tường lửa OPNSense
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.32 MB, 51 trang )
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN & TRUYỀN THÔNG
KHOA CÔNG NGHỆ THÔNG TIN
BÁO CÁO THỰC TẬP CHUYÊN NGÀNH
Đề tài: Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp
Giáo viên hướng dẫn : Nguyễn Thanh Tùng
Sinh viên thực hiện: Nguyễn Đình Trung Kiên
MSSV:DTC165D4802990001
Lớp: An toàn thông tin – K15A
Thái nguyên - 2020
Đề tài: Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp
LỜI MỞ ĐẦU
Chúng ta không thể phủ nhận được việc Internet là một kho tàng chứa đựng những
nội dung quý giá và rất thân thiện với người dùng. Những lợi ích mà mạng internet mang
lại cho chúng ta là rất lớn nhưng bên cạnh đó cũng có những mặt trái, kẻ xấu luôn muốn
tấn công và xâm nhập vào các thiết bị có kết nối internet bất cứ lúc nào. Để bảo mật cho
các thiết bị này tốt hơn thì ngoài việc sử dụng các phần mềm diệt virut, các cổng giao
tiếp thì tường lửa cũng là một thành phần không thể thiếu.
Thuật ngữ tường lửa (firewall) có nguồn gốc từ một kỹ thuật thiết kế trong xây
dựng nhằm để ngăn chặn, hạn chế hỏa hoạn. Trong lĩnh vực công nghệ thông tin, tường
lửa là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép,
nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn từ
bên ngoài vào hệ thống.Tường lửa giống như một rào cản hoặc lá chắn được xây dựng
nhằm bảo vệ hệ thống bên trong gồm máy tính, máy tính bảng hay điện thoại thông minh
khỏi những mối nguy hiểm khi truy cập Internet.
Mục đích cuối cùng là cung cấp kết nối có kiểm soát giữa các vùng với độ tin cậy
khác nhau thông qua việc áp dụng một chính sách an ninh và mô hình kết nối dựa trên
nguyên tắc quyền tối thiểu.
Trong bài báo cáo này em xin trình bày giải pháp về bảo mật mạng nội bộ chủ yếu
dành cho những doanh nghiệp có quy mô nhỏ bằng việc sử dụng tường lửa OPNSense.
Trong quá trình thực hiện đề tài em không khỏi mắc phải thiếu sót. Mong các thầy, cô
đóng góp ý kiến để em có thể hoàn thiện tốt hơn khi thực hiện những đề tài về sau này.
Em cũng xin có lời cảm ơn với thầy Nguyễn Thanh Tùng, giáo viên hướng dẫn
thực hiện đề tài thực tập chuyên ngành lần này của em. Cảm ơn thầy đã cho em định
hướng nghiên cứu, giúp em có thể hoàn thành đúng tiến độ đề tài thực tập lần này. Tuy
em đã có cố gắng nghiên cứu, tìm hiểu, nhưng chắc chắn rằng không thể tránh khỏi
những thiếu sót. Em rất mong nhận được sự thông cảm, góp ý của thầy,cô và các bạn.
SV:Nguyễn Đình Trung Kiên
Lớp: ATTT-K15A | Trang 2
Đề tài: Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp
MỤC LỤC
LỜI MỞ ĐẦU....................................................................................................................2
MỤC LỤC..........................................................................................................................3
DANH MỤC HÌNH ẢNH..................................................................................................5
DANH MỤC CÁC TỪ VIẾT TẮT....................................................................................7
CHƯƠNG 1: TỔNG QUAN VỀ TƯỜNG LỬA...............................................................8
1.1. Khái niệm và lịch sử phát triển................................................................................8
1.2 Các hiểm họa an ninh mạng.....................................................................................9
1.2.1 Tấn công chủ động và bị động..........................................................................9
1.2.2 Virus, Worm, Trojan........................................................................................10
1.2.3 Tấn công từ chối dịch vụ.................................................................................10
1.2.4 Social Engineering...........................................................................................10
1.2.5 Sự cần thiết của tường lửa...............................................................................10
1.3.Nguyên lý hoạt động của tường lửa........................................................................11
1.4.Các loại tường lửa..................................................................................................13
CHƯƠNG 2: TƯỜNG LỬA OPNSENSE...............................................................................................16
2.1. Giới thiệu về tường lửa OPNSense.......................................................................16
2.1.1. Lịch sử về tường lửa OPNSense....................................................................17
2.1.2. Quá trình phát triển OPNSense......................................................................17
2.2. Các tính năng của tường lửa OPNSense................................................................23
2.2.1. Traffic Shaper.................................................................................................23
2.2.2. Two-Factor Authentication ( 2FA ).................................................................23
2.2.3. Captive Portal.................................................................................................23
SV:Nguyễn Đình Trung Kiên
Lớp: ATTT-K15A | Trang 3
Đề tài: Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp
2.2.4. Virtual Private Network..................................................................................24
2.2.5. Filtering Caching Proxy.................................................................................25
2.2.6. MultiWAN - Load Balancing.........................................................................27
2.2.7. Network Flow Monitoring..............................................................................28
2.2.8. Netflow Exporter............................................................................................30
2.2.9. Backup & Restore...........................................................................................32
2.2.10. Caching Proxy..............................................................................................34
CHƯƠNG 3: TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA OPNSENSE..................................................35
3.1 Mô hình triển khai..................................................................................................35
3.2 Triển khai sử dụng tường lửa OPNSense...............................................................37
3.2.1. Cài đặt tường lửa OPNSense..........................................................................37
3.2.2. Block một số IP có hành vi gây hại................................................................38
3.2.3. Cho phép duy nhất một địa chỉ IP sử dụng Remote Desktop trên Webserver40
