Firewall – tường lửa là các thiết bị phần cứng hay phần mềm được thiết kế để phát hiện, ngăn chặn, bảo vệ các tài nguyên mạng trước các cuộc tấn công từ bên ngoài Internet. Trong đó giải pháp sử dụng firewall mềm mã nguồn mở như pfSense hay OPNsense được sử dụng rộng rãi với nhiều ưu điểm về chi phí, hiệu năng.
Firewall mềm pfSense
Firewall
Firewall – tường lửa là một thiết bị, hệ thống phần cứng hoặc phần mềm có chức năng kiểm soát, giám sát lưu lượng vào ra trong hệ thống mạng. Cụ thể là ngăn chặn các truy cập thông tin không mong muốn từ ngoài vào hệ thống mạng nội bộ cũng như ngăn chặn các thông tin bảo mật nằm trong mạng nội bộ xuất ra ngoài Internet mà không được cho phép.
Firewall là “bức tường” bảo vệ mạng LAN.
Cần lưu ý rằng firewall không thể ngăn chặn virus hoặc các mã độc lây lan trong mạng nội bộ khi người dùng vô tình hay cố ý cho phép các virus, mã độc đó thực thi đằng sau nó. Mọi firewall đều phải có ít nhất hai giao tiếp (card) mạng, một đầu ra nối với hệ thống mạng cần bảo vệ, một đầu vào nối với hệ thống mạng bên ngoài.
Firewall mềm pfSense
PfSense là firewall mã nguồn mở, phát triển từ dự án m0n0wall năm 2004 từ các nhà sáng lập là Chris Buechler và Scott Ullrich.
PfSense là sản phẩm thuộc công ty Rubicon Communications, LLC (Netgate) có trụ sở tại Mỹ, với nền tảng là hệ điều hành FreeBSD. Hiện tại (06/2020) phiên bản mới nhất được download trên trang chủ pfsense.org là bản 2.4.5.
Logo pfSense.
PfSense cung cấp nhiều tính năng, tùy chọn cấu hình từ cơ bản đến nâng cao. Ngoài ra còn có thể tải thêm các gói cài đặt từ bên ngoài như snort, zabbix-agent, squid,… nhờ đó có thể tùy biến khá phong phú.
Dashboard pfSense.
Cài đặt firewall pfSense
Chuẩn bị
Yêu cầu phần cứng tối thiểu để cài đặt pfSense là: CPU 600 MHz, RAM 512 MB, ổ cứng 4 GB và có USB boot hoặc đĩa CD/DVD để cài đặt ban đầu.
Trong bài viết sử dụng máy ảo trên VMWare Workstation với cấu hình RAM 512MB, ổ cứng 20GB, 1 core CPU, 2 card mạng.
Các bước cài đặt
Nhấn Enter để bắt đầu cài đặt.
Chọn Install để cài đặt pfSense.
Sau đó ta tiếp tục chọn theo mặc định các tùy chọn bàn phím, phân vùng ổ cứng, đợi quá trình cài đặt hoàn tất và reboot:
Hoàn tất cài đặt và khởi động lại máy ảo pfSense.
Sau khi đã khởi động xong, ta tùy chỉnh các thông số như gán interface, đặt IP cho các interface theo nhu cầu sử dụng:
Giao diện pfSense khi khởi động.
Việc đầu tiên cần làm là gán interface (card mạng) cho pfSense. Ta nhập 1 (Assign Interface) và chọn interface tương ứng với WAN, LAN,… trên pfSense:
Gán interface thích hợp bằng việc chọn phím 1.
Tiếp đó nhập 2 (Set interface(s) IP address) để đặt IP cho các interface đã gán trước đó:
Đặt IP cho các interface bằng việc chọn phím 2.
Sau đó ta truy cập vào IP LAN của pfSense trên trình duyệt, nhập tài khoản là admin và mật khẩu mặc định là pfsense sau đó cài đặt một số thông tin ban đầu như DNS, mật khẩu admin:
Đăng nhập pfSense trên trình duyệt.
Cài đặt một số thông tin cơ bản.
Bỏ chọn tùy chọn firewall mặc định.
Bảng điều khiển pfSense khi vừa cài đặt ban đầu xong.
Ping thử ra Internet đã thành công.
Như vậy quá trình cài đặt firewall mềm pfSense đã hoàn tất.
Viettelco đã triển khai thực tế pfSense cho nhiều khách hàng với mô hình ví dụ như dưới đây, gồm 1 server cài đặt pfSense làm OpenVPN server, Zabbix giám sát hệ thống và các server sau nối với interface LAN của pfSense:
PfSense ngoài ra cũng đóng vai trò cân bằng tải thường gặp trong nhiều doanh nghiệp bằng việc dựng một pc với cấu hình thấp hoặc cơ bản. Trên đó cài thêm nhiều dịch vụ khác như proxy Squid, VPN với OpenVPN, HA với CARP và IP VIP,…