Khóa luận tốt nghiệp: Xây dựng hệ thống Firewall bảo mật với pfSense

Đồ án tốt nghiệp CNTT chủ đề xây dựng firewall với pfSense. Tài liệu hướng dẫn chi tiết các bước cài đặt, cấu hình và triển khai hệ thống bảo mật.

Trường đại học

Trường Đại Học Hải Phòng

Chuyên ngành

Công Nghệ Thông Tin

Người đăng

Ẩn danh

Thể loại

Đồ Án Tốt Nghiệp

2024

61
3
0

Phí lưu trữ

30 Point

Tóm tắt

I. Giới thiệu về Firewall pfSense và tầm quan trọng của nó

Firewall pfSense là một giải pháp bảo mật mạng mã nguồn mở được xây dựng dựa trên nền tảng FreeBSD, cung cấp các tính năng firewall chuyên nghiệp cho doanh nghiệp nhỏ và vừa. Trong bối cảnh hiện nay, các cuộc tấn công mạng ngày càng tinh vi và nguy hiểm, việc triển khai một hệ thống firewall đáng tin cậy trở nên cực kỳ quan trọng. pfSense firewall không chỉ cung cấp các tính năng lọc gói tin cơ bản mà còn hỗ trợ VPN, NAT, DHCP server và nhiều dịch vụ khác. Đặc biệt, chi phí triển khai firewall pfSense thấp hơn so với các giải pháp thương mại khác, khiến nó trở thành lựa chọn tối ưu cho các tổ chức công nghệ thông tin muốn nâng cao an ninh mạng mà không cần đầu tư quá lớn.

1.1. pfSense là gì và lịch sử phát triển

pfSense là một nền tảng firewall mã nguồn mở được phát triển dựa trên FreeBSD, lần đầu tiên ra mắt vào năm 2004. Nó cung cấp các tính năng stateful packet filtering, NAT, port forwarding và nhiều dịch vụ mạng khác. Với sự phát triển liên tục qua các phiên bản, pfSense đã trở thành một trong những giải pháp firewall phổ biến nhất trên thế giới, được sử dụng bởi hàng triệu người dùng và doanh nghiệp.

1.2. Vai trò của Firewall trong bảo mật mạng hiện đại

Trong kiến trúc an ninh mạng hiện đại, firewall đóng vai trò là tường lửa bảo vệ chính giữa mạng nội bộ và Internet. Nó kiểm soát luồng dữ liệu, ngăn chặn các mối đe dọa từ bên ngoài và quản lý chính sách truy cập theo yêu cầu của doanh nghiệp. pfSense firewall cho phép các quản trị viên xây dựng các rule bảo mật phức tạp, giám sát traffic mạngphát hiện các hoạt động bất thường một cách hiệu quả.

II. Các chức năng chính và dịch vụ của pfSense

Firewall pfSense cung cấp một bộ công cụ toàn diện để quản lý và bảo vệ mạng doanh nghiệp. Các chức năng chính bao gồm stateful packet inspection (SPI), Network Address Translation (NAT), port forwardingvirtual IP management. Ngoài ra, pfSense còn cung cấp DHCP server, DNS relay, VPN PPTP/OpenVPN, Load BalancerTraffic Shaper để tối ưu hóa hiệu suất mạng. Dịch vụ Captive Portal cho phép các quản trị viên thiết lập xác thực người dùng trước khi truy cập Internet. Tính năng Rules firewall cho phép tạo các chính sách truy cập chi tiết, bao gồm allow, deny hoặc reject các kết nối dựa trên IP source, port, protocol và các tiêu chí khác.

2.1. Stateful Packet Filtering và Firewall Rules

Stateful packet filtering là nền tảng của firewall pfSense, cho phép kiểm tra trạng thái của các kết nối mạng. Các firewall rules được thiết lập để cho phép hoặc từ chối các gói tin dựa trên địa chỉ IP, cổng (port), giao thức (protocol). pfSense hỗ trợ Aliases để đơn giản hóa quản lý các danh sách IPcổng, cũng như Schedules để áp dụng rules vào các thời gian cụ thể.

2.2. NAT VPN và Load Balancing

Network Address Translation (NAT) trong pfSense cho phép chia sẻ địa chỉ IP duy nhất cho nhiều máy tính nội bộ. Dịch vụ VPN (bao gồm PPTP và OpenVPN) cho phép kết nối an toàn từ xa. Tính năng Load Balancer phân phối lưu lượng mạng giữa nhiều đường nối Internet hoặc máy chủ backend, tăng độ tin cậy và hiệu suất của hệ thống mạng.

III. Hướng dẫn cài đặt pfSense từ A đến Z

Để cài đặt firewall pfSense, trước tiên bạn cần tải xuống ISO của pfSense từ trang chính thức, sau đó ghi lên USB hoặc DVD để khởi động. Quá trình cài đặt pfSense tương đối đơn giản, chỉ cần làm theo các bước hướng dẫn trên màn hình. Sau khi cài đặt hoàn tất, bạn sẽ cần cấu hình các interface mạng (WAN, LAN). Truy cập giao diện web của pfSense thông qua trình duyệt để tiến hành cấu hình firewall. Quá trình này bao gồm thiết lập địa chỉ IP, gateway, DNS, cấu hình firewall rulescác dịch vụ cần thiết. Đảm bảo mật khẩu quản trị mạnhbảo mật tối ưu là những bước quan trọng trong quá trình triển khai.

3.1. Yêu cầu hệ thống và chuẩn bị cài đặt

pfSense yêu cầu một máy tính với tối thiểu 512 MB RAM, 4 GB đĩa cứng2 card mạng (NIC). Bạn cần tải ISO của pfSense từ trang chính thức, sau đó ghi lên USB hoặc DVD. Chuẩn bị cấu hình mạng, bao gồm địa chỉ IP, gateway, DNS để có thể cấu hình firewall sau khi cài đặt hoàn tất.

3.2. Các bước cài đặt và cấu hình Interface

Sau khi khởi động từ USB/DVD, làm theo các bước thiết lập pfSense. Chọn Install pfSense, sau đó chọn đĩa cứng để cài đặt. Khi hoàn tất cài đặt hệ thống, pfSense sẽ yêu cầu cấu hình interface WAN và LAN. Gán card mạng thứ nhất làm WAN (kết nối Internet) và card mạng thứ hai làm LAN (kết nối mạng nội bộ). Thiết lập địa chỉ IP, subnet mask, gateway và DNS cho mỗi interface.

IV. Cấu hình nâng cao và quản lý firewall pfSense

Sau khi cài đặt cơ bản hoàn tất, bước tiếp theo là cấu hình nâng cao firewall pfSense để đáp ứng các yêu cầu cụ thể của doanh nghiệp. Điều này bao gồm tạo firewall rules chi tiết, cấu hình NAT, thiết lập DHCP server, VPNcác dịch vụ khác. Tạo user, groupphân quyền để kiểm soát truy cập vào giao diện quản lý. Cấu hình Traffic Shaper để giới hạn băng thông cho các dịch vụ cụ thể. Thực hiện monitoring và logging để ghi lại các sự kiện bảo mậttối ưu hóa hiệu suất mạng. Thay đổi port HTTP/HTTPS mặc định để tăng bảo mật. Bật dịch vụ ICMP cho WAN nếu cần thiết.

4.1. Cấu hình NAT DHCP và các dịch vụ cơ bản

Cấu hình NAT cho phép các máy tính nội bộ chia sẻ một địa chỉ IP duy nhất trên Internet. Bật DHCP server để tự động cấp địa chỉ IP cho các thiết bị trên mạng LAN. Cấu hình DNS relay để chuyển tiếp các truy vấn DNS đến các máy chủ DNS công cộng. Thiết lập port forwarding để chuyển hướng các kết nối từ WAN đến các máy chủ nội bộ.

4.2. Quản lý user group VPN và monitoring

Tạo các user và group để quản lý quyền truy cập đến giao diện quản lý pfSense. Cấu hình VPN PPTP hoặc OpenVPN để cho phép kết nối an toàn từ xa. Sử dụng System Logs để theo dõi hoạt động firewall, ghi nhận các sự kiện bảo mậtphát hiện các mối đe dọa. Cấu hình Traffic Graph để visualize lưu lượng mạngtối ưu hóa hiệu suất của hệ thống.