3.2.4 Public Webserver ra ngoài Internet.................................................................43
3.2.5 Thiết lập Proxy trong vùng mạng LAN, chặn truy cập đến một trang web....45
KẾT LUẬN..............................................................................................................................................50
TÀI LIỆU THAM KHẢO........................................................................................................................51
SV:Nguyễn Đình Trung Kiên
Lớp: ATTT-K15A | Trang 4
Đề tài: Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp
DANH MỤC HÌNH ẢNH
Hình 1.1 Mô hình diễn tả cách thức hoạt động của tường lửa...........................................8
Hình 2.1. Các ứng dụng VPN OPNSense hỗ trợ cài sẵn..................................................25
Hình 2.2. Mô hình Load Balancing..................................................................................27
Hình 2.3. Kích hoạt NetFlow...........................................................................................29
Hình 2.4. Cache NetFlow.................................................................................................30
Hình 2.5. Cái nhìn tổng quan về hệ thống mạng..............................................................31
Hình 2.6. Xuất File Excel.................................................................................................31
Hình 2.7. File Excel ghi lại Traffic qua lại.......................................................................32
Hình 2.8. Giao diện Backup.............................................................................................33
Hình 2.9. Hỗ trợ sao lưu đám mây...................................................................................33
Hình 2.10. Mô hình Proxy Server....................................................................................34
Hình 3.1. Mô hình thực tế................................................................................................35
Hình 3.2. Mô hình thử nghiệm(demo)..............................................................................36
Hình 3.3. Thiết lập card mạng cho máy ảo.......................................................................37
Hình 3.4. Tường lửa sau khi đăng nhập thành công.........................................................38
Hình 3.5. Thêm tên định danh cho IP bị block.................................................................39
Hình 3.6. Tạo rules Block IP............................................................................................39
Hình 3.7. Máy LAN bị block IP không thể truy cập internet...........................................40
Hình 3.8. Tạo đối tượng AdminLAN có quyền truy cập..................................................41
Hình 3.9. Cấu hình tập luật của LAN cho phép Admin truy cập.....................................41
Hình 3.10. Chặn những truy cập từ IP khác IP Admin.....................................................42
SV:Nguyễn Đình Trung Kiên
Lớp: ATTT-K15A | Trang 5
Đề tài: Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp
Hình 3.11. Máy AdminLAN vẫn có thể sử dụng Remote Desktop trên Webserver.........42
Hình 3.12. Những máy có địa chỉ IP khác không thể truy cập.........................................43
Hình 3.13. Tạo nhóm các Port cần chuyển tiếp................................................................44
Hình 3.14. Tạo Port Forward mới....................................................................................44
Hình 3.15. Truy cập thành công.......................................................................................45
Hình 3.16. Khởi động Proxy............................................................................................46
Hình 3.17. Chọn sử dụng Proxy trên mạng LAN.............................................................46
Hình 3.18. Thêm chotenmien.vn vào tùy chọn blacklist..................................................47
Hình 3.19. Cấu hình Proxy trên trình duyệt.....................................................................47
Hình 3.20. Tạo Port Forward cho Proxy.........................................................................48
Hình 3.21. Trình duyệt báo lỗi không thể truy cập...........................................................48
Hình 3.22. Các trang web khác vẫn truy cập bình thường...............................................49
SV:Nguyễn Đình Trung Kiên
Lớp: ATTT-K15A | Trang 6
Đề tài: Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp
DANH MỤC CÁC TỪ VIẾT TẮT
ST
T
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
Chữ cái viết tắt/ký hiệu
Cụm từ đầy đủ
WAN
LAN
DMZ
VPN
IP
IDS
IPS
NAT
TCP
UDP
OSI
ICMP
SMTP
DNS
NSF
SMNP
SSL
FTP
ICAP
HTTP
HTTPS
Wide area network
Local Network Area
Demilitarized Zone
Virtual Private Network
Internet Protocol
Intrusion Detection Syste
Intrusion Prevention Systems
Network Address Translation
Transmission Control Protocol
User Datagram Protocol
Open Systems Interconnection
Internet Control Message Protocol
Simple Mail Transfer Protocol
Domain Name System
Network File System
Simple Network Management Protocol
Secure Sockets Layer
File Transfer Protocol
Internet Content Adaptation Protocol
Hypertext Transfer Protocol
Hypertext Transfer Protocol Secure
SV:Nguyễn Đình Trung Kiên
Lớp: ATTT-K15A | Trang 7
Đề tài: Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp
CHƯƠNG 1: TỔNG QUAN VỀ TƯỜNG LỬA
1.1. Khái niệm và lịch sử phát triển
Trong lĩnh vực công nghệ thông tin, tường lửa(firewall) là một kỹ thuật được tích
hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin
nội bộ và hạn chế sự xâm nhập không mong muốn từ bên ngoài vào hệ thống. Nói một
cách dễ hiểu, hãy tưởng tượng tường lửa giống như một rào cản hoặc lá chắn được xây
dựng nhằm bảo vệ hệ thống bên trong gồm máy tính, máy tính bảng hay điện thoại thông
minh khỏi những mối nguy hiểm khi lên mạng Internet.
Thông thường, tường lửa phải được đặt nằm giữa hệ thống mạng LAN bên trong
và mạng Internet bên ngoài, đồng thời được yêu cầu phải luôn chạy nền để có thể bảo vệ
hệ thống. Tường lửa sẽ giám sát dữ liệu được trao đổi giữa máy tính, máy chủ và các
thiết bị định tuyến trong hệ thống mạng (thường ở dạng các gói tin) để kiểm tra xem
chúng có an toàn hay không.
Nếu không có tường lửa, luồng dữ liệu có thể ra vào mà không chịu bất kỳ sự
kiểm soát nào. Còn khi tường lửa được kích hoạt, dữ liệu có thể được cho phép ra vào
hay không sẽ do các thiết lập trên tường lửa quy định. Về mặt kỹ thuật, tường lửa sẽ xác
định xem các gói tin có đáp ứng những quy tắc đã được thiết lập hay không. Sau đó, căn
cứ vào những quy tắc này mà các gói dữ liệu sẽ được chấp nhận hoặc bị từ chối.
SV:Nguyễn Đình Trung Kiên
Lớp: ATTT-K15A | Trang 8
Đề tài: Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp
Hình 1.1 Mô hình diễn tả cách thức hoạt động của tường lửa
Thuật ngữ tường lửa ban đầu đề cập đến một bức tường nhằm mục đích hạn chế
đám cháy trong tòa nhà. Việc sử dụng sau này đề cập đến các cấu trúc tương tự, chẳng
hạn như tấm kim loại ngăn cách khoang động cơ của một chiếc xe hoặc máy bay từ
khoang hành khách. Thuật ngữ này được áp dụng vào cuối những năm 1980 cho công
nghệ mạng xuất hiện khi Internet còn khá mới về mặt sử dụng và kết nối toàn cầu. Tiền
thân của tường lửa bảo mật mạng là các bộ định tuyến được sử dụng vào cuối những
năm 1980, vì chúng tách các mạng với nhau, do đó ngăn chặn sự lây lan của các vấn đề
từ mạng này sang mạng khác.
1.2 Các hiểm họa an ninh mạng
1.2.1 Tấn công chủ động và bị động
Những cuộc tấn công chủ động thông thường được sử dụng trong giai đoạn đầu để
chiếm quyền truy nhập bên trong. Một phương pháp tấn công cổ điển là dò tìm tên người
sử dụng và mật khẩu. Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi một
điều kiện đặc biệt nào để bắt đầu. Kẻ tấn công có thể sử dụng những thông tin như tên
người dùng, ngày sinh, địa chỉ, số nhà vv.. để đoán mật khẩu. Trong trường hợp có được
danh sách người sử dụng và những thông tin về môi trường làm việc, có một chương
trình tự động hoá về việc dò tìm mật khẩu này.
Trong cuộc tấn công bị động, các hacker sẽ kiểm soát traffic không được mã hóa
và tìm kiếm mật khẩu không được mã hóa (Clear Text password), các thông tin nhạy
cảm có thể được sử dụng trong các kiểu tấn công khác. Các cuộc tấn công bị động bao
gồm phân tích traffic, giám sát các cuộc giao tiếp không được bảo vệ, giải mã các traffic
mã hóa yếu, và thu thập các thông tin xác thực như mật khẩu.Các cuộc tấn công chặn bắt
thông tin hệ thống mạng cho phép kẻ tấn công có thể xem xét các hành động tiếp theo.
Kết quả của các cuộc tấn công bị động là các thông tin hoặc file dữ liệu sẽ bị rơi vào tay
kẻ tấn công mà người dùng không hề hay biết.
SV:Nguyễn Đình Trung Kiên
Lớp: ATTT-K15A | Trang 9
Đề tài: Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp
1.2.2 Virus, Worm, Trojan
Đây là những virut máy tính. Virus máy tính là một chương trình phần mềm có
khả năng tự sao chép chính nó từ đối tượng lây nhiễm này sang đối tượng khác (đối
tượng có thể là các file chương trình, văn bản, máy tính...).Virus có nhiều cách lây lan và
tất nhiên cũng có nhiều cách phá hoại,và đa số đều có mục đích không tốt
1.2.3 Tấn công từ chối dịch vụ
DOS attack hay còn gọi là tấn công từ chối dịch vụ .Phương thức tấn công này
chủ yếu nhắm vào các mục tiêu như: website, máy chủ trò chơi, máy chủ DNS..làm
chậm, gián đoạn hoặc đánh sập hệ thống.
1.2.4 Social Engineering
Social Engineering là phương pháp tấn công, đột nhập vào một hệ thống của một
tổ chức, công ty, doanh nghiệp. Kỹ thuật tấn công Social Engineering là quá trình đánh
lừa người dùng của hệ thống, nhằm phá vỡ hệ thống an ninh, lấy cắp dữ liệu hoặc tống
tiền. Nói một cách khác, Social Engineering là một trò lừa đảo rất tinh vi được thực hiện
qua mạng internet, tỉ lệ thành công của hình thức này rất cao.Những kẻ tấn công sử dụng
kỹ thuật Social Engineering chủ yếu nhằm vào cá nhân, các tổ chức công ty trong phạm
vi hẹp.
1.2.5 Sự cần thiết của tường lửa
Trước những nguy cơ đó, vấn đề đảm bảo an toàn cho mạng máy tính trở nên rất
cấp thiết và quan trọng hơn bao giờ hết. Các nguy cơ bị tấn công ngày càng nhiều và
ngày càng tinh vi hơn, nguy hiểm hơn. Đã có nhiều giải pháp bảo mật cho mạng máy
tính được đưa ra như dùng các phần mềm, chương trình để bảo vệ tài nguyên, tạo những
tài khoản truy xuất mạng đòi hỏi có mật khẩu … nhưng những giải pháp đó chỉ bảo vệ
một phần mạng máy tính, một khi những kẻ phá hoại mạng máy tính đã thâm nhập sâu
SV:Nguyễn Đình Trung Kiên
Lớp: ATTT-K15A | Trang 10
Đề tài: Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp
hơn vào bên trong mạng thì có rất nhiều cách để phá hoại hệ thống mạng. Vì vậy đã đặt
ra một yêu cầu là phải có những công cụ để chống sự xâm nhập mạng bất hợp pháp ngay
từ bên ngoài mạng, đó chính là nguyên nhân dẫn tới sự ra đời của Firewall (Tường
lửa).Một Firewall có thể lọc các lưu lượng Internet nguy hiểm như hacker, các loại sâu,
và một số loại virus trước khi chúng có thể gây ra trục trặc trên hệ thống. Ngoài ra,
Firewall có thể giúp cho máy tính tránh tham gia các cuộc tấn công vào các máy tính
khác mà không hay biết. Việc sử dụng một Firewall là cực kỳ quan trọng đối với các
máy tính luôn kết nối Internet, như trường hợp có một kết nối băng thông rộng hoặc kết
nối DSL/ADSL.
1.3.Nguyên lý hoạt động của tường lửa
Về cơ bản thì tường lửa là tấm lá chắn giữa máy tính của bạn giữa Internet, giống
như một nhân viên bảo vệ giúp bạn thoát khỏi những kẻ thù đang muốn tấn công bạn.
