Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp.docx

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN & TRUYỀN THÔNG
KHOA CÔNG NGHỆ THÔNG TIN
BÁO CÁO THỰC TẬP CHUYÊN NGÀNH
Đề tài: Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp
Giáo viên hướng dẫn : Nguyễn Thanh Tùng
Sinh viên thực hiện: Nguyễn Đình Trung Kiên
MSSV:DTC165D4802990001
Lớp: An toàn thông tin – K15A
Thái nguyên - 2020

DỊCH VỤ VIẾT THUÊ ĐỀ TÀI TRỌN GÓI ZALO/TELEGRAM : 0934.573.149 TẢI FLIE TÀI
LIỆU – LUANVANTOT.COM
SV:Nguyễn Đình Trung Kiên Lớp: ATTT-K15A | Trang 2
LỜI MỞ ĐẦU
Chúng ta không thể phủ nhận được việc Internet là một kho tàng chứa đựng những
nội dung quý giá và rất thân thiện với người dùng. Những lợi ích mà mạng internet mang
lại cho chúng ta là rất lớn nhưng bên cạnh đó cũng có những mặt trái, kẻ xấu luôn muốn
tấn công và xâm nhập vào các thiết bị có kết nối internet bất cứ lúc nào. Để bảo mật cho
các thiết bị này tốt hơn thì ngoài việc sử dụng các phần mềm diệt virut, các cổng giao
tiếp thì tường lửa cũng là một thành phần không thể thiếu.
Thuật ngữ tường lửa (firewall) có nguồn gốc từ một kỹ thuật thiết kế trong xây
dựng nhằm để ngăn chặn, hạn chế hỏa hoạn. Trong lĩnh vực công nghệ thông tin, tường
lửa là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép,
nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn từ
bên ngoài vào hệ thống.Tường lửa giống như một rào cản hoặc lá chắn được xây dựng
nhằm bảo vệ hệ thống bên trong gồm máy tính, máy tính bảng hay điện thoại thông minh
khỏi những mối nguy hiểm khi truy cập Internet.
Mục đích cuối cùng là cung cấp kết nối có kiểm soát giữa các vùng với độ tin cậy
khác nhau thông qua việc áp dụng một chính sách an ninh và mô hình kết nối dựa trên
nguyên tắc quyền tối thiểu.
Trong bài báo cáo này em xin trình bày giải pháp về bảo mật mạng nội bộ chủ yếu
dành cho những doanh nghiệp có quy mô nhỏ bằng việc sử dụng tường lửa OPNSense.
Trong quá trình thực hiện đề tài em không khỏi mắc phải thiếu sót. Mong các thầy, cô
đóng góp ý kiến để em có thể hoàn thiện tốt hơn khi thực hiện những đề tài về sau này.
Em cũng xin có lời cảm ơn với thầy Nguyễn Thanh Tùng, giáo viên hướng dẫn
thực hiện đề tài thực tập chuyên ngành lần này của em. Cảm ơn thầy đã cho em định
hướng nghiên cứu, giúp em có thể hoàn thành đúng tiến độ đề tài thực tập lần này. Tuy
em đã có cố gắng nghiên cứu, tìm hiểu, nhưng chắc chắn rằng không thể tránh khỏi
những thiếu sót. Em rất mong nhận được sự thông cảm, góp ý của thầy,cô và các bạn.

MỤC LỤC
LỜI MỞ ĐẦU.....................................................................................................................2
MỤC LỤC ..........................................................................................................................3
DANH MỤC HÌNH ẢNH ..................................................................................................5
DANH MỤC CÁC TỪ VIẾT TẮT....................................................................................7
CHƯƠNG 1: TỔNG QUAN VỀ TƯỜNG LỬA ...............................................................8
1.1. Khái niệm và lịch sử phát triển................................................................................8
1.2 Các hiểm họa an ninh mạng......................................................................................9
1.2.1 Tấn công chủ động và bị động...........................................................................9
1.2.2 Virus, Worm, Trojan........................................................................................10
1.2.3 Tấn công từ chối dịch vụ .................................................................................10
1.2.4 Social Engineering...........................................................................................10
1.2.5 Sự cần thiết của tường lửa ...............................................................................10
1.3.Nguyên lý hoạt động của tường lửa........................................................................11
1.4.Các loại tường lửa...................................................................................................13
CHƯƠNG 2: TƯỜNG LỬA OPNSENSE.............................................................................................. 16
2.1. Giới thiệu về tường lửa OPNSense........................................................................16
2.1.1. Lịch sử về tường lửa OPNSense.....................................................................17
2.1.2. Quá trình phát triển OPNSense.......................................................................17
2.2. Các tính năng của tường lửa OPNSense................................................................23
2.2.1. Traffic Shaper .................................................................................................23
2.2.2. Two-Factor Authentication ( 2FA )................................................................23
2.2.3. Captive Portal .................................................................................................23

2.2.4. Virtual Private Network..................................................................................24
2.2.5. Filtering Caching Proxy..................................................................................25
2.2.6. MultiWAN - Load Balancing.........................................................................27
2.2.7. Network Flow Monitoring..............................................................................28
2.2.8. Netflow Exporter ............................................................................................30
2.2.9. Backup & Restore...........................................................................................32
2.2.10. Caching Proxy...............................................................................................34
CHƯƠNG 3: TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA OPNSENSE................................................. 35
3.1 Mô hình triển khai...................................................................................................35
3.2 Triển khai sử dụng tường lửa OPNSense ...............................................................38
3.2.1. Cài đặt tường lửa OPNSense..........................................................................38
3.2.2. Block một số IP có hành vi gây hại................................................................39
3.2.3. Cho phép duy nhất một địa chỉ IP sử dụng Remote Desktop trên Webserver
...................................................................................................................................41
3.2.4 Public Webserver ra ngoài Internet .................................................................44
3.2.5 Thiết lập Proxy trong vùng mạng LAN, chặn truy cập đến một trang web....46
KẾT LUẬN ............................................................................................................................................. 51
TÀI LIỆU THAM KHẢO....................................................................................................................... 52

DANH MỤC HÌNH ẢNH
Hình 1.1 Mô hình diễn tả cách thức hoạt động của tường lửa ...........................................9
Hình 2.1. Các ứng dụng VPN OPNSense hỗ trợ cài sẵn..................................................25
Hình 2.2. Mô hình Load Balancing ..................................................................................27
Hình 2.3. Kích hoạt NetFlow............................................................................................30
Hình 2.4. Cache NetFlow .................................................................................................30
Hình 2.5. Cái nhìn tổng quan về hệ thống mạng ..............................................................31
Hình 2.6. Xuất File Excel .................................................................................................31
Hình 2.7. File Excel ghi lại Traffic qua lại.......................................................................32
Hình 2.8. Giao diện Backup..............................................................................................33
Hình 2.9. Hỗ trợ sao lưu đám mây....................................................................................34
Hình 2.10. Mô hình Proxy Server.....................................................................................34
Hình 3.1. Mô hình thực tế.................................................................................................35
Hình 3.2. Mô hình thử nghiệm(demo)..............................................................................36
Hình 3.3. Thiết lập card mạng cho máy ảo.......................................................................38
Hình 3.4. Tường lửa sau khi đăng nhập thành công.........................................................39
Hình 3.5. Thêm tên định danh cho IP bị block.................................................................40
Hình 3.6. Tạo rules Block IP ............................................................................................40
Hình 3.7. Máy LAN bị block IP không thể truy cập internet...........................................41
Hình 3.8. Tạo đối tượng AdminLAN có quyền truy cập..................................................42
Hình 3.9. Cấu hình tập luật của LAN cho phép Admin truy cập .....................................43
Hình 3.10. Chặn những truy cập từ IP khác IP Admin.....................................................43

