nó, nhưng nó có thể trở nên đắt đỏ đối với các doanh nghiệp nhỏ hơn, đặc biệt
là khi bao thanh toán trong các hợp đồng hỗ trợ. Giao diện khơng rõ ràng và có thể
khó sử dụng. ASA khơng có đầy đủ tính năng như NGFW (nó thiếu hỗ trợ đa WAN
đáng tin cậy mà FortiGate có) và một số người dùng cho biết đã chuyển sang NGFW
để có giải pháp mạnh mẽ hơn.
Nhược điểm của giá đơn giản của FortiGate là nó ảnh hưởng đến khả năng mở
rộng. Nếu người dùng muốn tăng hiệu suất máy chủ, họ phải mua các sản phẩm bổ
sung. Các phiên bản khác nhau của phần mềm có thể bị lỗi và các bản vá lỗi thường
xuyên được phát hành. Mặc dù giao diện người dùng tốt, nhưng dấu nhắc dòng lệnh có
thể gây nhầm lẫn khi sử dụng.
Định giá
Giá FortiGate có sẵn theo báo giá từ Fortinet hoặc các nhà cung cấp bên thứ ba.
Giá ASA có thể được tìm thấy bằng cách liên hệ với Cisco hoặc Đối tác được chứng
nhận của Cisco.
7
TIEU LUAN MOI download : skknchat123@gmail .com moi nhat
CHƯƠNG 2. TỔNG QUAN VỀ TƯỜNG LỬA IPTABLES VÀ TƯỜNG LỬA
PFSENSE
2.1. Tổng quan về tưởng lửa Iptables
Trong phần này chúng em dự định giới thiệu về Iptables, thành phần của Iptables,
cấu hình, các câu lệnh cơ bản, giới thiệu về Snort, kiến trúc, cơ chế hoạt động và bộ
luật của Snort
2.1.1. Giới thiệu về Iptables
Iptables chính là một chương trình Firewall – Tường lửa miễn phí. Chương trình
này được phát triển chủ yếu cho hệ điều hành Linux. Chương trình cho phép hệ điều
hành thiết lập các quy tắc riêng để kiểm sốt truy cập và tăng tính bảo mật cho hệ
thống gồm: VPS/Hosting/Server.
Khi sử dụng máy chủ, Iptables sẽ tiến hành thực thi tốt nhất nhiệm vụ ngăn chặn
các truy cập không hợp lệ bằng cách sử dụng Netfilter. Iptables/Netfilter gồm 2 phần
chính là phần Netfilter ở bên trong nhân Linux. Phần cịn lại là Iptables nằm ở bên
ngồi. Vì vậy sự hiện diện của Iptables chính là hệ thống giao tiếp với người dùng.
Sau đó đẩy các luật của người dùng vào cho Netfilter xử lý.
Netfilter chịu trách nhiệm lọc các gói dữ liệu ở mức IP Netfilter làm việc trực tiếp
trong nhân, nhanh và giảm tốc độ của hệ thống. Iptables chỉ là Interface cho Netfilter.
Cả 2 thành phần này có nhiệm vụ tương tự nhau.
Trong đó tường lửa quyết định các packet nào được phép đi vào hay đi ra khỏi hệ
thống. Các Packet ở bất kỳ Network nào cũng đều giao tiếp bằng cách sử dụng các
cổng port. Để quyết định Port nào được phép kết nối từ bên ngoài là nhiệm vụ của
Tường lửa. Một số tính năng tiêu biểu do Iptables cung cấp:
Tích hợp tốt với Kernel của
Linux Phân tích Package hiệu quả
Lọc Package
Cung cấp đầy đủ các tùy chọn để ghi nhận sự kiện hệ
thống Cung cấp kỹ thuật NAT
Ngăn chặn sự tấn công theo kiểu DoS
2.1.2. Thành phần của Iptables
a. Các bảng trong Iptables
Filter Table
Đối với thành phần Tables – Các bảng trong Iptables thì bảng Filter Table là một
trong những bảng được Iptables sử dụng nhiều nhất trong suốt quá trình hoạt động.
8
TIEU LUAN MOI download : skknchat123@gmail .com moi nhat
Bảng này được tích hợp với nhiệm vụ chính là quyết định việc một gói tin có được đi
đến đích dự kiến hay không. Hay quyết định từ chối yêu cầu của gói tin một cách chắc
chắn, nhanh chóng.