Khi tường lửa hoạt động thì có thể từ chối hoặc cho phép lưu lượng mạng giữa các thiết
bị dựa trên các nguyên tắc mà nó đã được cấu hình hoặc cài đặt bởi một người quản trị
tường lửa đưa ra.
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua tường lửa
thì điều đó có nghĩa rằng tường lửa hoạt động chặt chẽ với giao thức TCI/IP. Vì giao
thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên
mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS,
SMNP, NFS...) thành các gói dữ liệu (data pakets) rồi gán cho các paket này những địa
chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại tường lửa cũng liên
quan rất nhiều đến các packet và những con số địa chỉ của chúng.
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra
toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các
luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở
đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng. Đó
là:
SV:Nguyễn Đình Trung Kiên
Lớp: ATTT-K15A | Trang 11
Đề tài: Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp
-Địa chỉ IP nơi xuất phát ( IP Source address)
-Địa chỉ IP nơi nhận (IP Destination address)
-Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)
-Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)
-Cổng TCP/UDP nơi nhận (TCP/UDP destination port)
-Dạng thông báo ICMP ( ICMP message type)
-Giao diện packet đến ( incomming interface of packet)
-Giao diện packet đi ( outcomming interface of packet)
Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua tường lửa. Nếu
không packet sẽ bị bỏ đi. Nhờ vậy mà tường lửa có thể ngăn cản được các kết nối vào
các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống
mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm
cho tường lửa có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy
chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP...) được phép mới
chạy được trên hệ thống mạng cục bộ.
Có hai cách thức đặt luật lọc gói tin của tường lửa đó là whitelist và blacklist:
+Whitelist: chỉ các gói tin phù hợp với các luật trong tường lửa mới được coi là hợp lệ
và cho phép đi qua, các gói tin khác mặc định sẽ bị loại bỏ.
+Blacklist: các gói tin mặc định sẽ được cho phép đi qua, các gói tin “match” với các
luật trong tường lửa sẽ bị loại bỏ
Tùy từng nhu cầu, mục đích sử dụng mà người quản trị sẽ sử dụng hình thức whitelist,
blacklist hoặc cả hai cách thức nói trên.
Có rất nhiều tường lửa cá nhân như Windows Firewall hoạt động trên một tập
hợp các thiết lập đã được cài đặt sẵn. Như vậy thì người sử dụng không cần lo lắng về
SV:Nguyễn Đình Trung Kiên
Lớp: ATTT-K15A | Trang 12
Đề tài: Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp
việc phải cấu hình tường lửa như thế nào. Nhưng ở một mạng lớn thì việc cấu hình
tường lửa là cực kỳ quan trọng để tránh khỏi các hiểm họa có thể có xảy trong mạng.
1.4.Các loại tường lửa
Có ba loại tường lửa cơ bản tùy theo:
+Truyền thông được thực hiện giữa một nút đơn và mạng, hay giữa một số mạng.
+Truyền thông được chặn tại tầng mạng, hay tại tầng ứng dụng.
+Tường lửa có theo dõi trạng thái của truyền thông hay không.
Phân loại theo phạm vi của các truyền thông được lọc, có các loại sau:
+Tường lửa cá nhân hay tường lửa máy tính, một ứng dụng phần mềm với chức năng
thông thường là lọc dữ liệu ra vào một máy tính đơn.
+Tường lửa mạng, thường chạy trên một thiết bị mạng hay máy tính chuyên dụng đặt tại
ranh giới của hai hay nhiều mạng hoặc các khu phi quân sự (mạng con trung gian nằm
giữa mạng nội bộ và mạng bên ngoài). Một tường lửa thuộc loại này lọc tất cả truyền
thông dữ liệu vào hoặc ra các mạng được kết nối qua nó.
Khi phân loại theo các tầng giao thức nơi giao thông dữ liệu có thể bị chặn, có hai
loại tường lửa chính:
+Tường lửa tầng mạng
Tường lửa này hoạt động ở tầng mạng trong mô hình OSI hoặc IP của TCP/IP. Ở
đây, các gói tin đến và đi sẽ đi qua bộ lọc, chỉ những gói tin nào phù hợp mới được đi
tiếp, còn không chúng sẽ bị loại bỏ. Các tường lửa hiện đại ngày nay có thể tiến hành lọc
các gói tin dựa trên rất nhiều trường như theo địa chỉ IP, port nguồn, port đích, dịch vụ
đích, giá trị Time to live…
Ưu điểm
-Đơn giản, dễ thực thi
-Nhanh, dễ sử dụng
SV:Nguyễn Đình Trung Kiên
Nhược điểm
-Khó khi gặp trường hợp lừa đảo
(spoofing) các thông tin trong gói tin
Lớp: ATTT-K15A | Trang 13
Đề tài: Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp
-Chi phí thấp, đảm bảo được hiệu
năng
-Không thực hiện được việc xác thực
người dùng
Một số loại tường lửa nổi tiếng loại này đó là ipf (Unix), ipfw (FreeBSD / Mac OS
X), pf (Open BSD), iptables (Ubuntu / Linux).
+Tường lửa tầng ứng dụng
Đây là một dạng của tường lửa quản lý, vào, ra, bởi một phần mềm hoặc dịch vụ.
Chúng có thể lọc các gói tin ở tầng ứng dụng trong mô hình OSI chẳng hạn như các Http
GET / POST; ghi lại các hoạt động vào ra, login logout của user. Điều này không thể
thực hiện được với các tường lửa tầng dưới. Nó cũng giúp cho một ứng dụng xác định
xem liệu có nên chấp nhận một kết nối nào kết nối tới không.
Các loại tường lửa tầng mạng và tường lửa tầng ứng dụng thường trùm lên nhau,
mặc dù tường lửa cá nhân không phục vụ mạng, nhưng một số hệ thống đơn đã cài đặt
chung cả hai.