Hình 3.11. Máy AdminLAN vẫn có thể sử dụng Remote Desktop trên Webserver........44
Hình 3.12. Những máy có địa chỉ IP khác không thể truy cập.........................................44
Hình 3.13. Tạo nhóm các Port cần chuyển tiếp................................................................45
Hình 3.14. Tạo Port Forward mới.....................................................................................46
Hình 3.15. Truy cập thành công .......................................................................................46
Hình 3.16. Khởi động Proxy.............................................................................................47
Hình 3.17. Chọn sử dụng Proxy trên mạng LAN.............................................................48
Hình 3.18. Thêm chotenmien.vn vào tùy chọn blacklist..................................................48
Hình 3.19. Cấu hình Proxy trên trình duyệt......................................................................49
Hình 3.20. Tạo Port Forward cho Proxy..........................................................................49
Hình 3.21. Trình duyệt báo lỗi không thể truy cập...........................................................50
Hình 3.22. Các trang web khác vẫn truy cập bình thường ...............................................50

DANH MỤC CÁC TỪ VIẾT TẮT
STT Chữ cái viết tắt/ký hiệu Cụm từ đầy đủ
1 WAN Wide area network
2 LAN Local Network Area
3 DMZ Demilitarized Zone
4 VPN Virtual Private Network
5 IP Internet Protocol
6 IDS Intrusion Detection Syste
7 IPS Intrusion Prevention Systems
8 NAT Network Address Translation
9 TCP Transmission Control Protocol
10 UDP User Datagram Protocol
11 OSI Open Systems Interconnection
12 ICMP Internet Control Message Protocol
13 SMTP Simple Mail Transfer Protocol
14 DNS Domain Name System
15 NSF Network File System
16 SMNP Simple Network Management Protocol
17 SSL Secure Sockets Layer
18 FTP File Transfer Protocol
19 ICAP Internet Content Adaptation Protocol
20 HTTP Hypertext Transfer Protocol
21 HTTPS Hypertext Transfer Protocol Secure

CHƯƠNG 1: TỔNG QUAN VỀ TƯỜNG LỬA
1.1. Khái niệm và lịch sử phát triển
Trong lĩnh vực công nghệ thông tin, tường lửa(firewall) là một kỹ thuật được tích
hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin
nội bộ và hạn chế sự xâm nhập không mong muốn từ bên ngoài vào hệ thống. Nói một
cách dễ hiểu, hãy tưởng tượng tường lửa giống như một rào cản hoặc lá chắn được xây
dựng nhằm bảo vệ hệ thống bên trong gồm máy tính, máy tính bảng hay điện thoại thông
minh khỏi những mối nguy hiểm khi lên mạng Internet.
Thông thường, tường lửa phải được đặt nằm giữa hệ thống mạng LAN bên trong
và mạng Internet bên ngoài, đồng thời được yêu cầu phải luôn chạy nền để có thể bảo vệ
hệ thống. Tường lửa sẽ giám sát dữ liệu được trao đổi giữa máy tính, máy chủ và các
thiết bị định tuyến trong hệ thống mạng (thường ở dạng các gói tin) để kiểm tra xem
chúng có an toàn hay không.
Nếu không có tường lửa, luồng dữ liệu có thể ra vào mà không chịu bất kỳ sự
kiểm soát nào. Còn khi tường lửa được kích hoạt, dữ liệu có thể được cho phép ra vào
hay không sẽ do các thiết lập trên tường lửa quy định. Về mặt kỹ thuật, tường lửa sẽ xác
định xem các gói tin có đáp ứng những quy tắc đã được thiết lập hay không. Sau đó, căn
cứ vào những quy tắc này mà các gói dữ liệu sẽ được chấp nhận hoặc bị từ chối.

Hình 1.1 Mô hình diễn tả cách thức hoạt động của tường lửa
Thuật ngữ tường lửa ban đầu đề cập đến một bức tường nhằm mục đích hạn chế
đám cháy trong tòa nhà. Việc sử dụng sau này đề cập đến các cấu trúc tương tự, chẳng
hạn như tấm kim loại ngăn cách khoang động cơ của một chiếc xe hoặc máy bay từ
khoang hành khách. Thuật ngữ này được áp dụng vào cuối những năm 1980 cho công
nghệ mạng xuất hiện khi Internet còn khá mới về mặt sử dụng và kết nối toàn cầu. Tiền
thân của tường lửa bảo mật mạng là các bộ định tuyến được sử dụng vào cuối những
năm 1980, vì chúng tách các mạng với nhau, do đó ngăn chặn sự lây lan của các vấn đề
từ mạng này sang mạng khác.
1.2 Các hiểm họa an ninh mạng
1.2.1 Tấn công chủ động và bị động
Những cuộc tấn công chủ động thông thường được sử dụng trong giai đoạn đầu để
chiếm quyền truy nhập bên trong. Một phương pháp tấn công cổ điển là dò tìm tên người
sử dụng và mật khẩu. Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi một
điều kiện đặc biệt nào để bắt đầu. Kẻ tấn công có thể sử dụng những thông tin như tên
người dùng, ngày sinh, địa chỉ, số nhà vv.. để đoán mật khẩu. Trong trường hợp có được
danh sách người sử dụng và những thông tin về môi trường làm việc, có một chương
trình tự động hoá về việc dò tìm mật khẩu này.
Trong cuộc tấn công bị động, các hacker sẽ kiểm soát traffic không được mã hóa
và tìm kiếm mật khẩu không được mã hóa (Clear Text password), các thông tin nhạy
cảm có thể được sử dụng trong các kiểu tấn công khác. Các cuộc tấn công bị động bao
gồm phân tích traffic, giám sát các cuộc giao tiếp không được bảo vệ, giải mã các traffic
mã hóa yếu, và thu thập các thông tin xác thực như mật khẩu.Các cuộc tấn công chặn bắt
thông tin hệ thống mạng cho phép kẻ tấn công có thể xem xét các hành động tiếp theo.
Kết quả của các cuộc tấn công bị động là các thông tin hoặc file dữ liệu sẽ bị rơi vào tay
kẻ tấn công mà người dùng không hề hay biết.

1.2.2 Virus, Worm, Trojan
Đây là những virut máy tính. Virus máy tính là một chương trình phần mềm có
khả năng tự sao chép chính nó từ đối tượng lây nhiễm này sang đối tượng khác (đối
tượng có thể là các file chương trình, văn bản, máy tính...).Virus có nhiều cách lây lan và
tất nhiên cũng có nhiều cách phá hoại,và đa số đều có mục đích không tốt
1.2.3 Tấn công từ chối dịch vụ
DOS attack hay còn gọi là tấn công từ chối dịch vụ .Phương thức tấn công này
chủ yếu nhắm vào các mục tiêu như: website, máy chủ trò chơi, máy chủ DNS..làm
chậm, gián đoạn hoặc đánh sập hệ thống.
1.2.4 Social Engineering
Social Engineering là phương pháp tấn công, đột nhập vào một hệ thống của một
tổ chức, công ty, doanh nghiệp. Kỹ thuật tấn công Social Engineering là quá trình đánh
lừa người dùng của hệ thống, nhằm phá vỡ hệ thống an ninh, lấy cắp dữ liệu hoặc tống
tiền. Nói một cách khác, Social Engineering là một trò lừa đảo rất tinh vi được thực hiện
qua mạng internet, tỉ lệ thành công của hình thức này rất cao.Những kẻ tấn công sử dụng
kỹ thuật Social Engineering chủ yếu nhằm vào cá nhân, các tổ chức công ty trong phạm
vi hẹp.
1.2.5 Sự cần thiết của tường lửa
Trước những nguy cơ đó, vấn đề đảm bảo an toàn cho mạng máy tính trở nên rất
cấp thiết và quan trọng hơn bao giờ hết. Các nguy cơ bị tấn công ngày càng nhiều và
ngày càng tinh vi hơn, nguy hiểm hơn. Đã có nhiều giải pháp bảo mật cho mạng máy
tính được đưa ra như dùng các phần mềm, chương trình để bảo vệ tài nguyên, tạo những
tài khoản truy xuất mạng đòi hỏi có mật khẩu … nhưng những giải pháp đó chỉ bảo vệ

một phần mạng máy tính, một khi những kẻ phá hoại mạng máy tính đã thâm nhập sâu
hơn vào bên trong mạng thì có rất nhiều cách để phá hoại hệ thống mạng. Vì vậy đã đặt
ra một yêu cầu là phải có những công cụ để chống sự xâm nhập mạng bất hợp pháp ngay
từ bên ngoài mạng, đó chính là nguyên nhân dẫn tới sự ra đời của Firewall (Tường
lửa).Một Firewall có thể lọc các lưu lượng Internet nguy hiểm như hacker, các loại sâu,
và một số loại virus trước khi chúng có thể gây ra trục trặc trên hệ thống. Ngoài ra,
Firewall có thể giúp cho máy tính tránh tham gia các cuộc tấn công vào các máy tính
khác mà không hay biết. Việc sử dụng một Firewall là cực kỳ quan trọng đối với các
máy tính luôn kết nối Internet, như trường hợp có một kết nối băng thông rộng hoặc kết
nối DSL/ADSL.
1.3.Nguyên lý hoạt động của tường lửa
Về cơ bản thì tường lửa là tấm lá chắn giữa máy tính của bạn giữa Internet, giống
như một nhân viên bảo vệ giúp bạn thoát khỏi những kẻ thù đang muốn tấn công bạn.
Khi tường lửa hoạt động thì có thể từ chối hoặc cho phép lưu lượng mạng giữa các thiết
bị dựa trên các nguyên tắc mà nó đã được cấu hình hoặc cài đặt bởi một người quản trị
tường lửa đưa ra.
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua tường lửa
thì điều đó có nghĩa rằng tường lửa hoạt động chặt chẽ với giao thức TCI/IP. Vì giao
thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên
mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP,
DNS, SMNP, NFS...) thành các gói dữ liệu (data pakets) rồi gán cho các paket này
những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại tường
lửa cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng.
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra
toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các
luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở

đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng. Đó
là:
-Địa chỉ IP nơi xuất phát ( IP Source address)
-Địa chỉ IP nơi nhận (IP Destination address)
-Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)
-Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)
-Cổng TCP/UDP nơi nhận (TCP/UDP destination port)
-Dạng thông báo ICMP ( ICMP message type)
-Giao diện packet đến ( incomming interface of packet)
-Giao diện packet đi ( outcomming interface of packet)
Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua tường lửa. Nếu
không packet sẽ bị bỏ đi. Nhờ vậy mà tường lửa có thể ngăn cản được các kết nối vào
các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống
mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm
cho tường lửa có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy
chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP...) được phép mới
chạy được trên hệ thống mạng cục bộ.
 Có hai cách thức đặt luật lọc gói tin của tường lửa đó là whitelist và blacklist:
+Whitelist: chỉ các gói tin phù hợp với các luật trong tường lửa mới được coi là hợp lệ
và cho phép đi qua, các gói tin khác mặc định sẽ bị loại bỏ.
+Blacklist: các gói tin mặc định sẽ được cho phép đi qua, các gói tin “match” với các
luật trong tường lửa sẽ bị loại bỏ
Tùy từng nhu cầu, mục đích sử dụng mà người quản trị sẽ sử dụng hình thức whitelist,
blacklist hoặc cả hai cách thức nói trên.

Có rất nhiều tường lửa cá nhân như Windows Firewall hoạt động trên một tập
hợp các thiết lập đã được cài đặt sẵn. Như vậy thì người sử dụng không cần lo lắng về
việc phải cấu hình tường lửa như thế nào. Nhưng ở một mạng lớn thì việc cấu hình
tường lửa là cực kỳ quan trọng để tránh khỏi các hiểm họa có thể có xảy trong mạng.
1.4.Các loại tường lửa
 Có ba loại tường lửa cơ bản tùy theo:
+Truyền thông được thực hiện giữa một nút đơn và mạng, hay giữa một số mạng.
+Truyền thông được chặn tại tầng mạng, hay tại tầng ứng dụng.
+Tường lửa có theo dõi trạng thái của truyền thông hay không.
 Phân loại theo phạm vi của các truyền thông được lọc, có các loại sau:
+Tường lửa cá nhân hay tường lửa máy tính, một ứng dụng phần mềm với chức năng
thông thường là lọc dữ liệu ra vào một máy tính đơn.
+Tường lửa mạng, thường chạy trên một thiết bị mạng hay máy tính chuyên dụng đặt tại
ranh giới của hai hay nhiều mạng hoặc các khu phi quân sự (mạng con trung gian nằm
giữa mạng nội bộ và mạng bên ngoài). Một tường lửa thuộc loại này lọc tất cả truyền
thông dữ liệu vào hoặc ra các mạng được kết nối qua nó.
Khi phân loại theo các tầng giao thức nơi giao thông dữ liệu có thể bị chặn, có hai
loại tường lửa chính:
+Tường lửa tầng mạng
Tường lửa này hoạt động ở tầng mạng trong mô hình OSI hoặc IP của TCP/IP. Ở
đây, các gói tin đến và đi sẽ đi qua bộ lọc, chỉ những gói tin nào phù hợp mới được đi
tiếp, còn không chúng sẽ bị loại bỏ. Các tường lửa hiện đại ngày nay có thể tiến hành lọc
các gói tin dựa trên rất nhiều trường như theo địa chỉ IP, port nguồn, port đích, dịch vụ
đích, giá trị Time to live…

Ưu điểm Nhược điểm
-Đơn giản, dễ thực thi
-Nhanh, dễ sử dụng
-Chi phí thấp, đảm bảo được hiệu năng
-Khó khi gặp trường hợp lừa đảo
(spoofing) các thông tin trong gói tin
-Không thực hiện được việc xác thực
người dùng
Một số loại tường lửa nổi tiếng loại này đó là ipf (Unix), ipfw (FreeBSD / Mac
OS X), pf (Open BSD), iptables (Ubuntu / Linux).
+Tường lửa tầng ứng dụng
Đây là một dạng của tường lửa quản lý, vào, ra, bởi một phần mềm hoặc dịch vụ.
Chúng có thể lọc các gói tin ở tầng ứng dụng trong mô hình OSI chẳng hạn như các Http
GET / POST; ghi lại các hoạt động vào ra, login logout của user. Điều này không thể
thực hiện được với các tường lửa tầng dưới. Nó cũng giúp cho một ứng dụng xác định
xem liệu có nên chấp nhận một kết nối nào kết nối tới không.
Các loại tường lửa tầng mạng và tường lửa tầng ứng dụng thường trùm lên nhau,
mặc dù tường lửa cá nhân không phục vụ mạng, nhưng một số hệ thống đơn đã cài đặt
chung cả hai.
Cuối cùng, nếu phân loại theo tiêu chí rằng tường lửa theo dõi trạng thái của các
kết nối mạng hay chỉ quan tâm đến từng gói tin một cách riêng rẽ, có hai loại tường lửa:
+Tường lửa có trạng thái (Stateful firewall)
Tường lửa Stateful firewall có thể xem luồng lưu lượng truy cập từ đầu đến cuối.
Tường lửa nhận thức được các đường dẫn truyền thông và có thể thực hiện các chức
năng IP Security (IPsec) khác nhau như đường hầm và mã hóa. Về mặt kỹ thuật, điều
này có nghĩa là tường lửa trạng thái có thể cho biết kết nối TCP ở giai đoạn nào (mở,
đồng bộ hóa xác nhận hoặc thiết lập), nó có thể cho biết MTU đã thay đổi hay không,
cho dù gói có phân mảnh hay không.

+Tường lửa phi trạng thái (Stateless firewall):
Tường lửa Stateless firewall xem lưu lượng mạng và hạn chế hoặc chặn các gói
dựa trên địa chỉ nguồn và đích hoặc các giá trị tĩnh khác. Chúng không phải là ‘nhận
thức’ về các mẫu lưu lượng truy cập hoặc luồng dữ liệu. Một bức tường lửa phi trạng
thái sử dụng các bộ quy tắc đơn giản mà không tính đến khả năng một gói tin có thể
được nhận bởi tường lửa ‘giả vờ’ là thứ mà bạn yêu cầu.
Không phải là thực sự vượt trội và có những đối số tốt cho cả hai loại tường lửa.
Tường lửa Stateless firewall thường nhanh hơn và hoạt động tốt hơn dưới tải lưu lượng
nặng hơn. Tường lửa Stateful firewall tốt hơn trong việc xác định thông tin liên lạc trái
phép và giả mạo.

