Xây dựng hệ thống firewall với PFSENSE

Status
Not open for further replies.

magicvn

Internship/Fresher
Aug 10, 2014
22
1
0
I. Giới thiệu

  • pfSense là một ứng dụng có chức năng định tuyến vào tường lửa mạnh và miễn phí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo mật.
  • Bẳt đầu vào năm 2004, khi m0n0wall mới bắt đầu chập chững– đây là một dự án bảo mật tập trung vào các hệ thống nhúng
  • pfSense đã có hơn 1 triệu download và được sử dụng để bảo vệ các mạng ở tất cả kích cỡ, từ các mạng gia đình đến các mạng lớn của của các công ty.
  • Ứng dụng này có một cộng đồng phát triển rất tích cực và nhiều tính năng đang được bổ sung trong mỗi phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn định và khả năng linh hoạt của nó


  • Pfsense bao gồm nhiều tính năng mà bạn vẫn thấy trên các thiết bị tường lửa hoặc router thương mại, chẳng hạn như GUI trên nền Web tạo sự quản lý một cách dễ dàng. Trong khi đó phần mềm miễn phí này còn có nhiều tính năng ấn tượng đối với firewall/router miễn phí, tuy nhiên cũng có một số hạn chế.
- Các ứng dụng:
  • Pfsense hỗ trợ lọc bởi địa chỉ nguồn và địa chỉ đích, cổng nguồn hoặc cổng đích hay địa chỉ IP.
  • Nó cũng hỗ trợ chính sách định tuyến
  • có thể hoạt động trong các chế độ bridge hoặc transparent
  • cho phép bạn chỉ cần đặt pfSense ở giữa các thiết bị mạng mà không cần đòi hỏi việc cấu hình bổ sung.
  • pfSense cung cấp network address translation (NAT) và tính năng chuyển tiếp cổng,
- Tuy nhiên ứng dụng này vẫn còn một số hạn chế với
  • Point-to-Point Tunneling Protocol (PPTP)
  • Generic Routing Encapsulation (GRE)
  • Session Initiation Protocol (SIP) khi sử dụng NAT.
- pfSense được dựa trên FreeBSD và giao thức Common Address Redundancy Protocol (CARP) của FreeBSD, cung cấp khả năng dự phòng bằng cách cho phép các quản trị viên nhóm hai hoặc nhiều tường lửa vào một nhóm tự động chuyển đổi dự phòng.
- Vì nó hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên có thể thực hiện việc cân bằng tải. Tuy nhiên có một hạn chế với nó ở chỗ chỉ có thể thực hiện cân bằng lưu lượng phân phối giữa hai kết nối WAN và chúng ta không thể chỉ định được lưu lượng cho qua một kết nối
 
II. Mô hình

pf2.jpg


III. Cài đặt và cấu hình Pfsense

1. Cài đặt Pfsense

Trên máy tính cài Pfsense chúng ta bỏ đĩa pfSense-LiveCD vào CD/DVD để tiến hành cài đặt

pf3.jpg


Màn hình Welcom to FreeBSD! Chào đón chúng ta đến với mã nguồn mở Firewall Pfsense

pf4.jpg


Nhấn “I” để bắt đầu cài đặt pfscense

pf5.jpg


Chọn Accept these settings Chấp nhận việc cài đặt Pfsense.

pf6.jpg


Chọn Install Pfsense bắt đầu cài Pfsense vào ổ cứng.

pf7.jpg


<Ad3:…> Chọn ổ cứng mà Pfsense cần cài đặt.

pf8.jpg


Chọn Format this Disk. Định dạng lại ổ cứng bằng chính chương trình Pfsense.

pf9.jpg


Chọn Use this geometry Định dạng Cylinders, Heads, Sectors theo chuẩn Pfsense.

pf10.jpg


Format Ad3 Để bắt đầu tiến hành định dạng theo thiết lập trên.

pf11.jpg


Chọn Partition Disk Tạo Partiton cho ổ cứng.

pf12.jpg


Chọn Accept and Create Chấp nhận quá trình tạo Partition.

pf13.jpg


Chọn Yes, Partition ad0 Xác nhận việc tạo Partition.

pf14.jpg


Chọn OK.

pf15.jpg


Chọn Accept and Install Bootblocks Chấp nhận tạo bootBlocks lên ổ cứng.

pf16.jpg


Chọn OK.

pf17.jpg


Chọn <1: … > Thiết lập Primary cho Partition.

pf18.jpg


Chọn OK.

pf19_1.jpg


Chọn OK.

pf19_2.jpg


Chọn Accept and Create.

