1. Giới thiệu về pfSense
    1

PfSense là một ứng dụng có chức năng định tuyến, tường lửa và miễn phí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo mật. Bắt đầu vào năm 2004, khi m0n0wall mới bắt đầu chập chững – đây là một dự án bảo mật tập trung vào các hệ thống nhúng – pfSense đã có hơn 1 triệu lượt download và được sử dụng để bảo vệ các mạng có tất cả kích cỡ, từ mạng gia đình đến các mạng lớn của các công ty/doanh nghiệp. Ứng dụng này có một cộng đồng phát triển rất tích cực và nhiều tính năng đang được bổ sung trong mỗi lần phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn định và khả năng linh hoạt của nó. Và là một trong số ít những firewall có tính năng trạng thái, chỉ thường xuất hiện ở những firewall thương mại lớn như Cisco ASA, Checkpoint, Juniper …

  • PfSense bao gồm nhiều tính năng đặc biệt là firewall trạng thái mà bạn vẫn thấy trên các thiết bị tường lửa hoặc router thương mại lớn, chẳng hạn như giao diện người dùng (GUI) trên nền Web tạo sự quản lý một cách dễ dàng. Trong khi đó phần mềm miễn phí này còn có nhiều tính năng ấn tượng đối với firewall/router miễn phí, tuy nhiên cũng có một số hạn chế.
  • PfSense hỗ trợ lọc bởi địa chỉ nguồn và địa chỉ đích, cổng nguồn hoặc cổng đích hay địa chỉ IP. Nó cũng hỗ trợ chính sách định tuyến và cơ chế hoạt động trong chế độ brigde hoặc transparent, cho phép bạn chỉ cần đặt pfSense ở giữa các thiết bị mạng mà không cần đòi hỏi việc cấu hình bổ sung. PfSense cung cấp cơ chế NAT và tính năng chuyển tiếp cổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với Point-to-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và Session Initiation Protocol (SIP) khi sử dụng NAT.
  • PfSense được dựa trên FreeBSD và giao thức Common Address Redundancy Protocol (CARP) của FreeBSD, cung cấp khả năng dự phòng bằng cách cho phép các quản trị viên nhóm hai hoặc nhiều tường lửa vào một nhóm tự động chuyển
  • Vì nó hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên có thể thực hiện việc cân bằng tải. Tuy nhiên có một hạn chế với nó ở chỗ chỉ có thể thực hiện cân bằng lưu lượng phân phối giữa hai kết nối WAN và không thể chỉ định được lưu lượng cho qua một kết nối.
Đây là mô hình triển khai hệ thống với pfSense cho doanh nghiệp vừa và nhỏ
Đây là mô hình triển khai hệ thống với pfSense cho doanh nghiệp vừa và nhỏ.

Một số lợi ích mà pfSense đem tới

Hoàn toàn miễn phí, giá cả là ưu thế vượt trội của tường lửa pfSense. Tuy nhiên, rẻ không có nghĩa là kém chất lượng, tường lửa pfSense hoạt động cực kỳ ổn định với hiệu năng cao, đã tối ưu hóa mã nguồn và cả hệ điều hành. Cũng chính vì thê, pfSense không cần nền tảng phần cứng mạnh.

Nếu doanh nghiệp không có đường truyền tốc độ cao, tường lửa pfSense chỉ cần cài đặt lên một máy tính cá nhân là có thể bắt đầu hoạt động. Điều đó càng góp phần làm giảm chi phí triển khai, đồng thời tạo nên sự linh hoạt, tính mở rộng/sẵn sàng chưa từng có, khi doanh nghiệp muốn có nhiều hơn một tường lửa.

Không chỉ là một tường lửa, pfSense hoạt động như một thiết bị mạng tổng hợp với đầy đủ mọi tính năng toàn diện sẵn sàng bất cứ lúc nào. Khi có một vấn đề về hệ thống mạng phát sinh, thay vì phải loay hoay tìm thiết bị và mất thời gian đặt hàng, doanh nghiệp có thể kết hợp các tính năng đa dạng trên pfSense để tạo thành giải pháp hợp lý, khắc phục sự cố ngay lập tức.

Không kém phần quan trọng đó là khả năng quản lý. Tường lửa pfSense được quản trị một cách dễ dàng, trong sáng qua giao diện web.

