BỘ GIÁO DỤC VÀ ĐÀO TẠO (Bold, size 14)

TRƯỜNG ĐẠI HỌC CNTT GIA ĐỊNH (Bold, size 16)

KHOA CÔNG NGHỆ THÔNG TIN (Bold, size 16)

BÁO CÁO
THỰC TẬP TỐT NGHIỆP
(Bold, size 30)

TÊN ĐỀ TÀI

.................................................................
.................................................................
.................................................................
(Bold, size 16)

Giảng viên hướng dẫn: ...................... (Bold, size 14, in hoa)

Sinh viên thực hiện: ........................... (Bold, size 14, in hoa)
MSSV: ....... Lớp: .......... Khóa: ........ (Bold, size 14, in hoa)
 Thành phố Hồ Chí Minh, tháng …… năm …… (Italic, size 14)
LỜI CẢM ƠN
(Bold, size 16, in hoa)

(size 14) ....................................................................................................

...................................................................................................................
...................................................................................................................
...................................................................................................................
...................................................................................................................
...................................................................................................................
...................................................................................................................
...................................................................................................................
...................................................................................................................
...................................................................................................................
...................................................................................................................
...................................................................................................................
...................................................................................................................
...................................................................................................................
...................................................................................................................
...................................................................................................................
...................................................................................................................
...................................................................................................................
...................................................................................................................
...................................................................................................................
...................................................................................................................
...................................................................................................................
...................................................................................................................
...................................................................................................................
...................................................................................................................
...................................................................................................................
 ĐÁNH GIÁ CỦA ĐƠN VỊ THỰC TẬP
(Bold, Mẫu
size 16, in hoa)

1. Thái độ tác phong trong thời gian thực tập:

(size 14) ....................................................................................................
.................................................................................................................... .
...................................................................................................................
2. Kiến thức chuyên môn:
(size 14) ....................................................................................................
.................................................................................................................... .
...................................................................................................................
3. Nhận thức thực tế:
(size 14) ....................................................................................................
.................................................................................................................... .
...................................................................................................................
4. Đánh giá khác:
(size 14) ....................................................................................................
.................................................................................................................... .
...................................................................................................................
5. Đánh giá chung kết quả thực tập:
(size 14) ....................................................................................................
...................................................................................................................
...................................................................................................................

………………, ngày ……… tháng ……… năm …………

TM. Đơn vị thực tập
(Ký tên, đóng dấu)
 ĐÁNH GIÁ CỦA GIẢNG VIÊN HƯỚNG DẪN
(Bold, size 16, in hoa)

1. Thái độ tác phong trong thời gian thực tập:

(size 14) ....................................................................................................
.................................................................................................................... .
...................................................................................................................
2. Kiến thức chuyên môn:
(size 14) ....................................................................................................
.................................................................................................................... .
...................................................................................................................
3. Nhận thức thực tế:
(size 14) ....................................................................................................
.................................................................................................................... .
...................................................................................................................
4. Đánh giá khác:
(size 14) ....................................................................................................
.................................................................................................................... .
...................................................................................................................
5. Đánh giá chung kết quả thực tập:
(size 14) ....................................................................................................
...................................................................................................................
...................................................................................................................

………………, ngày ……… tháng ……… năm …………

Giảng viên hướng dẫn
(Ký tên, ghi rõ họ tên)
 MỤC LỤC

Mở đầu:----------------------------------------------------------------------Trang…
Giới thiệu về đơn vị thực tập---------------------------------------------Trang…
Chương 1.------------------------------------------------------------------- Trang…
1.1.-----------------------------------------------------------------------------Trang…
1.2.-----------------------------------------------------------------------------Trang…
1.3.-----------------------------------------------------------------------------Trang…
Chương 2.------------------------------------------------------------------- Trang…
2.1.-----------------------------------------------------------------------------Trang…
2.2.-----------------------------------------------------------------------------Trang…
2.3.---------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------
Chương 3
---------------------------------------------------------------------------------Trang ...
---------------------------------------------------------------------------------Trang ...
---------------------------------------------------------------------------------Trang ...
---------------------------------------------------------------------------------Trang ...
---------------------------------------------------------------------------------Trang ...
---------------------------------------------------------------------------------Trang ...
Chương 4
---------------------------------------------------------------------------------Trang ...

Kết luận và hướng phát triển-------------------------------------------- Trang…

Tài liệu tham khảo:--------------------------------------------------------Trang…

MỞ ĐẦU
Qua 4 năm học tập và rèn luyện tại trường Trường Đại Học Gia Định, được sự chỉ bảo và giảng dạy
nhiệt tình của quý thầy cô, đặc biệt là quý thầy cô khoa Công nghệ thông tin đã truyền đạt cho em
những kiến thức về lý thuyết và thực hành trong suốt thời gian học ở trường. Và trong thời gian thực
tập tại Công ty NETGROUP em đã có cơ hội áp dụng những kiến thức học ở trường vào tìm hiểu
thực tế ở công ty, đồng thời học hỏi được nhiều kinh nghiệm tại công ty. Cùng với sự nỗ lực của bản
thân, em đã hoàn thành báo cáo tốt nghiệp của mình.
Sau gần 2 tháng tìm hiểu và thực hiện, đề tài "Tìm hiểu về Firewall Pfsense" đã hoàn thành, ngoài
sự nỗ lực của bản thân, em còn nhận được nhiều sự động viên, khích lệ từ thầy cô và bạn bè.
Em xin cảm ơn Thầy Nguyễn Ngọc Đại hướng dẫn giúp em hoàn thành báo cáo thực tập.
Em xin cảm ơn Ban Giám Đốc Công ty NETGROUP đã tạo mọi điều kiện thuận lợi cho em trong
thời gian thực tập. Cuối cùng em xin cảm ơn thầy Lê Hữu Đức phòng IT của công ty đã giúp đỡ,
cung cấp những số liệu để em hoàn thành tốt chuyên đề thực tập tốt nghiệp này.
Trong quá trình thực tập, cũng như là trong quá trình làm bài báo cáo thực tập, khó tránh khỏi sai
sót, rất mong các Thầy, Cô bỏ qua. Đồng thời do trình độ lý luận cũng như kinh nghiệm thực tiễn còn
hạn chế nên bài báo cáo không thể tránh khỏi những thiếu sót, em rất mong nhận được ý kiến đóng
góp Thầy, Cô để em học thêm được nhiều kinh nghiệm và sẽ hoàn thành tốt hơn bài luận văn tốt
nghiệp sắp tới.
Em xin chân thành cảm ơn!