Cuối cùng, nếu phân loại theo tiêu chí rằng tường lửa theo dõi trạng thái của các
kết nối mạng hay chỉ quan tâm đến từng gói tin một cách riêng rẽ, có hai loại tường lửa:
+Tường lửa có trạng thái (Stateful firewall)
Tường lửa Stateful firewall có thể xem luồng lưu lượng truy cập từ đầu đến cuối.
Tường lửa nhận thức được các đường dẫn truyền thông và có thể thực hiện các chức
năng IP Security (IPsec) khác nhau như đường hầm và mã hóa. Về mặt kỹ thuật, điều
này có nghĩa là tường lửa trạng thái có thể cho biết kết nối TCP ở giai đoạn nào (mở,
đồng bộ hóa xác nhận hoặc thiết lập), nó có thể cho biết MTU đã thay đổi hay không,
cho dù gói có phân mảnh hay không.
+Tường lửa phi trạng thái (Stateless firewall):
Tường lửa Stateless firewall xem lưu lượng mạng và hạn chế hoặc chặn các gói
dựa trên địa chỉ nguồn và đích hoặc các giá trị tĩnh khác. Chúng không phải là ‘nhận
SV:Nguyễn Đình Trung Kiên
Lớp: ATTT-K15A | Trang 14
Đề tài: Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp
thức’ về các mẫu lưu lượng truy cập hoặc luồng dữ liệu. Một bức tường lửa phi trạng
thái sử dụng các bộ quy tắc đơn giản mà không tính đến khả năng một gói tin có thể
được nhận bởi tường lửa ‘giả vờ’ là thứ mà bạn yêu cầu.
Không phải là thực sự vượt trội và có những đối số tốt cho cả hai loại tường lửa.
Tường lửa Stateless firewall thường nhanh hơn và hoạt động tốt hơn dưới tải lưu lượng
nặng hơn. Tường lửa Stateful firewall tốt hơn trong việc xác định thông tin liên lạc trái
phép và giả mạo.
SV:Nguyễn Đình Trung Kiên
Lớp: ATTT-K15A | Trang 15
Đề tài: Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp
CHƯƠNG 2: TƯỜNG LỬA OPNSENSE
2.1. Giới thiệu về tường lửa OPNSense
OPNSense là tường lửa mềm được xây dựng trên hệ điều hành FreeBSD, tức là
bạn chỉ cần một máy tính bất kì, hoặc tốt hơn là một máy chủ, rồi cài đặt OPNSense là
đã có ngay một tường lửa mạnh mẽ cho hệ thống mạng trong doanh nghiệp. Trong phân
khúc tường lửa cho doanh nghiệp vừa và nhỏ, với khoảng dưới 1000 người sử dụng,
OPNSense được đánh giá là tường lửa nguồn mở tốt nhất hiện nay với khả năng đáp ứng
lên tới hàng triệu kết nối đồng thời. Không những thế, tường lửa OPNSense còn có
nhiều tính năng mở rộng tích hợp, tất cả trong một, vượt xa các tưởng lửa thông thường,
kể cả các tường lửa cứng của các hãng nổi tiếng về thiết bị mạng.
Cùng với hoạt động như một tường lửa, nó có khả năng định hình lưu lượng, cân
bằng tải và khả năng của mạng riêng ảo và những thứ khác có thể được thêm vào thông
qua các plugin.
Hoàn toàn miễn phí, giá cả là ưu thế vượt trội của tường lửa OPNSense. Tuy
nhiên, rẻ không có nghĩa là kém chất lượng, tường lửa OPNSense hoạt động cực kỳ ổn
định với hiệu năng cao, đã tối ưu hóa mã nguồn và cả hệ điều hành. Cũng chính vì thê,
OPNSense không cần nền tảng phần cứng mạnh. Nếu doanh nghiệp không có đường
truyền tốc độ cao, tường lửa OPNSense chỉ cần cài đặt lên một máy tính cá nhân là có
thể bắt đầu hoạt động. Điều đó càng góp phần làm giảm chi phí triển khai, đồng thời tạo
nên sự linh hoạt, tính mở rộng/sẵn sàng chưa từng có, khi doanh nghiệp muốn có nhiều
hơn một tường lửa.
Không chỉ là một tường lửa, OPNSense hoạt động như một thiết bị mạng tổng hợp
với đầy đủ mọi tính năng toàn diện sẵn sàng bất cứ lúc nào. Khi có một vấn đề về hệ
thống mạng phát sinh, thay vì phải loay hoay tìm thiết bị và mất thời gian đặt hàng,
doanh nghiệp có thể kết hợp các tính năng đa dạng trên OPNSense để tạo thành giải
pháp hợp lý, khắc phục sự cố ngay lập tức. Không kém phần quan trọng là khả năng
SV:Nguyễn Đình Trung Kiên
Lớp: ATTT-K15A | Trang 16
Đề tài: Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp
quản lý. Tường lửa OPNSense được quản trị một cách dễ dàng, trong sáng qua giao diện
web. Như vậy, tường lửa OPNSense là sự kết hợp hoàn hảo và mạnh mẽ, đem lại sự hợp
lý cho các nhà tài chính, và sự tin tưởng cho các nhà quản trị.
2.1.1. Lịch sử về tường lửa OPNSense
OPNsense được ra mắt phát hành vào ngày 2 tháng 2 năm 2015 có giao diện dựa
trên web và có thể được sử dụng trên nền tảng i386 và x86-64.
Quay trở lại năm 2014, sau khi đã tài trợ pfSense trong nhiều năm, không hiểu vì
lí do gì nhưng đội ngũ thành viên đã tách ra nhánh khác thành lập nên OPNSense duy trì
hướng phát triển theo phiên bản m0n0wall, sau rất nhiều công việc hoàn thành cuối cùng
ngày 2 tháng 2 năm 2015 họ đã phát hành chính thức phiên bản đầu tiên mang tên
OPNsense phiên bản 15.1. Đây là bản phát hành đầu tiên của dự án OPNsense.
OPNsense đang nhanh chóng trở thành nền tảng tường lửa nguồn mở số một với
rất nhiều tính năng và đội ngũ phát triển cực hứa hẹn!
