MỤC LỤC


DANH MỤC HÌNH ẢNH


CHƯƠNG I: TỔNG QUAN VỀ TƯỜNG LỬA
1.1.Tổng quan về an toàn thông tin trên mạng máy tính
Các mối đe dọa về an ninh, an toàn thông tin từ lâu đã là nỗi lo lắng của không
ít tổ chức, doanh nghiệp. Từ những vụ việc do rò rỉ thông tin khách hàng, mạo danh
danh tính doanh nghiệp để lừa đảo, hạ bệ uy tín ngày một gia tăng đã gióng lên hồi
chuông cảnh báo về mức độ nguy hiểm của môi trường an ninh mạng. Những đe dọa
này thường là những hình thức tấn công mạng rất phổ biến.
1.2 Các hình thức tấn công
1.2.1 Tấn công chủ động và bị động
-Những cuộc tấn công chủ động thông thường được sử dụng trong giai đoạn
đầu để chiếm quyền truy nhập bên trong. Một phương pháp tấn công cổ điển là dò tìm
tên người sử dụng và mật khẩu. Đây là phương pháp đơn giản, dễ thực hiện và không
đòi hỏi một điều kiện đặc biệt nào để bắt đầu. Kẻ tấn công có thể sử dụng những thông
tin như tên người dùng, ngày sinh, địa chỉ, số nhà vv.. để đoán mật khẩu. Trong
trường hợp có được danh sách người sử dụng và những thông tin về môi trường làm
việc, có một chương trình tự động hoá về việc dò tìm mật khẩu này.
-Trong cuộc tấn công bị động, các hacker sẽ kiểm soát traffic không được mã
hóa và tìm kiếm mật khẩu không được mã hóa (Clear Text password), các thông tin
nhạy cảm có thể được sử dụng trong các kiểu tấn công khác. Các cuộc tấn công bị
động bao gồm phân tích traffic, giám sát các cuộc giao tiếp không được bảo vệ, giải
mã các traffic mã hóa yếu, và thu thập các thông tin xác thực như mật khẩu.Các cuộc
tấn công chặn bắt thông tin hệ thống mạng cho phép kẻ tấn công có thể xem xét các
hành động tiếp theo. Kết quả của các cuộc tấn công bị động là các thông tin hoặc file
dữ liệu sẽ bị rơi vào tay kẻ tấn công mà người dùng không hề hay biết.
1.2.2 Virus, Worm, Trojan

-Đây là những virut máy tính. Virus máy tính là một chương trình phần mềm có
khả năng tự sao chép chính nó từ đối tượng lây nhiễm này sang đối tượng khác (đối
tượng có thể là các file chương trình, văn bản, máy tính...).Virus có nhiều cách lây lan
và tất nhiên cũng có nhiều cách phá hoại,và đa số đều có mục đích không tốt

1.2.3 Tấn công từ chối dịch vụ


-DOS attack hay còn gọi là tấn công từ chối dịch vụ .Phương thức tấn công này
chủ yếu nhắm vào các mục tiêu như: website, máy chủ trò chơi, máy chủ DNS..làm
chậm, gián đoạn hoặc đánh sập hệ thống.
1.2.4 Social Engineering
-Social Engineering là phương pháp tấn công, đột nhập vào một hệ thống của
một tổ chức, công ty, doanh nghiệp. Kỹ thuật tấn công Social Engineering là quá trình
đánh lừa người dùng của hệ thống, nhằm phá vỡ hệ thống an ninh, lấy cắp dữ liệu hoặc
tống tiền. Nói một cách khác, Social Engineering là một trò lừa đảo rất tinh vi được
thực hiện qua mạng internet, tỉ lệ thành công của hình thức này rất cao.Những kẻ tấn
công sử dụng kỹ thuật Social Engineering chủ yếu nhằm vào cá nhân, các tổ chức
công ty trong phạm vi hẹp.
1.3 Sự cần thiết của tường lửa
-Trước những nguy cơ đó, vấn đề đảm bảo an toàn cho mạng máy tính trở nên
rất cấp thiết và quan trọng hơn bao giờ hết. Các nguy cơ bị tấn công ngày càng nhiều
và ngày càng tinh vi hơn, nguy hiểm hơn. Đã có nhiều giải pháp bảo mật cho mạng
máy tính được đưa ra như dùng các phần mềm, chương trình để bảo vệ tài nguyên, tạo
những tài khoản truy xuất mạng đòi hỏi có mật khẩu … nhưng những giải pháp đó chỉ
bảo vệ một phần mạng máy tính, một khi những kẻ phá hoại mạng máy tính đã thâm
nhập sâu hơn vào bên trong mạng thì có rất nhiều cách để phá hoại hệ thống mạng. Vì
vậy đã đặt ra một yêu cầu là phải có những công cụ để chống sự xâm nhập mạng bất
hợp pháp ngay từ bên ngoài mạng, đó chính là nguyên nhân dẫn tới sự ra đời của
Firewall (Tường lửa).Một Firewall có thể lọc các lưu lượng Internet nguy hiểm như

