Mạng Internet ngày phát triển ngày rộng rãi lứa tuổi sử dụng Bên cạnh lợi ích tuyệt vời xem video, hình ảnh, xem phim, tra cứu thơng tin… tiềm tàng nguy bị xâm nhập bất hợp pháp đánh cắp liệu cá nhân Do mà Firewall xuất giải pháp vơ hữu hiệu cho doanh nghiệp, cá nhân Firewall đời giúp ngăn chặn công mạng xảy ra, lọc tất thông tin thông qua kết nối Internet vào mạng hệ thống máy tính cá nhân doanh nghiệp Firewall đóng vai trị thiết bị cung cấp cho công ty tổ chức giải pháp để kiểm soát cách chặt chẽ việc kết nối Internet họ Các tường lửa ngăn chặn hết tất lượng truy cập đến từ IP không rõ ràng Ở thực hành tìm hiểu xây dựng mơ hình mạng an tồn sử dụng tường lửa pfSense, pfSense đánh giá tường lửa nguồn mở tốt
FIREWALL PFSENSE
Tổng quan tường lửa
Tường lửa là công cụ quan trọng trong việc quản lý và kiểm soát lưu lượng mạng, thường được triển khai giữa mạng riêng và Internet, hoặc giữa các phòng ban trong doanh nghiệp Chúng giúp ngăn chặn lưu lượng truy cập độc hại từ Internet xâm nhập vào mạng nội bộ bằng cách lọc lưu lượng dựa trên các chính sách đã thiết lập, hay còn gọi là danh sách kiểm soát truy cập (ACL) Tường lửa chỉ cho phép các kết nối hợp lệ vượt qua, tạo ra hàng rào an ninh hiệu quả chống lại các truy cập trái phép và dữ liệu độc hại, dựa trên thông tin gói dữ liệu, ứng dụng, giao thức và địa chỉ nguồn.
Hầu hết các tường lửa đều cung cấp cơ chế ghi log, kiểm định và giám sát, cùng với hệ thống phát hiện xâm nhập (IDS) cơ bản Tuy nhiên, tường lửa không thể ngăn chặn virus hay mã độc nếu người dùng cho phép chúng thực thi Ngoài việc kết nối mạng, tường lửa còn ghi lại thông tin về sự kiện như thời gian khởi động, trạng thái dịch vụ và lỗi hệ thống Tường lửa chỉ là một phần trong giải pháp bảo mật tổng thể; nếu thiết bị gặp sự cố, toàn bộ hệ thống mạng có thể bị ảnh hưởng Để bảo vệ hiệu quả hơn, cần kết hợp nhiều tường lửa để hỗ trợ lẫn nhau khi một tường lửa bị tấn công Có bốn loại tường lửa cơ bản: Packet Filters, Circuit-Level, Application-Level và Stateful Multilayer Inspection, và việc kết hợp nhiều loại tường lửa tạo ra một giải pháp an toàn hơn.
Packet-filter là phương pháp lọc lưu lượng truy cập thông qua việc kiểm tra thông tin header của gói tin, thường dựa vào IP nguồn, IP đích và cổng dịch vụ Tuy nhiên, loại tường lửa này không có khả năng xác thực người dùng và không thể phân biệt gói tin từ mạng nội bộ hay bên ngoài, dễ dẫn đến việc bị tấn công bằng gói tin giả mạo Static packet filter, hoạt động ở lớp 3 (lớp Mạng) của mô hình OSI, được xem là nền tảng cho các hệ thống tường lửa và có thể hoạt động như một thiết bị định tuyến thông thường.
