Đang tải... (xem toàn văn)
Tên đề tài: TÌM HIỂU VỀ TƯỜNG LỬA PFSENSE. THỰC HIỆN CÀI ĐẶT VÀ CẤU HÌNH TƯỜNG LỬA TRÊN VMWAREWORKSTATIONS Trong bài này sẽ giới thiệu, tìm hiểu và hướng dẫn cài đặt tường lửa Pfsense trên máy ảo VMware Workstation. Cấu hình cơ bản giải quyết các vấn đề thường gặp trong thực tế.
BỘ GIAO THÔNG VẬN TẢI TRƯỜNG ĐẠI HỌC GIAO THÔNG VẬN TẢI THÀNH PHỐ HỒ CHÍ MINH KHOA CƠNG NGHỆ THÔNG TIN BÁO CÁO CHUYÊN ĐỀ THỰC TẾ Đề tài TÌM HIỂU VỀ TƯỜNG LỬA PFSENSE THỰC HIỆN CÀI ĐẶT VÀ CẤU HÌNH TƯỜNG LỬA TRÊN VMWAREWORKSTATIONS Nhóm sinh viên thực hiện: Nguyễn Hoài An Đoàn Văn Danh Đỗ Chi Quốc Bảo Trương Hoàng Trung Kiên Phạm Hoài Ân GV hướng dẫn: Trần Đức Doanh Hồ Chí Minh, ngày 21 tháng 04 năm 2022 MỤC LỤC GIỚI THIỆU CHUNG VỀ TƯỜNG LỬA PFSENSE 1.1 Tường lửa 1.2 Tường lửa PfSense 1.3 Lợi ích mà pfSense đem tới CÀI ĐẶT PFSENSE TRÊN MÁY ẢO 2.1 Cài đặt tường lửa Pfsense 2.2 Tính lợi ích PfSense 12 2.2.1 Aliases 12 2.2.2 NAT 13 2.2.3 Firewall Rules 17 2.2.4 Traffic shaper 20 2.2.5 VPN 23 2.2.6 Monitor băng thông 24 2.3 Một số dịch vụ Pfsense 25 2.3.1 Captive porta 25 2.3.2 DHCP Server 26 2.3.3 Load Balancer 27 ỨNG DỤNG PFSENSE VÀO MẠNG NỘI BỘ CỦA CÔNG TY 27 3.1 Một vài trường hợp ứng dụng PfSense vào mạng nội công ty 27 3.2 Thực hành demo với Pfsense 30 NHẬN XÉT 48 TÀI LIỆU THAM KHẢO 49 Yêu cầu đặt ra: - Tìm hiểu tường lửa Pfsense, cách cài đặt cấu hình tường lửa máy ảo VMWARE WORKSTATION - Có thể vận dụng kiến thức tìm hiểu để áp dụng vào thực tế giải tình thường gặp Phương pháp nghiên cứu: - Phương pháp học tập tích cực (Tìm hiểu lý thuyết áp dụng vào thực tiễn) GIỚI THIỆU CHUNG VỀ TƯỜNG LỬA PFSENSE 1.1 Tường lửa Tường lửa, firewall, rào chắn mà số cá nhân, tổ chức, doanh nghiệp thiết lập để ngăn chặn người dùng mạng Internet truy cập thông tin không mong muốn hoặc/và ngăn chặn người dùng từ bên ngồi truy nhập thơng tin bảo mật nằm mạng nội Nói cách khác, tường lửa thiết bị giúp kiểm soát truy cập mạng công cộng mạng nội bộ, để bảo đảm an toàn cho vận hành mạng nội 1.2 Tường lửa PfSense PfSense tường lửa mềm, tức bạn cần máy tính bất kì, tốt máy chủ, cài đặt PfSense có tường lửa mạnh mẽ cho hệ thống mạng doanh nghiệp Trong phân khúc tường lửa cho doanh nghiệp vừa nhỏ với khoảng 1000 người sử dụng, PfSense đánh giá tường lửa nguồn mở tốt với khả đáp ứng lên tới hàng triệu kết nối đồng thời Khơng thế, tường lửa PfSense cịn có nhiều tính mở rộng tích hợp, tất một, vượt xa tưởng lửa thông thường, kể tường lửa cứng hãng tiếng thiết bị mạng 1.3 Lợi ích mà pfSense đem tới Hồn tồn miễn phí, giá ưu vượt trội tường lửa pfSense Tuy nhiên, rẻ nghĩa chất lượng, tường lửa pfSense hoạt động ổn định với hiệu cao, tối ưu hóa mã