Trường Đại học CNTT Gia Định Cộng hoà xã hội chủ nghĩa Việt Nam
 Khoa Công Nghệ Thông Tin Độc lập - Tự do - Hạnh phúc

BÁO CÁO THỰC TẬP TỐT NGHIỆP HÀNG TUẦN

Họ và tên SV: MSSV:
Lớp:
Giảng viên hướng dẫn:
Tên doanh nghiệp (đơn vị) đến thực tập:
Địa chỉ:
Điện thoại:
Tên cán bộ phụ trách thực tập tại doanh nghiệp:
Thời gian thực tập Từ: Đến:
Nhận xét của Nhận xét của
t Tuần thứ Nội dung CV thực tập trong tuần CB hướng dẫn giảng viên
tại DN hướng dẫn
Tuần 1
(Từ ngày …
đến ngày…)
Tuần 2
(Từ ngày …
đến ngày…)
Tuần 3
(Từ ngày …
đến ngày…)
Tuần 4
(Từ ngày …
đến ngày…)
Tuần 5
(Từ ngày …
đến ngày…)
Tuần 6
(Từ ngày …
đến ngày…)
Hướng dẫn chung:
- Sinh viên phải điền vào mẫu báo cáo này vào cuối mỗi tuần và nộp lại cho cán bộ phụ trách thực
tập tại doanh nghiệp.
- Cán bộ phụ trách thực tập của doanh nghiệp sẽ nhận xét vào báo cáo này và đưa lại cho sinh viên
vào thứ hai đầu tuần.
 - Sinh viên sẽ nộp lại 1 bản sao cho giảng viên phụ trách thực tập để duyệt báo cáo thực tập tốt
nghiệp hàng tuần theo kế hoạch.

Chương 1:Tổng quan về firewall pfsense:

1. Firewall pfsense là gì :
PfSense là một ứng dụng có chức năng định tuyến, tường lửa và miễn phí, ứng dụng này sẽ cho phép
bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo mật. Bắt đầu vào năm 2004, khi
m0n0wall mới bắt đầu chập chững đây là một dự án bảo mật tập trung vào các hệ thống nhúng –
pfSense đã có hơn 1 triệu lượt download và được sử dụng để bảo vệ các mạng có tất cả kích cỡ, từ
mạng gia đình đến các mạng lớn của các công ty/doanh nghiệp. Ứng dụng này có một cộng đồng
phát triển rất tích cực và nhiều tính năng đang được bổ sung trong mỗi lần phát hành nhằm cải thiện
hơn nữa tính bảo mật, sự ổn định và khả năng linh hoạt của nó. Và là một trong số ít những firewall
có tính năng trạng thái, chỉ thường xuất hiện ở những firewall thương mại lớn như Cisco ASA,
Checkpoint, Juniper …
2. Lợi ích của Firewall Pfsense:
Hoàn toàn miễn phí, giá cả là ưu thế vượt trội của tường lửa pfSense. Tuy nhiên, rẻ không có nghĩa là
kém chất lượng, tường lửa pfSense hoạt động cực kỳ ổn định với hiệu năng cao, đã tối ưu hóa mã
nguồn và cả hệ điều hành. Cũng chính vì thê, pfSense không cần nền tảng phần cứng mạnh. Nếu
doanh nghiệp không có đường truyền tốc độ cao, tường lửa pfSense chỉ cần cài đặt lên một máy tính
cá nhân là có thể bắt đầu hoạt động. Điều đó càng góp phần làm giảm chi phí triển khai, đồng thời
tạo nên sự linh hoạt, tính mở rộng/sẵn sàng chưa từng có, khi doanh nghiệp muốn có nhiều hơn một
tường lửa.
Không chỉ là một tường lửa, pfSense hoạt động như một thiết bị mạng tổng hợp với đầy đủ mọi tính
năng toàn diện sẵn sàng bất cứ lúc nào. Khi có một vấn đề về hệ thống mạng phát sinh, thay vì phải
loay hoay tìm thiết bị và mất thời gian đặt hàng, doanh nghiệp có thể kết hợp các tính năng đa dạng
trên pfSense để tạo thành giải pháp hợp lý, khắc phục sự cố ngay lập tức.

Không kém phần quan trọng là khả năng quản lý. Tường lửa pfSense được quản trị một cách dễ
dàng, trong sáng qua giao diện web. Hơn thế nữa, pfSense đã có giao diện web quản trị duy nhất
bằng tiếng Việt, được các chuyên gia hệ thống mạng của Techlink biên dịch, nên việc sử dụng càng
trở nên đơn giản và rõ ràng, giúp các nhà quản trị mạng thực sự thoải mái và thấu hiểu về mọi hoạt
động của tường lửa.

Như vậy, tường lửa pfSense là sự kết hợp hoàn hảo và mạnh mẽ, đem lại sự hợp lý cho các nhà tài
chính, và sự tin tưởng cho các nhà quản trị.