NAT Table
Như đã đề cập ở trên, mỗi bảng trong Iptables sẽ có một nhiệm vụ khác nhau trong
hệ thống. Vì vậy đối với bản NAT Table sẽ dùng các rules về NAT. Nhiệm vụ chính
của NAT Table chính là chịu trách nhiệm chỉnh sửa các Source hay còn gọi là IP
nguồn. Hoặc chỉnh sửa các destination (IP đích) của các gói tin. Với sự hiện diện của
bảng NAT Table thì việc chỉnh sửa thơng tin gói tín khi thực hiện cơ chế NAT trở nên
đơn giản, dễ dàng hơn.
Mangle Table
Mangle Table là một trong những bảng quan trọng trong Iptables. Bảng này có
nhiệm vụ chỉnh sửa header của gói tín. Ngồi ra, sự hiện diện của Mangle Table còn
cho phép chỉnh sửa giá trị của các trường: TTL, MTL, Type of Service.
RAM Table
Dựa theo bản chất của Iptables thì Iptables là một stateful firewall với các gói tin.
Các gói tin này được kiểm tra liên quan đến trạng thái State. RAM Tablet sẽ là bảng
giúp người dùng dễ dàng làm việc với các gói tin trước khi kernel bắt đầu kiểm tra
trạng thái. Bảng RAM cũng chức năng loại bỏ một số gói tin khỏi việc tracking vì vấn
đề hiệu năng của hệ thống. Vì thế tâm quan trọng của bảng RAM trong Iptables cũng
vô cùng quan trọng và cần thiết.
Security Table
Bảng tiếp theo có trong Iptables chính là Security Table. Một số Kernel có thể hỗ trợ
thêm cho Security Table, được dùng bởi Selinux từ đó giúp thiết lập các chính sách bảo
mật hiệu quả. Vậy nên Security Table ln là một trong những bảng quan trọng trong các
bảng của Iptables.
b. Chains
Chains chính là thành phần cơ bản tiếp theo trong Iptables. Thành phần này được
tạo ra với một số lượng nhất định ứng với mỗi bảng trong Iptables. Công dụng chính
của thành phần này chính là giúp lọc gói tin tại điểm khác nhau.
Chain Prerouting: Chain tồn tại trong Nat Table, Mangle Table và Raw Table.
Các rules trong Chain sẽ được thực thi ngay khi gói tin vào đến giao diện
Network Interface.
Chain Input: Chain chỉ có ở Mangle Table và Nat Table. Các rules trong Chain
này được cung cấp nhiệm vụ thực thi trước khi gói tin vào tiến trình.
Chain Output: Chain này tồn tại ở các bảng quen thuộc như Raw Table, Mangle
Table và Filter. Các rules tại đây được cung cấp nhiệm vụ thực thi sau khi gói
tin được tiến trình tạo ra.
9
TIEU LUAN MOI download : skknchat123@gmail .com moi nhat
Chain Forward: Chain này tồn tại ở các bảng Mangle Table và Filter Table. Các
rules được cung cấp nhiệm vụ thực thi cho các gói tin được định tuyến qua host
hiện đại.
Chain Postrouting: Chain này chỉ tồn tại ở các bảng Mangle Table và Nat Table.
Các rules trong Chain được thực thi khi gói tin rời giao diện Internet.
c.
Target
Bộ phận thứ 3 trong Iptables chính là Target. Target – hành động sử dụng dành cho
các gói tin khi các gói tin thỏa mãn các rules đặt ra.
ACCEPT: Hành động chấp nhận và cho phép gói tin đi vào hệ thống
DROP: Hành động loại gói tin, khơng có gói tin trả lời.
REJECT: Hành động loại gói tin nhưng vẫn cho phép gói tin trả lời Table gói tin
khác.
LOG: Hành động chấp thuận gói tin nhưng có ghi lại log
Target là hành động dành cho gói tin được phép đi qua tất cả các rules đặt ra mà
không dừng lại ở bất kỳ rules nào. Trong trường hợp gói tin khơng khớp với yêu cầu
của reles thì mặc định sẽ được chấp thuận.