19.jpg


Quá trình cài đặt Pfsense lên ổ cứng.

pf19.jpg


Chọn <Symmetric Multipocessing kernel (More than one processor)>

pf20.jpg


Cài đặt kernel Pfscense

21.jpg


Quá trình cài đặt hoàn tất nhấn chọn < Reboot> để khởi động lại.
 
2. Cấu Cấu hình card WAN và LAN cho máy Pfsense

pf1.jpg


Màn hình Welcome của pfScense sau khi cài đặt thành công

pf2.jpg


Pfscence hỏi chúng ta có cấu hình VLAN không? Nhấn “N” để bỏ qua
Chọn card mạng WAN, nhập le0 -> nhấn enter.

pf3.jpg


Chọn card mạng LAN, nhập le1 -> nhấn enter.

pf4.jpg


Nhấn “enter” để kết thúc

pf5.jpg


Nhập “Y” để tiếp tục sử lý.

pf6.jpg


Quá trình cấu hình card mạng đã kết thúc
 
3. Thiết lập các thông số cơ bản cho pfScense
Trong mạng lan, dùng một máy client mở trình duyệt và truy cập vào địa chỉ ip 192.168.1.1 để vào giao diện quản lý qua web của pfScense.

pf1.jpg


Nhập username và pass mặc định (admin/pfscense) để login

2.jpg


Cấu hình hostname, domain và DNS cho pfScense

3.jpg


Cấu hình đồng bộ thời gian.

4.jpg


Cấu hình card WAN. SelectedType chọn “Static”

5.jpg


Đặt địa “IP Address” và “Gateway”.

6.jpg


Nhấn “Next” để tiếp tục

7.jpg


Cấu hình card “LAN”

10.jpg


Thay đổi mật khẩu quản trị

9.jpg


Kiểm tra lại cấu hình card WAN và LAN đúng mô hình chưa nhé.
 
4. Cấu hình thêm interface vùng DMZ

1.jpg


2.jpg


Vào “Interfaces” > “Assign”.

3.jpg


Tại Tab “Ineterface assignments”. Chọn “+” để Add thêm card cho DMZ.

4.jpg


Click “OTP1”

5.jpg

6.jpg


Cấu hình như hình trên.

7.jpg


Ipv4 address. Nhập “192.168.3.1” netmask chọn “24”. Chọn “save” để lưu lại cấu hình

9.jpg


Chọn “Apply changes”.

8.jpg


Kết quả sau khi cấu hình.
 
5. Cấu hình public webserver

Để public webserver ta dùng chức năng “Port Forward” trong “NAT” của pfScense

1.jpg


Chọn “Firewall” > “NAT”

2.jpg


Chọn “+” để thêm một rule

3.jpg


Cấu hình như hình trên.

4.jpg


Cấu hình như hình trên.

6.jpg


Chọn “save” để lưu lại cấu hình.

5.jpg


Chọn “Apply changes” để thay đổi có hiệu lực.
 
6. Cấu hình Rule firewall

Trong mô hình bài lab này chúng ta sẽ cấu hình rule với vùng DMZ như sau
• Cấm kết nối trực tiệp vào mạng lan
• Cấm truy cập đến firewall
• Chỉ cho phép cập ra ngoài internet.

6.1. Mô hình bài lab

1.jpg


6.2. Cấu hình

Vào “Firewall” > “Rule” > chuyển sang Tab DMZ.

2.jpg


Mặc định firewall sẽ chặn tất cả. và thứ tự của rule được áp dụng là từ trên xuống.

6.3. Tạo rule cho phép DMZ truy cập đến internet.

Chọn “+” để thêm mới một rule

3.jpg


Ation chọn “pass”, interface chọn “DMZ”, protocol chọn “any”

4.jpg


Điền các thông số như hình trên > chọn “save” để lưu lại cấu hình.

6.4. Tạo rule cấm truy cập mạng LAN

5.jpg


Chọn “+” để thêm mới một rule

6.jpg


Ation chọn “Block”, interface chọn “DMZ”, protocol chọn “any”

7.jpg


Điền các thông số như hình trên > chọn “save” để lưu lại cấu hình.

6.5. Tạo rule cấm truy cập firewall

8.jpg


Chọn “+” để thêm mới một rule

9.jpg


Ation chọn “Block”, interface chọn “DMZ”, protocol chọn “any”

10.jpg


Điền các thông số như hình trên > chọn “save” để lưu lại cấu hình.

6.6. Apply các rule đã cấu hình

11.jpg


Nhấn “Apply change” để các rule đã cấu hình bắt đầu có hiệu lực
 
  • Like
Reactions: ntshanoi
Status
Not open for further replies.

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu