Các tính năng của Firewall Pfsense

0
1007

Với tính năng này chúng ta có thể gom nhóm các ports, host hoặc Network(s) khác nhau và đặt cho chúng một cái tên chung để thiết lập những quy tắc được dễ dàng và nhanh chóng hơn.

Aliases
Với tính năng này chúng ta có thể gom nhóm các ports, host hoặc Network(s) khác nhau và đặt cho chúng một cái tên chung để thiết lập những quy tắc được dễ dàng và nhanh chóng hơn.
image002
Các thành phần trong Aliases:
–         Host: tạo nhóm các địa chỉ IP.
–         Network: tạo nhóm các mạng.
–         Port: Cho phép gom nhóm các port nhưng không cho phép tạo nhóm các protocol. Các protocol được sử dụng trong các rule.
Rules (Luật)
Nơi lưu các rules (luật) của Firewall.
Mặc định pfSense cho phép mọi lưu thông ra/vào hệ thống. Bạn phải tạo các rules để quản lý mạng bên trong Firewall.
Một số lựa chọn trong Destination và Source.
–         Any: Tất cả
–         Single host or alias: Một địa chỉ ip hoặc là một bí danh.
–         Lan subnet: Đường mạng Lan.
–         Network: địa chỉ mạng.
–         Lan address: Tất cả địa chỉ mạng nội bộ.
–         Wan address: Tất cả địa chỉ mạng bên ngoài.
–         PPTP clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPT.
–         PPPoE clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPPoE.
Virtual IPs
Pfsense cho phép sử dụng nhiều địa chỉ IP công cộng kết hợp với cơ chế NAT thông qua IP ảo. Có ba loại IP ảo có sẵn trên pfSense: Proxy ARP, CARP và một loại khác. Mỗi loại đều rất hữu ích trong các tình huống khác nhau. Trong hầu hết các trường hợp, pfSense sẽ cung cấp ARP trên IPs, do đó cần phải sử dụng Proxy ARP hoặc CARP. Trong tình huống mà ARP không cần thiết, chẳng hạn như khi các IP công cộng bổ sung được định tuyến bởi nhà cung cấp dịch vụ mạng, sẽ sử dụng IP ảo loại khác.
Virtual IP được sử dụng để cho phép pfSense đúng cách chuyển tiếp lưu lượng cho những việc như chuyển tiếp cổng NAT, NAT Outbound và NAT 1:1. Họ cũng cho phép các tính năng như failover, và có thể cho phép dịch vụ trên router để gắn kết với địa chỉ IP khác nhau.
–         CARP
o   Có thể được sử dụng bởi các tường lửa chính nó để chạy các dịch vụ hoặc được chuyển tiếp.
o   Tạo ra lớp 2 lưu lượng cho các VIP (Virtual IP).
o   Có thể được sử dụng cho clustering (tường lửa và tường lửa chủ failover chế độ chờ).
o   Các VIP đã được trong cùng một subnet IP của giao diện thực.
o   Sẽ trả lời ICMP ping nếu được phép theo các quy tắc tường lửa.
o   Proxy ARP.
o   Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được chuyển tiếp.
o   Tạo ra lớp 2 lưu lượng cho các VIP.
o   Các VIP có thể được trong một subnet khác với IP của giao diện thực.
o   Không trả lời gói tin ICMP ping.
–         Other
o   Có thể được sử dụng nếu các tuyến đường cung cấp cho bạn VIP của bạn dù sao mà không cần thông báo lớp 2.
o   Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được chuyển tiếp.
o   Các VIP có thể được trong một subnet khác với các giao diện IP.
o   Không trả lời ICMP ping.
image004(1)
NAT
Trong Firewall bạn cũng có thể cấu hình các thiết lập NAT nếu cần sử dụng cổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1) cho các host cụ thể.
Thiết lập mặc định của NAT cho các kết nối outbound là Automatic outbound NAT…, tuy nhiên bạn có thể thay đổi kiểu Manual outbound NAT nếu cần.
Routing
Một trong những tính năng chính của một Firewall ngoài việc lọc và thực hiện NAT là định tuyến được lưu thông trong mạng. Nó bao gồm các tuyến tĩnh, các giao thức định tuyến, định tuyến IP công cộng và hiển thị các thông tin định tuyến. 

Bridging
Thông thường mỗi interface trên pfSense sẽ đại diện cho một miền riêng với một subnet IP duy nhất, giống như một vùng riêng biệt. Trong một số trường hợp cần kết hợp nhiều interfaces thành một miền mới, lúc đó chức năng này sẽ kết hợp hai cổng trên tường lửa sẽ hoạt động giống như nó đang trên cùng một miền, ngoại trừ lưu lượng giữa các interface được kiểm soát bởi các quy luật (rule) đã được cấu hình.