CHƯƠNG 2: TƯỜNG LỬA OPNSENSE
2.1. Giới thiệu về tường lửa OPNSense
OPNSense là tường lửa mềm được xây dựng trên hệ điều hành FreeBSD, tức là
bạn chỉ cần một máy tính bất kì, hoặc tốt hơn là một máy chủ, rồi cài đặt OPNSense là
đã có ngay một tường lửa mạnh mẽ cho hệ thống mạng trong doanh nghiệp. Trong phân
khúc tường lửa cho doanh nghiệp vừa và nhỏ, với khoảng dưới 1000 người sử dụng,
OPNSense được đánh giá là tường lửa nguồn mở tốt nhất hiện nay với khả năng đáp ứng
lên tới hàng triệu kết nối đồng thời. Không những thế, tường lửa OPNSense còn có
nhiều tính năng mở rộng tích hợp, tất cả trong một, vượt xa các tưởng lửa thông thường,
kể cả các tường lửa cứng của các hãng nổi tiếng về thiết bị mạng.
Cùng với hoạt động như một tường lửa, nó có khả năng định hình lưu lượng, cân
bằng tải và khả năng của mạng riêng ảo và những thứ khác có thể được thêm vào thông
qua các plugin.
Hoàn toàn miễn phí, giá cả là ưu thế vượt trội của tường lửa OPNSense. Tuy
nhiên, rẻ không có nghĩa là kém chất lượng, tường lửa OPNSense hoạt động cực kỳ ổn
định với hiệu năng cao, đã tối ưu hóa mã nguồn và cả hệ điều hành. Cũng chính vì thê,
OPNSense không cần nền tảng phần cứng mạnh. Nếu doanh nghiệp không có đường
truyền tốc độ cao, tường lửa OPNSense chỉ cần cài đặt lên một máy tính cá nhân là có
thể bắt đầu hoạt động. Điều đó càng góp phần làm giảm chi phí triển khai, đồng thời tạo
nên sự linh hoạt, tính mở rộng/sẵn sàng chưa từng có, khi doanh nghiệp muốn có nhiều
hơn một tường lửa.
Không chỉ là một tường lửa, OPNSense hoạt động như một thiết bị mạng tổng hợp
với đầy đủ mọi tính năng toàn diện sẵn sàng bất cứ lúc nào. Khi có một vấn đề về hệ
thống mạng phát sinh, thay vì phải loay hoay tìm thiết bị và mất thời gian đặt hàng,
doanh nghiệp có thể kết hợp các tính năng đa dạng trên OPNSense để tạo thành giải
pháp hợp lý, khắc phục sự cố ngay lập tức. Không kém phần quan trọng là khả năng

quản lý. Tường lửa OPNSense được quản trị một cách dễ dàng, trong sáng qua giao diện
web. Như vậy, tường lửa OPNSense là sự kết hợp hoàn hảo và mạnh mẽ, đem lại sự hợp
lý cho các nhà tài chính, và sự tin tưởng cho các nhà quản trị.
2.1.1. Lịch sử về tường lửa OPNSense
OPNsense được ra mắt phát hành vào ngày 2 tháng 2 năm 2015 có giao diện dựa
trên web và có thể được sử dụng trên nền tảng i386 và x86-64.
Quay trở lại năm 2014, sau khi đã tài trợ pfSense trong nhiều năm, không hiểu vì
lí do gì nhưng đội ngũ thành viên đã tách ra nhánh khác thành lập nên OPNSense duy trì
hướng phát triển theo phiên bản m0n0wall, sau rất nhiều công việc hoàn thành cuối cùng
ngày 2 tháng 2 năm 2015 họ đã phát hành chính thức phiên bản đầu tiên mang tên
OPNsense phiên bản 15.1. Đây là bản phát hành đầu tiên của dự án OPNsense.
OPNsense đang nhanh chóng trở thành nền tảng tường lửa nguồn mở số một với
rất nhiều tính năng và đội ngũ phát triển cực hứa hẹn!
2.1.2. Quá trình phát triển OPNSense
Dưới đây là lộ trình phát triển của OPNSense từ khi phát hành tới bây giờ:
 Ngày 5 tháng 1 năm 2015
Cải tiến tính năng Bổ sung các tính năng đã bị hạn chế
Dọn dẹp Code thừa
Hỗ trợ Base proxy Hỗ trợ Base IDS
Cập nhật OpenSSH / OpenSSL qua các
cổng
Hỗ trợ cả OpenSSL lẫn LibreSSL
importer file cấu hình của pfSense (đối với
phiên bản ≤ 2.1.5)
Hỗ trợ trình cài đặt BSD cho các cài đặt
nhúng

Chuyển đến FreeBSD 10.1 để được hỗ trợ
sau này
Triển khai với khung MVC framework
Code tái cấu trúc
Thay thế dịch vụ phụ trợ
(check_reload_status) bằng hệ thống cấu
hình mới
Xuất ra các Client OpenVPN
Hỗ trợ thêm các Plugin Thay thế ACL
Hệ thống menu mở rộng Xây dựng framework và repository
Quản lý plugin trên giao diện GUI Thay đổi giao diện OpenVPN/IPSec
Thay đổi giao diện tường lửa
Firmware mirror location and crypto
selection
Thay thế lối truy cập RRD hiện đại hơn
Sửa đổi hệ thống báo lỗi để có thể để gửi
vấn đề cho quản trị viên
Viết lại ứng dụng cổng bị khóa bằng các
thành phần framework mới
Triển khai xử lý phiên API để sử dụng các
dịch vụ đã được xây dựng (RESTful)
Hỗ trợ IPS Điều chỉnh lại Menu
Chuyển sang FreeBSD 10.2 Tính năng điều hướng nhanh
Có thể triển khai hệ thống dịch vụ
Xoá bỏ PPPoE, L2TP and PPTP servers
khỏi giao diện cài đặt
OpenVPN, ghi đè máy khách cụ thể
Hỗ trợ RFC 4638 (MTU > 1492 trong
PPPoE)
Hỗ trợ HTTPS proxy Chọn lại giao diện Service
Thêm phân tích lưu lượng và xuất file
export netflow
Quản lý hàng chờ (AQM): kiểm soát delay
(CoDel) và FlowQueue-CoDel

Máy chủ PPTP, L2TP và PPPoE được
chuyển sang MPD5
Tài liệu cho tất cả các tính năng chính
Bảng điều khiển tính năng được cải thiện Xác thực hai yếu tố bằng RFC 6238
Thêm tuỳ chọn khi tạo disk images máy ảo Cơ sở hạ tầng giao diện được khả dụng
Hỗ trợ ngôn ngữ Hàn Quốc và Nga
Tiếp tục cải tiến và phát triển / đồng thời
vẫn có phiên bản ổn định
Cho phép Cron GUI và API Nâng lên sử dụng FreeBSD 10.3
Triển khai ASLR của HardenedBSD UEFI/GPT boot
Cải tiến báo cáo IDS
CSRF thay thế cho các trang PHP tĩnh Các quy tắc tường lửa có thể khả dụng
Sử dụng PHP 7.0 Sử dụng FreeBSD 11
Hỗ trợ PAM cho hệ thống xác thực
OPNsense
Kết hợp SEGVGUARD của HardenedBSD
Vị trí thực thi độc lập Trình xác thực có thể được sử dụng
Phần mở rộng trên mô hình mvc, như kiểm
tra tham chiếu
Sử dụng Phalcon 3.0
Trình cài đặt cho mỗi SSH
Thêm lớp iểm tra cho các bộ phận mvc
chính
Nano tự động thay đổi kích thước sau lần
khởi động đầu tiên
Cho phép mã hóa plugin
Plugin Tinc - định tuyến lưới đầy đủ cho
các mạng riêng ảo
Cân bằng tải, UPnP, SNMP, IGMP, WOL
làm plugins
BSD SafeStack cứng cho các ứng dụng cơ
bản và các cổng được chọn
RFC 2136 và dịch vụ DNS động dưới dạng
plugin