2.1.2. Quá trình phát triển OPNSense
Dưới đây là lộ trình phát triển của OPNSense từ khi phát hành tới bây giờ:
Ngày 5 tháng 1 năm 2015
Cải tiến tính năng
Bổ sung các tính năng đã bị hạn chế
Dọn dẹp Code thừa
Ngày 2 tháng 7 năm 2015
Hỗ trợ Base proxy
Hỗ trợ Base IDS
Cập nhật OpenSSH / OpenSSL qua
các cổng
Hỗ trợ cả OpenSSL lẫn LibreSSL
importer file cấu hình của pfSense
(đối với phiên bản ≤ 2.1.5)
Hỗ trợ trình cài đặt BSD cho các cài
đặt nhúng
Chuyển đến FreeBSD 10.1 để được
hỗ trợ sau này
Triển khai với khung MVC
framework
SV:Nguyễn Đình Trung Kiên
Lớp: ATTT-K15A | Trang 17
Đề tài: Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp
Code tái cấu trúc
Thay thế dịch vụ phụ trợ
(check_reload_status) bằng hệ thống
cấu hình mới
Xuất ra các Client OpenVPN
Ngày 28 tháng 1 năm 2016
Hỗ trợ thêm các Plugin
Thay thế ACL
Hệ thống menu mở rộng
Xây dựng framework và repository
Quản lý plugin trên giao diện GUI
Thay đổi giao diện OpenVPN/IPSec
Thay đổi giao diện tường lửa
Firmware mirror location and crypto
selection
Thay thế lối truy cập RRD hiện đại
hơn
Sửa đổi hệ thống báo lỗi để có thể để
gửi vấn đề cho quản trị viên
Viết lại ứng dụng cổng bị khóa bằng
các thành phần framework mới
Triển khai xử lý phiên API để sử
dụng các dịch vụ đã được xây dựng
(RESTful)
Hỗ trợ IPS
Điều chỉnh lại Menu
Chuyển sang FreeBSD 10.2
Tính năng điều hướng nhanh
Ngày 28 tháng 7 năm 2016
Có thể triển khai hệ thống dịch vụ
Xoá bỏ PPPoE, L2TP and PPTP
servers khỏi giao diện cài đặt
OpenVPN, ghi đè máy khách cụ thể
Hỗ trợ RFC 4638 (MTU > 1492
trong PPPoE)
Hỗ trợ HTTPS proxy
Chọn lại giao diện Service
Thêm phân tích lưu lượng và xuất
file export netflow
Quản lý hàng chờ (AQM): kiểm soát
delay (CoDel) và FlowQueueCoDel
Máy chủ PPTP, L2TP và PPPoE
được chuyển sang MPD5
Tài liệu cho tất cả các tính năng
chính
Bảng điều khiển tính năng được cải
thiện
Xác thực hai yếu tố bằng RFC 6238
Thêm tuỳ chọn khi tạo disk images
máy ảo
Cơ sở hạ tầng giao diện được khả
dụng
SV:Nguyễn Đình Trung Kiên
Lớp: ATTT-K15A | Trang 18
Đề tài: Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp
Hỗ trợ ngôn ngữ Hàn Quốc và Nga
Tiếp tục cải tiến và phát triển / đồng
thời vẫn có phiên bản ổn định
Cho phép Cron GUI và API
Nâng lên sử dụng FreeBSD 10.3
Triển khai ASLR của HardenedBSD
UEFI/GPT boot
Cải tiến báo cáo IDS
Ngày 31 tháng 1 năm 2017
CSRF thay thế cho các trang PHP
tĩnh
Các quy tắc tường lửa có thể khả
dụng
Sử dụng PHP 7.0
Sử dụng FreeBSD 11
Hỗ trợ PAM cho hệ thống xác thực
OPNsense
Kết hợp SEGVGUARD của
HardenedBSD
Vị trí thực thi độc lập
Trình xác thực có thể được sử dụng
Phần mở rộng trên mô hình mvc,
như kiểm tra tham chiếu
Sử dụng Phalcon 3.0
Trình cài đặt cho mỗi SSH
Thêm lớp iểm tra cho các bộ phận
mvc chính
Nano tự động thay đổi kích thước
sau lần khởi động đầu tiên
Cho phép mã hóa plugin
Plugin Tinc - định tuyến lưới đầy đủ
cho các mạng riêng ảo
Cân bằng tải, UPnP, SNMP, IGMP,
WOL làm plugins
Ngày 31 tháng 7 năm 2017
BSD SafeStack cứng cho các ứng
dụng cơ bản và các cổng được chọn
RFC 2136 và dịch vụ DNS động
dưới dạng plugin
Tăng tốc code giao diện
Hỗ trợ thêm ngôn ngữ Đức, Trung
Quốc, Cộng hòa Séc, Bồ Đào Nha
(Portugal), Bồ Đào Nha (Brazil)
Ưu tiên CARP
Ngày 29 tháng 1 năm 2018
Cải thiện chuyển tiếp chia sẻ với
IPv6 và hỗ trợ thử nghiệm
NAT di động trước khi hỗ trợ IPsec
Plugin UTM: chống vi-rút, chống
API tra cứu DNS ngược cho Thông
SV:Nguyễn Đình Trung Kiên
Lớp: ATTT-K15A | Trang 19
Đề tài: Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp
thư rác, tiện ích mở rộng proxy web
tin chi tiết và Nhật ký trực tiếp
Cải thiện nhật ký cảnh báo IDS
Cải thiện và hợp nhất bố cục UI
Tính năng hạn chế nhóm cục bộ
trong OpenVPN và IPsec
Hỗ trợ đa từ xa OpenVPN cho khách
hàng
Hỗ trợ gỡ lỗi kernel
Nâng cấp lên sử dụng FreeBSD 11.1
Hỗ trợ LibreSSL 2.6
Hỗ trợ PHP 7.1
Hỗ trợ jQuery 3.2.1
Hỗ trợ quy tắc NAT
Ngày 31 tháng 7 năm 2018
Backup modules được thêm
Hỗ trợ Nextcloud backup
Cải thiện hỗ trợ multiwan
IDS / nâng cấp quy tắc mở ET lên
suricata 4
Xóa loại giao diện QinQ
Giám sát cổng thông qua tiện ích
dpinger
Hỗ trợ OpenVPN cho Địa chỉ IP
GUI/API được nâng cấp bảo mật
Cập nhật trình điều khiển Intel NIC
từ FreeBSD 11.2
Mở lại IPv6 triển khai nhanh (6RD)
Quy tắc phát hiện ứng dụng IDS /
IPS
Tài liệu API dễ truy cập
Tích hợp cốt lõi
Ngày 31 tháng 1 năm 2019
API với bí danh đầy đủ chức năng
tường lửa
Hỗ trợ giới hạn luồng xử lý tường
lửa PIE
Tường lửa hỗ trợ đăng nhập quy tắc
NAT
WPAD / PAC và hỗ trợ proxy cha
trong proxy web
API kích hoạt tiện ích xuất ứng
dụng Client OpenVPN
Plugin phiên bản từ xa ET Pro
Kết hợp 2FA qua LDAP-TOTP
Xuất chứng chỉ P12 với mật khẩu tùy
chỉnh
Hỗ trợ Dnsmasq DNSSEC
HardenedBSD 11.2
Hỗ trợ IPv6 mở rộng
Đến Tháng 7 năm 2019
SV:Nguyễn Đình Trung Kiên
Lớp: ATTT-K15A | Trang 20
Đề tài: Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp
Chế độ IPsec dựa trên tuyến đường
(VTI)
Thống kê quy tắc tường lửa
Tường lửa hiểu biết về các quy tắc
được tạo
Mở rộng hỗ trợ PAM
Hỗ trợ PHP 7.2
Hỗ trợ chuyển sang Python 3.6
Bí danh cho tường lửa, xuất + chức
năng nhập
Ngày 30 tháng 1 năm 2020
Deprecate Python 2.7
jQuery 3.4.1
Google sao lưu API 2.4.0
OpenSSL 1.1.1
LibreSSL 3.0
Hỗ trợ tạo chứng chỉ TLS
Kiểu mã hóa PSR 12
Đăng nhập đã chuyển sang MVC /
API
Hỗ trợ VXLAN
Hỗ trợ giao diện loopback bổ sung
Hướng hỗ trợ quy tắc giao diện
dịch vụ CARP
HASync only on command (legacy
cleanup)
Cải thiện hiệu suất cổng thông tin
Captive cho các thiết lập lớn
IPsec: thêm hỗ trợ cho xác thực khóa
công khai
Thêm tài liệu cho tất cả các thành
phần cốt lõi
Không dùng các plugin máy chủ
PPPoe, L2TP, PPTP
Từ giờ đến Tháng 7 năm 2020
BSD 12.1
Di chuyển bsdinstaller sang
bsdinstall
Cài đặt lại các plugin bị thiếu
OpenSSH, cho phép các cài đặt bảo
mật tùy chỉnh khác nhau
Trình quản lý người dùng: Hiển thị
hiệu lực của chứng chỉ
Trình quản lý người dùng: Tùy chọn
hiển thị các mẫu ACL
MVC Logging frontend hỗ trợ các
định dạng tệp nhật ký
Ghi nhật ký MVC loại bỏ giới hạn
hang chờ khi tải xuống
Hỗ trợ api tường lửa cơ bản (thông
qua plugin bổ sung)
Điều chỉnh trang trạng thái lưu lượng
truy cập
SV:Nguyễn Đình Trung Kiên
Lớp: ATTT-K15A | Trang 21
Đề tài: Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp
Suricata 5
Unbound + DHCPDv4: Hỗ trợ đúng
hạn khi cho thuê đã hết hạn.
Unbound : Cải thiện khởi động khi
máy chủ gốc không thể truy cập
được
Unbound : Tích hợp chức năng
không liên kết , bao gồm cả danh
sách đen DNS
Thêm tập lệnh tài liệu API (giảm
bớt bảo trì tài liệu api)
Giải thích cách API kích hoạt các
dịch vụ tiêu chuẩn
PHP: PSR-12
(*) Những mục in nghiêng được gạch chân là đang trong lộ trình phát triển, chưa hoàn
thành.
2.2. Các tính năng của tường lửa OPNSense
2.2.1. Traffic Shaper
Mục đích của Traffic Shaping (TS) là làm giảm tốc độ truyền các gói tin. Để làm
giảm tốc độ này, router sẽ làm việc luân phiên giữa 2 trạng thái. Đó là trạng thái truyền
gói tin và trạng thái giữ gói tin trong hàng đợi. Ví dụ, tốc độ vật lý để truyền các gói tin
là 128Kbps, nhưng tốc độ CIR (tốc độ truyền dữ liệu được cam kết bởi nhà cung cấp
dịch vụ) chỉ là 64Kbps.
Để quản lý việc truyền gói tin theo đúng tốc độ cho phép thì router phải thực hiện
trạng thái truyền gói tin trong nữa khoảng thời gian đầu và chuyển sang trạng thái giữ
gói tin trong hàng đợi ở nữa thời gian còn lại. Trạng thái truyền gói tin và trạng thái giữ
gói tin trong hàng đợi diễn ra liên tiếp nhau tạo thành các chu kỳ liên tục.
2.2.2. Two-Factor Authentication ( 2FA )
Xác thực 2 yếu tố, hay còn được viết tắt là 2FA (Two-factor authentication), sẽ bổ
sung một bước vào thủ tục đăng nhập của bạn. Nếu không có 2FA, việc đăng nhập của
bạn chỉ đơn thuần là nhập Username và Password - thứ duy nhất bảo mật cho tài khoản
của bạn. Do đó việc thêm một lớp bảo vệ nữa về lí thuyết sẽ làm cho tài khoản của bạn
trở nên an toàn hơn.