hacker, các loại sâu, và một số loại virus trước khi chúng có thể gây ra trục trặc trên hệ
thống. Ngoài ra, Firewall có thể giúp cho máy tính tránh tham gia các cuộc tấn công
vào các máy tính khác mà không hay biết. Việc sử dụng một Firewall là cực kỳ quan
trọng đối với các máy tính luôn kết nối Internet, như trường hợp có một kết nối băng
thông rộng hoặc kết nối DSL/ADSL.

1.4 Tổng quan về tường lửa
1.4.1 Khái niệm và lịch sử phát triển


-Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để
ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ
thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ
các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ
thống.Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng
(Trusted network) khỏi các mạng không tin tưởng (Untrusted network).
Thông thường Firewall được đặt giữa mạng bên trong của một công ty, tổ chức,
ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự
truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong tới
một số địa chỉ nhất định trên Internet.
Ý tưởng đầu tiên được đã hình thành sau khi hàng loạt các vụ xâm phạm
nghiêm trọng đối với an ninh liên mạng xảy ra vào cuối những năm 1980. Năm 1988,
một nhân viên tại trung tâm nghiên cứu NASA Ames tại California gửi một bản ghi
nhớ qua thư điện tử tới đồng nghiệp rằng: "Chúng ta đang bị một con VIRUS Internet
tấn công! Nó đã đánh Berkeley, UC San Diego, Lawrence Livermore, Stanford, và
NASA Ames." Con virus được biết đến với tên Sâu Morris này đã được phát tán qua
thư điện tử và khi đó đã là một sự khó chịu chung ngay cả đối với những người dùng
vô thưởng vô phạt nhất. Sâu Morris là cuộc tấn công diện rộng đầu tiên đối với an ninh
Internet. Cộng đồng mạng đã không hề chuẩn bị cho một cuộc tấn công như vậy và đã
hoàn toàn bị bất ngờ. Sau đó, cộng đồng Internet đã quyết định rằng ưu tiên tối cao là

phải ngăn chặn không cho một cuộc tấn công bất kỳ nào nữa có thể xảy ra, họ bắt đầu
cộng tác đưa ra các ý tưởng mới, những hệ thống và phần mềm mới để làm cho mạng
Internet có thể trở lại an toàn.
1.4.2 Nguyên lý hoạt động
-Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc
theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói
chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP,
NFS …) thành các gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ
có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan
rất nhiều đến các packet và những con số địa chỉ của chúng.


Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra
toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các
luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở
đầu mỗi packet (header), dùng để cho phép truyền các packet đó ở trên mạng. Bao
gồm:
• Địa chỉ IP nơi xuất phát (Source)
• Địa chỉ IP nơi nhận ( Destination)
• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …)
• Cổng TCP/UDP nơi xuất phát
• Cổng TCP/UDP nơi nhận
• Dạng thông báo ICMP
• Giao diện packet đến
• Giao diện packet đi
Nếu packet thỏa mãn các luật lệ đã được thiết lập trước của Firewall thì packet
đó được chuyển qua, nếu không thỏa mãn thì sẽ bị loại bỏ. Việc kiểm soát các cổng
làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định được phép
mới vào được hệ thống mạng cục bộ. Cũng nên lưu ý là do việc kiểm tra dựa trên
header của các packet nên bộ lọc không kiểm soát được nội dụng thông tin của packet.

Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông
tin hay phá hoại của kẻ xấu.
1.4.3 Các loại tường lửa phổ biến
Một số loại tường lửa phổ biến :
+ Tường lửa Smoothwall
+ Tường lửa ClearOS
+ Tường lửa pfSense
+ Tường lửa Zentyal
+ Tường lửa OPNsense
+ Tường lửa IPFire
+ Tường lửa ASA


CHƯƠNG II. TƯỜNG LỬA PFSENSE
2.1.Giới thiệu tường lửa pfSense
 An toàn thông tin, dữ liệu là vấn đề cấp thiết đặt ra cho các tổ chức, doanh nghiêp vừa
và nhỏ, nhưng đồng thời đó cũng là một gánh nặng chi phí trong trường hợp tài chính
hạn hẹp. Phải làm thế nào, và liệu các thiết bị “Tường lửa tất cả trong một “ có phải là
giải pháp ?
 Để bảo vệ cho hệ thống mạng bên trong thì chúng ta có nhiều giải pháp như sử dụng
Router Cisco, dùng tường lửa của Microsoft như ISA. Tuy nhiên những thành phần kể
trên tương đối tốn kém. Vì vậy đối với người dùng không muốn tốn tiền nhưng lại
muốn có một tường lửa bảo vệ hệ thống mạng bên trong (mạng nội bộ) khi mà chúng
ta giao tiếp vối hệ thống mạng bên ngoài (Internet) thì PFSENSE là một giải pháp tiết
kiệm và hiệu quả tương đối tốt nhất đối với người dùng.

Hình 1.1. Logo pfSense
 PfSense là một ứng dụng có chức năng định tuyến vào tường lửa mạnh và miễn phí,
ứng dụng này sẽ cho phép người dùng mở rộng mạng của mình mà không bị thỏa hiệp
về sự bảo mật. Bẳt đầu vào năm 2004, khi m0n0wall mới bắt đầu chập chững, đây là

một dự án bảo mật tập trung vào các hệ thống nhúng. PfSense đã có hơn 1 triệu
download và được sử dụng để bảo vệ các mạng ở tất cả kích cỡ, từ các mạng gia đình
đến các mạng lớn của của các công ty. Ứng dụng này có một cộng đồng phát triển rất
tích cực và nhiều tính năng đang được bổ sung trong mỗi bản phát hành nhằm cải thiện
hơn nữa tính bảo mật, sự ổn định và khả năng linh hoạt của nó.
 PfSense bao gồm nhiều tính năng mà chúng ta vẫn thấy trên các thiết bị tường lửa
hoặc router thương mại, chẳng hạn như GUI trên nền Web tạo sự quản lý một cách dễ
dàng. Trong khi đó phần mềm miễn phí này còn có nhiều tính năng ấn tượng đối với
firewall/router miễn phí, tuy nhiên cũng có một số hạn chế. PfSense hỗ trợ lọc bởi địa
chỉ nguồn và địa chỉ đích, cổng nguồn hoặc cổng đích hay địa chỉ IP. Phần mềm này


