BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƢỜNG ĐẠI HỌC NHA TRANG
KHOA CÔNG NGHỆ THÔNG TIN
------------------------------------------------
ĐỒ ÁN TỐT NGHIỆP
Đề tài:
TÌM HIỂU CÂN BẰNG TẢI VÀ XÂY DỰNG MÔ HÌNH
CÂN BẰNG TẢI TRÊN FIREWALL PFSENSE
GVHD:
Thạc sỹ Ngô Văn Công
Sinh viên:
Nguyễn Thị Luyến
Lớp:
50TH1
MSSV:
50130815
Nha Trang, tháng 6 năm 2012
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƢỜNG ĐẠI HỌC NHA TRANG
KHOA CÔNG NGHỆ THÔNG TIN
------------------------------------------------
ĐỒ ÁN TỐT NGHIỆP
Đề tài:
TÌM HIỂU CÂN BẰNG TẢI VÀ XÂY DỰNG MÔ HÌNH
CÂN BẰNG TẢI TRÊN FIREWALL PFSENSE
GVHD:
Thạc sỹ Ngô Văn Công
Sinh viên:
Nguyễn Thị Luyến
Lớp:
50TH1
MSSV:
50130815
Nha Trang, tháng 6 năm 2012
LỜI MỞ ĐẦU
Mỗi ngày có hàng ngàn người truy cập vào trang web của doang nghiệp, tổ chức,
hàng triệu thuê bao sử dụng điện thoại và các dịch vụ gia tăng của nhà cung cấp, hàng
nghìn tỷ đồng giao dịch giữa các ngân hàng. Điều gì sẽ xảy nếu các dịch vụ đó hoạt động
kém cỏi, ì ạch hay trong một giờ tất cả những hoạt động đó bị ngừng lại? Doanh nghiệp
sẽ mất đi cả trăm khách hàng, đối tác tiềm năng, nhà cung cấp bị phàn nàn, các hoạt động
giao dịch, kinh doanh của khách hàng bị ảnh hưởng, hàng nghìn nhà đầu tư bị mất chi
phí, cơ hội. Đó không chỉ là thiệt hại về kinh tế mà còn về uy tín, hình ảnh, sức cạnh
tranh.
Nguyên nhân gây ra tình trạng trên có thể do hạ tầng mạng, phần cứng, phần mềm
hiệu năng thấp, cũng có thể do hệ thống bị tấn công, hệ thống không được sử dụng tối ưu,
không có cơ chế tăng tốc. Đối với lỗi gây đình trệ hệ thống, phần lớn do hệ thống nội bộ
trong các doang nghiệp, tổ chức có lỗi, chẳng hạn như đường mạng bị đứt, thiết bị bị
hỏng, mất điện cục bộ, ứng dụng bị lỗi, máy chủ bị lỗi hay bị tấn công và có thể xảy ra ở
bất cứ hệ thống nào, bất cứ lúc nào.
Để tránh tình trạng trên, các doanh nghiệp đều đã và đang đầu tư hệ thống hạ tầng
một cách bài bản nhằm đạt hiệu năng cao. Đó là việc trang bị các máy chủ ứng dụng
mạnh, có dự phòng. Tuy nhiên, nếu tại mỗi thời điểm mỗi chức năng chi có một server
hoạt động hoặc không có giải pháp chuyên dụng để cân bằng tải cho các server thì không
thể đáp ứng được nhu cầu của hệ thống ứng dụng đồ sộ, đòi hỏi hoạt động liên tục như
các trang web thương mại điện tử, các ứng dụng nhiều người dùng, các hoạt động tiền tệ,
tài chính, các cửa ngõ giao tiếp với khách hàng của ngân hàng, chứng khoán, nhà cung
cấp dịch vụ. Do đó, cần phải có nhiều server cùng đồng thời cung cấp một dịch vụ cho hệ
thống, cung cấp hiệu năng và tính sẳn sàng cao hơn, tính tin cậy cao hơn. Làm sao để các
server đó có thể phối hợp với nhau hiệu quả, đảm bảo tính sẳn sàng, liên tục, an toàn. Đó
là lý do ra đời của các giải pháp cân bằng tải.
Hiện nay, để cân bằng tải cho hệ thống mạng của doanh nghiệp thì chúng ta có
nhiều giải pháp như sử dụng Router Cisco, dùng tường lửa của Microsoft như ISA….
Tuy nhiên những thành phần kể trên tương đối tốn kém. Vì vậy đối với người
dùng không muốn tốn tiền nhưng lại muốn có một tường lửa bảo vệ hệ thống mạng bên
trong (mạng nội bộ) khi mà chúng ta giao tiếp vối hệ thống mạng bên ngoài (Internet) thì
PFSENSE là một giải pháp tiết kiệm và hiệu quả tương đối tốt nhất đối với người dùng.
Firewall pfSense sẽ giải quyết các vấn đề bảo mật cho doanh nghiệp vừa và nhỏ.
Sau bài giới thiệu Trong luận văn này sẽ hiểu rõ hơn về các tính năng của pfsense cũng
như các điểm mạnh và yếu của pfsense với các phần mềm khác.
Luận văn bao gồm năm chương:
Chương 1: Tìm hiểu tổng quan về firewall.
Chương 2: Lý thuyết cân bằng tải.
Chương 3: Tìm hiểu pfsense.
Chương 4: Xây dựng mô hình.
Chương 5: Triển khai và đánh giá hệ thống.
LỜI CẢM ƠN
Trong thời gian thực hiện đồ án vừa qua, em đã rút ra được rất nhiều kinh nghiệm
thực tế mà khi ngồi trên ghế nhà trường không thể có được. Để hoàn thành bài thực tập
này ngoài sự nỗ lực của bản thân, em còn nhận được sự giúp đỡ và động viên của nhiều
người.
Đầu tiên em xin gửi lời cảm ơn đến quý thầy cô trong khoa Công nghệ thông tin đã
trang bị cho em những kiến thức vô cùng quý giá trong suốt quá trình học. Đặc biệt là
nhờ sự chỉ bảo hướng dẫn và góp ý tận tình của thầy Ngô Văn Công trong quá trình thực
hiện đồ án này. Bên cạnh đó, em gửi lời cảm ơn đến gia đình, bạn bè, những người đã
luôn động viên, cổ vũ tinh thần và luôn tạo những điều kiện thuận lợi để em hoàn thành
đề tài này.
Trong quá trình thực hiện đồ án và làm báo cáo, do còn thiếu nhiều kinh nghiệm
thực tế nên không tránh khỏi những sai sót. Em mong các thầy cô chỉ bảo thêm giúp em
hoàn thành và xây dựng đồ án thành một ứng dụng thực tế.
Em xin chân thành cảm ơn!
Nha Trang, ngày 20 tháng 6 năm 2012
Sinh viên thực tập
Nguyễn Thị Luyến
LỜI NHẬN XÉT CỦA GIẢNG VIÊN HƢỚNG DẪN
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
LỜI NHẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
MỤC LỤC
Chƣơng 1:
Tổng quan firewall .......................................................................1
Khái quát về firewall ................................................................................................ 1
I.
1.
Khái niệm firewall .............................................................................................. 1
2.
Chức năng ........................................................................................................... 1
2.1
Quản lý và điều khiển luồng dữ liệu trên mạng .............................................. 2
2.2
Chuyển đổi địa chỉ mạng (NAT) ..................................................................... 2
2.3
Xác thực quyền truy cập.................................................................................. 4
2.4
Hoạt động như một thiết bị trung gian ............................................................ 4
2.5
Bảo vệ tài nguyên ............................................................................................ 5
2.6
Ghi nhận và báo cáo các sự kiện ..................................................................... 6
Hạn chế ............................................................................................................... 6
3.
II. Phân loại firewall ...................................................................................................... 7
Phân loại theo các sản phầm firewall ................................................................. 8
1.
1.1
Firewall phần mềm (Software firewalls)......................................................... 8
1.2
Firewall phần cứng (Appliance firewalls) ....................................................... 9
1.3
Firewall tích hợp (Intergrated firewalls) ....................................................... 10
2.
Phân loại theo các công nghệ firewall .............................................................. 10
3.
Firewall mã nguồn mở và firewall mã nguồn đóng.......................................... 14
III. Các thành phần của firewall ................................................................................... 14
1.
Bộ lọc gói tin(Packet filleting route) ................................................................ 14
2.
Cổng ứng dụng( Application level gateway hay proxy server) ........................ 16
3.
Cổng mạch (Circuite level gateway). ............................................................... 18
IV. Các kiến trúc firewall cơ bản .................................................................................. 19
1.
Kiến trúc Dual – Homed Host(Máy chủ trung gian) ........................................ 21
2.
Kiến trúc Screend Host ..................................................................................... 22
3.
Kiến trúc Screened Subnet ............................................................................... 24
V. Lựa chọn giải pháp firewall .................................................................................... 26
Chƣơng 2:
Lý thuyết cân bằng tải................................................................27
Khái niệm cân bằng tải ........................................................................................... 27
I.
1.
Cân bằng tải chiều ra - Outbound Load-balancing ........................................... 27
2.
Cân bằng tải chiều vào - Load-balancing Inbound ........................................... 28
3.
Cân bằng tải cho server - Server Loadbacing ................................................... 29
II. Các tính năng cân bằng tải...................................................................................... 30
III. Các giải pháp cân bằng tải ...................................................................................... 32
1.
Cân bằng tải bằng phần mềm cài trên máy chủ ................................................ 32
2.
Cân bằng tải nhờ proxy..................................................................................... 32
3.
Cân bằng tải nhờ thiết bị chia kết nối ............................................................... 33
IV. Một số kịch bản cân bằng tải .................................................................................. 34
1.
Kịch bản Active - Standby (hoạt động - chờ) ................................................... 34
2.
Kịch bản Active – Active ................................................................................. 35
3.
VRRP ................................................................................................................ 36
4.
xxRP ................................................................................................................. 37
5.
Cáp Fail – Over ................................................................................................. 37
6.
Stateful Fail – Over (Fail – Over có trạng thái)................................................ 38
Chƣơng 3:
Tổng quan về pfsense .................................................................39
Giới thiệu pfsense ................................................................................................... 39
I.
II. Cài đặt và cấu hình ................................................................................................. 41
1.
Yêu cầu phần cứng ........................................................................................... 41
2.
Cài đặt pfsense .................................................................................................. 41
3.
Thiết lập card mạng cho máy pfsense .............................................................. 44
4.
Đặt IP và thiết lập DHCP cấp phát vào bên trong mạng LAN ......................... 45
5.
Cấu hình Pfsense qua giao diện web – WebGUI ............................................. 46
6.
Cài đặt Packages ............................................................................................... 51
7.
Backup and Recovery ....................................................................................... 53
III. Một số dịch vụ và ứng dụng của Pfsense ............................................................... 54
Một số tính năng của Pfsense firewall .............................................................. 54
1.
1.1
Pfsense Aliases .............................................................................................. 54
1.2
Network Address Translation(NAT)............................................................. 55
1.3
Pfsense rules .................................................................................................. 56
1.4
Pfsense schedules .......................................................................................... 57
1.5
Traffic Shapers .............................................................................................. 58
1.6
Virtual IPs ..................................................................................................... 62
Một số dịch vụ của Pfsense .............................................................................. 63
2.
2.1
Captive Portal ................................................................................................ 63
2.2
DHCP Server ................................................................................................. 67
2.3
Load Balancer ............................................................................................... 67
3.
VPN trên Pfsense .............................................................................................. 71
3.1
VPN PPTP ..................................................................................................... 71
3.2
Open VPN ..................................................................................................... 74
Chƣơng 4:
Xây dựng mô hình ......................................................................79
Xây dựng mô hình cân bằng tải cho các farm server ............................................. 79
I.
1.