Hình 1: Packet-filter trong mô hình OSI
Tường lửa lớp Ứng dụng, hay còn gọi là tường lửa proxy, là một thiết bị máy tính có chức năng sao chép và bảo vệ thông tin mạng bằng cách thay đổi địa chỉ nguồn và đích của các gói tin Tường lửa này lọc lưu lượng mạng dựa trên các dịch vụ Internet để chuyển hoặc nhận dữ liệu Proxy server tập trung các dịch vụ ứng dụng và phân tích gói dữ liệu, kiểm tra và đánh giá từng gói trước khi cho phép chúng vào mạng nội bộ theo chính sách an toàn Tuy nhiên, việc này có thể ảnh hưởng đến hiệu suất mạng do mỗi gói tin đều phải được kiểm tra Tường lửa lớp Ứng dụng được xem là thế hệ thứ hai trong các loại tường lửa, hoạt động tại lớp 7 của mô hình OSI.
Hình 2: Tường lửa lớp ứng dụng
Tường lửa Circuit-level khởi tạo phiên kết nối giữa hai người dùng tin cậy và hoạt động tại lớp Phiên (lớp 5) của mô hình OSI SOCKS, một dạng tường lửa circuit-level phổ biến trong TCP/IP, còn được gọi là circuit proxy, quản lý kết nối dựa trên circuit thay vì nội dung lưu lượng mạng Tường lửa này cho phép hoặc từ chối chuyển tiếp gói tin dựa trên địa chỉ nguồn/đích và số port nguồn/đích Được xem là thế hệ thứ hai của tường lửa, tường lửa circuit-level hoạt động tương tự như tường lửa lớp ứng dụng.
Tường lửa kiểm tra trạng thái đánh giá bối cảnh lưu lượng mạng thông qua việc kiểm tra nguồn và địa chỉ đích, cũng như các ứng dụng và mối quan hệ giữa các gói trong cùng một phiên Nó cung cấp quyền truy cập rộng cho người dùng hợp lệ và chủ động ngăn chặn các hoạt động trái phép So với tường lửa mức Ứng dụng, tường lửa kiểm tra trạng thái, được xem là tường lửa thế hệ thứ ba, hoạt động hiệu quả hơn ở lớp Mạng và lớp Giao vận (lớp 3 và 4) của mô hình OSI.
1.1.5 Các mô hình triển khai tường lửa
Có ba loại kiến trúc tường lửa phổ biến: một lớp, hai lớp và ba lớp (hay còn gọi là nhiều lớp) Kiến trúc tường lửa một lớp thường được kết nối với Internet hoặc các khu vực mạng không an toàn khác thông qua một router.
Mô hình tường lửa một lớp là giải pháp hiệu quả trong việc ngăn chặn các cuộc tấn công cơ bản, cung cấp các cơ chế bảo mật tối thiểu cần thiết để bảo vệ hệ thống.
Kiến trúc tường lửa hai lớp sử dụng tường lửa với ba giao diện mạng trở lên, cho phép tạo ra một vùng DMZ hoặc Extranet để kết nối với mạng bên ngoài Vùng DMZ được sử dụng để đặt các hệ thống máy chủ thông tin mà người dùng bên ngoài có thể truy cập.
Kiến trúc ba lớp là một mô hình mạng bao gồm nhiều mạng con giữa mạng nội bộ và Internet, được bảo vệ bởi các tường lửa với quy tắc lọc nghiêm ngặt để ngăn chặn truy cập bất hợp lệ vào hệ thống dữ liệu nhạy cảm Mạng ngoài cùng thường được thiết lập như một vùng DMZ, trong khi lớp mạng thứ hai hoạt động như một lớp chuyển tiếp hỗ trợ các tính năng phức tạp cho máy chủ trong vùng DMZ, chẳng hạn như cơ sở dữ liệu và dịch vụ web Mạng con thứ ba, hay còn gọi là back-end, hỗ trợ mạng nội bộ Mặc dù kiến trúc này mang lại độ an toàn cao nhất, nhưng việc triển khai và quản lý nó phức tạp hơn so với các kiến trúc khác.