Tăng tốc code giao diện
Hỗ trợ thêm ngôn ngữ Đức, Trung Quốc,
Cộng hòa Séc, Bồ Đào Nha (Portugal), Bồ
Đào Nha (Brazil)
Ưu tiên CARP
Cải thiện chuyển tiếp chia sẻ với IPv6 và
hỗ trợ thử nghiệm
NAT di động trước khi hỗ trợ IPsec
Plugin UTM: chống vi-rút, chống thư rác,
tiện ích mở rộng proxy web
API tra cứu DNS ngược cho Thông tin chi
tiết và Nhật ký trực tiếp
Cải thiện nhật ký cảnh báo IDS Cải thiện và hợp nhất bố cục UI
Tính năng hạn chế nhóm cục bộ trong
OpenVPN và IPsec
Hỗ trợ đa từ xa OpenVPN cho khách hàng
Hỗ trợ gỡ lỗi kernel Nâng cấp lên sử dụng FreeBSD 11.1
Hỗ trợ LibreSSL 2.6 Hỗ trợ PHP 7.1
Hỗ trợ jQuery 3.2.1 Hỗ trợ quy tắc NAT
Backup modules được thêm Hỗ trợ Nextcloud backup
Cải thiện hỗ trợ multiwan
IDS / nâng cấp quy tắc mở ET lên suricata
4
Xóa loại giao diện QinQ Giám sát cổng thông qua tiện ích dpinger
Hỗ trợ OpenVPN cho Địa chỉ IP GUI/API được nâng cấp bảo mật
Cập nhật trình điều khiển Intel NIC từ
FreeBSD 11.2
Mở lại IPv6 triển khai nhanh (6RD)
Quy tắc phát hiện ứng dụng IDS / IPS Tài liệu API dễ truy cập
Tích hợp cốt lõi

API với bí danh đầy đủ chức năng tường
lửa
Hỗ trợ giới hạn luồng xử lý tường lửa PIE
Tường lửa hỗ trợ đăng nhập quy tắc NAT
WPAD / PAC và hỗ trợ proxy cha trong
proxy web
API kích hoạt tiện ích xuất ứng dụng
Client OpenVPN
Plugin phiên bản từ xa ET Pro
Kết hợp 2FA qua LDAP-TOTP
Xuất chứng chỉ P12 với mật khẩu tùy
chỉnh
Hỗ trợ Dnsmasq DNSSEC HardenedBSD 11.2
Hỗ trợ IPv6 mở rộng
 Đến Tháng 7 năm 2019
Chế độ IPsec dựa trên tuyến đường
(VTI)
Thống kê quy tắc tường lửa
Tường lửa hiểu biết về các quy tắc
được tạo
Mở rộng hỗ trợ PAM
Hỗ trợ PHP 7.2 Hỗ trợ chuyển sang Python 3.6
Bí danh cho tường lửa, xuất + chức
năng nhập
Deprecate Python 2.7 jQuery 3.4.1
Google sao lưu API 2.4.0 OpenSSL 1.1.1
LibreSSL 3.0 Hỗ trợ tạo chứng chỉ TLS
Kiểu mã hóa PSR 12
Đăng nhập đã chuyển sang MVC /
API
Hỗ trợ VXLAN Hỗ trợ giao diện loopback bổ sung
Hướng hỗ trợ quy tắc giao diện dịch vụ CARP

HASync only on command (legacy
cleanup)
Cải thiện hiệu suất cổng thông tin
Captive cho các thiết lập lớn
IPsec: thêm hỗ trợ cho xác thực khóa
công khai
Thêm tài liệu cho tất cả các thành
phần cốt lõi
Không dùng các plugin máy chủ
PPPoe, L2TP, PPTP
 Từ giờ đến Tháng 7 năm 2020
BSD 12.1
Di chuyển bsdinstaller sang
bsdinstall
Cài đặt lại các plugin bị thiếu
OpenSSH, cho phép các cài đặt bảo
mật tùy chỉnh khác nhau
Trình quản lý người dùng: Hiển thị
hiệu lực của chứng chỉ
Trình quản lý người dùng: Tùy chọn
hiển thị các mẫu ACL
MVC Logging frontend hỗ trợ các
định dạng tệp nhật ký
Ghi nhật ký MVC loại bỏ giới hạn
hang chờ khi tải xuống
Hỗ trợ api tường lửa cơ bản (thông
qua plugin bổ sung)
Điều chỉnh trang trạng thái lưu lượng
truy cập
Suricata 5
Unbound + DHCPDv4: Hỗ trợ đúng
hạn khi cho thuê đã hết hạn.
Unbound : Cải thiện khởi động khi
máy chủ gốc không thể truy cập
được
Unbound : Tích hợp chức năng
không liên kết , bao gồm cả danh
sách đen DNS
Thêm tập lệnh tài liệu API (giảm
bớt bảo trì tài liệu api)
Giải thích cách API kích hoạt các
dịch vụ tiêu chuẩn
PHP: PSR-12
(*) Những mục in nghiêng được gạch chân là đang trong lộ trình phát triển, chưa hoàn
thành.

2.2. Các tính năng của tường lửa OPNSense
2.2.1. Traffic Shaper
Mục đích của Traffic Shaping (TS) là làm giảm tốc độ truyền các gói tin. Để làm
giảm tốc độ này, router sẽ làm việc luân phiên giữa 2 trạng thái. Đó là trạng thái truyền
gói tin và trạng thái giữ gói tin trong hàng đợi. Ví dụ, tốc độ vật lý để truyền các gói tin
là 128Kbps, nhưng tốc độ CIR (tốc độ truyền dữ liệu được cam kết bởi nhà cung cấp
dịch vụ) chỉ là 64Kbps.
Để quản lý việc truyền gói tin theo đúng tốc độ cho phép thì router phải thực hiện
trạng thái truyền gói tin trong nữa khoảng thời gian đầu và chuyển sang trạng thái giữ
gói tin trong hàng đợi ở nữa thời gian còn lại. Trạng thái truyền gói tin và trạng thái giữ
gói tin trong hàng đợi diễn ra liên tiếp nhau tạo thành các chu kỳ liên tục.
2.2.2. Two-Factor Authentication ( 2FA )
Xác thực 2 yếu tố, hay còn được viết tắt là 2FA (Two-factor authentication), sẽ bổ
sung một bước vào thủ tục đăng nhập của bạn. Nếu không có 2FA, việc đăng nhập của
bạn chỉ đơn thuần là nhập Username và Password - thứ duy nhất bảo mật cho tài khoản
của bạn. Do đó việc thêm một lớp bảo vệ nữa về lí thuyết sẽ làm cho tài khoản của bạn
trở nên an toàn hơn.
Để cho dễ hiểu thì khi bạn bật chức năng xác thực hai bước trên tài khoản
Facebook của bạn thì mỗi khi bạn đăng nhập sẽ có một mã số được gửi về điện thoại của
bạn, đó cũng là hình thức Xác thực 2 yếu tố, chức năng này giúp bảo vệ tài khoản quản
trị của chúng ta.
2.2.3. Captive Portal
Captive Portal là một trang web được truy cập với một trình duyệt web sẽ được
hiển thị cho người dùng mới được kết nối của một mạng trước khi chúng được cấp
quyền truy cập rộng hơn để tài nguyên mạng. Cổng này thường được sử dụng để trình