28/12/2025

Trích đoạn nội dung tài liệu

CHƯƠNG 1: CÔNG NGHỆ FIREWALL VÀ CÁC GIẢI PHÁP 1. Định nghĩa, chức năng, cấu trúc và phân loại [5] 1. Định nghĩa firewall - Firewall là một phần của hệ thống hay mạng máy tính được thiết kế để điều khiển truy nhập giữa các mạng bằng cách ngăn chặn các truy cập không được phép trong khi cho phép các truyền thông hợp lệ. Nó cũng là một hay một nhóm các thiết bị được cấu hình để cho phép, ngăn cản, mã hóa, giải mã hay proxy lưu lượng trao đổi của các máy tính giữa các miền bảo mật khác nhau dựa trên một bộ các luật (rule) hay tiêu chuẩn nào khác.

Tường lửa hoạt động như một rào chắn giữa mạng an toàn và mạng không an toàn, nó kiếm soát các truy nhập đến nguồn lực của mạng thông qua một mô hình kiểm soát chủ động, nghĩa là chỉ những traffic phù hợp với chính sách được định nghĩa trong tường lửa mới được truy cập vào mạng, mọi traffic khác đều bị từ chối. - Bất kì máy tính nào kết nối tới Internet cũng cần có firewall, giúp quản lý những gì được phép vào mạng và những gì được phép ra khỏi mạng. Việc có một “người gác cổng” như vậy để giám sát mọi việc xảy ra rất quan trọng bởi 2 lý do: + Thứ nhất, bất kì máy tính kết nối mạng nào cũng thường kết nối với internet. + Thứ hai, mỗi máy tính trực tuyến lại có một chữ ký điện tử riêng, được gọi là Internet Protocol address (hay còn gọi là địa chỉ IP).

Nếu không có firewall hỗ trợ, chẳng khác gì bật tất cả đèn lên và mở rộng cửa đón trộm vào nhà. - Firewall không giống chương trình diệt virus, thay vào đó nó làm việc cùng với những công cụ này nhằm đảm bảo rằng máy tính được bảo vệ từ hầu hết các mối tấn công nguy hại phổ biến. Chức năng của firewall - Định nghĩa sự khác biệt của lưu lượng hợp pháp/ gây hại + Nhiệm vụ chính của tường lửa là ngăn chặn các traffic gây hại, không an toàn. Cho nên, để thực hiện được điều này, tường lửa phải định nghĩa chính xác và đo lường lưu lượng truy cập hợp pháp và gây hại.

Firewall chỉ hoạt động chính xác khi biết cách sử dụng luật, đồng thời ghi nhận những trường hợp ngoại lệ nhằm loại bỏ , tránh trường hợp ngăn chặn không chính xác. - Tưởng lửa “ẩn” mình trước sự tấn công của hacker 3 + Cơ chế hoạt động của tường lửa rất thông minh vì chúng “ẩn” mình và đóng vai trò như rào chắn giữ mạng nội bộ và các mạng khác. Khi đó, trước những tấn công của tin tặc, thông tin dữ liệu được bảo vệ tốt nhất. Firewall như chốt chặn kiểm tra an ninh, liên tục lọc thông tin kết nối từ mạng khác vào mạng cá nhân hoặc máy tính cá nhân, nhờ đó firewall cực kỳ hiệu quả trong quá trình chặn cuộc tấn công mạng.

- Cho phép người dùng kiểm soát các kết nối vào website + Tính linh hoạt của tường lửa rất cao. Chúng ta có thể cài đặt để kiểm soát các kết nối vào website. Nếu nhận thấy có bất cứ kết nối nào thiếu minh bạch, an toàn, có thể điều chỉnh chặn. + Bức tường lửa firewall đóng vai trò vô cùng quan trọng đối với an ninh mạng hiện nay.