cũng hỗ trợ chính sách định tuyến và có thể hoạt động trong các chế độ bridge hoặc
transparent, cho phép người dùng chỉ cần đặt pfSense ở giữa các thiết bị mạng mà
không cần đòi hỏi việc cấu hình bổ sung. pfSense cung cấp network address
translation (NAT) và tính năng chuyển tiếp cổng, tuy nhiên ứng dụng này vẫn còn một
số hạn chế với Point-to-Point Tunneling Protocol (PPTP), Generic Routing
Encapsulation (GRE) và Session Initiation Protocol (SIP) khi sử dụng NAT. PfSense
được dựa trên FreeBSD và giao thức Common Address Redundancy Protocol (CARP)
của FreeBSD, cung cấp khả năng dự phòng bằng cách cho phép các quản trị viên
nhóm hai hoặc nhiều tường lửa vào một nhóm tự động chuyển đổi dự phòng. Vì phần
mềm này hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên có thể thực hiện việc cân
bằng tải
2.2. Một số ứng dụng và dịch vụ cơ bản của tường lửa pfSense
2.2.1. Một số ứng dụng của tường lửa pfSense
2.2.1.1.Firewall Rules

Hình 2.1.Giao diện Firewall Rules
 Đây là nơi lưu các rules (Luật) của Firewall. Lọc theo nguồn và đích IP, giao thức IP,
cổng nguồn và đích cho TCP và UDP lưu lượng truy cập, có khả năng giới hạn kết nối

đồng thời, cho phép các nhóm bí danh, tên mạng và các cổng. Điều này giúp giữ cho
tường lửa của người dùng “sạch sẽ”, đặc biệt là trong các môi trường với nhiều địa chỉ


IP công cộng và các Server rất nhiều.
 Vô hiệu hóa bộ lọc : Người dùng có thể tắt tường lửa lọc hoàn toàn nếu muốn
chuyển pfSense vào một route khác.
 Mặc định pfSense cho phép mọi traffic ra vào hệ thống. Người dùng phải tạo ra các
rules để quản lí mạng bên trong Firewall.
2.2.1.2. NAT

Hình 2.2 Giao diện Firewall NAT
 PfSense cung cấp Network Address Translation (NAT) và tính năng chuyển tiếp cổng,
tuy nhiên ứng dụng này vẫn còn một số hạn chế với Point-to-Point Tunnelling Protocol
(PPTP), Generic Routing Encapsulation (GRE) và Session Initiation Protocol (SIP) khi
sử dụng NAT.
 Trong Firewall cũng có thể cấu hình các thiết lập NAT nếu cần sử dụng cổng chuyển
tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1) cho các Host cụ thể. Thiết lập mặc
định của NAT cho các kết nối outbound là automatic/dynamic, tuy nhiên cũng có thể
thay đổi kiểu manual nếu cần.


2.2.1.3. Traffic Shaper

Hình 2.3. Giao diện Firewall Trafic Shaper
 Traffic Shape giúp theo dõi và quản lí băng thông mạng dễ dàng và hiệu quả hơn, điều

khiển lưu lượng mạng máy tính để tối ưu hóa hiệu suất, độ trễ thấp hơn, hoặc tăng
băng thông bằng cách trì hoãn, có thể sử dụng các gói dữ liệu đáp ứng theo tiêu chí
nhất định.

 Traffic Shaping là phương pháp tối ưu hóa kết nối Internet. Phương pháp này tăng tối

đa tốc độ trong khi đảm bảo tối thiểu thời gian trễ. Khi sử dụng những gói dữ liệu
ACK được sắp xếp thứ tư ưu tiên trong đường truyền tải lên, điều này cho phép tiến
trình tải về được tiếp tục với tốc độ tối đa.


2.2.1.4. Virtual IP

Hình 2.4.Giao diện Firewall Virtual IP Address
Một Virtual IPs có thể sử dụng bất kỳ địa chỉ IP của pfSense, đó không phải là
một địa chỉ IP chính. Virtual IP được sử dụng để cho phép pfSense thực hiện đúng
cách chuyển tiếp lưu lượng cho những cổng NAT, NAT Outbound, và NAT 1:1. Tính
năng này cũng cho phép các tính năng như failover, và có thể cho phép các dịch vụ
trên router để gắn kết với địa chỉ IP khác nhau. . Trong các tình huống khác nhau,
Virtual IP điều có các tính năng riêng:
 CARP : có thể sử dụng bởi các tường lửa của chính nó để chạy các dịch vụ hoặc được