bày trang đích hoặc trang đăng nhập có thể yêu cầu xác thực, thanh toán , chấp nhận
thỏa thuận cấp phép người dùng hoặc chính sách sử dụng được chấp nhận hoặc thông tin
xác thực hợp lệ khác mà cả máy chủ và người dùng đồng ý tuân thủ. Tính năng này có
thể cung cấp Wi-Fi thương mại hoặc các điểm truy cập tại nhà.
Một ví dụ điển hình của Captive Portal là khi chúng ta ra sân bay, lần đầu tiên kết
nối đến wifi của sân bay chúng ta phải thực hiện một cuộc khảo sát như tên, tuổi, và các
thông tin khác trước khi có thể sử dụng Wifi một cách bình thường.
2.2.4. Virtual Private Network
VPN là mạng riêng ảo, Virtual Private Network, là một công nghệ mạng giúp tạo
kết nối mạng an toàn khi tham gia vào mạng công cộng như Internet hoặc mạng riêng do
một nhà cung cấp dịch vụ sở hữu. Các tập đoàn lớn, các cơ sở giáo dục và cơ quan chính
phủ sử dụng công nghệ VPN để cho phép người dùng từ xa kết nối an toàn đến mạng
riêng của cơ quan mình. Nhờ đó, bạn có thể truy cập an toàn đến các tài nguyên mạng
nội bộ ngay cả khi đang ở rất xa.
Dù nghe có vẻ khá đơn giản, nhưng trên thực tế VPN lại được ứng dụng để làm
rất nhiều thứ:
Truy cập vào mạng doanh nghiệp khi ở xa: VPN thường được sử dụng bởi những
người kinh doanh để truy cập vào mạng lưới kinh doanh của họ, bao gồm tất cả tài
nguyên trên mạng cục bộ, trong khi đang đi trên đường, đi du lịch,... Các nguồn lực
trong mạng nội bộ không cần phải tiếp xúc trực tiếp với Internet, nhờ đó làm tăng tính
bảo mật.
Truy cập mạng gia đình, dù không ở nhà: Bạn có thể thiết lập VPN riêng để truy
cập khi không ở nhà. Thao tác này sẽ cho phép truy cập Windows từ xa thông qua
Internet, sử dụng tập tin được chia sẻ trong mạng nội bộ, chơi game trên máy tính qua
Internet giống như đang ở trong cùng mạng LAN.

Duyệt web ẩn danh: Nếu đang sử dụng WiFi công cộng, duyệt web trên những
trang web không phải https, thì tính an toàn của dữ liệu trao đổi trong mạng sẽ dễ bị lộ.
Nếu muốn ẩn hoạt động duyệt web của mình để dữ liệu được bảo mật hơn thì bạn nên
kết nối VPN. Mọi thông tin truyền qua mạng lúc này sẽ được mã hóa.
Truy cập đến những website bị chặn giới hạn địa lý, bỏ qua kiểm duyệt Internet, vượt
tường lửa,...
Tải tập tin: Tải trên VPN sẽ giúp tăng tốc độ tải file. Điều này cũng có ích với các
traffic mà ISP của bạn có thể gây trở ngại.
Hình 2.1. Các ứng dụng VPN OPNSense hỗ trợ cài sẵn
Tường lửa OPNSense có hỗ trợ trực tiếp 2 ứng dụng OpenVPN và IPsec mà không cần
phải cài them bất cứ một plugin hay tiện ích mở rộng nào.
2.2.5. Filtering Caching Proxy
OPNSense được trang bị Proxy chuyển tiếp bộ đệm với đầy đủ tính năng. Proxy
lưu trữ sẽ giảm băng thông và cải thiện thời gian phản hồi bằng cách lưu trữ và sử dụng
lại các trang web được yêu cầu thường xuyên. Không cần phải tải lại trang giúp tiết kiệm
cả băng thông của webserver, tốc độ tải trang cũng như giảm tốc độ tải mạng của máy

tính truy cập. Danh sách điều khiển truy cập có thể được sử dụng để xác thực người
dùng và hoặc bộ lọc web (dựa trên danh mục có sẵn).
Các tính năng bao gồm:
- Multi Interface Support
- Transparent Mode (including SSL/HTTPS)
- ICAP Support for Anti Virus/Malware Engine
- HTTP Proxy
- FTP Proxy
- User Authentication
- Access Control Lists (valid for both HTTP(S) and FTP)
- (Compressed) Blacklist
- Category Based Web Filtering
- Can be combined with traffic shaper
Tính năng này đồng thời cũng giúp OPNSense kiểm soát truy cập, dựa trên:
- Subnets
- Ports
- MIME types
- Banned IP’s
- Whitelists
- Blacklists
- Browser/User Agents
Proxy có thể được kết hợp với bộ công cụ kiểm soát lưu lượng truy cập và tận dụng tối
đa các tính năng định hình của chúng.
Chế độ trong suốt
Chế độ trong suốt có nghĩa là tất cả yêu cầu sẽ được chuyển hướng đến proxy mà
không có bất kỳ cấu hình nào trên máy khách (client) của bạn. Chế độ trong suốt hoạt

động rất tốt với các yêu cầu http, tuy nhiên với kết nối HTTPS được bảo mật (SSL),
proxy sẽ trở thành một người trung gian vì khách hàng sẽ nói chuyện với proxy và proxy
sẽ mã hóa lưu lượng nên mọi người đều có quyền tin tưởng.
2.2.6. MultiWAN - Load Balancing
Các kịch bản Multi WAN thường được sử dụng để Failover (chuyển đổi dự
phòng) hoặc Load Balancing (cân bằng tải), nhưng cũng có thể kết hợp với OPNsense.
Cân bằng tải có thể được sử dụng để phân chia tải giữa hai (hoặc nhiều) ISP. Điều
này giúp tăng tổng băng thông khả dụng và / hoặc giảm tải cho mỗi ISP.
Nguyên tắc rất đơn giản: Mỗi kết nối WAN (cổng) nhận được một phần lưu
lượng. Lưu lượng có thể được chia đều hoặc có trọng số.
Cũng có thể kết hợp Load Balancing(Cân bằng tải) với Failover (chuyển đổi dự
phòng) trong các trường hợp như vậy, bạn sẽ có 2 hoặc nhiều kết nối WAN cho mục
đích Cân bằng và 1 hoặc nhiều hơn cho Chuyển đổi dự phòng.
Hình 2.2. Mô hình Load Balancing

2.2.7. Network Flow Monitoring
NetFlow là một giao thức được phát triển bởi Cisco sử dụng để thu thập thông tin
về lưu lượng truy cập qua các thiết bị trên mạng. Các thông tin được thu thập từ lưu
lượng IP của NetFlow để xác định một flow (luồng) bao gồm:
 Địa chỉ IP nguồn
 Địa chỉ IP đích
 Cổng nguồn
 Cổng đích
 Giao thức Layer 3
Class of Service (CoS) - cách quản lý lưu lượng trong mạng bằng cách nhóm các
loại lưu lượng tương tự (ví dụ e-mail, truyền trực tuyến video, truyền file tài liệu lớn,
v.v...) với nhau và coi mỗi nhóm là một lớp với mức độ ưu tiên riêng.
Interface Ingress
Bằng cách thu thập những thông tin này và phân tích nó, người dùng có thể thu
được nhiều thông tin chuyên sâu về mạng và sử dụng cho một số mục đích khác, bao
gồm giám sát băng thông, xử lý sự cố hiệu suất mạng và phát hiện những điểm bất
thường.
Các thành phần NetFlow
Khi NetFlow được triển khai trên mạng, thường có hai thành phần chính là Flow
Exporter và Flow Collector. Flow Exporter lưu giữ thông tin về flow để gửi đến Flow
Collector. Flow Exporter thường được cấu hình trên một thiết bị như router hoặc switch
và trong một số trường hợp, có thể có nhiều exporter cho các flow khác nhau. Mặt khác,
Flow Collector nhận các bản ghi lưu lượng từ Flow Exporter, xử lý chúng và có thể phân
tích thông tin này để trình bày cho người dùng ở dạng phù hợp.