Do đó, người dùng bất cứ trình duyệt nào đều nên trang bị và thường xuyên nâng cấp tường lửa. - Bên cạnh đó còn một số chức năng + Đóng hoàn toàn cổng + Mở cổng cho các địa chỉ IP cụ thể + Chặn danh sách đen địa chỉ IP cụ thể + Đóng các cổng, ngoại trừ khi người dùng mời. Điều này được gọi là kiểm tra gói trạng thái, nếu người dùng mời một máy tính khác, máy tính đó có thể đi vào thông qua một cổng do người dùng chỉ định. Cụ thể hơn, người dùng khởi chạy một ứng dụng, ứng dụng sẽ đưa ra một máy chủ, máy chủ phản hồi và được cho phép qua tường lửa.

+ Chỉ mở cổng trong các khung thời gian cụ thể + Nhiều tường lửa cũng bao gồm các dịnh vụ VPN, cho phép truyền thông mã hóa với người dùng được chỉ định từ bên ngoài mạng cục bộ - Firewall là một bức tường hoặc một rào cản giữa máy tính cá nhân và thế giới mạng. Khi máy tính cá nhân kết nối với mạng và thế giới mạng thông qua internet, nó có khả năng bị tấn công bởi hàng loạt các mối đe dọa trên mạng, như tin tặc, trojans và các logger chủ chốt tấn công thông qua các lỗ hổng bảo mật - Máy tính cá nhân giao tiếp với mạng bằng gói. Các gói được sử dụng để gửi và nhận thông tin bằng internet. Tường lửa firewall lọc các gói này và sau đó chặn hoặc cho phép dữ liệu theo một bộ quy tắc xác định, firewall chỉ cho phép mạng và lưu lượng truy cập được ủy quyền để bảo vệ PC khỏi kẻ xâm nhập và tin tặc 4 1.

Cấu trúc của firewall - Không hoàn toàn giống nhau giữa các sản phẩm được thiết kế bởi các hãng bảo mật, tuy nhiên có những thành phần cơ bản sau trong cấu trúc của một firewall nói chung: + Bộ lọc gói (packet filtering) + Application gateways / Proxy server + Circuit level gateway + Các chính sách mạng (network policy) + Các cơ chế xác thực nâng cao (advanced authentication mechanisms ) + Thống kê và phát hiện các hoạt động bất thường (logging and detection of suspicious activity) 1. Phân loại firewall - Firewall mạng (Network Firewall) + Cách hoạt động: Kiểm soát lưu lượng mạng dựa trên các quy tắc địa chỉ IP, cổng và giao thức + Ưu điểm: Hiệu suất cao, khả năng chống tấn công mạnh mẽ + Sử dụng cho: Mạng lớn, doanh nghiệp, tổ chức có nhu cầu bảo mật cao - Firewall ứng dụng (Application Firewall) + Cách hoạt động: Kiểm soát lưu lượng dựa trên các thông điệp ứng dụng, các giao thức cao cấp như HTTP, FTP, SMTP + Ưu điểm: Xác thực và kiểm soát ứng dụng cụ thể, ngăn chặn các lỗ hổng bảo mật ứng dụng + Sử dụng cho: Web server, mail server, các ứng dụng trực tuyến - Firewall host (Host Firewall) 5 + Cách hoạt động: Cài đặt trực tiếp trên mỗi máy tính hoặc máy chủ, kiểm soát quyền truy cập của từng thiết bị + Ưu điểm: Bảo vệ chặt chẽ cho mỗi máy tính, kiểm soát truy cập từ xa + Sử dụng cho: Máy tính cá nhân, máy chủ độc lập - Firewall phần cứng (Hardware Firewall) + Cách hoạt động: Được triển khai trực tiếp tại vị trí mạng hoặc máy chủ. Nó hoạt động như một thiết bị trung gian giữa mạng nội bộ và mạng bên ngoài. Firewall phần cứng sử dụng phần cứng chuyên dụng để xử lý lưu lượng mạng và thực hiện kiểm soát gói tin, kiểm tra địa chỉ IP, cổng và quy tắc cấu hình để quyết định liệu gói tin có được chấp nhận hay từ chối + Ưu điểm: Hiệu suất cao, khả năng xử lý lưu lượng mạng lớn, bảo mật mạnh mẽ, bảo vệ toàn diện cho mạng và máy chủ, dễ dàng quản lý và cấu hình.