SV:Nguyễn Đình Trung Kiên
Lớp: ATTT-K15A | Trang 22
Đề tài: Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp
Để cho dễ hiểu thì khi bạn bật chức năng xác thực hai bước trên tài khoản
Facebook của bạn thì mỗi khi bạn đăng nhập sẽ có một mã số được gửi về điện thoại của
bạn, đó cũng là hình thức Xác thực 2 yếu tố, chức năng này giúp bảo vệ tài khoản quản
trị của chúng ta.
2.2.3. Captive Portal
Captive Portal là một trang web được truy cập với một trình duyệt web sẽ được
hiển thị cho người dùng mới được kết nối của một mạng trước khi chúng được cấp
quyền truy cập rộng hơn để tài nguyên mạng. Cổng này thường được sử dụng để trình
bày trang đích hoặc trang đăng nhập có thể yêu cầu xác thực, thanh toán , chấp nhận
thỏa thuận cấp phép người dùng hoặc chính sách sử dụng được chấp nhận hoặc thông tin
xác thực hợp lệ khác mà cả máy chủ và người dùng đồng ý tuân thủ. Tính năng này có
thể cung cấp Wi-Fi thương mại hoặc các điểm truy cập tại nhà.
Một ví dụ điển hình của Captive Portal là khi chúng ta ra sân bay, lần đầu tiên kết
nối đến wifi của sân bay chúng ta phải thực hiện một cuộc khảo sát như tên, tuổi, và các
thông tin khác trước khi có thể sử dụng Wifi một cách bình thường.
2.2.4. Virtual Private Network
VPN là mạng riêng ảo, Virtual Private Network, là một công nghệ mạng giúp tạo
kết nối mạng an toàn khi tham gia vào mạng công cộng như Internet hoặc mạng riêng do
một nhà cung cấp dịch vụ sở hữu. Các tập đoàn lớn, các cơ sở giáo dục và cơ quan chính
phủ sử dụng công nghệ VPN để cho phép người dùng từ xa kết nối an toàn đến mạng
riêng của cơ quan mình. Nhờ đó, bạn có thể truy cập an toàn đến các tài nguyên mạng
nội bộ ngay cả khi đang ở rất xa.
Dù nghe có vẻ khá đơn giản, nhưng trên thực tế VPN lại được ứng dụng để làm
rất nhiều thứ:
Truy cập vào mạng doanh nghiệp khi ở xa: VPN thường được sử dụng bởi những
người kinh doanh để truy cập vào mạng lưới kinh doanh của họ, bao gồm tất cả tài
SV:Nguyễn Đình Trung Kiên
Lớp: ATTT-K15A | Trang 23
Đề tài: Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp
nguyên trên mạng cục bộ, trong khi đang đi trên đường, đi du lịch,... Các nguồn lực
trong mạng nội bộ không cần phải tiếp xúc trực tiếp với Internet, nhờ đó làm tăng tính
bảo mật.
Truy cập mạng gia đình, dù không ở nhà: Bạn có thể thiết lập VPN riêng để truy
cập khi không ở nhà. Thao tác này sẽ cho phép truy cập Windows từ xa thông qua
Internet, sử dụng tập tin được chia sẻ trong mạng nội bộ, chơi game trên máy tính qua
Internet giống như đang ở trong cùng mạng LAN.
Duyệt web ẩn danh: Nếu đang sử dụng WiFi công cộng, duyệt web trên những
trang web không phải https, thì tính an toàn của dữ liệu trao đổi trong mạng sẽ dễ bị lộ.
Nếu muốn ẩn hoạt động duyệt web của mình để dữ liệu được bảo mật hơn thì bạn nên
kết nối VPN. Mọi thông tin truyền qua mạng lúc này sẽ được mã hóa.
Truy cập đến những website bị chặn giới hạn địa lý, bỏ qua kiểm duyệt Internet, vượt
tường lửa,...
Tải tập tin: Tải trên VPN sẽ giúp tăng tốc độ tải file. Điều này cũng có ích với các
traffic mà ISP của bạn có thể gây trở ngại.
Hình 2.1. Các ứng dụng VPN OPNSense hỗ trợ cài sẵn
Tường lửa OPNSense có hỗ trợ trực tiếp 2 ứng dụng OpenVPN và IPsec mà không cần
phải cài them bất cứ một plugin hay tiện ích mở rộng nào.
SV:Nguyễn Đình Trung Kiên
Lớp: ATTT-K15A | Trang 24
Đề tài: Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp
2.2.5. Filtering Caching Proxy
OPNSense được trang bị Proxy chuyển tiếp bộ đệm với đầy đủ tính năng. Proxy
lưu trữ sẽ giảm băng thông và cải thiện thời gian phản hồi bằng cách lưu trữ và sử dụng
lại các trang web được yêu cầu thường xuyên. Không cần phải tải lại trang giúp tiết kiệm
cả băng thông của webserver, tốc độ tải trang cũng như giảm tốc độ tải mạng của máy
tính truy cập. Danh sách điều khiển truy cập có thể được sử dụng để xác thực người
dùng và hoặc bộ lọc web (dựa trên danh mục có sẵn).
Các tính năng bao gồm:
-
Multi Interface Support
Transparent Mode (including SSL/HTTPS)
ICAP Support for Anti Virus/Malware Engine
HTTP Proxy
FTP Proxy
User Authentication
Access Control Lists (valid for both HTTP(S) and FTP)
(Compressed) Blacklist
Category Based Web Filtering
Can be combined with traffic shaper
Tính năng này đồng thời cũng giúp OPNSense kiểm soát truy cập, dựa trên:
-
Subnets
Ports
MIME types
Banned IP’s
Whitelists
Blacklists
Browser/User Agents
Proxy có thể được kết hợp với bộ công cụ kiểm soát lưu lượng truy cập và tận dụng tối
đa các tính năng định hình của chúng.
Chế độ trong suốt
Chế độ trong suốt có nghĩa là tất cả yêu cầu sẽ được chuyển hướng đến proxy mà
không có bất kỳ cấu hình nào trên máy khách (client) của bạn. Chế độ trong suốt hoạt
SV:Nguyễn Đình Trung Kiên
Lớp: ATTT-K15A | Trang 25