2.1 Cấm/Cho phép các truy cập từ bên ngoài hoặc bên trong mạng nội bộ
Mô tả: Hiện tại, doanh nghiệp có các máy chủ dịch vụ và nhiều người dùng bên trong mạng nội bộ.
Doanh nghiệp muốn:
- Từ bên ngoài mạng internet, người dùng chỉ được phép truy cập vào một số dịch vụ bên trong
nhất định
- Từ bên trong mạng nội bộ, người dùng chỉ được phép truy cập tới các dịch vụ internet nhất
định.
Giải pháp: Đây là tính năng cơ bản của mọi tường lửa, pfSense hoàn toàn đáp ứng yêu cầu này.
pfSense có thể tiến hành cấm/cho phép các truy cập thông qua các thông số về địa chỉ IP, port, tên
miền…
2.2 Cấm truy cập theo thời gian biểu
Mô tả: Doanh nghiệp qui định, thời gian làm việc từ 8h tới 12h sáng, và 13h00 tới 17h00. Trong
khoảng thời gian làm việc, nhân viên không được sử dụng mạng internet để chat yahoo messenger,
skype, hay xem phim. Trong khoảng thời gian nghỉ trưa, từ 12h tới 13h, nhân viên có thể thoải mái
truy cập internet.

Giải pháp: pfSense không chỉ đặt các luật cấm/cho phép, mà còn có thể thiết lập lịch biểu tác dụng
cho các luật này. Trong trường hợp trên, quản trị mạng có thể xây dựng các luật cấm truy cập
chat/xem phim, đồng thời tạo ra một lịch biểu theo thời gian làm việc, cuối cùng là đem kết hợp giữa
luật và lịch biểu. Đây là một đặc tính rất hữu ích, nên được triển khai để tạo ra sự thoải mái nhất định
trong doanh nghiệp. Nhà quản trị mạng cũng không phải thao tác thủ công hàng ngày.

2.3 Cho phép truy cập máy chủ nội bộ từ internet

Mô tả: Hiện tại, doanh nghiệp đã có một địa chỉ IP tĩnh. Thông qua đó, doanh nghiệp muốn đưa các
dịch vụ web, chia sẻ file, CRM, ERP ra bên ngoài mạng internet, để các đối tác, nhà cung cấp… có
thể truy nhập vào. Đây là nhu cầu rất phổ biến.
Giải pháp 1 : pfSense hỗ trợ NAT (PAT) với khả năng ánh xạ các cổng dịch vụ với các máy chủ khác
nhau, đáp ứng được yêu cầu trên. Cách thực hiện này đơn giản, và phần lớn các tường lửa đều có thể
thực hiện được. Nhược điểm là người dùng phải nhớ được số hiệu cổng truy nhập.
Giải pháp 2 : pfSense hỗ trợ reverve proxy với khả năng ánh xạ ánh xạ tên miền về các máy chủ
khác nhau, đáp ứng được yêu cầu trên. Các tường lửa khác không có tính năng này, hoặc bắt buộc
phải có nhiều IP tĩnh.

Mỗi người dùng có một tài khoản riêng để truy cập wireless
Mô tả: Hiện tại, doanh nghiệp đang sử dụng mạng wireless để các nhân viên sử dụng. Doanh nghiệp
cũng có một mạng wireless riêng dành cho các khách hàng đến công ty. Đôi khi, khách hàng hoặc
một cá nhân nào đó trong mạng wireless sử dụng băng thông quá nhiều, chẳng hạn để xem phim
online, làm ảnh hưởng tới công việc của người khác, nhưng doanh nghiệp không thể xác định được
đó là ai. Hoặc sau một thời gian định kỳ, để an toàn, doanh nghiệp thay đổi mật khẩu truy nhập
wireless và phải báo lại cho tất cả ngươi dùng nội bộ rất phiền phức.
Bấm vào đây để xem "một số trường hợp ứng dụng captive-portal"

Giải pháp: để kiểm soát truy cập wireless, doanh nghiệp có thể mua các thiết bị wireless controller
với giá thành không hề rẻ. Như thế, nhà quản trị mạng phải làm việc với loại thiết bị mới, phải làm
quen với các trang web và phần mềm quản trị của các loại thiết bị khác nhau.
pfSense tích hợp chức năng quản trị mạng wireless với số lượng mạng không hạn chế. Thông qua
pfSense, doanh nghiệp có thể tạo ra các tài khoản truy cập wireless riêng cho từng người dùng, cho
phép băng thông tối đa cho từng người dùng. Doanh nghiệp cũng có thể tạo ra các voucher, có tác
dụng giống như thẻ cào truy cập wireless, để phát cho các khách hàng vãng lai tới sử dụng, và chỉ có
hạn mức sử dụng trong ngày. Hơn thế nữa, doanh nghiệp có thể quảng cáo dựa trên mạng wireless
này, bằng cách định hướng các truy nhập của người dùng chưa được xác thực về một trang web giới
thiệu công ty (tính năng này hay được áp dụng trong các bệnh viện, khách sạn, trường học, nơi có
nhiều khách vãng lai).

Sử dụng tên miền động miễn phí

Mô tả: Trong doanh nghiệp, có một chi nhánh nào đó có hệ thống mạng, nhưng không mua địa chỉ
IP tĩnh và tên miền. Vì vậy, người dùng/khách hàng từ bên ngoài internet không thể truy cập được
vào hệ thống mạng nội bộ bên trong để truy cập thông tin cần thiết.
Giải pháp: hoàn toàn miễn phí, doanh nghiệp có thể sử dụng tên miền động được cung cấp bởi noip,
dyndns… Cách này có ưu điểm là việc sử dụng hoàn toàn giống như tên miền tĩnh và IP tĩnh, và
nhược điểm là phải cài một phần mềm được cung cấp bởi noip, dyndns lên một máy tính nào đó
trong mạng nội bộ, để phần mềm đó cập nhật thường xuyên địa chỉ IP, rồi lại phải cấu hình tường lửa
để cho phép phần mềm đó hoạt động.
Với pfSense, vẫn theo cơ chế tên miền động như trên, nhưng tất cả các nhược điểm đều được khắc
phục. Thay vì phải tải về phần mềm cung cấp địa chỉ IP với nguồn gốc không rõ ràng, pfSense có
chức năng riêng để tự tiến hành việc này, mà không phải cài đặt lên bất cứ một máy tính nào khác.
Như vậy, pfSense vừa là tường lửa, vừa tự động cập nhật IP động cho hệ thống quản lý tên miền toàn
cầu, rất nhanh chóng và bảo đảm an toàn.

Mô tả: Doanh nghiệp có nhiều chi nhánh ở khắp nơi trong cả nước. Doanh nghiệp muốn kết nối
mạng nội bộ của tất cả các chi nhánh với nhau để hoạt động chia sẽ thông tin giữa các chi nhánh diễn
ra nhanh chóng, an toàn và tin cậy.

Giải pháp: phương pháp chung của mọi tường lửa là triển khai mạng LAN ảo – VPN – giữa các chi
nhánh. Thông thường, người ta sử dụng IPsec để tạo VPN. Nhưng không chỉ dừng lại ở đó, pfSense
hỗ trợ thêm cả 4 phương thức khác để tạo VPN, là IPsec, L2TP, PPTP và OpenVPN. Đặc biệt
OpenVPN rất được thịnh hành trên môi trường Linux, hoàn toàn miễn phí và không đòi hỏi người
dùng đầu cuối phải hiểu rõ về kỹ thuật...
Chương 2: Cài đặt pfsense trên vmware workstation.
1. Chọn Edit->virtual networkeditor
2. Chỉnh Vmet0 từ bridged -> host only
3. Thêm Vmware 9 và thiết lập ở chế độ Bridged với card mậng ethernet(LAN).
4. Thêm Vmnet10 và thiết lập ở chế độ Bridged với card mạng còn lại.
5. Browse tới file iso pfsense-> next.
6. Chọn freeBSD 64-bit-> next.
7. Tạo thêm 3 card mạng (Vmnet 8,9,10 ) -> close.
8. Chọn finish để kết thúc quá trình cài đặt pfsense.

9.Pfsense sẽ tự khởi động.

9. Chọn accept.
10.Chọn install.
11.Chọn continue.
12.Chọn auto-> OK.
13.Chọn Yes.
14.Chọn reboot.
15.Đăng nhập vào địa chỉ 192.168.1.1 để vào pfsense.
16.Chọn next.
17.Chọn next.
18.Các thông số cơ bản của hostname , domain, timezone cho pfsense-> next.
19.Đặt ip cho adress.
20.Setup lại password->next.
21.Chọn Reload.
22.Đăng nhập lại với địa chị ip 192.168.100.1 đề vào pfsense.
Chương 3 :Tìm hiểu về các hình thức dịch vụ của pfsense :

I. Các chức năng chính của Pfsense:

1. Aliases:
Với tính năng này chúng ta có thể gom nhóm các ports, host hoặc Network(s) khác nhau và đặt cho
chúng một cái tên chung để thiết lập những quy tắc được dễ dàng và nhanh chóng hơn.
Các thành phần trong Aliases:
 Host: tạo nhóm các địa chỉ IP.
 Network: tạo nhóm các mạng.
 Port: Cho phép gom nhóm các port nhưng không cho phép tạo nhóm các protocol. Các
protocol được sử dụng trong các rule.
2. Rules (Luật):
Nơi lưu các rules (luật) của Firewall.
Mặc định pfSense cho phép mọi lưu thông ra/vào hệ thống. Bạn phải tạo các rules để quản lý mạng
bên trong Firewall.
Một số lựa chọn trong Destination và Source:
- Any: Tất cả.
- Single host or alias: Một địa chỉ ip hoặc là một bí danh.
- Lan subnet: Đường mạng Lan.
- Network: địa chỉ mạng.
- Lan address: Tất cả địa chỉ mạng nội bộ.
- Wan address: Tất cả địa chỉ mạng bên ngoài.
- PPTP clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPT.
- PPPoE clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPPoE.
3. Virtual Ips.
Pfsense cho phép sử dụng nhiều địa chỉ IP công cộng kết hợp với cơ chế NAT thông qua IP ảo. Có
ba loại IP ảo có sẵn trên pfSense: Proxy ARP, CARP và một loại khác. Mỗi loại đều rất hữu ích
trong các tình huống khác nhau. Trong hầu hết các trường hợp, pfSense sẽ cung cấp ARP trên IPs,
do đó cần phải sử dụng Proxy ARP hoặc CARP. Trong tình huống mà ARP không cần thiết, chẳng
hạn như khi các IP công cộng bổ sung được định tuyến bởi nhà cung cấp dịch vụ mạng, sẽ sử
dụng IP ảo loại khác.
Virtual IP được sử dụng để cho phép pfSense đúng cách chuyển tiếp lưu lượng cho những việc
như chuyển tiếp cổng NAT, NAT Outbound và NAT 1:1. Họ cũng cho phép các tính năng như
failover, và có thể cho phép dịch vụ trên router để gắn kết với địa chỉ IP khác nhau.
4. CARP.
- Có thể được sử dụng bởi các tường lửa chính nó để chạy các dịch vụ hoặc được chuyển tiếp.
- Tạo ra lớp 2 lưu lượng cho các VIP (Virtual IP).
- Có thể được sử dụng cho clustering (tường lửa và tường lửa chủ failover chế độ chờ).
- Các VIP đã được trong cùng một subnet IP của giao diện thực.
- Sẽ trả lời ICMP ping nếu được phép theo các quy tắc tường lửa.
- Proxy ARP.
- Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được chuyển tiếp.
- Tạo ra lớp 2 lưu lượng cho các VIP.
- Các VIP có thể được trong một subnet khác với IP của giao diện thực.
- Không trả lời gói tin ICMP ping.

5. Captive portal.
a. Tổng quan:
- Captive portal là một tính năng thuộc dạng flexible, chỉ có trên các firewall thương
mại lớn. tính năng này giúp chuyển hướng trình duyệt của người dùng vào một trang
Web định sẵn, từ đó giúp chúng ta có thể quản lý được người dùng (hoặc cấm không
cho người khác dùng mạng của mình). Tính năng này tiên tiến hơn các kiểu đăng
nhập như WPA, WPA2 ở chỗ người dùng sẽ thao tác trực tiếp với 1 trang web (http,
https) chứ không phải là bảng đăng nhập khô khang như kiểu authentication WPA,
WPA2.
- Captive Portal cho phép việc chứng thực có hiệu quả, hoặc chuyển hướng click
captive portal cho phép việc chứng thực có hiệu quả, hoặc chuyển hướng click
 chuột thông qua các trang web để truy cập mạng. Điều này thường dùng vào các vị trí
mạng nóng, nhưng cũng được sử dụng rộng rãi trong các mạng doanh nghiệp thêm
một lớp bảo mật truy cập mạng không dây hoặc internet.
b. Các tính năng chính trong captive portal:
- Captive portal: tinh chỉnh các chức năng của Captive Portal
- Pass-though MAC: các MAC address được cấu hình trong thư mục này
sẽ bỏ qua, không chứng thực.
- Allowed IP address: các IP address được cấu hình sẽ không chứng thực.
- User : tạo local user để dùng kiểu chứng thực local user.
- Hai tính năng Pass-though MAC và Allowwed IP address được dùng để cấu hình
server.
- File Manager: tải trang quản lý của Captive portal lên pfSense.
- Enable captive portal : đánh dấu chọn nếu muốn sử dụng captive portal.
- Maximum concurrent connections: giới hạn các connection trên mỗi ip/user/mac.
Giới hạn số lượng kết nối qua các cổng thông tin của mỗi IP client. Tính năng này
ngăn chặng từ chối dịch vụ từ các máy tính client gửi lưu lượng mạng truy cập liên
tục mà không chứng thực.
- Idle timeout: ngắt kết nối sau một thời gian cố định mỗi ip truy cập.
- Hard timeout : buộc ngắt kết nối của tất cả các client sau thời gian đã được cài đặt
sẵn.
- Logout popup windows: lựa chon tới cửa sổ pop up với button đăng nhập xuất hiện
1 popup thông báo cho ip/user/mac\.
- Redirect URL: địa chỉ URL mà người dùng sẽ được chuyển hướng tới sau khi đăng
nhập.
- MAC filtering: đánh dấu vào nếu pfsense nằm trước router. Bởi vì pfsense quản lý
kết nối theo MAC (mặc định). Mà khi dữ liệu qua Router sẽ bị thay đổi mac address
nên nếu timeout thì toàn bộ người dùng sẽ mất kết nối.
- Authentication: chọn kiểu authentication. Pfsense hỗ trợ 3 kiểu.
- No authentication: pfsense sẽ điều hướng người dùng tới 1 trang nhất định mà không
chứng thực. Điều này có nghĩa người dùng sử chỉ cần nhấp chuột thông qua các trang
thông tin của mình mà không cần chấp nhận thông tin.
- Local user manager: pfsense hỗ trợ tạo user để authentication. Một cơ sở dữ liệu
người dùng cục bộ có thể được cấu hình và dùng để xác thực.