+ Sử dụng cho: Thích hợp cho môi trường doanh nghiệp, các hệ thống có nhu cầu bảo mật cao và máy chủ vật lý - Firewall phần mềm (Software Firewall) + Cách hoạt động: Chạy trực tiếp trên máy tính hoặc máy chủ và sử dụng phần mềm chạy trên hệ điều hành để thực hiện kiểm soát gói tin. Nó theo dõi và kiểm tra các kết nối mạng, cổng và quy tắc cấu hình để xác định liệu gói tin có được chấp nhận hay từ chối + Ưu điểm: Dễ dàng triển khai và cấu hình, linh hoạt, giá thành thấp, hỗ trợ bảo vệ máy chủ vật lý và cả các máy chủ ảo trên môi trường đám mây + Sử dụng cho: Thích hợp cho máy chủ vật lý, máy chủ ảo và môi trường đám mây - Firewall ảo (Virtual Firewall) + Cách hoạt động: Triển khai trên một môi trường ảo hóa, sử dụng công nghệ ảo hóa như VMware hoặc Hyper – V. Nó hoạt động tương tự như Firewall phần cứng hoặc phần mềm, nhưng được chạy trên máy ảo riêng biệt + Ưu điểm: Linh hoạt, tiết kiệm chi phí vì có thể chạy trên cùng một máy chủ vật lý với các ứng dụng và hệ điều hành khác nhau mà không cần đầu tư vào phần cứng Firewall riêng biệt. Điều này giúp giảm chi phí mua sắm và duy trì phần cứng 6 + Sử dụng cho: Thích hợp cho môi trường đám mây và hệ thống ảo hóa.

Nó cho phép triển khai nhanh chóng và quản lý các Firewall riêng biệt cho từng máy ảo trên cùng một máy chủ vật lý - Ngoài ra, còn có các loại khác như Firewall dựa trên chữ ký (Signature – based Firewall) và Firewall dựa trên hành vi (Behavior – based Firewall) tùy thuộc vào phương pháp phân tích và xử lý gói tin - Việc phân loại firewall thông qua công nghệ của sản phẩm firewall đó được xem là phổ biến và chính xác hơn tất cả 1. Các giải pháp firewall Khái niệm về firewall đã ra đời từ rất lâu, cùng với sự phát triển đa dạng của các sản phẩm firewall khác nhau trên thị trường thì công nghệ firewall cũng ngày một đổi mới với những xử lý phức tạp và cao hơn. Một số giải pháp firewall tiêu biểu dành cho doanh nghiệp Không có đủ tài chính để trang bị các thiết bị bảo mật đắt tiền cùng như thuê các chuyên gia bảo mật chăm sóc cho mạng doanh nghiệp, điều đó không có nghĩa là thị trường bảo mật của các doanh nghiệp thiếu đi những tiềm năng trong cơ hội kinh doanh. Bản than các doanh nghiệp cũng có những nhận thức ban đầu về các mối lo ngại bảo mật, và họ sẵn sàng bỏ tiền ra để trang bị các thiết bị bảo mật cho mình, tất nhiên giá cả của thiết bị đó phải ở mức chấp nhận được.

Các nhà cung cấp dịch vụ bảo mật đã bắt tay vào để tạo ra các sản phẩm cung cấp hệ thống an toàn “tất cả trong một” (all – in – one ) cho một công ty, tổ chức. Các giải pháp đó có thể là phần cứng cũng như phần mềm nhưng đặc điểm nổi trội của nó là được tạo nên hướng tới nhu cầu trong hoạt động kinh doanh của các doanh nghiệp. Được tối ưu cho mục đích sử dụng, các doanh nghiệp không cần đến một hệ thống phức tạp với độ an toàn cao, họ chỉ cần một hệ thống có thể bảo vệ họ vừa đủ trước các mối an ninh bên ngoài, đồng thời họ cũng muốn tích hợp nhiều tính năng để có thể khai thác từ các sản phẩm bảo mật đó.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