chuyển tiếp, tạo ra hai lớp traffic cho các VIP. Có thể được sử dụng cho clustering
(tường lửa và tường lửa chủ failover chế độ chờ). Các VIP đã được đưa vào trong cùng
một subnet IP của giao diện thực. Trả lời ICMP ping nếu được phép theo quy tắc tường
lửa.
 Proxy ARP : Không thể sử dụng được vì bị chặn bởi các tường lửa của chính nó,
nhưng có thể được chuyển tiếp, tạo ra lớp hai traffic cho các VIP. Các VIP có thể được
đưa vào trong một subnet khác với IP của giao diện thực, không trả lời gói tin ICMP
ping.
 Other : Có thể được sử dụng nếu nó cung cấp cho người dùng VIP mặc dù người dùng
không cần gửi thông báo ở tầng hai. Không thể sử dụng bởi tường lửa của nó, nhưng



có thể được chuyển tiếp, các VIP có thể được đưa vào trong một subnet khác với
interface IP. Other không trả lời ICMP ping
2.3.2 Một số dịch vụ của tường lửa pfSense
2.3.2.1. DHCP Server
2.3.2.1.1.Giới thiệu
DHCP viết tắt của từ Dynamic Host Configuration Protocol - Giao thức cấu
hình Host động. Giao thức cung cấp phương pháp thiết lập các thông số cần thiết cho
hoạt động của mạng TCP/IP giúp giảm khối lượng công việc cho quản trị hệ thống
mạng. DHCP server là một máy chủ có cài đặt dịch vụ DHCP. Giao thức này có chức
năng quản lý sự cấp phát địa chỉ IP động và các dữ liệu cấu hình TCP/IP.
Pfsense cung cấp dịch vụ DHCP server dùng để tự động cấu hình cho mạng
TCP/IP bằng cách tự động gán các địa chỉ IP cho các máy client khi nó tham gia vào
mạng.
2.3.2.1.2. Các tính năng trong menu DHCP Server

Hình 2.5.Giao diện của DHCP Sever
 Enable DHCP server on LAN interface :Cho phép dịch vụ DHCP server trong

pfsense hoạt động.
 Deny unknown clients : không cấp phát ip cho các máy client không được xác định.
 Range : giới hạn địa chỉ cấp phát cho các máy client.


 Default lease time : mặc định thời gian dhcp cấp phát IP cho client ngừng hoạt động

(mặc định nếu không nhập vào là 7200 giây).
 Maximun lease time : thời gian tối đa máy client được sử dụng IP do dhcp cấp phát
(mặc định là 86400 giờ ).
2.3.2.2. Captive portal
2.3.2.2.1.Giới thiệu


Hình 2.6.Giao diện của Captive portal
 Captive portal là một tính năng thuộc dạng flexible, chỉ có trên các firewall thương

mại lớn. Tính năng này giúp chuyển hướng trình duyệt của người dùng vào một trang
Web định sẵn, từ đó giúp chúng ta có thể quản lý được người dùng (hoặc cấm không
cho người khác dùng mạng của mình). Tính năng này tiên tiến hơn các kiểu đăng nhập
như WPA, WPA2 ở chỗ người dùng sẽ thao tác trực tiếp với 1 trang web (http, https)
chứ không phải là bảng đăng nhập khô khan như kiểu authentication WPA, WPA2.
 Captive Portal cho phép việc chứng thực có hiệu quả, hoặc chuyển hướng click chuột
thông qua trang web để truy cập vào mạng. Điều này thường được dùng vào các vị trí
mạng nóng, nhưng cũng được sử dụng rộng rãi trong các mạng doanh nghiệp thêm
một lớp bảo mật truy cập mạng không dây hoặc Internet.
2.3.2.2.2.Các tính năng trong Captive pỏtal
 Captive portal: tinh chỉnh các chức năng của Captive Portal.