Virtual Lans (Vlans)
VLAN cung cấp một phương tiện để phân đoạn mạng miền thành nhiều mạng con, mỗi mạng con hoạt động độc lập với nhau. Nhưng vấn đề bảo mật cần phải đưa vào account khi thiết kế và thực thi một giải pháp liên quan đến VLAN. VLAN không đảm bảo an toàn nên sai có thể dẫn đến tổn thương cho mạng của bạn.

Multi-Wan
Multi-WAN của pfSense cho phép sử dụng nhiều kết nối Internet để đạt được thời gian hoạt động cao hơn và băng thông lớn. Trước khi cầu hình Multi-WAN cần phải cấu hình hai interfaces (LAN và WAN) hoạt động. Pfsense có khả năng xử lý nhiều WAN interface, triển khai sử dụng khoảng 10-12 WANs. WAN interface bổ sung được gọi là OPT WAN.

VPN
VPN (Virtual Private Network) là một kiểu kết nối cho phép các máy tính truyền thông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu. Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng được gọi là tunnel. Để bảo đảm tính riêng tư và bảo mật trên môi trường chia sẻ này, các gói tin được mã hoá và chỉ có thể giải mã với những khóa thích hợp, ngăn ngừa trường hợp “trộm” gói tin trên đường truyền. Chức năng này của pfSense được đánh giá là rất tốt.

Ipsec (Ip Security)
IPSec có vai trò rất quan trọng trong việc giải quyết các vấn đề mà chúng ta cố giải quyết nó với firewall. IPSec (IP Security) đề ra một tập các chuẩn được phát triển bởi Internet Engineering Tast Force (IETF). IPSec giải quyết hai vấn đề gây hại cho bộ giao thức IP: Sự xác thực host-to-host (cho các host biết là chúng đang nói chuyện với nhau mà không phải là sự giả mạo) và việc mã hóa (ngăn chặn những kẻ tấn công xem dữ liệu trong luồng lưu lượng giữa hai máy). Đây là các vấn đề mà firewall cần giải quyết. Mặc dù firewall có thể làm giảm nguy cơ tấn công trên Internet mà không cần sự xác thực và mã hóa, nhưng vẫn còn hai vấn đề lớn ở đây: tính toàn vẹn và sự riêng tư của thông tin đang truyền giữa hai host và sự giới hạn trong việc đặt ra các loại kết nối giữa các mạng khác nhau. IPSec giúp giải quyết các vấn đề này. Có vài khả năng đặc biệt khi chúng ta xem xét sự kết hợp giữa các firewall với các host cho phép IPSec. Cụ thể là, VPN, việc lọc gói tốt hơn (lọc những gói mà có tiêu đề xác thực IPSec), và các firewall lớp ứng dụng sẽ cung cấp sự xác minh host tốt hơn bằng cách sử dụng tiêu đề xác thực IPSec thay cho “just trusting” địa chỉ IP hiện tại.

PPTP VPN
Pfsense có thể hoạt động như một máy chủ PPTP VPN, là một trong ba tùy chọn của VPN, là lựa chọn phổ biến nhất vì hầu hết các hệ điều hành đã được xây dựng trong PPTP client. Bao gồm tất cả các phiên bản Windows từ Windows 95. Tuy nhiên nó không được đảm bảo an toàn, không nên sử dụng.

OpenVPN
OPENVPN là một giải pháp SSL VPN mã nguồn mở có thể được sử dụng cho cả client truy cập từ xa và kết nối kiểu site-to-site. Nó hỗ trợ client trên phạm vi rộng của các hệ điều hành bao gồm tất cả BSD, Linux, Mac OS X, Windows 2000 trở đi. Chức năng này tương đường với cấu hình trực diện. Địa điểm chính được cấu hình như client đang kết nối với máy chủ tại địa điểm từ xa đó.

Traffic Shaper (Quản Lý Băng Thông)
Pfsense cung cấp tính năng Traffic Shaper giúp bạn theo dõi và quản lí băng thông mạng dễ dàng và hiệu quả hơn.

Server Load Balancing
Với chức năng này bạn có thể điều phối mạng hay còn gọi là cân bằng tải.
Có 2 loại load balancing trên pfSense:
–         Gateway load balancing: được dùng khi có nhiều kết nối WAN. Client bên trong LAN khi muốn kết nối ra ngoài Internet thì pfSense lựa chọn card WAN để chuyển packet ra card đó giúp cho việc cân bằng tải cho đường truyền.
–         Server load balancing: cho phép cân bằng tải cho các server của mình. Được dùng phổ biến cho các web server, mail server và server không hoạt động nữa thì sẽ bị xóa.

Wireless
Pfsense có khả năng cho phép xây dựng mạng không dây, sử dụng kết nối không dây như là một kết nối WAN.