Hình 5: Mô hình tường lửa một lớp
Tổng quan pfsense
PfSense là một dự án nguồn mở dựa trên hệ điều hành FreeBSD, được phát triển như một tường lửa và thiết bị định tuyến Được sáng lập bởi Chris Buechler và Scott Ullrich vào năm 2004, PfSense đã vượt qua những khó khăn ban đầu về tương thích phần cứng Qua thời gian, dự án đã nhận được sự đóng góp lớn từ cộng đồng mã nguồn mở và hỗ trợ nhiều nền tảng phần cứng khác nhau Với giao diện người dùng thân thiện và các chức năng quản lý mạnh mẽ, PfSense trở thành lựa chọn phổ biến cho các doanh nghiệp vừa và nhỏ Phiên bản hiện tại 2.4.4 tập trung vào hỗ trợ IPv6 và bao gồm nhiều tính năng nổi bật như firewall trạng thái và giao diện quản lý qua Web Mặc dù có nhiều tính năng ấn tượng, PfSense cũng tồn tại một số hạn chế so với các giải pháp thương mại.
PfSense cung cấp khả năng lọc theo địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích và địa chỉ IP Nó hỗ trợ chính sách định tuyến và hoạt động trong chế độ bridge hoặc transparent, cho phép triển khai dễ dàng giữa các thiết bị mạng mà không cần cấu hình phức tạp Ngoài ra, PfSense còn có cơ chế NAT và tính năng chuyển tiếp cổng, tuy nhiên vẫn tồn tại một số hạn chế khi sử dụng NAT với các giao thức như Point-to-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và Session Initiation Protocol (SIP).
PfSense, được phát triển trên nền tảng FreeBSD và sử dụng giao thức Common Address Redundancy Protocol (CARP), là một trong những tường lửa nguồn mở hàng đầu cho doanh nghiệp vừa và nhỏ, phục vụ dưới 1000 người dùng Tường lửa này nổi bật với khả năng xử lý hàng triệu kết nối đồng thời, cùng với nhiều tính năng mở rộng tích hợp, vượt trội hơn cả các tường lửa truyền thống và thiết bị cứng của các thương hiệu nổi tiếng trong ngành mạng.
1.2.2 Một số phương pháp triển khai thực tế
pfSense là một giải pháp linh hoạt với giá thành triển khai thấp, phù hợp cho nhiều mục đích sử dụng khác nhau, bao gồm các tính năng như VPN, BGP, Wireless, cân bằng tải và QoS Với khả năng xử lý gói tin TCP/IP mạnh mẽ, pfSense hoạt động hiệu quả như một tường lửa để ngăn chặn các kết nối không hợp pháp Ngoài ra, pfSense cũng đóng vai trò như một router WAN/LAN, hỗ trợ các chức năng định tuyến như PPoE và BGP, giúp doanh nghiệp tiết kiệm chi phí mà không cần đầu tư thêm thiết bị Trong môi trường mạng LAN, pfSense hỗ trợ giao thức 802.1q, cho phép thiết lập các phân vùng mạng nội bộ khác nhau Với khả năng hỗ trợ băng thông lên đến 3Gbps và xử lý hơn 500.000 gói tin/giây, pfSense có thể thay thế cho một thiết bị switch lớp 3, chỉ cần có thêm card mạng.
1.2.3 Tính năng cơ bản trong Pfsense a Aliases
Trong pfSense, không thể tạo một quy tắc firewall với nhiều nhóm IP hoặc một nhóm port Do đó, việc nhóm các IP, port hoặc URL thành một alias là cần thiết Alias cho phép thay thế một host, một dải mạng, nhiều IP riêng biệt hoặc một nhóm port, URL, giúp tiết kiệm thời gian đáng kể Bằng cách sử dụng alias một cách chính xác, bạn có thể giảm thiểu số lượng quy tắc cần thiết, chỉ cần một quy tắc duy nhất để quản lý nhiều địa chỉ.
Các thành phần trong Aliases:
– Host: tạo nhóm các địa chỉ IP.
– Network: tạo nhóm các mạng.