2.1.3. Cấu hình Iptables
Iptables – tường lửa có cấu hình yêu cầu cao về độ bảo mật. Trong đó tất cả các dữ
liệu từ các gói tin được gửi đi sẽ được định dạng qua Internet. Linux Kernel sẽ thực
hiện nhiệm vụ lọc các gói tin này bằng cách mang đến một giao diện sử dụng một
bảng các bộ lọc khác
Tạo chain mới: Iptables – N
Xóa hết các rule đã có trong chain: Iptables – X
Đặt danh sách cho các chain: ‘built-in’(INPUT, OUTPUT & FORWARD):
Iptables – p
Liệt kê các rule trong chain: Iptables – L
Xóa các rule trong chain: Iptables – F
Reset bộ đếm Packet về 0: Iptables – Z
c. Những tùy chọn để thao tác với rule
Để thao tác với các rule trong Iptables đều phải thực hiện các tùy chọn tương ứng
theo quy định. Trong đó các tùy chọn quan trọng mà người dùng nên nhớ để thực hiện
thao tác với rule dễ dàng như:
Tùy chọn để thao tác với rules trong Iptables
Thêm rule: -A
Xóa rule: -D
Thay thế rule: -R
Chèn thêm rule: -I
10
TIEU LUAN MOI download : skknchat123@gmail .com moi nhat
2.1.4. Các câu lệnh cơ bản Iptables
Để làm việc với rule trong Iptables thì tất cả các thao tác đều phải sử dụng lệnh.
Các lệnh sử dụng trong Iptables được phân chia thành cơ bản với nâng cao. Tuy nhiên
thông thường người dùng chỉ cần áp dụng linh hoạt các lệnh cơ bản của Iptables đã có
thể dễ dàng làm việc với các rule. Vậy các lệnh cơ bản của Iptables gồm những lệnh
nào, tất cả sẽ được cập nhật ngay sau đây.
a. Lệnh tạo một rule mới
Ví dụ: iptables -A INPUT -i lo -j ACCEPT
Lệnh này có nghĩa là:
A nghĩa là Append. A INPUT nghĩa là khai báo kiểu kết nối sẽ được áp dụng
I nghĩa là Internet. I lo nghĩa là khai báo thiết bị mạng được áp dụng
J nghĩa là Jump. J ACCEPT nghĩa là khai báo hành động sẽ được áp dụng cho
quy tắc này.
Nếu người dùng gõ lại lệnh iptables –L –v thì sẽ thấy ngay 1 rule mới xuất hiện.
after-created-iptables-rule
Sau khi thêm mới rules hoặc thay đổi gõ lệnh lưu thì người dùng tiến hành khởi
động lại tường lửa để áp dụng các thay đổi.
service iptables save
service iptables restart
Nếu tiếp tục thêm rule để được phép lưu lại quá trình kết nối hiện tại cũng như
tránh các hiện tượng tự Block ra khỏi máy chủ thì hãy thực hiện đúng lệnh quy định.
Lệnh thực hiện: iptables -A INPUT -m state –state ESTABLISHED, RELATED -j
ACCEPT
Lệnh tạo một rule mới
Để các cổng được phép truy cập từ bên ngồi vào qua giao thức tcp thì hãy thực
hiện theo lệnh.
Lệnh thực hiện: iptables -A INPUT -p tcp –dport 22 -j ACCEPT
p tcp: Giao thức được áp dụng
dport 22: Cổng cho phép áp dụng. 22 là cho SSH
Để ngăn chặn tất cả các kết nối truy cập theo hướng từ bên ngồi vào khơng thỏa mãn
những rule trên. Thao tác này thực hiện tương tự với rule 5 ở trên.
iptables -A INPUT -j DROP
b. Lệnh bổ sung một rule mới
11
TIEU LUAN MOI download : skknchat123@gmail .com moi nhat
Để chèn 1 rule mới vào trong 1 vị trí nào đó thì việc sử dụng các lệnh bổ sung thêm
rule là điều quan trọng. Trong đó người dùng chỉ cần thay tham số -A table bằng tham số
INSERT –l là xong.
Cấu trúc lệnh bổ sung 1 rule mới: IPtables -I INPUT 2 -p tcp –dport 8080 -j ACCEPT
c. Lệnh xóa 1 rule
Để thực hiện xóa 1 rule trong Iptables mà đã tạo ra tại vị trí 4, bạn có thể sử dụng
lệnh xóa với tham số -D. Cấu trúc lệnh xóa 1 rule chi tiết như sau:
IPtables -D INPUT 4
Trong trường hợp bạn muốn thực hiện thao tác xóa tồn bộ các rule chứa hành
động DROP có trong Iptables rất đơn giản. Bạn chỉ cần thực hiện lệnh với cấu trúc
như sau sẽ dễ dàng loại bỏ tất cả các rule này.