- Load Banlancer:
 Network Load Balancing hay còn gọi là cân bằng tải, đây là một dịch vụ tích hợp
trong pfSense với nhiều tính năng hữu ích, nó có hai kiểu cân bằng tải, hỗ trợ khi một
trong hai đường ADSL bị ngắt thì nó sẽ sử dụng đường còn lại hoặc nó có thể gôm cả
hai đường ADSL này thành một để tăng tốc độ tải xuống. Khả năng load balancing
của pfSense rất tốt nó vẫn làm việc bình thường khi rút một trong hai đường ADSL
nhưng khi cắm lại 2 đường thì tốc độ tải xuống được tăng tốc độ lên rất nhanh.
6. Nat:
- Trong Firewall bạn cũng có thể cấu hình các thiết lập NAT nếu cần sử dụng cổng
chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1) cho các host cụ thể.
- Thiết lập mặc định của NAT cho các kết nối outbound là Automatic outbound
NAT…, tuy nhiên bạn có thể thay đổi kiểu Manual outbound NAT nếu cần.
7. Routing:
Một trong những tính năng chính của một Firewall ngoài việc lọc và thực hiện NAT là
định tuyến được lưu thông trong mạng. Nó bao gồm các tuyến tĩnh, các giao thức định
tuyến, định tuyến IP công cộng và hiển thị các thông tin định tuyến Bridging.
Thông thường mỗi interface trên pfSense sẽ đại diện cho một miền riêng với một
subnet IP duy nhất, giống như một vùng riêng biệt. Trong một số trường hợp cần kết
hợp nhiều interfaces thành một miền mới, lúc đó chức năng này sẽ kết hợp hai cổng
trên tường lửa sẽ hoạt động giống như nó đang trên cùng một miền, ngoại trừ lưu
lượng giữa các interface được kiểm soát bởi các quy luật (rule) đã được cấu hình.
Virtual Lans (Vlans).
VLAN cung cấp một phương tiện để phân đoạn mạng miền thành nhiều mạng con, mỗi
mạng con hoạt động độc lập với nhau. Nhưng vấn đề bảo mật cần phải đưa vào account
khi thiết kế và thực thi một giải pháp liên quan đến VLAN. VLAN không đảm bảo an
toàn nên sai có thể dẫn đến tổn thương cho mạng của bạn.
8. VPN:
- VPN (Virtual Private Network) là một kiểu kết nối cho phép các máy tính truyền thông
với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫn đảm bảo
được tính riêng tư và bảo mật dữ liệu. Để cung cấp kết nối giữa các máy tính, các gói
thông tin được bao bọc bằng một header có chứa những thông tin định tuyến, cho phép
dữ liệu có thể gửi từ máy truyền qua môi trường mạng chia sẻ và đến được máy nhận,
như truyền trên các đường ống riêng được gọi là tunnel. Để bảo đảm tính riêng tư và
bảo mật trên môi trường chia sẻ này, các gói tin được mã hoá và chỉ có thể giải mã với
những khóa thích hợp, ngăn ngừa trường hợp “trộm” gói tin trên đường truyền. Chức
năng này của pfSense được đánh giá là rất tốt.
 - VPN là một mạng riêng sử dụng hệ thống mạng công cộng(thường là Internet) để kết
nối các địa điểm hoặc người dùng từ xa với một mạng LAN ở trụ sở trung tâm.Thay vì
dùng kết nối thật khá phức tạp như các đường dây thuê bao số,VPN tạo ra các liên kết
ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người
sử dụng ở xa .
- Trước đây, để truy cập từ xa vào hệ thống mạng,người ta thường sừ dụng phương thức
Remote Access quay số dựa trên mạng điện thoại.Phương thức này vừa tốn kém vừa
không an toàn.
- Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng chính),
các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối (như 'Văn phòng'
tại gia) hoặc người sử dụng (Nhân viên di động) truy cập đến từ bên ngoài.
- PfSense hổ trợ VPN trong sử dụng Internet Protocol Security(IPSec), OpenVPN hoặc
PPTP.
9. Ipsec (Ip Security):
- IPSec có vai trò rất quan trọng trong việc giải quyết các vấn đề mà chúng ta cố giải
quyết nó với firewall. IPSec (IP Security) đề ra một tập các chuẩn được phát triển bởi
Internet Engineering Tast Force (IETF). IPSec giải quyết hai vấn đề gây hại cho bộ giao
thức IP: Sự xác thực host-to-host (cho các host biết là chúng đang nói chuyện với nhau
mà không phải là sự giả mạo) và việc mã hóa (ngăn chặn những kẻ tấn công xem dữ
liệu trong luồng lưu lượng giữa hai máy). Đây là các vấn đề mà firewall cần giải quyết.
Mặc dù firewall có thể làm giảm nguy cơ tấn công trên Internet mà không cần sự xác
thực và mã hóa, nhưng vẫn còn hai vấn đề lớn ở đây: tính toàn vẹn và sự riêng tư của
thông tin đang truyền giữa hai host và sự giới hạn trong việc đặt ra các loại kết nối giữa
các mạng khác nhau. IPSec giúp giải quyết các vấn đề này. Có vài khả năng đặc biệt khi
chúng ta xem xét sự kết hợp giữa các firewall với các host cho phép IPSec. Cụ thể là,
VPN, việc lọc gói tốt hơn (lọc những gói mà có tiêu đề xác thực IPSec), và các firewall
lớp ứng dụng sẽ cung cấp sự xác minh host tốt hơn bằng cách sử dụng tiêu đề xác thực
IPSec thay cho “just trusting” địa chỉ IP hiện tại.
10.Wireless:
- Pfsense có khả năng cho phép xây dựng mạng không dây, sử dụng kết nối không dây
như là một kết nối WAN.

II. Các Dịch Vụ Của Firewall Pfsense:

1. DHCP Server:
- Dịch vụ này cho phép pfSense cấp địa chỉ IP và các thông tin cấu hình cho client trong
mạng LAN.
2. DHCP Relay:
 - Dịch vụ này cho phép pfSense forward yêu cầu cấp IP của client nằm trong một subnet
nào đó tới một DHCP server cho trước.
- Chỉ được phép chạy một trong hai dịch vụ DHCP server và DHCP relay.
3. Dynamic DNS:
- Pfsense cho phép đăng ký địa chỉ IP của WAN interface của nhiều nhà cung cấp DNS
động.
- Nó rất hữu ích khi muốn điều khiển từ xa.
4. SNMP (Simple Network Management Protocol):
- Chức năng SNMP của pfSense sẽ cho phép giám sát từ xa các thông số hệ thống
pfSense.
- Tùy thuộc vào các tùy chọn cho phép mà có thể theo dõi như: lưu lượng mạng, hàng đợi,
thông tin chung hệ thống(CPU, bộ nhớ….).
5. WOL (Wake On Lan):
- Được dùng để đánh thức máy tính đã tắt bằng cách gửi gói tin đặc biệt “Magic packet”.
Các NIC trong máy tính phải được hỗ trợ WOL và phải được cấu hình đúng. Thông
thường thiết lập WOL của NIC ở BIOS.
6. PPPoE Server:
- Pfsense có thể hoạt động như một máy chủ PPPoE, chấp nhận hoặc xác thực kết nối từ
client PPPoE trên interface cục bộ. Nó được dùng để bắt buộc người dùng xác thực
trước khi được quyền truy cập mạng hoặc kiểm soát hoạt động đăng nhập của họ.

III. Chức năng cân băng tải của Pfsense có những đặc điểm:
Ưu điểm:
 Miễn phí.
 Có khả năng bổ sung thêm tính năng bằng gói dịch vụ cộng thêm.
 Dễ cài đặt , cấu hình.
Nhược điểm:
 Phải trang bị thêm mordem nếu không có sẵn.
 Không được hỗ trợ từ nhà sản xuất như các thiết bị cân bằng tải.
 Vẫn chưa có tính năng lọc URL như các thiết bị thương mại.
 Đòi hỏi người sử dụng phải có kiến thức cơ bản để cấu hình.
IV. Một số chức năng khác của firewall pfsense:
- System log: theo dõi hoạt động của hệ thống pfSense và các dịch vụ mà pfSense cung
cấp. Mọi hoạt động của hệ thống và dịch vụ đều được ghi lại.
- System Status: Liệt kê các thông tin và tình trạng của hệ thống.
 - Service Status: Hiển thị trạng thái của tất cả các service có trong hệ thống. Mỗi service
có hai trạng thái là: running, stopped.
- Interface Status: Hiển thị thông tin của tất cả card mạng
- D Graph: Hiển thị các thông tin dưới dạng đồ thị. Các thông tin mà RRD Graph sẽ thể
hiện là: System, Traffic, Packet, Quality, Queues.
- Pfsense khá linh hoạt với các hệ thống khác để hỗ trợ tốt hơn cho việc vận hành của
pfSense như: kết hợp chứng thực người dùng thông qua hệ thống RADIUS…
- Ngoài ra pfSense còn có thể kết nối với mạng 3G, 4G thông qua thiết bị 3G, 4G. Trường
hợp này phòng bị cho sự cố bất khả kháng khi tất cả các đường truyền internet bằng cáp
bị hư hỏng.