Captive Portal
Captive portal cho phép admin có thể chuyển hướng client tới một trang web khác, từ trang web này client có thể phải chứng thực trước khi kết nối tới internet.
–         Captive portal: các chức năng của Captive Portal

o   Enable captive portal: Đánh dấu chọn nếu muốn sử dụng captive portal.
o   Maximum concurrent connections: Giới hạn các connection trên mỗi ip/user/mac.
o   Idle timeout: Nếu mỗi ip không còn truy cập mạng trong 1 thời gian xác định thì sẽ ngắt kết nối của ip/user/mac.
o   Hard timeout: Giới hạn thời gian kết nối của mỗi ip/users/mac.
o   Logout popup windows: Xuất hiện 1 popup thông báo cho ip / user / mac.
o   Redirect URL: Địa chỉ URL mà người dùng sẽ được direct tới sau khi đăng nhập
–         Pass-through MAC: Các MAC address được cấu hình trong mục này sẽ được bỏ qua không authentication.
–         Allowed IP address: Các IP address được cấu hình sẽ không authentication
–         Users: Tạo local user để dùng kiểu authentication: local user
–         File Manager: Upload trang quản lý của Captive portal lên pfSense.
Có 3 kiểu chứng thực client:
–         No authentication: pfSense sẽ điều hướng người dùng tới 1 trang nhất định mà không chứng thực.
–         Local user manager: pfSense hỗ trợ tạo user để chứng thực.
–         Radius authentication: Chứng thực bằng radius server (Cần chỉ ra địa chỉ IP của radius, port, …)
Firewall Redundancy / High Availability
Pfsense là một trong rất ít các giải pháp mã nguồn mở cung cấp khả năng sẳn sàng cao với trạng thái dự phòng. Cho phép loại bỏ các bức tường lửa bị lỗi. 

Firewall Schedules
Các Firewall rules có thể được sắp xếp để nó chỉ hoạt động vào các thời điểm nhất định trong ngày hoặc vào những ngày nhất định cụ thể hoặc các ngày trong tuần.
Đây là một cơ chế rất hay vì nó thực tế với những yêu cầu của các doanh nghiệp muốn quản lý nhân viên sử dụng internet trong giờ hành chính.

Các Dịch Vụ Của Firewall Pfsense
DHCP Server

Dịch vụ này cho phép pfSense cấp địa chỉ IP và các thông tin cấu hình cho client trong mạng LAN.

DHCP Relay
Dịch vụ này cho phép pfSense forward yêu cầu cấp IP của client nằm trong một subnet nào đó tới một DHCP server cho trước.
Chỉ được phép chạy một trong hai dịch vụ DHCP server và DHCP relay.

Dynamic DNS
Pfsense cho phép đăng ký địa chỉ IP của WAN interface của nhiều nhà cung cấp DNS động. Nó rất hữu ích khi muốn điều khiển từ xa.

SNMP (Simple Network Management Protocol)
Chức năng SNMP của pfSense sẽ cho phép giám sát từ xa các thông số hệ thống pfSense. Tùy thuộc vào các tùy chọn cho phép mà có thể theo dõi như: lưu lượng mạng, hàng đợi, thông tin chung hệ thống(CPU, bộ nhớ….).

WOL (Wake On Lan)
Được dùng để đánh thức máy tính đã tắt bằng cách gửi gói tin đặc biệt “Magic packet”. Các NIC trong máy tính phải được hỗ trợ WOL và phải được cấu hình đúng. Thông thường thiết lập WOL của NIC ở BIOS.

PPPoE Server
Pfsense có thể hoạt động như một máy chủ PPPoE, chấp nhận hoặc xác thực kết nối từ client PPPoE trên interface cục bộ. Nó được dùng để bắt buộc người dùng xác thực trước khi được quyền truy cập mạng hoặc kiểm soát hoạt động đăng nhập của họ.

Một Số Chức Năng Khác
–         System log: theo dõi hoạt động của hệ thống pfSense và các dịch vụ mà pfSense cung cấp. Mọi hoạt động của hệ thống và dịch vụ đều được ghi lại.
–         System Status: Liệt kê các thông tin và tình trạng của hệ thống.
–         Service Status: Hiển thị trạng thái của tất cả các service có trong hệ thống. Mỗi service có hai trạng thái là: running, stopped.
–         Interface Status: Hiển thị thông tin của tất cả card mạng.
–         RRD Graph: Hiển thị các thông tin dưới dạng đồ thị. Các thông tin mà RRD Graph sẽ thể hiện là: System, Traffic, Packet, Quality, Queues.
–         Pfsense khá linh hoạt với các hệ thống khác để hỗ trợ tốt hơn cho việc vận hành của pfSense như: kết hợp chứng thực người dùng thông qua hệ thống RADIUS…
–         Ngoài ra pfSense còn có thể kết nối với mạng 3G, 4G thông qua thiết bị 3G, 4G. Trường hợp này phòng bị cho sự cố bất khả kháng khi tất cả các đường truyền internet bằng cáp bị hư hỏng.

LEAVE A REPLY