Show How to install Firewall pfSense – pfSense TutorialGiới thiệu pfSense: PfSense là một ứng dụng có chức năng định tuyến, tường lửa và miễn phí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo mật. Bắt đầu vào năm 2004, khi m0n0wall mới bắt đầu chập chững – đây là một dự án bảo mật tập trung vào các hệ thống nhúng – pfSense đã có hơn 1 triệu lượt download và được sử dụng để bảo vệ các mạng có tất cả kích cỡ, từ mạng gia đình đến các mạng lớn của các công ty/doanh nghiệp. Ứng dụng này có một cộng đồng phát triển rất tích cực và nhiều tính năng đang được bổ sung trong mỗi lần phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn định và khả năng linh hoạt của nó. Và là một trong số ít những firewall có tính năng trạng thái, chỉ thường xuất hiện ở những firewall thương mại lớn như Cisco ASA, Checkpoint, Juniper … Mô hình triển khai hệ thống Firewall PfsenseMô hình gồm 4 máy:
Triển khai Firewall pfSense – Có video hướng dẫn chi tiết phần cuối bài Để tải Pfsense, các bạn vào trang chủ pfSense ( https://www.pfsense.org ) download file .ISO phiên bản mới nhất về máy và tiến hành cài đặt. Trên máy tính muốn cài dùng USB boot pfSense hoặc đĩa vào để tiến hành cài đặt. Chúng ta sẽ vào Welcom to pfSende. Các bạn nhấn phím số 1 để không phải chờ hoặc để nguyên để chờ chạy qua 30s ban đầu, mặc định hết thời gian chờ cũng sẽ . Chọn Accept these Settings để tiếp tục cài đặt. – Chọn Quick/Easy Install để cài đặt theo mặc định hoặc chọn Custom Install để bắt đầu cài vào ổ cứng. Lưu ý: Custom Install là chế độ thiết lập ổ cứng bằng tay, còn chế độ Quick/Easy Install thì sẽ tự động tìm ổ cứng và cài đặt. trong bài hướng dẫn này mình chọn chế độ Quick/Easy Install. Bước cảnh báo rằng sẽ xóa hết dữ liệu trên ổ cứng tìm thấy. Ngoài ra còn cảnh báo rằng nếu không muốn xóa thì quay lại chọn mục Custom Install như ở trên. Mình sẽ Enter để đi đến bước theo Chọn Standard Kernel và Enter Quá trình cài đặt hoàn tất, Chọn Reboot để khởi động lại và vào hệ điều hành Sau khi khởi động vào hệ điều hành. Mặc định thì khi cài xong thì Card mạng LAN sẽ được gắn sẵn IP 192.168.1.1. Không phải thiết lập IP ban đầu như các phiên bản trước. Hiện tại với bài hướng dẫn này phiên bản mình đang cài ở đây là phiên bản pfSense-CE-2.3.4-RELEASE-amd64. Ngoài ra ở phiên bản này, để cấu hình IP các Card mạng bạn cũng cần phải vào Webconfig chứ k thể đặt được IP ngay trên HĐH nữa. Lưu ý: ở đây mình chỉ để 2 card mạng để demo. Nếu các bạn làm theo đúng mô hình trên thì phải để 3 card mạng nhé. Tiếp theo dùng một máy tính khác trong mạng LAN, truy cập Webconfig để cấu hình các bước tiếp theo. Địa chỉ truy cập mặc định: 192.168.1.1 Username mặc định ban đầu: admin Password mặc định ban đầu: pfsense Màn hình đăng nhập sau khi tiến hành truy cập vào Webconfig: Video hướng dẫnNhư vậy tuanvd.com đã hướng dẫn các bạn cài đặt Firewall pfSense hoàn chỉnh. Chúc các bạn thành công. Để bảo vệ cho hệ thống mạng bên trong thì chúng ta có giải pháp sử dụng thiết bị tường lửa cứng như PIX Firewall của Cisco…, hoặc dùng tưởng lửa mềm của Microsoft như ISA … Tuy nhiên những thành phần kể trên tương đối tốn kém. Vì vậy đối với người dùng không muốn tốn tiền nhưng lại muốn có một tường lửa bảo vệ hệ thống mạng bên trong (mạng nội bộ) khi mà chúng ta giao tiếp với hệ thống mạng bên ngoài (Internet)thì pfSense là một giải pháp tiết kiệm và hiệu quả tương đối tốt nhất đối với người dùng. PfSense là một ứng dụng có chức năng định tuyến, tường lửa và miễn phí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo mật. Bắt đầu vào năm 2004, khi m0n0 wall mới bắt đầu chập chững – đây là một dự án bảo mật tập trung vào các hệ thống nhúng – pfSense đã có hơn 1 triệu lượt download và được sử dụng để bảo vệ các mạng có tất cả kích cỡ, từ mạng gia đinh đến các mạng lớn của các công ty/doanh nghiệp. Ứng dụng này có một cộng đồng phát triển rất tích cực và nhiều tính năng đang được bổ sung trong mỗi lần phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn định và khả năng linh hoạt của nó. PfSense bao gồm nhiều tính năng mà bạn vẫn thấy trên các thiết bị tường lửa hoặc router thương mại, chẳng hạn như giao diện người dùng (GUI) trên nền Web tạo sựquản lý một cách dễ dàng. Trong khi đó phần mềm miễn phí này còn có nhiều tính năng ấn tượng đối với firewall/router miễn phí, tuy nhiên cũng có một số hạn chế. PfSense hỗ trợ lọc bởi địa chỉ nguồn và địa chỉ đích, cổng nguồn hoặc cổng đích hay địa chỉ IP. Nó cũng hỗ trợ chính sách định tuyến và cơ chế hoạt động trong chế độ brigde hoặc transparent, cho phép bạn chỉ cần đặt pfSense ở giữa các thiết bị mạng mà không cần đòi hỏi việc cấu hình bổ sung. PfSense cung cấp cơ chế NAT và tính năng chuyển tiếp cổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với Point-to-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và Session InitiationProtocol (SIP) khi sử dụng NAT. PfSense được dựa trên FreeBSD và giao thức Common Address Redundancy Protocol (CARP) của FreeBSD, cung cấp khả năng dự phòng bằng cách cho phép các quản trị viên nhóm hai hoặc nhiều tường lửa vào một nhóm tự động chuyển đổi dự phòng. Vì nó hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên có thể thực hiện việc cân bằng tải. Tuy nhiên có một hạn chế với nó ở chỗ chỉ có thể thực hiện cân bằng lưu lượng phân phối giữa hai kết nối WAN và không thể chỉ định được lưu lượng cho qua một kết nối.
Với tính năng này chúng ta có thể gom nhóm các ports, host hoặc Network(s) khác nhau và đặt cho chúng một cái tên chung để thiết lập những quy tắc được dễ dàng và nhanh chóng hơn. Để vào Aliases của pfSense, ta vào Firewall => Aliaes Các thành phần trong Aliases: – Host: tạo nhóm các địa chỉ IP. – Network : tạo nhóm các mạng. – Port: Cho phép gom nhóm các port nhưng không cho phép tạo nhóm các protocol. Các protocol được sử dụng trong các rule. 2. Rules Nơi lưu các rules (Luật) của Firewall. Để vào Rules của pfSense, ta vào Firewall => Rules. Mặc định pfSense cho phép mọi traffic ra/vào hệ thống. Bạn phải tạo các rules để quản lý mạng bên trong Firewall.Một số lựa chọn trong Destination và Source. – Any: Tất cả. – Single host or alias: Một địa chỉ ip hoặc là một bí danh. – Lan subnet: Đường mạng Lan. – Network: địa chỉ mạng. – Lan address: Tất cả địa chỉ mạng nội bộ. – Wan address: Tất cả địa chỉ mạng bên ngoài. – PPTP clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPTP. – PPPoE clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPPoE. 3. Firewall schedules Các Firewall rules có thể được sắp xếp để nó chỉ hoạt động vào các thời điểm nhất định trong ngày hoặc vào những ngày nhất định cụ thể hoặc các ngày trong tuần. Đây là một cơ chế rất hay vì nó thực tế với những yêu cầu của các doanh nghiệp muốn quản lí nhân viên sử dụng internet trong giờ hành chính. Đề tạo một Schedules mới, ta vào Firewall => Schedules: Nhấn dấu + Sau khi tạo xong nhấn Add Time => Save 4. Nat Trong Firewall bạn cũng có thể cấu hình các thiết lập NAT nếu cần sử dụng cổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1) cho các host cụ thể. Thiết lập mặc định của NAT cho các kết nối outbound là Automatic outbound NAT …, tuy nhiên bạn có thể thay đổi kiểu Manual outbound NAT .. nếu cần. 5. Traffice shapper (Quản lý băng thông) Với tính năng Traffic Shaper giúp bạn theo dõi và quản lí băng thông mạng dễ dàng và hiệu quả hơn. Để cấu hình Traffic Shaper ta chọn Firewall => Traffic Shaper => Next 6. Virtual IPs Virtual IP được sử dụng để cho phép pfSense đúng cách chuyển tiếp lưu lượng cho những việc như chuyển tiếp cổng NAT, NAT Outbound và NAT 1:1. Nó cũng cho phép các tính năng như failover, và có thể cho phép dịch vụ trên router để gắn kết với địa chỉ IP khác nhau. Proxy ARP Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được chuyển tiếp. CARP Có thể được sử dụng bởi các tường lửa chính nó để chạy các dịch vụ hoặc được chuyển tiếp. Other Có thể được sử dụng nếu các tuyến đường cung cấp cho bạn VIP của bạn dù sao mà không cần thông báo lớp 2.
Captive portal cho phép admin có thể chuyển hướng client tới một trang web khác,từ trang web này client có thể phải chứng thực trước khi kết nối tới internet. Tính năng captive portal nằm ở mục Services/captive portal. Dịch vụ Captive Portal – Captive portal: Tinh chỉnh các chức năng của Captive Portal. – Enable captive portal: Đánh dấu chọn nếu muốn sử dụng captive portal. – Maximum concurrent connections: Giới hạn các connection trên mỗi ip/user/mac. – Idle timeout: Nếu mỗi ip không còn truy cập mạng trong 1 thời gian xác định thì sẽ ngắt kết nối của ip/user/mac. – Hard timeout: Giới hạn thời gian kết nối của mỗi ip/users/mac. – Logout popup windows: Xuất hiện 1 pop up thông báo cho ip/user/mac. – Redirect URL: Địa chỉ URL mà người dùng sẽ được direct tới sau khi đăng nhập – Pass-through MAC: Các MAC address được cấu hình trong mục này sẽ được bỏ qua không authentication. – Allowed IP address: Các IP address được cấu hình sẽ không authentication – Users: Tạo local user để dùng kiểu authentication: local user – File Manager: Upload trang quản lý của Captive portal lên pfSense. Có 3 kiểu chứng thực client: – No authentication: pfSense sẽ điều hướng người dùng tới 1 trang nhất định mà không chứng thực. – Local user manager: pfSense hỗ trợ tạo user để chứng thực. – Radius authentication: Chứng thực bằng radius server (Cần chỉ ra địa chỉ IPcủa radius, port, …). 2. DHCP Server Dịch vụ này cho phép pfSense cấp địa chỉ IP và các thông tin cấu hình cho client trong mạng LAN. Tính năng này nằm trong Services => DHCP server . – Bật tính năng cấp IP động cho các máy client. – Tính năng cấp IP động – Ta có thể gán địa chỉ IP vĩnh viễn cho bất cứ một máy tính nào trên mạng 3. DHCP replay Dịch vụ này cho phép pfSense forward yêu cầu cấp IP của client nằm trong một subnet nào đó tới một DHCP server cho trước. Chỉ được phép chạy một trong hai dịch vụ DHCP server và DHCP relay. 4. Load Balancer Với chức năng này bạn có thể điều phối mạng hay còn gọi là cân bằng tải mạng. Có 2 loại load balancing trên pfSense: – Gateway load balancing: được dùng khi có nhiều kết nối WAN. Client bên trong LAN khi muốn kết nối ra ngoài Internet thì pfSense lựa chọn card WAN để chuyển packet ra card đó giúp cho việc cân bằng tải cho đường truyền. – Server load balancing: cho phép cân bằng tải cho các server của mình. Được dùng phổ biến cho các web server, mail server và server không hoạt động nữa thì sẽ bị remove. 5. VPN PPTP Để sử dụng chức năng này bạn vào VPN => PPTP – Chọn Enable PPTP server để bật tính năng VPN. – Server address: Địa chỉ server mà client sẽ kết nối vào. – Remote address range: Dải địa chỉ IP sẽ cấp khi VPN client kết nối. – RADIUS: Chứng thực qua RADIUS. – Chọn Save và chuyển qua tab User để tạo tài khoản. – Cần tạo Rules cho phép VPN client truy cập vào mạng. 6. Một số dịch vụ khác – System log: theo dõi hoạt động của hệ thống pfSense và các dịch vụ mà pfSense cung cấp. Mọi hoạt động của hệ thống và dịch vụ đều được ghi lại. – System Status: Liệt kê các thông tin và tình trạng của hệ thống. – Service Status: Hiển thị trạng thái của tất cả các service có trong hệ thống. Mỗi service có hai trạng thái là: running, stopped. – Interface Status: Hiển thị thông tin của tất cả card mạng. – RRD Graph: Hiển thị các thông tin dưới dạng đồ thị. Các thông tin mà RRD Graph sẽ thể hiện là: System, Traffic, Packet, Quality, Queues. |