– Port: Cho phép gom nhóm các port nhưng không cho phép tạo nhóm các protocol Các protocol được sử dụng trong các rule. b NAT
Pfsense supports static NAT in the form of 1:1 NAT, which requires a public IP address for implementation With 1:1 NAT, the corresponding private IP will always translate to the designated public IP, along with the matching ports Additionally, Pfsense provides automatic outbound NAT rule generation by default, but users can opt for manual configuration by selecting Manual Outbound NAT rule generation.
(AON - Advanced Outbound NAT) và xóa các rule mặc định của pfsense đi đồng thời cấu hình thêm các rule outbound.
Ngoài 3 kiểu NAT: port forward, 1:1 và outbound, pfsense còn hỗ trợ NAT Npt. Phương thức này thực hiện NAT đối với Ipv6. c Rules (Luật)
PfSense là hệ thống quản lý mạng, nơi lưu trữ tất cả các quy tắc kết nối ra và vào Mặc định, PfSense cho phép mọi kết nối tại cổng LAN với quy tắc "any to any" Để quản lý hiệu quả mạng nội bộ, cần tạo ra các quy tắc cụ thể.
Một số lựa chọn trong Destination và Source.
Single host or alias: Một địa chỉ ip hoặc là một bí danh.
Lan subnet: Đường mạng LAN.
LAN address: Tất cả địa chỉ mạng nội bộ.
Wan address: Tất cả địa chỉ mạng bên ngoài.
PTP clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPT.
PPPoE clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPPoE.
Hình 10: Giao diện Rules d Schedules
Chức năng lập lịch trong pfSense cho phép tự động cấu hình thời gian hoạt động của hệ thống thông qua bảng thời gian đã được thiết lập Nhờ đó, pfSense có khả năng điều chỉnh các quy tắc firewall theo lịch trình đã định sẵn.
Hình 11: Giao diện lập lịch pfSense
Chúng ta cần cấu hình để chỉ cho phép truy cập vào webserver của công ty trong khoảng thời gian đã được xác định trong mục Lịch trình Tại menu cấu hình quy tắc tường lửa, hãy chỉ định thời gian biểu đã được tạo trước đó để đảm bảo an toàn cho hệ thống.
Traffic shaper là tính năng trong pfsense cho phép quản trị mạng tối ưu hóa và điều chỉnh băng thông Trong pfsense, một đường truyền băng thông có thể được chia thành nhiều hàng khác nhau, với tổng cộng 7 loại hàng được hỗ trợ.
Hàng ACK là các gói xác nhận trong giao thức TCP, đóng vai trò quan trọng trong các ứng dụng như HTTP và SMTP Mặc dù kích thước của gói ACK tương đối nhỏ, nhưng chúng rất cần thiết để duy trì tốc độ lưu thông dữ liệu lớn.
Hàng qVoIP: dành cho những loại lưu thông cần đảm bảo độ trễ nghiêm ngặt, thường dưới 10ms như VoIP, video conferences.
Hàng qGames: dành cho những loại lưu thông cần đảm bảo độ trễ rất chặt chẽ, thường dưới 50ms như SSH, game online …
Hàng qOthersHigh: dành cho các loại ứng dụng quan trọng có tính tương tác rất cao, cần đáp ứng nhanh, cần độ trễ thấp như: NTP, DNS, SNMP …
Hàng qOthersDefault: dành cho các giao thức ứng dụng quan trọng có tính tương tác vừa, cần độ đáp ứng nhất định như HTTP, IMAP …
Hàng qOthersLow: dành cho các giao thức ứng dụng quan trọng nhưng có tính tương tác thấp như SMTP, POP3, FTP
Hàng qP2P: dành cho cho các ứng dụng không tương tác, không cần đáp ứng nhanh như bittorrent
Trong pfSense, độ ưu tiên mặc định cho các hàng được sắp xếp từ thấp đến cao theo thứ tự: qP2P, qOthersLow, qOthersDefault, qOthersHigh, qGames, qACK và qVoIP Người dùng có thể điều chỉnh độ ưu tiên và dung lượng băng thông mặc định của các hàng để tối ưu hóa băng thông cho từng loại dịch vụ tương ứng.