Lưu ý: Trong một số trường hợp, Flow Collector không thực hiện việc phân tích các bản
ghi. Thay vào đó, Flow Collector chỉ nhận các bản ghi và một ứng dụng khác sẽ thực
hiện việc phân tích này.
NetFlow và các đối tác
Điều quan trọng cần nhấn mạnh ở đây là mặc dù NetFlow được phát triển bởi
Cisco, nhưng nó cũng được hỗ trợ bởi các nhà cung cấp khác. Đồng thời,các nhà cung
cấp khác cũng có các phiên bản NetFlow của riêng họ, bao gồm J-Flow của Juniper và
NetStream của Huawei. Ngoài ra, còn có một giao thức IETF để truyền thông tin IP flow
qua mạng-IP Flow Information Export (IPFIX)-dựa trên phiên bản NetFlow 9 của Cisco.
Lưu ý: Có một số phiên bản của NetFlow đã trở nên lỗi thời. NetFlow phiên bản 5, 7 và
9 là các phiên bản thường được sử dụng nhiều nhất.
Ở OPNSense cũng hỗ trợ chúng ta công cụ này:
Tại trang chủ, ta truy cập Reporting > NetFlow. Chọn đường mạng WAN, LAN, phiên
bản và địa chỉ đích là những tuỳ biến tại giao diện của OPNSense, sau khi chỉnh sửa
chúng ta nhấn Apply .

Hình 2.3. Kích hoạt NetFlow
Ngoài ta tại Tab Cache chúng ta cũng có thể quan sát một cách tổng quan những gì đang
diễn ra trong hệ thống mạng
Hình 2.4. Cache NetFlow
2.2.8. Netflow Exporter
Tại giao diện OPNSense ta truy cập Reporting > Insight sẽ thấy biểu đồ tổng quát lưu
lượng mạng ra vào mà hệ thống tường lửa bắt được

Hình 2.5. Cái nhìn tổng quan về hệ thống mạng
Để xuất ra File Excel chúng ta truy cập Reporting > Insight >Export
Hình 2.6. Xuất File Excel
Và đây là nội dung File Excel chứa thông tin các địa chỉ hoạt động trong thời gian chúng
ta quan sát

Hình 2.7. File Excel ghi lại Traffic qua lại
2.2.9. Backup & Restore
Dữ liệu của hệ thống chắc hẳn là tài sản quý giá nhất của công ty trong thời đại
này. Doanh nghiệp cần phải thường xuyên backup dữ liệu, phòng trường hợp sự cố. Bản
sao của một hoặc nhiều tập tin, dữ liệu trong máy tính, chương trình, hoặc toàn bộ ổ đĩa
được lưu trữ an toàn ở một nơi khác có thể được sử dụng trong trường hợp bản gốc bị
mất, bị hư hỏng, bị phá hủy, bị nhiễm virus nặng, bị mất máy.
Điểm giống nhau giữa Backup và RestoreRestore là cùng với dự phòng thực hiện
nhiệm vụ Recovery để đảm bảo tính sẵn sàng của hệ thống (Ví dụ: các kỹ thuật RAID
HDD). Khi hệ thống xảy ra sự cố, kỹ thuật sao lưu và dự phòng phải đảm bảo kịp thời
khắc phục sự cố một cách nhanh chóng, giảm tối đa thời gian ngưng trệ hệ thống, đảm
bảo hệ thống luôn hoạt động liên tục.
Tại lại lại phải backup dữ liệu: Dữ liệu là tài sản vô cùng quý giá đối với mỗi cá
nhân và mỗi doanh nghiệp. Nếu bạn không muốn với một lý do nào đó toàn bộ dữ liệu
của mình bị mất thì bạn cần phải back-up dữ liệu.

Bản sao của một hoặc nhiều tập tin, dữ liệu trong máy tính, chương trình, hoặc
toàn bộ ổ đĩa được lưu trữ an toàn ở một nơi khác có thể được sử dụng trong trường hợp
bản gốc bị mất, bị hư hỏng, bị phá hủy, bị nhiễm virus nặng, bị mất máy…
Từ giao diện ta truy cập System > Configuration > Backups
Hình 2.8. Giao diện Backup
Ngoài cách nhấn vào Download Configuration OPNSense cũng hỗ trợ chúng ta
backup qua hai nền tảng lưu trữ đám mây khác là Google Drive và Nextcloud

Hình 2.9. Hỗ trợ sao lưu đám mây
Sau khi nhấn vào Download Configuration trình duyệt sẽ tải về 1 File có định
dạng .xml. Do không đánh dấu vào phần mã hoá nên khi tải về chúng ta hoàn toàn có thể
chỉnh sửa file backup này.
2.2.10. Caching Proxy
Proxy server hoạt động như một cổng nối giữa người dùng và internet. Proxy
server là một máy chủ trung gian phân tách người dùng cuối với website đang trình
duyệt. Máy chủ proxy cung cấp các mức độ chức năng, bảo mật và quyền riêng tư khác
nhau tùy thuộc vào từng trường hợp sử dụng, nhu cầu hoặc chính sách của công ty.
Nếu bạn đang sử dụng một proxy server, lưu lượng truy cập internet sẽ theo proxy
server đến địa chỉ bạn yêu cầu. Yêu cầu sau đó sẽ được trả về thông qua cùng một proxy
server và sau đó proxy server sẽ chuyển tiếp dữ liệu nhận được từ website cho bạn.
Mô hình Proxy Server như sau:
Hình 2.10. Mô hình Proxy Server

CHƯƠNG 3: TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA OPNSENSE
3.1 Mô hình triển khai
Hình 3.1. Mô hình thực tế
Mô hình thực tế bao gồm:
 Mạng Internet
 Router
 Tường lửa OPNSense
 Mạng nội bộ (LAN)

 Vùng DMZ
Tường lửa OPNSense hiện vẫn chưa được tích hợp nhiều tính năng cao cấp vì thế nên
chỉ phù hợp để triển khai ở các hộ gia đình,doanh nghiệp vừa và nhỏ.
Hình 3.2. Mô hình thử nghiệm(demo)
Mô hình thử nghiệm bao gồm:
 Em0: Mạng Internet
 Em1: Mạng nội bộ (LAN)
 Em2:Vùng DMZ
- Web Server: Máy chủ web hệ điều hành Windows server 2003
- Client: 2 máy nội bộ cài đặt hệ điều hành Windows XP
(*) Tất cả các máy trong mô hình demo được cài đặt trên máy ảo VMware.
Danh sách Demo thực hiện:
- Block một số IP có hành vi gây hại.
- Cho phép duy nhất một địa chỉ IP sử dụng Remote Desktop trên Webserver.
- Public Webserver ra ngoài internet.

- Thiết lập Proxy trong vùng mạng LAN,chặn truy cập đến một trang web bất kỳ.

3.2 Triển khai sử dụng tường lửa OPNSense
3.2.1. Cài đặt tường lửa OPNSense
Quy trình thực hiện:
Bước 1: Tải và cài đặt tường lửa OPNSense trên VMware bằng file .iso sau đó thiết lập
3 card mạng như mô hình triển khai
Hình 3.3. Thiết lập card mạng cho máy ảo

Bước 2: Sử dụng Username và password để đăng nhập
Hình 3.4. Tường lửa sau khi đăng nhập thành công
3.2.2. Block một số IP có hành vi gây hại
Mô tả: Ngăn chặn những IP truy cập Webserver bị phát hiện sử dụng với mục đích xấu
như đăng ký nhiều tài khoản để spam bài viết trên webserver.
Yêu cầu: Block IP.
Mô hình bao gồm: 1 Tường lửa OPNSense có địa chỉ IP 172.16.1.1, một máy Windows
XP đóng vai trò là một máy tính trong mạng LAN có IP 10.0.0.5, một máy Windows
XP có địa chỉ 10.0.0.8 , cả hai máy Windows XP sử dụng Card mạng ảo Vmnet1.
Bước 1: Từ giao diện OPNSense truy cập Firewall > Aliases để thêm một tên định danh
cho những IP sẽ bị block

Hình 3.5. Thêm tên định danh cho IP bị block
Bước 2: Từ giao diện OPNSense truy cập Firewall > Rules > LAN Chúng ta thêm một
luật mới với Source là tên định danh chúng ta vừa tạo
Hình 3.6. Tạo rules Block IP