Mô hình thực tế ................................................................................................. 79
2.
Mô hình Lab ..................................................................................................... 80
II. Xây dựng mô hình cân bằng tải đường WAN ........................................................ 81
1.
Mô hình thực tế ................................................................................................. 81
2.
Mô hình Lab ..................................................................................................... 82
III. Xây dựng mô hình cân bằng tải firewall ................................................................ 83
Chƣơng 5:
Triển khai và đánh giá hệ thống ...............................................85
Triển khai mô hình cân bằng tải cho các farm server ............................................ 85
I.
1.
Cài đặt server Apache ....................................................................................... 85
2.
Triển khai mô hình ........................................................................................... 88
3.
Kiểm tra, đánh giá ............................................................................................ 91
II. Triển khai mô hình cân bằng tải đường WAN ....................................................... 93
1.
Cấu hình Routing and remote access trên server 2003..................................... 93
2.
Cài đặt, cấu hình pfsense .................................................................................. 99
3.
Cấu hình cân bằng tải đường WAN trên máy pfsense ................................... 102
4.
3.1
Kiểm tra, chỉnh sửa Gateway ...................................................................... 103
3.2
Thêm Gateway Group ................................................................................. 104
3.3
Sử dụng Gateway Group trong rules firewall của interface LAN. ............. 107
Kiếm tra, đánh giá .......................................................................................... 114
III. Triển khai mô hình cân bằng tải firewall ............................................................. 116
1.
Cài đặt, cấu hình primary firewall .................................................................. 116
2.
Cài đặt, cấu hình Backup firewall .................................................................. 119
3.
Kiểm tra, đánh giá .......................................................................................... 120
Chƣơng 6:
Tổng kết .....................................................................................122
TÀI LIỆU THAM KHẢO ...................................................................................123
DANH MỤC HÌNH
Hình 1-1 Firewall cơ bản .................................................................................................... 1
Hình 1-2 Ví dụ về firewall NAT ........................................................................................... 4
Hình 1-3 Proxy Firewall...................................................................................................... 5
Hình 1-4 Phân loại firewall ................................................................................................. 7
Hình 1-5 Packet filtering firewall...................................................................................... 11
Hình 1-6 Circuit-level firewalls ......................................................................................... 12
Hình 1-7 Proxy firewalls .................................................................................................. 12
Hình 1-8 Stateful firewalls ................................................................................................. 13
Hình 1-9 Packet filtering router ........................................................................................ 15
Hình 1-10 Application gateway ......................................................................................... 16
Hình 1-11 Hành động sử dụng telnet qua cổng vòng ........................................................ 19
Hình 1-12 Kiến trúc firewall cơ bản ................................................................................. 20
Hình 1-13 Cấu trúc chung của một hệ thống Firewall ..................................................... 20
Hình 1-14 Kiến trúc Dual-homed host .............................................................................. 22
Hình 1-15 Kiến trúc Screened host ................................................................................... 24
Hình 1-16 Kiến trúc Screened subnet ................................................................................ 25
Hình 2-1 Outbound Load-balancing ................................................................................. 28
Hình 2-2 Load-balancing Inbound .................................................................................... 29
Hình 2-3 Server Loadbalancing ........................................................................................ 29
Hình 2-4 Kịch bản Active- Standby ................................................................................... 34
Hình 2-5 Hoạt động của kịch bản active - standby .......................................................... 35
Hình 2-6 Kịch bản Active - Active ..................................................................................... 35
Hình 2-7 Hoạt động của kịch bản Active - Active ............................................................. 36
Hình 2-8 Hoạt động của VRRP ......................................................................................... 36
Hình 3-1 Logo Pfsense ...................................................................................................... 39
Hình 3-2 Cấu trúc fireưall pfsense .................................................................................... 40
Hình 3-3 Màn hình wellcome to FressBSD ....................................................................... 41
Hình 3-4 Chọn I để bắt đầu cài đặt Pfsense ...................................................................... 42
Hình 3-5 Chọn Accept these Setting để cài đặt ................................................................. 42
Hình 3-6 Chọn quick/ Easy Install để cài đặt vào ổ cứng ................................................. 43
Hình 3-7 Chọn Reboot để khởi động lại hệ thống ............................................................. 43
Hình 3-8 Giao diện textmode ............................................................................................ 44
Hình 3-9 Thiết lập card mạngcho máy pfsense ................................................................. 44
Hình 3-10 Thông tin card mạng sau khi thiết lập ............................................................. 45
Hình 3-11 Thiết lập địa chỉ IP cho LAN............................................................................ 45
Hình 3-12 Đặt IP và thiết lập DHCP cho mạng LAN ....................................................... 46
Hình 3-13 Màn hình đăng nhập ........................................................................................ 46
Hình 3-14 Giao diện WEBGUI .......................................................................................... 47
Hình 3-15 Khai báo DNS................................................................................................... 47
Hình 3-16 Chọn múi giờ cho máy pfsense ......................................................................... 48
Hình 3-17 Cấu hình interface WAN .................................................................................. 48
Hình 3-18 Đặt địa chỉ IP cho LAN trên giao diện web ..................................................... 49
Hình 3-19 Cấu hình DHCP LAN trên giao diện web ........................................................ 49
Hình 3-20 Thiết lập lại mật khẩu cho admin ..................................................................... 50
Hình 3-21 Reload lại hệ thống .......................................................................................... 50
Hình 3-22 Giao diện pfsense trên nền web ....................................................................... 51
Hình 3-23 Giao diện cài đặt packages .............................................................................. 51
Hình 3-24 Cài đặt packages .............................................................................................. 52
Hình 3-25 Danh sách các packages được cài đặt ............................................................ 52
Hình 3-26 Sao lưu hệ thống ............................................................................................... 53
Hình 3-27 Phục hồi hệ thống ............................................................................................. 53
Hình 3-28 Pfsense Aliases ................................................................................................. 54
Hình 3-29 Tạo alias webport quy định các cổng cho server............................................. 55
Hình 3-30 Pfsense rules ..................................................................................................... 56
Hình 3-31 Hai rules được mặc định trong tab LAN .......................................................... 56
Hình 3-32 Tạo rule cấm truy cập web sử dụng cổng 80 cho các máy LAN ...................... 57
Hình 3-33 Pfsense schedules ............................................................................................. 57
Hình 3-34 Lịch giờ làm việc .............................................................................................. 58
Hình 3-35 Chi tiết lịch làm việc ........................................................................................ 58
Hình 3-36 Traffic Sharper ................................................................................................. 59
Hình 3-37 Cấu hình Traffic Sharper ................................................................................. 59
Hình 3-38 Voice over IP .................................................................................................... 60
Hình 3-39 Penalty Box ...................................................................................................... 60
Hình 3-40 Peer to peer netwworking ................................................................................ 61
Hình 3-41 Network Games ................................................................................................ 61
Hình 3-42 Raise of lower other Applications .................................................................... 62
Hình 3-43 Captive portal ................................................................................................... 63
Hình 3-44 Các tính năng trong menu Captive Portal ....................................................... 64
Hình 3-45 Các tính năng trong menu Captive Portal ....................................................... 65
Hình 3-46 Các tính năng trong menu Captive Portal ....................................................... 66
Hình 3-47 DHCP server .................................................................................................... 67
Hình 3-48 Load balancer .................................................................................................. 68
Hình 3-49 Tạo pool cân bằng tải ...................................................................................... 68
Hình 3-50 Chọn monitor cho pool load balacing ............................................................. 69
Hình 3-51 Tạo một rules áp dụng pool cân bằng tải ........................................................ 69
Hình 3-52 Các thông số tùy chỉnh trong firewall rules ..................................................... 70
Hình 3-53 Tình trang cân bằng tải khi 2 đường truyền online ......................................... 70
Hình 3-54 Cân bằng tải khi 1 đường truyền offline, 1 đường truyền online..................... 71
Hình 3-55 Cấu hình PPTP VPN ........................................................................................ 72
Hình 3-56 Chọn mã hóa 128 bit ........................................................................................ 72
Hình 3-57 Tạo rule cho phép PPTP client kết nối đến mạng LAN ................................... 73
Hình 3-58 Tạo kết nối VPN ............................................................................................... 73
Hình 3-59 Nhập IP PPTP server ....................................................................................... 74
Hình 3-60 Nhập username, password để kết nối ............................................................... 74
Hình 3-61 Chọn loại server chứng thực ........................................................................... 74
Hình 3-62 Tạo một CA mới ............................................................................................... 75
Hình 3-63 Tạo server chứng thực...................................................................................... 76
Hình 3-64 Thông tin cấu hinh server certificate ............................................................... 76
Hình 3-65 Cấu hình Tunneling network ............................................................................ 77
Hình 3-66 Thêm rule cho OpenVPN server ...................................................................... 77
Hình 3-67 Kết quả sau khi cấu hình .................................................................................. 77
Hình 3-68 OpenVPN client đã được cài đặt...................................................................... 78
Hình 4-1 Mô hình cân bằng tải server thực tế .................................................................. 79
Hình 4-2 Mô hình cân bằng tải webserver trong bài LAB ................................................ 80
Hình 4-3 Mô hình cân bằng tải đường WAN thực tế......................................................... 81
Hình 4-4 Mô hình LAB cân bằng tải đường WAN ........................................................... 82
Hình 4-5 Mô hình cân bằng tải firewall ............................................................................ 83
Hình 5-1 Giao diện cài đặt Apache ................................................................................... 85
Hình 5-2 Chọn "I accept the terms in the license agreement" để tiếp tục cài đặt ........... 85
Hình 5-3 Thiết lập thông tin cho Apache .......................................................................... 86
Hình 5-4 Chọn kiểu cài đặt Apache .................................................................................. 86
Hình 5-5 Chọn nơi lưu Appche .......................................................................................... 87
Hình 5-6 Chọn Install để cài đặt Apache .......................................................................... 87
Hình 5-7 Giao diện web localhost ..................................................................................... 88
Hình 5-8 Tạo Monitor........................................................................................................ 89
Hình 5-9 Monitor sau khi tạo ............................................................................................ 89
Hình 5-10 Tạo Server Pool ................................................................................................ 90
Hình 5-11 Thêm webserver vào pool................................................................................. 90
Hình 5-12 Pool sau khi tạo ................................................................................................ 90
Hình 5-13 Tạo virtual server ............................................................................................. 91
Hình 5-14 Server ảo sau khi tạo ........................................................................................ 91
Hình 5-15 Tình trang webserver khi online ...................................................................... 91
Hình 5-16 Trạng thái khi có 1 server offline ..................................................................... 92
Hình 5-17 Client nhận phản hồi từ server apache 1 ......................................................... 92
Hình 5-18 Client nhận phản hồi từ server apache 1 ......................................................... 93
Hình 5-19 Thiết lập card mạng cho máy ảo 2003 ............................................................. 94
Hình 5-20 Thiết lập IP cho interfaces 2 ............................................................................ 94
Hình 5-21 Thiết lập ip cho interfaces 3 ............................................................................. 95
Hình 5-22 Bật chức năng Rooting and remote access ...................................................... 95
Hình 5-23 Chọn customconfigution................................................................................... 96