 Pass-though MAC: các MAC address được cấu hình trong thư mục này sẽ bỏ qua,






không chứng thực.
Allowed IP address: các IP address được cấu hình sẽ không chứng thực.
User : tạo local user để dùng kiểu chứng thực local user.
Hai tính năng Pass-though MAC và Allowwed IP address được dùng để cấu
hình server.
File Manager: tải trang quản lý của Captive portal lên pfSense.

2.3.2.3. Load Balancer
2.3.2.3.1.Giới thiệu

Hình 2.7.Giao diện của Load Balancer
Load Balancing hay còn gọi là cân bằng tải, đây là một dịch vụ tích hợp trong
pfSense với nhiều tính năng hữu ích, dịch vụ này có hai kiểu cân bằng tải, hỗ trợ khi
một trong hai đường ADSL bị ngắt thì dịch vụ sẽ sử dụng đường còn lại hoặc có thể
gồm cả hai đường ADSL này thành một để tăng tốc độ tải xuống. Khả năng load
balancing của pfSense rất tốt , vẫn làm việc bình thường khi rút một trong hai đường
ADSL nhưng khi cắm lại 2 đường thì tốc độ tải xuống được tăng tốc độ lên rất nhanh.
Chức năng Load Balancing của pfsense có những đặc điểm:.
 Ưu điểm
-Miễn phí.
-Có khả năng bổ sung thêm tính năng bằng gói dịch vụ cộng thêm.


-Dễ cài đặt, cấu hình.
 Hạn chế
-Phải trang bị thêm modem nếu không có sẵn.
-Không được hỗ trợ từ nhà sản xuất như các thiết bị cân bằng tải khác.
-Vẫn chưa có tính năng lọc URL như các thiết bị thương mại.
-Đòi hỏi người sử dụng phải có kiến thức cơ bản về mạng để cấu hình.
2.3.2. 4 VNP

Hình 2.8. Giao diện của VPN
 VPN là một mạng riêng sử dụng hệ thống mạng công cộng(thường là Internet) để kết
nối các địa điểm hoặc người dùng từ xa với một mạng LAN ở trụ sở trung tâm.Thay vì
dùng kết nối thật khá phức tạp như các đường dây thuê bao số,VPN tạo ra các liên kết
ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người
sử dụng ở xa.

 Trước đây, để truy cập từ xa vào hệ thống mạng,người ta thường sử dụng phương thức
Remote Access quay số dựa trên mạng điện thoại.Phương thức này vừa tốn kém vừa
không an toàn.
 VPN cho phép các máy tính truyền thông với nhau thông qua một môi trường chia sẻ
như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu.


 Giải pháp VPN (Virtual Private Network) được thiết kế cho những tổ chức có xu
hướng tăng cường thông tin từ xa và địa bàn hoạt động rộng (trên toàn quốc hay toàn
cầu). Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được
được chi phí và thời gian.
 Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng chính), các
mạng LAN khác tại những văn phòng từ xa, các điểm kết nối (như Văn phòng tại gia)
hoặc người sử dụng (Nhân viên di động) truy cập đến từ bên ngoài.
 Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một
header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền
qua môi trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống
riêng được gọi là tunnel. Để bảo đảm tính riêng tư và bảo mật trên môi trường chia sẻ
này, các gói tin được mã hoá và chỉ có thể giải mã với những khóa thích hợp, ngăn
ngừa trường hợp "trộm" gói tin trên đường truyền.
 PfSense hỗ trợ VPN trong sử dụng Internet Protocol Security(IPSec), OpenVPN hoặc
PPTP.


CHƯƠNG III. TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA PFSENSE
3.1. Mô hình tổng quan

Hình 3.1 .Mô hình tổng quan
Mô hình này gồm 3 máy như sau:
 Một máy Pfsense làm nhiệm vụ bảo vệ mạng gồm 3 interface là:


+ Vmnet0 (Nối với vùng mạng giả định Internet)
+ Vmnet2 (Nối với mang LAN)
+ Vmnet3 (Nối với vùng DMZ)
 Một máy LAN dùng windown XP đóng vai trò mạng Lan
 Một máy Windown Sever 2003 đóng vai trò là vùng DMZ( chứa máy chủ WebSever)
=> Tất cả các máy trong mô hình Demo được cài đặt trên máy ảo VMware
Đặt địa chỉ IP cho các máy như sau:
Máy PfSense