Pfsense cho phép giới hạn tốc độ tải xuống và tải lên của một địa chỉ IP hoặc một dải địa chỉ IP thông qua các thiết lập trong phần limiter Ngoài ra, firewall Pfsense hỗ trợ chặn các ứng dụng hoạt động trên layer 7 trong mô hình OSI, bao gồm các giao thức như SIP, FTP, HTTP, v.v Hệ thống cũng cung cấp tính năng Virtual IPs để quản lý và tối ưu hóa lưu lượng mạng.
pfSense hỗ trợ sử dụng nhiều địa chỉ IP công cộng thông qua cơ chế NAT với IP ảo Có ba loại IP ảo trên pfSense: Proxy ARP, CARP và một loại khác, mỗi loại phục vụ cho những tình huống khác nhau Thông thường, pfSense sẽ cung cấp ARP trên các IP, do đó cần sử dụng Proxy ARP hoặc CARP Trong trường hợp không cần ARP, như khi các IP công cộng bổ sung được định tuyến bởi nhà cung cấp dịch vụ mạng, loại IP ảo khác sẽ được áp dụng Virtual IP cho phép pfSense chuyển tiếp lưu lượng hiệu quả cho các chức năng như chuyển tiếp cổng NAT, NAT Outbound và NAT 1:1, đồng thời hỗ trợ tính năng failover và cho phép dịch vụ trên router gắn kết với các địa chỉ IP khác nhau.
Có thể được sử dụng bởi các tường lửa chính nó để chạy các dịch vụ hoặc được chuyển tiếp.
Tạo ra lớp 2 lưu lượng cho các VIP (Virtual IP).
Có thể được sử dụng cho clustering (tường lửa và tường lửa chủ failover chế độ chờ).
Các VIP đã được trong cùng một subnet IP của giao diện thực.
Sẽ trả lời ICMP ping nếu được phép theo các quy tắc tường lửa.
Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được chuyển tiếp.
Tạo ra lớp 2 lưu lượng cho các VIP.
Các VIP có thể được trong một subnet khác với IP của giao diện thực.
Không trả lời gói tin ICMP ping.
Có thể được sử dụng nếu các tuyến đường cung cấp cho bạn VIP của bạn dù sao mà không cần thông báo lớp 2.
Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được chuyển tiếp.
Các VIP có thể được trong một subnet khác với các giao diện IP.
Không trả lời ICMP ping.
VPN (Mạng Riêng Ảo) là một kết nối cho phép các máy tính giao tiếp qua Internet trong khi vẫn bảo đảm tính riêng tư và bảo mật dữ liệu Các gói thông tin được bọc trong một header chứa thông tin định tuyến, cho phép dữ liệu di chuyển qua mạng chia sẻ như trong các đường ống riêng gọi là tunnel Để bảo vệ tính riêng tư, các gói tin được mã hóa và chỉ có thể được giải mã bằng các khóa thích hợp, ngăn chặn việc "trộm" thông tin trên đường truyền Chức năng này của pfSense được đánh giá cao về hiệu quả bảo mật.
XÂY DỰNG BÀI THỰC HÀNH: BẢO VỆ AN TOÀN MẠNG SỬ DỤNG TƯỜNG LỬA PFSENSE
Mô hình
- WAN: 192.168.1.0/24 Sử dụng card mạng VmNet0 (Auto bridging) - Phân vùng mạng kết nối Internet
- DMZ: 20.1.1.0/24 VmNet8 (Host-only) - Phân vùng đặt các máy chủ web
- Internal (LAN) 10.0.0.0/24 VmNet1 (Host-only) - Phân vùng mạng nội bộ
- VPN: 30.1.1.0/24 – Mạng riêng ảo, truy cập kết nối từ xa.