nguồn hệ điều hành Cũng thê, PfSense khơng cần tảng phần cứng mạnh Nếu doanh nghiệp khơng có đường truyền tốc độ cao, tường lửa PfSense cần cài đặt lên máy tính cá nhân bắt đầu hoạt động Điều góp phần làm giảm chi phí triển khai, đồng thời tạo nên linh hoạt, tính mở rộng/sẵn sàng chưa có, doanh nghiệp muốn có nhiều tường lửa Khơng tường lửa, pfSense hoạt động thiết bị mạng tổng hợp với đầy đủ tính tồn diện sẵn sàng lúc Khi có vấn đề hệ thống mạng phát sinh, thay phải loay hoay tìm thiết bị thời gian đặt hàng, doanh nghiệp kết hợp tính đa dạng PfSense để tạo thành giải pháp hợp lý, khắc phục cố Không phần quan trọng khả quản lý Tường lửa pfSense quản trị cách dễ dàng, sáng qua giao diện web Như vậy, tường lửa pfSense kết hợp hoàn hảo mạnh mẽ, đem lại hợp lý cho nhà tài chính, tin tưởng cho nhà quản trị CÀI ĐẶT PFSENSE TRÊN MÁY ẢO Sơ đồ hệ thống mạng kết hợp với Pfsense 2.1 Cài đặt tường lửa Pfsense Chuẩn bị: - PC, Server, phần cứng cài đặt VMWare Worksation - Máy ảo VMWare WorkStaiton - File ISO Pfsense Bắt đầu cài đặt Pfsense Chọn Accept để bắt đầu cài đặt Chọn OK → Install Chọn Continue with default keymap → Select Chọn Auto (UFS) BIOS → OK Chọn No để hoàn thành cài đặt Chọn Reboot để khởi động lại phần mềm Chọn để đặt lại địa IP cho mạng LAN (Mặc định IP công cộng nhà cung cấp 192.168.1.1) Đặt địa IP 192.168.10.1 Enter the new LAN Ipv4 address Subnet: 24 DHCP Server chọn n → Enter 10 - Tạo NAT Outbound internet theo cổng WAN Chọn Firewall → NAT → Outbound (chọn Manual Outbound NAT) Interface: WAN Address Family: Ipv4 Source: Network → 192.168.10/24 Destination: Any 35 Address: interface Address Chọn Save → Apply changes để lưu lại PC có địa 192.168.10.10 ping thành công đến địa DNS Google 36 Truy cập thành cơng vào Youtube.com • Cấm máy tính truy cập vào youtube Sơ đồ hệ thống mạng Mơ tả: Doanh nghiệp muốn VLAN11 có đường mạng 192.168.11.0/24 muốn truy cập vào Internet cấm 192.168.11.21-192.168.11.22 truy cập vào youtube.com Giải pháp - Tạo Aliase (mxh) với nhóm dịch vụ youtube.com 37 Name: mxh Description: youtube Type: Host(s) IP or FQDN: www.youtube.com Chọn Save → Apply change để lưu lại - Tạo Aliase (nvc3) với nhóm Ipv4 38 Name: nvc3 Description: sách nhón Type: Host(s) IP or FQDN: 192.168.11.21 – 192.168.11.22 Chọn Save → Apply changes để lưu lại - Tạo NAT Outbound cho đường mạng 192.168.11.0/24 Interface: WAN Address Family: Ipv4 Source: Network → 192.168.11/24 Destination: Any Address: Interface Address 39 - Tạo Rules cấm truy cập từ Aliase (nvc3) truy cập đến Aliase (mxh) Action: Reject Interface: LAN11 Address Family: Ipv4 Protocol: Any Source: Single host or alias → nvc3 Destination: Single host or