Hình 5-24 Chọn NAT and basic firewall ........................................................................... 96
Hình 5-25 Thêm interface cho NAT................................................................................... 97
Hình 5-26 Cấu hình interface brigde làm public interface ............................................... 97
Hình 5-27 Cấu hình 2 interface còn lại làm private interface ......................................... 98
Hình 5-28 Các interface sau khi cấu hình NAT ................................................................ 98
Hình 5-29 Địa chỉ MAC của các interface ........................................................................ 99
Hình 5-30 Gán IP cho interface WAN ............................................................................. 100
Hình 5-31 Gán IP cho interface OPT1............................................................................ 100
Hình 5-32 Đặt địa chỉ IP cho interface LAN ................................................................... 101
Hình 5-33 Cấp phát DHCP cho các máy trong LAN ...................................................... 101
Hình 5-34 Kiểm tra trạng thái Gateway.......................................................................... 102
Hình 5-35 Khai báo DNS cho pfsense ............................................................................. 102
Hình 5-36 Kiểm tra Gateway .......................................................................................... 103
Hình 5-37 Tạo Gateway Group Load Balancing ............................................................ 105
Hình 5-38 Tạo Gateways WANFailToOPT1 ................................................................... 106
Hình 5-39 Tạo Gateways OPT1FailToWAN ................................................................... 106
Hình 5-40 Tạo Rule Load Balancing............................................................................... 107
Hình 5-41 Chọn Gateways Load Balancing .................................................................... 108
Hình 5-42 Tạo Rule WANFailToOPT1 ........................................................................... 108
Hình 5-43 Chọn Gateways WANFailToOPT1 ................................................................ 109
Hình 5-44 Tạo Rule OPT1FailToWAN ........................................................................... 109
Hình 5-45 Chọn Gateways OPT1FailToWAN ................................................................ 110
Hình 5-46 Tạo rule LANtoWAN ...................................................................................... 111
Hình 5-47 Chọn Gateway LANtoWAN ............................................................................ 111
Hình 5-48 Tạo Rule LANtoOPT1 .................................................................................... 112
Hình 5-49 Chọn gateway LANtoOPT1 ............................................................................ 112
Hình 5-50 Rule LAN ........................................................................................................ 113
Hình 5-51 Cấu hình DNS................................................................................................ 113
Hình 5-52 Kiểm tra cân bằng tải ..................................................................................... 114
Hình 5-53 Cân bằng tải chuyển qua WAN 2 ................................................................... 115
Hình 5-54 Tạo IP WAN ảo .............................................................................................. 116
Hình 5-55 Tạo IP LAN ảo................................................................................................ 117
Hình 5-56 IP mạng ảo sau khi tạo ................................................................................... 117
Hình 5-57 Đồng bộ hóa CARP trên tường lửa chính ...................................................... 118
Hình 5-58 Đồng bộ hóa CARP trên tường lửa chính ...................................................... 118
Hình 5-59 Tạo một firewall rule mới............................................................................... 119
Hình 5-60 Cấu hình firewall rules ................................................................................... 119
Hình 5-61 Trạng thái CARP primary firewall khi 2 firewall hoạt động ......................... 120
Hình 5-62 Trạng thái CARP bckup firewall khi 2 firewall hoạt động ............................ 120
Hình 5-63 Trạng thái CARP primary firewall khi tắt primary firewall .......................... 121
Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense
Chƣơng 1:
I.
Tổng quan firewall
Khái quát về firewall
1. Khái niệm firewall
Firewall là một hệ thống hay một hệ thống kết hợp trong đó có thiết lập một
đường biên giữa hai hay nhiều mạng. Firewall cài đặt các luật về bảo mật để phân
cách giữa mạng với các kết nối không mong muốn để giữ cho những thông tin
quan trọng tránh sự hiểm trong khi vẫn cho lưu thông cũng như hạn chế sự xâm
nhập vào hệ thống của một số thông tin khác không mong muốn. Cũng có thể hiểu
rằng Firewall là một cơ chế để bảo vệ mạng tin tưởng(trusted network) khỏi các
mạng không tin tưởng(untrusted network).
Hình 1-1 Firewall cơ bản
Firewall có thể hoạt động ở những tầng mạng khác nhau trong mô hình OSI
và TCP/IP. Tầng thấp nhất là tầng mạng và có thể thực hiện các chức năng phức
tạp hơn như lọc băng thông dựa vào gói tin ở tầng ứng dụng.
2. Chức năng
Về cơ bản firewall có khả năng thực hiện các nhiệm vụ sau đây:
Quản lý và điều khiển luồng dữ liệu trên mạng.
Chuyển đổi địa chỉ mạng(Network address tranlation).