Cài đặt PfSense
Để chạy pfSense, cấu hình phần cứng yêu cầu khá nhẹ, và hầu hết các máy tính hiện nay đều có khả năng đáp ứng tốt các yêu cầu này.
2 card mạng, gói cài đặt pfSense.
Để bắt đầu cài đặt pfSense, trước tiên, bạn cần truy cập trang chủ http://pfSense.org để tải file cài đặt Hãy chọn kiến trúc vi xử lý phù hợp (Intel hoặc AMD) và tải về phiên bản mới nhất, hiện tại là 2.4.4 Sau khi hoàn tất tải xuống, mở VMWare và tạo máy ảo mới, thêm 3 card mạng cho pfSense.
Tại màn hình cài đặt pfSense, người dùng có thể chọn các tùy chọn cài đặt, với phím 1 để cài đặt mặc định Nếu không có lựa chọn, hệ thống sẽ tự động áp dụng cài đặt mặc định Trên màn hình tiếp theo, hãy nhấn “Accept” để tiếp tục quá trình cài đặt.
Tiếp theo tại màn hình Welcome to pfSense, ta chọn Install pfSense.
Chọn cài đặt mặc định với keymap, chọn Select.
Chương trình hỏi muốn phân vùng ổ đĩa không, ta chọn Auto rồi nhấn OK. pfSense bắt đầu cài đặt…
Khi cài đặt hoàn tất, chọn Reboot để Reboot lại chương trình.
Sau khi Reboot, bạn sẽ thấy xuất hiện màn hình với 3 card mạng:
VLAN thường không cần thiết trừ khi hệ thống mạng nâng cao, vì vậy chúng ta chọn No Hệ thống pfSense sẽ sử dụng 3 card mạng: em0, em1 và em2 Trong đó, card em0 được gán làm WAN, em1 là LAN và em2 cho DMZ Card LAN sẽ kích hoạt các tính năng Firewall và NAT.
Nếu không cần đặt tên card mạng, bấm vào Return key Hệ thống sẽ trả về cofirm YES/NO Bấm Y và enter để tiếp tục.
Sau khi hoàn tất cấu hình cơ bản pfSense, bạn sẽ thấy menu hiển thị như hình dưới Địa chỉ IP của card WAN được cấp phát động qua DHCP, nhưng bạn có thể thiết lập địa chỉ tĩnh nếu cần Địa chỉ IP mặc định cho LAN là 192.168.1.1; để thay đổi địa chỉ IP, hãy chọn OPTION 2 để thiết lập địa chỉ IP cho giao diện Tiến hành cấu hình địa chỉ IP tĩnh, subnet mask và gateway cho LAN.
Bỏ chọn DHCP và tiếp tục với lựa chọn Y Đối với card LAN, nếu kích hoạt dịch vụ DHCP, bạn cần gán dãy địa chỉ IP để cấp phát cho các máy con Sau khi hoàn tất cấu hình, hệ thống sẽ cung cấp đường dẫn để truy cập pfSense qua giao thức web.
Để truy cập vào pfSense, bạn mở trình duyệt trên máy con và nhập địa chỉ http://10.1.1.1 Giao diện đăng nhập sẽ yêu cầu bạn nhập tên người dùng và mật khẩu mặc định là "admin" và "pfsense" Khi lần đầu đăng nhập, cửa sổ thiết lập sẽ xuất hiện, hướng dẫn bạn cài đặt lần đầu Bạn có thể điền thông tin cần thiết hoặc giữ nguyên các thiết lập mặc định và nhấn Next cho đến khi hoàn tất Sau khi cấu hình xong, màn hình quản lý firewall sẽ hiện ra.
Như vậy, chúng ta đã cài đặt thành công PfSense.
Thiết lập luật trong mạng LAN
Cấu hình client trong dải mạng 10.1.1.0/24 (LAN)
- Kiểm tra kết nối mạng:
- Client 2: Window Sever 2019, địa chỉ ip 10.1.1.16 thuộc mạng LAN.