alias → mxh Chọn Save → Apply change để lưu lại - Tạo Rules cho phép Aliase(nvc3) truy cập Internet 40 Action: Pass Interface: LAN11 Address Family: Ipv4 Protocol: Any Source: Single host or alias → nvc3 Destination: Single host or alias → mxh Chọn Save → Apply change để lưu lại Lưu ý: Thứ tự Rules quan trọng Rules thực thi theo thứ tự từ xuống 41 Test truy cập thành công vào google.com Test truy cập thành công vào facebook.com 42 Test truy cập không thành công vào youtube.com Test truy cập từ PC 192.168.11.20 thành công vào youtube.com 43 • Lập lịch Pfsense Sơ đồ hệ thống mạng Mô tả: Hiện doanh nghiệp cho nhân viên truy cập vào youtube.com từ theo thời gian định thời gian cịn lại khơng phép truy cập Giải pháp - Tạo Schedule cách Firewall → Schedule Thêm lịch cách chọn Add 44 Schedule Name: Tên tùy ý Descrition: Tên tùy ý Month: May_23 (tháng năm 2023) Date: chọn thứ tuần để lên lịch Time: chọn thời gian bắt đầu thời gian kết thúc Time range descrition: tên tùy ý chọn add time Chọn Save để lưu lại Lưu ý: lý thuận lợi cho việc demo, nên thời gian chọn khác so với thực tế - Áp dụng vào Rules Chọn Rules muốn lên lịch Advanced Options: bấm chọn Display Advanced để show cửa sổ Advanced 45 Schedule: chọn tên lịch mà muốn áp dụng Chọn Save → Apply change để lưu Cho phép truy cập 46 Test truy cập thành công Cấm truy cập 47 Test truy cập không thành công NHẬN XÉT Trong đề tài này, chúng em tìm hiểu tường lửa cần thiết việc bảo vệ hệ thống mạng doanh nghiệp Chúng em tìm hiểu Pfsense - hệ thống tường lửa mã nguồn mở dựa tảng FreeBSD Pfsense có nhiều tính lợi ích, bao gồm khả bảo vệ mạng, quản lý dải địa IP, cân tải hỗ trợ nhiều giao thức VPN khác Pfsense cung cấp giao diện web dễ sử dụng tùy chỉnh để phù hợp với yêu cầu doanh nghiệp Ngoài ra, Pfsense hỗ trợ nhiều tính mạng DHCP server traffic shaper, giúp quản lý mạng dễ dàng Với linh hoạt khả tùy chỉnh cao, Pfsense lựa chọn tuyệt vời cho doanh nghiệp muốn tăng cường bảo mật mạng quản lý tường lửa hiệu Tổng kết lại, đề tài giúp chúng em nhận thức quan trọng tường lửa hệ thống mạng doanh nghiệp hiểu rõ Pfsense lợi ích mà mang lại Chúng em thực cài đặt cấu hình tường lửa VMWare Workstations, bao gồm việc thêm quy tắc tường lửa, tạo cấu hình sách NAT cấu hình VPN Pfsense 48 TÀI LIỆU THAM KHẢO Trang chủ pfSense: https://www.pfsense.org/ pfSense Documentation: https://docs.netgate.com/pfsense/en/latest/index.html pfSense Forum: https://forum.netgate.com/category/6/pfsense-generaldiscussion pfSense subreddit: https://www.reddit.com/r/PFSENSE/ pfSense Training: https://www.netgate.com/training/ pfSense Book: "pfSense: The Definitive Guide" by Christopher M Buechler and Jim Pingle 49