IPtables -D INPUT -j DROP
2.2. Tổng quan về tường lửa Pfsense
Tường lửa PfSense là loại tường lửa mềm, miễn phí có chức năng kiểm sốt lưu
lượng mạng, thực hiện các hành động để bảo vệ an toàn cho mạng máy tính.
2.2.1. Giới thiệu về Pfsense
Pfsense bao gồm nhiều tính năng mà bạn vẫn thấy trên các thiết bị tường lửa hoặc
router thương mại, chẳng hạn như GUI trên nền Web tạo sự quản lý một cách dễ dàng
pfSense được dựa trên FreeBSD và giao thức Common Address Redundancy
Protocol (CARP) của FreeBSD, cung cấp khả năng dự phòng bằng cách cho phép các
quản trị viên nhóm hai hoặc nhiều tường lửa vào một nhóm tự động chuyển đổi dự
phịng. Vì nó hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên có thể thực hiện việc
cân bằng tải
Pfsense bao gồm nhiều tính năng mà bạn vẫn thấy trên các thiết bị tường lửa hoặc
router thương mại, chẳng hạn như GUI trên nền Web tạo sự quản lý một cách dễ dàng.
pfSense được dựa trên FreeBSD và giao thức Common Address Redundancy Protocol
(CARP) của FreeBSD, cung cấp khả năng dự phịng bằng cách cho phép các quản trị
viên nhóm hai hoặc nhiều tường lửa vào một nhóm tự động chuyển đổi dự phịng. Vì
nó hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên có thể thực hiện việc
cân bằng tải
Đặc điểm khá quan trọng là cấu hình để cài đặt sử dụng phần mềm Pfsense khơng
địi hỏi cao. Chúng ta chỉ cần một máy tính P3,Ram 128 MB ,HDD 1GB cũng đủ để
dựng được tường lửa Pfsense.
12
TIEU LUAN MOI download : skknchat123@gmail .com moi nhat
Tuy nhiên đặc thù Pfsense là tường lửa ngăn các nguy hại giữa mạng WAN và
mạng LAN nên máy cài đặt Pfsense yêu cầu tối thiểu 2 card mạng
2.2.2. Tính năng của Pfsense
Aliases
Với tính năng này chúng ta có thể gom nhóm các ports, host hoặc Network(s) khác
nhau và đặt cho chúng một cái tên chung để thiết lập những quy tắc được dễ dàng và
nhanh chóng hơn.
Các thành phần trong Aliases:
o
Host: tạo nhóm các địa chỉ IP.
o
Network: tạo nhóm các mạng.
o
Port: Cho phép gom nhóm các port nhưng khơng cho phép tạo nhóm
các protocol. Các protocol được sử dụng trong các rule.
Rules (Luật): Nơi lưu các rules (luật) của Firewall. Mặc định pfSense cho phép
mọi lưu thông ra/vào hệ thống. Bạn phải tạo các rules để quản lý mạng bên
trong Firewall.
Một số lựa chọn trong Destination và Source.
o
Any: Tất cả
o
Single host or alias: Một địa chỉ ip hoặc là một bí danh.
o
Lan subnet: Đường mạng Lan.
o
Network: địa chỉ mạng.
o
Lan address: Tất cả địa chỉ mạng nội bộ.
o
Wan address: Tất cả địa chỉ mạng bên ngoài.
o
PPTP clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPT.
o
PPPoE clients: Các clients thực hiện kết nối VPN sử dụng giao thức
PPPoE.
Virtual IPs
Pfsense cho phép sử dụng nhiều địa chỉ IP công cộng kết hợp với cơ chế NAT
thông qua IP ảo. Có ba loại IP ảo có sẵn trên pfSense: Proxy ARP, CARP và một loại
khác. Mỗi loại đều rất hữu ích trong các tình huống khác nhau. Trong hầu hết các
trường hợp, pfSense sẽ cung cấp ARP trên IPs, do đó cần phải sử dụng Proxy ARP
hoặc CARP. Trong tình huống mà ARP khơng cần thiết, chẳng hạn như khi các IP
công cộng bổ sung được định tuyến bởi nhà cung cấp dịch vụ mạng, sẽ sử dụng IP ảo
loại khác.