Cả hai client đã kết nối mạng thành công Tiếp theo, chúng ta sẽ tiến hành thiết lập các quy tắc (Rules) cho hai máy này Để thực hiện việc này, hãy truy cập giao diện web pfSense, sau đó vào Firewall > chọn Rules và chọn Tab LAN.
2.3.2 Thiết lập luật. a Chặn toàn bộ máy trong mạng LAN
- Mặc định pfSense cho phép các clinet trong mạng LAN có thể truy cập mạng
- Đầu tiên, ta cấu hình Rules không cho bất kỳ máy nào trong mạng LAN được phép truy cập mạng.
Cả hai máy đều không thể kết nối internet Tuy nhiên, nếu chặn máy 10.1.1.15, các máy còn lại trong mạng LAN sẽ vẫn truy cập internet bình thường.
- Client 1 không truy cập được và client 2 truy cập bình thường. c Chặn không cho truy cập trang web
Chặn không cho máy trong LAN truy cập facebook.
Ta sẽ tiến hành ping để lấy địa chỉ ip Facebook.
Ip Facebook: 157.240.218.35, ta sẽ thiết lập luật chặn:
Như vậy, các trang web khác truy cập bình thường, nhưng không thể truy cập facebook. d Chặn web với Aliase
Ta sẽ chặn 3 trang web Facebook, Youtube và Zing News Ta ping các trang web để lấy địa chỉ IP
Sau đó vào Aliases, Tab IP chọn Add để tạo nhóm các ip, ở đây có tên Blockweb:
Tiếp theo, ta sẽ thiết lập Rules, add nhóm Blockweb
Firewall > Schedules, thêm mới 1 bản schedules
Chúng ta có thể tạo một bản lịch trình để lập lịch các ngày trong tuần hoặc các giờ trong ngày, nhằm cho phép các máy trong mạng LAN truy cập mạng một cách có kiểm soát.
Ta tiến hành thiết lập luật và chọn bản schedules vừa tạo vào
Vào ngày Chủ nhật, không thể truy cập mạng do giới hạn băng thông Để kiểm tra tốc độ mạng, hãy truy cập vào trang web https://www.speedtest.net/.
In the pfSense web interface, navigate to Firewall > Traffic Shaper > Limiters to create two limiters that restrict upload and download speeds to 10 Mbps each Additionally, you can set up schedules to determine when these limiters will be applied.
Tiếp theo chúng ta sẽ thiết lập luật và add 2 Limiter vừa tạo vào ô In/Out Pie:
Vào https://www.speedtest.net/ để kiểm tra lại tốc độ.
Thiết lập luật trong mạng DMZ
Mạng DMZ có dải địa chỉ IP 20.1.1.0/24 Client trong mạng DMZ có IP: 20.1.1.128.
2.4.1 Cấu hình truy cập internet
Khi thêm card mạng DMZ, tường lửa pfSense sẽ không có luật nào áp dụng cho DMZ, dẫn đến việc các client trong DMZ không thể truy cập vào mạng LAN.
Để cải thiện khả năng truy cập mạng cho các client trong DMZ, cần thiết lập luật cho phép các client này được kết nối Chúng ta có thể cấu hình để tất cả các client trong DMZ đều có quyền truy cập hoặc chỉ định quyền cho những client cụ thể, như minh họa trong hình dưới đây.
Sau đó , các client trong DMZ đều có thể truy cập mạng được mạng.
Ngoài ra, đối với mạng DMZ ta đều có thể thiết lập các Rules tương tự trong LAN như Schedules, Aliases, giới hạn băng thông, đóng mở port,
Public website gồm 2 phần: a Cấu hình Web Server
Trên máy DMZ ta sẽ setup web server: Vào ổ C tạo 1 folder có tên "WEB", tạo thêm 1 file "index.html"
Vào Start chọn Administrative Tools, chọn Sever Manager, Add Roles để cài IIS
Chọn tích vào FTP Server
Sau đó ấn Install để cài đặt.