Card Mạng

WAN

LAN

DMZ


IP Address

192.168.1.1/24

10.0.0.1/24

172.16.0.1/24

Subnet mask

255.255.255.0


255.255.255.0

255.255.255.0

Máy LAN

Máy DMZ

Card Mạng

LAN

Card Mạng

DMZ

IP Address

10.0.0.100

IP Address

172.16.0.100

Subnet mask

255.255.255.0

Subnet mask


255.255.255.0

Default gateway

10.0.0.1

Default gateway

172.16.0.1

DNS

8.8.8.8

DNS

8.8.4.4

Danh sách Demo thực hiện:
-Tạo Firewall Rule cho phép LAN truy cập vào Internet
-Cấu hình Rules cho phép LAN truy cập được vào DMZ(Websever)
-Cấu hình Proxy trên LAN, chặn LAN truy cập vào web không mong muốn
-Cấu hình DHCP cho mạng LAN
3.2. Các bước cài đặt và triển khai hệ thống tường lửa pfSense :
3.2.1.Cài đặt và cấu hình
3.2.1.1.Cài đặt pfSense
 Sử dụng máy ảo VMWare 12.0 để tiến hành cài đặt pfSense



Hình 3.1.Giao diện cài đặt pfSense
 Đợi 2s trong khi pfSemse auto boot

Hình 3.2.Giao diện cài đặt pfSense


 Chọn Accept

Hình 3.3.Giao diện cài đặt pfSense
 Chọn Accept these setting để chấp nhận cài đặt

Hình 3.4.Giao diện cài đặt pfSense


 Chọn Quick/Easy Install để cài đặt vào ổ cứng

Hình 3.5.Giao diện cài đặt pfSense
Chọn Uniprocessor kernel(one processor) để tiếp tục

Hình 3.6.Giao diện cài đặt pfSense


 Quá trình cài đặt đã hoàn thành. Chọn Reboot để khởi động lại pfSense
3.2.1.2.Cấu hình card mạng LAN và WAN cho pfSense

Hình 3.7. Giao diện cấu hình card mạng của pfSense
 Chọn 2 để cấu hình địa chỉ ip cho card LAN và DMZ
 Nhập địa chỉ : 10.0.0.1 cho LAN và 172.16.0.1 cho DMZ
 Nhập Subnet Masks: 24
 Nhập N để bỏ qua bước cấu hình DHCP



3.2.1.3. Cài đặt WebSever trong vùng DMZ:
 Cài WindowSever 2003 trên máy ảo VM Ware

Hình 3.8.Giao diện cài đặt Windows Sever 2003
 Cài đặt dịch vụ IIS: vào Control Panel -> Add or remove programs -> Add/remove

windows components -> Aplication Server

Hình 3.9.Giao diện Cài đặt dịch vụ IIS


 Vào Start => Administrative Tools => Internet Information Services(IIS) Manager
 Vào Web Sites => New Site=> Cài đặt như hình

Hình 3.10.Giao diện cài đặt New Website
 Thêm file index.html(tự tạo) vào đường dẫn C:/index để test Websever

Hình 3.11.Giao diện cài đặt flile index.html
 Vào trình duyệt gõ 172.16.0.100 kiểm tra =>Thành công


Hình 3.12.Giao diện test WebSever
3.2.2.Demo triển khai tính năng Firewall
3.2.2.1.Tạo Firewall Rule cho phép LAN truy cập vào Internet
Mô tả: Công ty của bạn có nhu cầu cho nhân viêt kết nối Internet để phục vụ
cho công việc
Yêu cầu: Cho người dùng vào Internet
Hình thức: Cho phép người sử dụng nội bộ vào mạng

Menu thực hiện: Firewall ► Ruler► LAN
Các bước thực hiện:
 Vào Firewall=>Rule=>LAN