1. 6- Mô Hình Trong Thực Tế
- Ở phần này của chủ đề Pfsense tôi sẽ đánh giá, nhận xét theo cách khách quan nhất về tình
trạng sử dụng của Pfsense và những cấu hình đang triển khai trong doanh nghiệp của tôi.
Mô hình hiện tại với khoảng gần 100 User
Những cấu hình đang được triển khai:
1/ NAT outside cho mail server ra ngoài Internet để User có thể nhận và gửi mail khi ở nhà
2/ FailOver trên 2 WAN để đảm User luôn kết nối được với Internet
3/ Cấu hình VPN cho phép User có thể truy xuất vào ERP server khi ở nhả
4/ Proxy server + SquidGuard : cấm một số User đi Internet nhưng chỉ cho họ đi được một
trang duy nhất là abc.com còn tất cả những user khác thì truy xuất bình thường và cấm
download những file nhạc, phim, .exe
5/ Tất cả các ứng dụng kết nối Internet đều phải được kiểm soát (tối ưu hệ thống)
6/ Thống kê được traffic sử dụng của các User
Ở cấu hình 1, 2 ,3 rất đơn giản tôi đã giới thiệu trong Phần 3.
Cấu hình 4: Để làm được điều này bạn hãy gán tĩnh IP cho những User mà bạn muốn cấm
truy xuất đi Internet tại DHCP server và sau đó dùng SquidGuard tạo ra các Target Categories
2. sau đó tạo ra các Group ACL và chỉ việc Allow hoặc Deny các Target Categories đó trên môt
Group ACL là đã giải quyết xong vấn đề.
Cấu hình 5: Ở đây tôi tạo Aliases chỉ cho phép một số port có thể kết nối được đến Internet
như: HTTP (80), Teamviewer (5938), VPN (500,4500,1723), Secure POP3 và SMTP (995,
465), Yahoo (5050, 5150), Skype (33033) và thêm vào khi tạo Rule
- Không cho phép port 443 bởi vì khi cho phép port 443 User sẽ dùng Ultrasurf để vượt qua
Pfsense như vậy thì ở cấu hình 4 sẽ không thành công.
- Đối với các ứng dụng hoặc các website có sử dụng port 443 thì tôi phải tao thêm một Rule
khác để cho phép chúng kết nối tới duy nhất các server đó.
- Và khi cấu hình thế này tôi đã kiểm soát được User sử dụng các ứng dụng khác kết nối ra
ngoài Internet như các game online.....Tuy hơi cực trong việc add thêm vào một số IP server
của các website hay ứng dụng sử dụng HTTPS (cần thiết cho công việc) nhưng với cách này
có thể cấm được Ultrasurf và phần lớn các ứng dụng vượt tường lửa khác.
Cấu hình 6: Cài đặt thêm gói ntop để xem được các thống kê.
Nhận xét:
- Được cài đặt trên một máy tính cũ CPU AMD 2,7GHz, Ram 2GB, HDD 160GB (7200rpm)
nhưng Pfsense vẫn chạy rất ổn định, chưa thấy xảy ra tình trạng treo hoặc lỗi. Apply các cấu
hình mới rất nhanh.
- Giao diện trực quan và rất dễ cấu hình
- Dễ dàng cài thêm vào các Packages
- Tuy nhiên khi triển khai thêm Proxy thì truy xuất website mới đầu rất nhanh vì đã được cache
lại vào HDD. Nhưng sau khoảng một thời gian thì thấy chậm đi. Có lẽ với khoảng gần 100
user truy xuất tới thì một HDD bình thường đã không đáp ứng nổi.
Qua bài viết này hy vọng cũng giúp mọi người hiểu 1 phần nào các chức năng của Pfsense
cũng như việc chọn nó làm tường lửa trong hệ thống của mình.