Virtual IP được sử dụng để cho phép pfSense đúng cách chuyển tiếp lưu lượng cho
những việc như chuyển tiếp cổng NAT, NAT Outbound và NAT 1:1. Họ cũng cho phép
các tính năng như failover, và có thể cho phép dịch vụ trên router để gắn kết với địa
chỉ IP khác nhau.
CARP
13
TIEU LUAN MOI download : skknchat123@gmail .com moi nhat
Có thể được sử dụng bởi các tường lửa chính nó để chạy các dịch vụ
hoặc được chuyển tiếp.
Tạo ra lớp 2 lưu lượng cho các VIP (Virtual IP).
Có thể được sử dụng cho clustering (tường lửa và tường lửa chủ failover
chế độ chờ).
Các VIP đã được trong cùng một subnet IP của giao diện thực. Sẽ
trả lời ICMP ping nếu được phép theo các quy tắc tường lửa.
Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể
được chuyển tiếp.
Tạo ra lớp 2 lưu lượng cho các VIP.
Các VIP có thể được trong một subnet khác với IP của giao diện thực.
Khơng trả lời gói tin ICMP ping.
Other
Có thể được sử dụng nếu các tuyến đường cung cấp cho bạn VIP của bạn dù
sao mà không cần thông báo lớp 2.
Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể
được chuyển tiếp.
Các VIP có thể được trong một subnet khác với các giao diện IP.
Không trả lời ICMP ping.
NAT: Trong Firewall bạn cũng có thể cấu hình các thiết lập NAT nếu cần sử
dụng cổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1) cho các
host cụ thể. Thiết lập mặc định của NAT cho các kết nối outbound là Automatic
outbound NAT…, tuy nhiên bạn có thể thay đổi kiểu Manual outbound NAT
nếu cần.
Routing: Một trong những tính năng chính của một Firewall ngồi việc lọc và
thực hiện NAT là định tuyến được lưu thông trong mạng. Nó bao gồm các tuyến
tĩnh, các giao thức định tuyến, định tuyến IP công cộng và hiển thị các thông tin
định tuyến.
Bridging: Thông thường mỗi interface trên pfSense sẽ đại diện cho một miền
riêng với một subnet IP duy nhất, giống như một vùng riêng biệt. Trong một
số trường hợp cần kết hợp nhiều interfaces thành một miền mới, lúc đó chức
năng này sẽ kết hợp hai cổng trên tường lửa sẽ hoạt động giống như nó đang
trên cùng một miền, ngoại trừ lưu lượng giữa các interface được kiểm sốt bởi
các quy luật (rule) đã được cấu hình.
Virtual Lans (Vlans): VLAN cung cấp một phương tiện để phân đoạn mạng
miền thành nhiều mạng con, mỗi mạng con hoạt động độc lập với nhau. Nhưng
vấn đề bảo mật cần phải đưa vào account khi thiết kế và thực thi một giải pháp
liên quan đến VLAN. VLAN không đảm bảo an tồn nên sai có thể dẫn đến
tổn thương cho mạng của bạn.
Multi-Wan: Multi-WAN của pfSense cho phép sử dụng nhiều kết nối Internet để
đạt được thời gian hoạt động cao hơn và băng thơng lớn. Trước khi cầu hình
Multi-WAN cần phải cấu hình hai interfaces (LAN và WAN) hoạt động. Pfsense
có khả năng xử lý nhiều WAN interface, triển khai sử dụng khoảng 10-12
WANs. WAN interface bổ sung được gọi là OPT WAN.
VPN (Virtual Private Network) là một kiểu kết nối cho phép các máy tính truyền
thơng với nhau thơng qua một môi trường chia sẻ như mạng Internet nhưng vẫn
14
TIEU LUAN MOI download : skknchat123@gmail .com moi nhat
đảm bảo được tính riêng tư và bảo mật dữ liệu. Để cung cấp kết nối giữa các
máy tính, các gói thơng tin được bao bọc bằng một header có chứa những thơng
tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường mạng
chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng được gọi là
tunnel. Để bảo đảm tính riêng tư và bảo mật trên môi trường chia sẻ này, các
gói tin được mã hố và chỉ có thể giải mã với những khóa thích hợp, ngăn ngừa
trường hợp “trộm” gói tin trên đường truyền. Chức năng này của pfSense được
đánh giá là rất tốt.
Ipsec (Ip Security) có vai trị rất quan trọng trong việc giải quyết các vấn đề mà
chúng ta cố giải quyết nó với firewall. IPSec (IP Security) đề ra một tập các
chuẩn được phát triển bởi Internet Engineering Tast Force (IETF). IPSec giải
quyết hai vấn đề gây hại cho bộ giao thức IP: Sự xác thực host-to-host (cho các
host biết là chúng đang nói chuyện với nhau mà không phải là sự giả mạo) và
việc mã hóa (ngăn chặn những kẻ tấn cơng xem dữ liệu trong luồng lưu lượng
giữa hai máy). Đây là các vấn đề mà firewall cần giải quyết. Mặc dù firewall có
thể làm giảm nguy cơ tấn công trên Internet mà không cần sự xác thực và mã
hóa, nhưng vẫn cịn hai vấn đề lớn ở đây: tính tồn vẹn và sự riêng tư của thông
tin đang truyền giữa hai host và sự giới hạn trong việc đặt ra các loại kết nối
giữa các mạng khác nhau. IPSec giúp giải quyết các vấn đề này. Có vài khả
năng đặc biệt khi chúng ta xem xét sự kết hợp giữa các firewall với các host
cho phép IPSec. Cụ thể là, VPN, việc lọc gói tốt hơn (lọc những gói mà có tiêu
đề xác thực IPSec), và các firewall lớp ứng dụng sẽ cung cấp sự xác minh host
tốt hơn bằng cách sử dụng tiêu đề xác thực IPSec thay cho “just trusting” địa
chỉ IP hiện tại.
PPTP VPN: Pfsense có thể hoạt động như một máy chủ PPTP VPN, là một
trong ba tùy chọn của VPN, là lựa chọn phổ biến nhất vì hầu hết các hệ điều
hành đã được xây dựng trong PPTP client. Bao gồm tất cả các phiên bản
Windows từ Windows 95. Tuy nhiên nó khơng được đảm bảo an tồn, không
nên sử dụng.
OpenVPN: là một giải pháp SSL VPN mã nguồn mở có thể được sử dụng cho cả
client truy cập từ xa và kết nối kiểu site-to-site. Nó hỗ trợ client trên phạm vi
rộng của các hệ điều hành bao gồm tất cả BSD, Linux, Mac OS X, Windows
2000 trở đi. Chức năng này tương đường với cấu hình trực diện. Địa điểm chính
được cấu hình như client đang kết nối với máy chủ tại địa điểm từ xa đó.
Traffic Shaper (Quản Lý Băng Thơng): Pfsense cung cấp tính năng Traffic Shaper
giúp bạn theo dõi và quản lí băng thông mạng dễ dàng và hiệu quả hơn.
Server Load Balancing
Với chức năng này bạn có thể điều phối mạng hay cịn gọi là cân bằng
tải. Có 2 loại load balancing trên pfSense:
o
Gateway load balancing: được dùng khi có nhiều kết nối WAN.
Client bên trong LAN khi muốn kết nối ra ngồi Internet thì pfSense lựa
chọn card WAN để chuyển packet ra card đó giúp cho việc cân bằng tải
cho đường truyền.
o
Server load balancing: cho phép cân bằng tải cho các server của
mình. Được dùng phổ biến cho các web server, mail server và server
khơng hoạt động nữa thì sẽ bị xóa.
15
TIEU LUAN MOI download : skknchat123@gmail .com moi nhat
Wireless: Pfsense có khả năng cho phép xây dựng mạng không dây, sử dụng
kết nối không dây như là một kết nối WAN.
Captive Portal: cho phép admin có thể chuyển hướng client tới một trang
web khác, từ trang web này client có thể phải chứng thực trước khi kết nối
tới internet.
Captive portal: các chức năng của Captive Portal
o
Enable captive portal: Đánh dấu chọn nếu muốn sử dụng captive portal.
o
Maximum concurrent connections: Giới hạn các connection trên mỗi
ip/user/mac.
o
Idle timeout: Nếu mỗi ip khơng cịn truy cập mạng trong 1 thời gian
xác định thì sẽ ngắt kết nối của ip/user/mac.
o
Hard timeout: Giới hạn thời gian kết nối của mỗi ip/users/mac.
o
Logout popup windows: Xuất hiện 1 popup thông báo cho ip / user / mac.
o
Redirect URL: Địa chỉ URL mà người dùng sẽ được direct tới sau
khi đăng nhập
Pass-through MAC: Các MAC address được cấu hình trong mục này sẽ được
bỏ qua khơng authentication.