Chương 4: Cấu hình và chức năng của một số chức năng của Pfsense

1.DHCP Server

1.1 Giới Thiệu

DHCP viết tắt của từ Dynamic Host Configuration Protocol - Giao thức cấu hình Host
động. Giao thức cung cấp phương pháp thiết lập các thông số cần thiết cho hoạt động của
mạng TCP/IP giúp giảm khối lượng công việc cho quản trị hệ thống mạng. DHCP server là
một máy chủ có cài đặt dịch vụ DHCP. Nó có chức năng quản lý sự cấp phát địa chỉ IP động
và các dữ liệu cấu hình TCP/IP.
Pfsense cung cấp dịch vụ DHCP server dùng để tự động cấu hình cho mạng TCP/IP bằng
cách tự động gán các địa chỉ IP cho các máy client khi nó tham gia vào mạng.
1.2 Các tính năng trong menu DHCP Server

- Enable DHCP server on LAN interface :Cho phép dịch vụ DHCP

- server trong pfsense hoạt động.
- -Deny unknown clients : không cấp phát ip cho các máy client không được xác định.
- Range : giới hạng địa chỉ cấp phát cho các máy client.
- Default lease time : mặc định thời gian dhcp cấp phát IP cho client ngừng hoạt động (mặc định
nếu không nhập vào là 7200 giây).
- Maximun lease time : thời gian tối đa máy client được sử dụng IP do dhcp cấp phát (mặc định
là 86400 giờ ).
 1.3 Cấu hình

- Chọn Enable DHCP server on LAN interface để bật chức năng DHCP server.
- Range: giới hạn vùng địa chỉ IP mà DHCP Server cấp cho các máy client.
- DNS Server : cấp phát địa chỉ phân giải tên miền DNS.
- Gateway: địa chỉ IP thông ra ngoài mạng.
- Chọn Save để lưu lại cấu hình.

- Client nhận ip do firewall cấp

 2.Captive portal

2.1 Giới thiệu

- Captive portal là một tính năng thuộc dạng flexible, chỉ có trên các firewall thương mại lớn.
tính năng này giúp chuyển hướng trình duyệt của người dùng vào một trang Web định sẵn, từ
đó giúp chúng ta có thể quản lý được người dùng (hoặc cấm không cho người khác dùng mạng
của mình). Tính năng này tiên tiến hơn các kiểu đăng nhập như WPA, WPA2 ở chỗ người dùng
sẽ thao tác trực tiếp với 1 trang web (http, https) chứ không phải là bảng đăng nhập khô khang
như kiểu authentication WPA, WPA2.
- Captive Portal cho phép việc chứng thực có hiệu quả, hoặc chuyển hướng click chuột thông
qua trang web để truy cập vào mạng. Điều này thường được dùng vào các vị trí mạng nóng,
nhưng cũng được sử dụng rộng rãi trong các mạng doanh nghiệp thêm một lớp bảo mật truy
cập mạng không dây hoặc Internet.

2.2 Tính năng chính trong Captive portal

- Captive portal: tinh chỉnh các chức năng của Captive Portal.
- Pass-though MAC: các MAC address được cấu hình trong thư mục này sẽ bỏ qua, không
chứng thực.
- Allowed IP address: các IP address được cấu hình sẽ không chứng thực.
- User : tạo local user để dùng kiểu chứng thực local user.
- Hai tính năng Pass-though MAC và Allowwed IP address được dùng để cấu hình server.
- File Manager: tải trang quản lý của Captive portal lên pfSense.
2.3 Cấu hình:
 - Enable captive portal : đánh dấu chọn nếu muốn sử dụng captive portal.
- Maximum concurrent connections: giới hạn các connection trên mỗi ip/user/mac. Giới hạn số
lượng kết nối qua các cổng thông tin của mỗi IP client. Tính năng này ngăn chặng từ chối dịch
vụ từ các máy tính client gửi lưu lượng mạng truy cập liên tục mà không chứng thực.
- Idle timeout: ngắt kết nối sau một thời gian cố định mỗi ip truy cập.
- Hard timeout : buộc ngắt kết nối của tất cả các client sau thời gian đã được cài đặt sẵn.
- Logout popup windows: lựa chon tới cửa sổ pop up với button đăng nhập
- xuất hiện 1 popup thông báo cho ip/user/mac\.
- Redirect URL: địa chỉ URL mà người dùng sẽ được chuyển hướng tới sau khi đăng nhập.