Lợi ích của pfSense
Lợi ích của pfSense

Như vậy, tường lửa pfSense là sự kết hợp hoàn hảo và mạnh mẽ, đem lại sự hợp lý cho các nhà tài chính, và sự tin tưởng cho các nhà quản trị.

Một số chức năng chính của firewall pfSense

  1. Aliases

Aliases có thể giúp bạn tiết kiệm một khối lượng thời gian nếu bạn sử dụng chúng một cách chính xác.

Một Aliases ngắn cho phép bạn sử dụng cho một host, cổng hoặc mạng có thể được sử dụng khi tạo các rule trong pfSense.

Sự dụng Aliases sẽ giúp bạn cho phép bạn lưu trữ nhiều mục trong một nơi duy nhất, có nghĩa là bạn không cần phải tạo ra nhiều rule cho nhóm các máy hoặc cổng.

Aliases là tính năng vô cùng hiệu quả của pfSense. Một Aliases có thể định nghĩa được rất nhiều port hoặc một host hoặc nhiều dãy IP.Kiểu như là một số điện thoại là 0935005235 được lưu là jetking.vn thì Aliases ở đây chính là jetking.vn.

Một ví dụ đơn giản bạn muốn block IP Facebook – Facebook là một dãy IP rất nhiều lớp mạng, ta không thể làm từng rule trên Firewall để chặn Facebook, nó làm ta mất rất nhiều thời gian, làm chậm hệ thống, làm khó khăn cho việc quản lý.

Và chỉ cần ta tạo một Aliases có tên là IP_Facebook chứa một dãy IP facebook. Sau đó trên Firewall ta chỉ cần làm một rule là chặn Aliases IP_Facebook thì block được facebook.com.

Việc sửa đổi rules trở nên dễ dàng hơn.

Chức năng Firewal: Aliases
Chức năng Firewal: Aliases

Với tính năng này chúng ta có thể gom nhóm các ports, host hoặc Network(s) khác nhau và đặt cho chúng một cái tên chung để thiết lập những quy tắc được dễ dàng và nhanh chóng hơn. Để vào Aliases của pfSense, ta vào Firewall -> Aliases.

Thiết lập Firewall: Aliases
Thiết lập Firewall: Aliases

Các thành phần trong Aliases:

  • Host: tạo nhóm các địa chỉ IP
  • Network: tạo nhóm các mạng
  • Port: Cho phép gom nhóm các port nhưng không cho phép tạo nhóm các protocol. Các protocol được sử dụng trong các rule

2. Rules (Luật)

Nơi lưu các rules (Luật) của Firewall. Để vào Rules của pfSense, ta vào Firewall -> Rules.

4

Mặc định pfSense cho phép mọi traffic ra/vào hệ thống. Bạn phải tạo các rules để quản lý mạng bên trong Firewall.

Một số lựa chọn trong Destination và Source.

  • Any: Tất cả
  • Single host or alias: Một địa chỉ ip hoặc là một bí danh.
  • Lan subnet: Đường mạng Lan
  • Network: địa chỉ mạng
  • Lan address: Tất cả địa chỉ mạng nội bộ
  • Wan address: Tất cả địa chỉ mạng bên ngoài
  • PPTP clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPTP
  • PPPoE clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPPoE

3. Firewall Schedules

Các Firewall rules có thể được sắp xếp để nó chỉ hoạt động vào các thời điểm nhất định trong ngày hoặc vào những ngày nhất định cụ thể hoặc các ngày trong tuần.
Đây là một cơ chế rất hay vì nó thực tế với những yêu cầu của các doanh nghiệp muốn quản lí nhân viên sử dụng internet trong giờ hành chính.
Đề tạo một Schedules mới, ta vào Firewall -> Schedules: Nhấn dấu +
Ví dụ: ở đây Tạo lịch tên ThoiGianLamViec của tháng Từ thứ hai đến thứ bảy và thời gian từ 7 giờ đến 16 giờ.

Thiết lập chức năng Firewall Schedules
Thiết lập chức năng Firewall Schedules

Sau khi tạo xong nhấn Add Time => Save

Chức năng Firewall Schedules
Chức năng Firewall Schedules

Nguyễn Hoàng Anh