Allowed IP address: Các IP address được cấu hình sẽ không authentication
Users: Tạo local user để dùng kiểu authentication: local user
File Manager: Upload trang quản lý của Captive portal lên
pfSense. Có 3 kiểu chứng thực client:
o
No authentication: pfSense sẽ điều hướng người dùng tới 1 trang
nhất định mà không chứng thực.
o
Local user manager: pfSense hỗ trợ tạo user để chứng thực.
o
Radius authentication: Chứng thực bằng radius server (Cần chỉ ra địa
chỉ IP của radius, port, …)
Firewall Redundancy / High Availability
Pfsense là một trong rất ít các giải pháp mã nguồn mở cung cấp khả năng
sẳn sàng cao với trạng thái dự phòng. Cho phép loại bỏ các bức tường lửa bị
lỗi.Firewall Schedules
Các Firewall rules có thể được sắp xếp để nó chỉ hoạt động vào các thời điểm
nhất định trong ngày hoặc vào những ngày nhất định cụ thể hoặc các
ngày trong tuần.
Đây là một cơ chế rất hay vì nó thực tế với những yêu cầu của các doanh
nghiệp muốn quản lý nhân viên sử dụng internet trong giờ hành
chính.Các Dịch Vụ Của Firewall Pfsense
DHCP ServerDịch vụ này cho phép pfSense cấp địa chỉ IP và các thông tin
cấu hình cho client trong mạng LAN.DHCP Relay
Dịch vụ này cho phép pfSense forward yêu cầu cấp IP của client nằm
trong một subnet nào đó tới một DHCP server cho trước.
Chỉ được phép chạy một trong hai dịch vụ DHCP server và DHCP
relay.Dynamic DNS
Pfsense cho phép đăng ký địa chỉ IP của WAN interface của nhiều nhà cung
cấp DNS động. Nó rất hữu ích khi muốn điều khiển từ xa.SNMP (Simple
Network Management Protocol)
16
TIEU LUAN MOI download : skknchat123@gmail .com moi nhat
Chức năng SNMP của pfSense sẽ cho phép giám sát từ xa các thông số hệ
thống pfSense. Tùy thuộc vào các tùy chọn cho phép mà có thể theo dõi
như: lưu lượng mạng, hàng đợi, thông tin chung hệ thống(CPU, bộ nhớ….).
WOL (Wake On Lan)
Được dùng để đánh thức máy tính đã tắt bằng cách gửi gói tin đặc biệt
“Magic packet”. Các NIC trong máy tính phải được hỗ trợ WOL và phải
được cấu hình đúng. Thơng thường thiết lập WOL của NIC ở BIOS.
PPPoE Server
Pfsense có thể hoạt động như một máy chủ PPPoE, chấp nhận hoặc xác thực
kết nối từ client PPPoE trên interface cục bộ. Nó được dùng để bắt buộc
người dùng xác thực trước khi được quyền truy cập mạng hoặc kiểm soát
hoạt động đăng nhập của họ.
Một Số Chức Năng Khác
System log: theo dõi hoạt động của hệ thống pfSense và các dịch vụ mà
pfSense cung cấp. Mọi hoạt động của hệ thống và dịch vụ đều được ghi lại.
System Status: Liệt kê các thông tin và tình trạng của hệ thống.
Service Status: Hiển thị trạng thái của tất cả các service có trong hệ
thống. Mỗi service có hai trạng thái là: running, stopped.
Interface Status: Hiển thị thông tin của tất cả card mạng.
RRD Graph: Hiển thị các thông tin dưới dạng đồ thị. Các thông tin mà
RRD Graph sẽ thể hiện là: System, Traffic, Packet, Quality, Queues.
Pfsense khá linh hoạt với các hệ thống khác để hỗ trợ tốt hơn cho việc vận
hành của pfSense như: kết hợp chứng thực người dùng thông qua hệ thống
RADIUS…
Ngồi ra pfSense cịn có thể kết nối với mạng 3G, 4G thông qua thiết bị
3G, 4G. Trường hợp này phòng bị cho sự cố bất khả kháng khi tất cả các
đường truyền internet bằng cáp bị hư hỏng.
17
TIEU LUAN MOI download : skknchat123@gmail .com moi nhat