Bước 3: Kiểm tra kết quả
Hình 3.7. Máy LAN bị block IP không thể truy cập internet
3.2.3. Cho phép duy nhất một địa chỉ IP sử dụng Remote Desktop trên Webserver
Yêu cầu: Duy nhất 1 IP có thể sử dụng Remote Desktop trên Webserver.
Mô hình bao gồm: 1 Tường lửa OPNSense có địa chỉ IP là 172.16.1.1, một máy
Windows XP có IP 172.16.1.5, một máy Windows XP có IP 172.16.1.8 đều là máy
Client trong mạng LAN
Bước 1: Truy cập tới Firewall > Aliases để tạo đối tượng bao gồm những IP được phép
sử dụng Remote Desktop trên Webserver. Phần cấu hình ta để Type là Host(), Content là
những IP sẽ có quyền đăng nhập, sau đó nhấn Save

Hình 3.8. Tạo đối tượng AdminLAN có quyền truy cập
Bước 3: Truy cập Firewall > Rules > LAN
Tạo Rules cho phép đối tượng AdminLAN sử dụng Remote Desktop trên Webserver

Hình 3.9. Cấu hình tập luật của LAN cho phép Admin truy cập
Bước 4: Chặn tất cả các truy cập từ ip khác
Hình 3.10. Chặn những truy cập từ IP khác IP Admin

Hình 3.11. Máy AdminLAN vẫn có thể sử dụng Remote Desktop trên Webserver
Hình 3.12. Những máy có địa chỉ IP khác không thể truy cập
3.2.4 Public Webserver ra ngoài Internet

Mô tả: Công ty có một Web Server, khách hàng muốn thấy và truy cập vào Web Server
này. Cũng như cho phép cả nhân viên truy cập vào
Cho phép mạng LAN, mạng bên ngoài truy cập được vào Webserver
Mô hình bao gồm: 1 Tường lửa OPNSense có địa chỉ IP mạng WAN là 192.168.43.1,
một máy Windows XP đóng vai trò là máy tính trong mạng nội bộ. Máy thật đóng vai
trò là khách truy cập ngoài Internet, IP được cấp phát động, một máy Windows Server
2003 đóng vai trò làm Web Server IP 10.0.0.2
Bước 1: Từ giao diện truy cập tới Firewall > Aliases
Ta tạo một nhóm các cổng truy cập cần chuyển tiếp chi tiết như sau
Hình 3.13. Tạo nhóm các Port cần chuyển tiếp
Bước 2: Truy cập tới Firewall > NAT > Port Forward tạo một cổng chuyển tiếp mới như
sau:

Hình 3.14. Tạo Port Forward mới
Bước 3: Kiểm tra kết quả: lúc này chúng ta truy cập vào địa chỉ IP của mạng WAN, kết
quả thành công
Hình 3.15. Truy cập thành công
3.2.5 Thiết lập Proxy trong vùng mạng LAN, chặn truy cập đến một trang web
Mô tả: Để giám sát truy cập Internet trong mạng LAN, chúng ta triển khai sử dụng
Proxy Server
Yêu cầu: Máy tính trong mạng LAN sử dụng Proxy để truy cập Internet. Chặn truy cập
trang chotenmien.vn

Mô hình bao gồm: 1 Tường lửa OPNSense có địa chỉ IP là 172.16.1.1 và một máy
Windows XP có IP 172.16.1.5 là một máy Client trong mạng LAN, cả hai cùng sử dụng
VMNET 1.
Bước 1: Truy cập Services > Web Proxy > Administration tích vào Enable proxy để bật
kích hoạt Proxy sever
Hình 3.16. Khởi động Proxy
Bước 2: Chọn những mạng áp dụng Proxy, ở đây chúng ta chỉ sử dụng Proxy trên mạng
LAN nên chỉ chọn LAN

Hình 3.17. Chọn sử dụng Proxy trên mạng LAN
Bước 3: Thêm chotenmien.vn vào tùy chọn blacklist và ấn Apply
Hình 3.18. Thêm chotenmien.vn vào tùy chọn blacklist
Bước 4: thiết lập Proxy trên trình duyệt

Hình 3.19. Cấu hình Proxy trên trình duyệt
Bước 5: Tạo một cổng chuyển tiếp
Hình 3.20. Tạo Port Forward cho Proxy

Hình 3.21. Trình duyệt báo lỗi không thể truy cập
Hình 3.22. Các trang web khác vẫn truy cập bình thường
Như vậy em đã cấu hình xong quá trình sử dụng Proxy trong mạng LAN và chặn truy
cập trang chotenmien.vn trong mạng LAN.

KẾT LUẬN
 Những phần đã làm được:
Qua bài báo cáo thực tập chuyên ngành này đã cho em thấy được những khái niệm
cơ bản về tường lửa, tầm quan trọng của việc ứng dụng tường lửa, những hạn chế của
phương pháp bảo mật hiện tại, đồng thời xây dựng một tường lửa bảo vệ mạng LAN và
DMZ khỏi những nguy hiểm bên ngoài Internet dành cho những doanh nghiệp vừa và
nhỏ.
Hệ thống tường lửa đóng vai trò rất quan trọng. Tường lửa giúp chúng ta ngăn
chặn, bảo vệ mạng khỏi những nguy cơ bị tấn công. Từ đó vạch ra những phương án
phòng chống.Và ở góc độ nào đó có thể tìm được thủ phạm gây ra cuộc tấn công.
Bài báo cáo này giúp:
 Nắm bắt được những khái niệm cơ bản nhất về một hệ thống tường lửa.
 Có được cái nhìn tổng quan về tường lửa OPNSense
 Triển khai được một hệ thống tường lửa mềm OPNSense
 Nắm bắt được cơ chế viết luật cho tường lửa và thực thi
 Những gì chưa đạt được
Đề tài còn rất nhiều những thiếu sót. Phần lý thuyết chỉ tổng quát sơ lược tóm tắt
chứ chưa đi sâu nghiên cứu vấn đề. Phần thử nghiệm thì tìm hiểu ở những chế độ đơn
giản như : Chặn trang web, Chặn IP, thiết lập mạng khách. Về vấn đề viết luật cho tường
lửa để xử lý thì những luật viết ra có phần vẫn còn đơn giản.
 Hướng phát triển đề tài
Triển khai hệ thống phát hiện xâm nhập, thiết lập một mạng riêng ảo, khai thác
triệt để các tính năng, tập luật của tường lửa OPNSense để hệ thống này có thể phát huy
tối đa khả năng bảo vệ là hướng đi phát triển đề tài nghiên cứu này trong tương lai.

TÀI LIỆU THAM KHẢO
[1] Thiếu tướng TS: Nguyễn Viết Thế (2009). Thực trạng an ninh mạng tại việt nam
năm 2009 dự báo xu hướng an ninh mạng năm 2010, NXB Bộ Công an.
[2] TS. Vũ Quốc Thành (2006). Giáo trình Bức tường lửa, Ban Cơ yếu Chính phủ,NXB
Học viện Kỹ thuật Mật mã.
[3] Trần Quang Vinh (2006). Cấu trúc máy vi tính, NXB Giáo Dục.
[4] William Stallings (1999). Network Security Essentials, New York.
[5] https://docs.opnsense.org/manual/install.html
[6] https://wiki.opnsense.org/manual.html
[7] https://en.wikipedia.org/wiki/OPNsense
[8] Một số báo điện tử và thông tin trên internet khác.

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
Thái Nguyên, ngày …… tháng 6 năm 2020
Giáo viên hướng dẫn

Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp.docx

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp.docx

Similar to Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp.docx (20)

More from DV Viết Luận văn luanvanmaster.com ZALO 0973287149

More from DV Viết Luận văn luanvanmaster.com ZALO 0973287149 (20)

Recently uploaded

Recently uploaded (20)

Tìm hiểu và triển khai hệ thống tường lửa OPNSense cho doanh nghiệp.docx