- MAC filtering: đánh dấu vào nếu pfsense nằm trước router. Bởi vì pfsense quản lý kết nối theo
MAC (mặc định). Mà khi dữ liệu qua Router sẽ bị thay đổi mac address nên nếu timeout thì toàn
bộ người dùng sẽ mất kết nối.
- Authentication: chọn kiểu authentication. Pfsense hỗ trợ 3 kiểu
- No authentication: pfsense sẽ điều hướng người dùng tới 1 trang nhất định mà không chứng thực.
Điều này có nghĩa người dùng sử chỉ cần nhấp chuột thông qua các trang thông tin của mình mà
không cần chấp nhận thông tin.
- Local user manager: pfsense hỗ trợ tạo user để authentication. Một cơ sở dữ liệu người dùng cục
bộ có thể được cấu hình và dùng để xác thực.
- Radius authentication: đây là phương pháp chứng thực ưa thích cho môi trường doanh nghiệp và
các ISP. Nó có thể được sử dụng để xác thực từ Microsoft Active Directory và các server khác có
RADIUS. authentication bằng radius server (cần chỉ ra địa chỉ ip của radius, port, ...).
- Tính năng trong RADIUS : buộc phải chứng thực lại, accounting có thể gửi thông tin câp nhật.
RADIUS MAC portal xác thực cho phép captive để xác thực đến máy chủ RADIUS bằng cách sử
dụng địa chỉ MAC của client như tên người dùng và mật khẩu, cho phép cấu hình server dự phòng
RADIUS.
Cấu hình Captive Portal dùng tính năng local users

- Đầu tiên chọn interface đế áp captive portal: chọn LAN nếu là mạng
nội bộ, hoặc các OPT cho vùng DMZ. Để giới hạn người dùng tải file
nên chỉ cho 1 người dùng 10 connections. Do pfsense thường cài trên
các máy cũ, chậm nên đặt idle time out khoảng 5 phút để giảm tải cho
pfsense. Để Hard timeout là 0 và có thể đánh dấu hoặc không đánh dấu
vào mục logout popup window, đánh dấu vào concurrent user login
nếu muốn trong 1 thời điểm chỉ có 1 user đăng nhập. Vì chứng thực
kiểu local user nên không quan tâm tới các mục trong authentication
with radius.Sau đó, tạo trang index.html có nội dung.

<form method="post" action="$PORTAL_ACTION$">

<input name="auth_user" type="text">
<input name="auth_pass" type="password">
<input name="redirurl" type="hidden" value="$PORTAL_REDIRURL$">
<input name="accept" type="submit" value="Continue">
</form>

- Rồi chọn browse trong portal page content để up file này lên. Bấm
SAVE để lưu lại. Cuối cùng tạo user trong tab user của captive portal.

3. Load Banlancer

3.1 Giới thiệu

- Network Load Balancing hay còn gọi là cân bằng tải, đây là một dịch
vụ tích hợp trong pfSense với nhiều tính năng hữu ích, nó có hai kiểu
cân bằng tải, hỗ trợ khi một trong hai đường ADSL bị ngắt thì nó sẽ sử
dụng đường còn lại hoặc nó có thể gôm cả hai đường ADSL này thành
một để tăng tốc độ tải xuống. Khả năng load balancing của pfSense rất
tốt nó vẫn làm việc bình thường khi rút một trong hai đường ADSL
nhưng khi cắm lại 2 đường thì tốc độ tải xuống được tăng tốc độ lên rất
nhanh.

3.2 Chức năng cân băng tải của pfsense có những đặc điểm.
Ưu điểm
- Miễn phí.
- Có khả năng bổ sung thêm tính năng bằng gói dịch vụ cộng thêm.
- Dễ cài đặt, cấu hình.
Hạn chế
- Phải trang bị thêm modem nếu không có sẵn.
- Không được hỗ trợ từ nhà sản xuất như các thiết bị cân bằng tải khác.
- Vẫn chưa có tính năng lọc URL như các thiết bị thương mại.
- Đòi hỏi người sử dụng phải có kiến thức cơ bản về mạng để cấu hình.

3.3 Các tính năng trong menu Load Banlancer

Hai thành phần menu chính trong Load Banlancing.
- Pool : thành phần chứa cấu hình interface WAN và OPT1 hoặc các
server.
- Vitural Server : thành phần chứa cấu hình các server ảo.

Cấu Hình
- Vào Interface để cấu hình IP cho WAN và OPT1. Tùy vào cấu hình cụ
thể
mà sẽ chọn IP hay là DHCP
- Sau khi cấu hình IP cho WAN và OPT1 xong sẽ cấu hình load
banlancing.
- Vào Services/Load Banlancer
Chương 5: Tổng kết:
1.Kết quả
- Do thời gian có hạn và gặp một vài trục trặc nhỏ trong quas trình
triển khai nên em vẫn chưa hoàn chỉnh lắm bài báo cáo.

- Cơ bản em đã nắm được các bước triển khai các tính năng của
Firewall và nắm rõ hơn về cách thức vận hành của Firewall

2. Hướng phát triển:

- Sẽ tiếp tục nghiên cứu tiếp những sai sót của mình trong quá
trình làm báo cáo
- Vì nó rất hữu ích đối với cá nhân cũng như doanh nghiệp trong
việc bảo mật nên sẽ tìm hiểu sâu hơn những tính năng hữu ích
mà Firewall miễn phí này mang lại
3.Tài liệu tham khảo:

Tiếng Việt:

Diễn đàn Nhất Nghệ :

http://www.nhatnghe.com/forum/showthread.p
hp?p=475722
http://nhatnghe.com/forum/showthread.php?
t=89833
http://www.nhatnghe.com/forum/showthread.php
?p=500629
http://nhatnghe.com/forum/showthread.php?
t=93399
http://www.nhatnghe.com/forum/showthread.p
hp?t=93403

Diễn đàn Mait : http://forum.mait.vn/mang-bao-

mat/2293-tai-lieu-pfsense.html

Diễn đàn Quản Trị Mạng :

http://www.quantrimang.com.vn/baomat/giaiphapbaoma
t/50308_Bao-ve-mang-voi- pfSense.aspx

Tiếng Anh:

Diễn đàn pfsense : http://forum.pfsense.org/

http://doc.pfsense.org/index.php/Category:Documentation
http://doc.pfsense.org/index.php/Category:Howto
http://doc.pfsense.org/index.php/Tutorials