Xác thực quyền truy cập.
GVHD: Ngô Văn Công
Page 1
Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense
Hoạt động như một thiết bị trung gian.
Bảo vệ tài nguyên.
Ghi nhận và báo cáo các sự kiện.
2.1 Quản lý và điều khiển luồng dữ liệu trên mạng
Việc đầu tiên và cơ bản nhất mà tất cả các firewall đều có là quản lý và
kiểm soát luồng dữ liệu trên mạng, firewall kiểm tra các gói tin và giám sát các kết
nối đang thực hiện và sau đó lọc các kết nối dựa trên kết quả kiểm tra gói tin và
các kết nối được giám sát.
Kiểm tra gói tin (Packet inspection) là quá trình chặn và xử lý dữ liệu trong
một gói tin để xác định xem nó được phép hay không được phép đi qua firewall.
Kiểm tra gói tin có thể dựa vào các thông tin sau:
-
Địa chỉ IP, port nguồn hay đích: Hạn chế sự truy cập từ host hay
mạng thông qua địa chỉ IP.
-
Trường IP protocol: UDP, TCP, ICMP và IGMP.
-
Thông tin chứa trong phần đầu của mỗi gói tin (sequence numbers,
checksums, data flags, payload information…).
Connections và state: Khi hai TCP/IP host muốn giao tiếp với nhau, chúng
cần thiêt lập một số kết nối với nhau. Các kết nối phục vụ hai mục đích. Thứ nhất,
nó dùng để xác thực bản thân các host với nhau. Friewall dùng các thông tin kết
nối này để xác định kết nối nào được phép và các kết nối nào không được
phép.Thứ hai, các kết nối dùng để xác định cách thức mà hai host sẽ liên lạc với
nhau (dùng TCP hay dùng UDP…).
Stateful Packet Inspection (giám sát gói tin theo trạng thái): Statefull packet
inspection không những kiểm tra gói tin bao gồm cấu trúc, dữ liệu gói tin … mà
kiểm tra cả trạng thái gói tin.
2.2 Chuyển đổi địa chỉ mạng (NAT)
Giải pháp bắt nguồn từ sự khan hiếm của địa chỉ mạng cho các host trong
mạng riêng. Firewall chuyển đổi địa chỉ IP trong mạng riêng thành địa chỉ IP
chung, duy nhất có thể được sử dụng trên internet. Nó sẽ che dấu các thông tin về
GVHD: Ngô Văn Công
Page 2
Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense
các host bên trong mạng của mạng riêng bằng cách tạo ra tất cả các kênh truyền
thông với một địa chỉ IP duy nhất.
NAT che dấu bất kì địa dải IP nào cho địa chỉ mạng bên trong mạng riêng
bằng cách chuyển đổi các địa chỉ này sang địa chỉ của tường lửa khi gói tin qua
tường lửa này.
Một firewall cài đặt chức năng NAT bằng cách tạo một bảng chuyể đổi để
ánh xạ các socket bên trong với các socket bên ngoài. Khi một host trong mạng
riêng muốn thiết lập một kết nối với mạng bên ngoài, firewall sẽ tự động trao đổi
socket bên trong với socket của firewall và tạo một mục trong bảng chuyển đổi.
Sau đó firewall sẽ gửi yêu cầu tới host bên ngoài thay cho client bên trong mạng.
Khi firewall nhận được câu trả lời từ host bên ngoài nó sẽ thự hiện quá trình chuyể
đổi ngược lại.
Ví dụ: Một host trong mạng với địa chỉ IP 25.0.10.20:1234 muốn truy cập
vào trang web trên mạng với địa chỉ IP 172.17.20.30 tới firewall 127.110.121.1.
Firewall nhận yêu cầu sẽ tạo mục tỏng bảng chuyển đổi:
Source:
Destination:
Tralation:
25.0.10.20:1234
172.17.20.30:80
127.110.121.1:15485
Host đích sẽ nhận gói tin từ 127.110.121.1:15485
GVHD: Ngô Văn Công
Page 3
- Xem thêm -