Tiếp theo, vào Start chọn Administrative Tools chọn Internet Information Services (IIS) Manager để Add Site Điền các thông tin như bên dưới và ấn Ok để lưu.
Sau đó, ta click vào Browse 20.1.1.20:80 (http) để mở trong trình duyệt.
Nếu kết quả như ở dưới là chưa thành công
Nguyên nhân có thể là do Directory Browsing chưa được bật trong lần đầu cài đặt Để khắc phục, bạn cần vào giao diện Features views và kiểm tra mục Directory Browsing.
Ta thấy Directory Browsing đang bị Disabled, cần Enable và load lại trình duyệt kiểm tra
=> Thành công b Cấu hình Nat Web Server
Trên máy pfsense ta sẽ cấu hình NAT để public website ra bên ngoài: Firewall >NAT, chọn Add.
• NAT IP: 20.1.1.20 (IP máy WEB/FTP/EMAIL)
On the LAN client and over the Internet (WAN), we will enter the IP address of the WAN card (192.168.1.6) to display the newly created website on the WEB/FTP/EMAIL server.
Như vậy, đã public website thành công.
Thiết lập luật VPN
PfSense hỗ trợ nhiều giao thức VPN như IPSec, OpenVPN và PPTP Nếu bạn cần một kết nối VPN nhanh với băng thông thấp hơn so với SSL VPN nhưng vẫn đảm bảo an toàn, IPSec VPN là lựa chọn tốt Tuy nhiên, cần lưu ý rằng IPSec trên pfSense có một số hạn chế, nhưng với cấu hình đơn giản, nó vẫn hoạt động hiệu quả cho các cài đặt site-to-site Để khắc phục những hạn chế này, OpenVPN là một lựa chọn phù hợp hơn, nhờ vào việc sử dụng SSL để tăng cường độ an toàn Để bắt đầu, bạn có thể tạo CA bằng cách vào System > Cert Manager > CAs và chọn Add, sau đó ấn Save để hoàn tất.
Tiếp theo sang Tab Certificates, ta chọn Add:
Sau khi điền thông tin xong ấn Save, ta tạo được thành công Certificates.
Tiếp theo sẽ tạo User, bằng cách chọn System > User Manager,
Chọn Add và điền thông tin để tạo user : “vpn” , password: “1234567890” Ấn Save, tạo thành công User:
Tiếp theo ta phải cài gói OpenVPN vì mặc định trên pfsense chưa cài đặt
Từ System > Package Manager, chọn Tab Available Packages và search OpenVPN để cài đặt:
Tiếp theo vào mục VPN, chọn OpenVPN > Wizards Ở Type of Server chọn Local User Access Chọn Next.
Certificates ta chọn cái vừa tạo Certificars ở trên, rồi chọn Next
Tiếp theo, ta cài Tunnel Network 30.1.1.0/24 và Local Network 192.168.1.0/24
Nhấn Finish để kết thúc và hoàn tất cài đặt.
Tiếp theo Click vào client Export, kéo xuống mục User để tải xuống VPN.
Chọn Current Windows Installer để tải về, Sau đó mở gói cài đặt để Run.
Ta sẽ đăng nhập tài khoản vpn1 vừa tạo và chọn OK.
Như vậy là ta đã cài xong để kết nối với VPN.
2.5.2 Thiết lập luật cho VPN Để thiết lập luật cho VPN, System > Rules, sau đó ta chọn Tab OpenVPN để thiết lập luật Khi cài đặt VPN ở trên ta đã tích vào ô Firewall Rules và OpenVPN, khi đó hệ thống sẽ tự động tạo cho chúng ta 2 luật, 1 luật ở OpenVPN và 1 luật ở WAN cho phép kết nối VPN từ xa qua cổng 1194. Để chặn truy cập VPN, ta chỉ cần chặn VPN kết nối qua cổng 1194 là xong.
