Tài liệu Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense

  • Số trang: 140 |
  • Loại file: PDF |
  • Lượt xem: 314 |
  • Lượt tải: 0
nhattuvisu

Đã đăng 27125 tài liệu

Mô tả:

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƢỜNG ĐẠI HỌC NHA TRANG KHOA CÔNG NGHỆ THÔNG TIN ------------------------------------------------ ĐỒ ÁN TỐT NGHIỆP Đề tài: TÌM HIỂU CÂN BẰNG TẢI VÀ XÂY DỰNG MÔ HÌNH CÂN BẰNG TẢI TRÊN FIREWALL PFSENSE GVHD: Thạc sỹ Ngô Văn Công Sinh viên: Nguyễn Thị Luyến Lớp: 50TH1 MSSV: 50130815 Nha Trang, tháng 6 năm 2012 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƢỜNG ĐẠI HỌC NHA TRANG KHOA CÔNG NGHỆ THÔNG TIN ------------------------------------------------ ĐỒ ÁN TỐT NGHIỆP Đề tài: TÌM HIỂU CÂN BẰNG TẢI VÀ XÂY DỰNG MÔ HÌNH CÂN BẰNG TẢI TRÊN FIREWALL PFSENSE GVHD: Thạc sỹ Ngô Văn Công Sinh viên: Nguyễn Thị Luyến Lớp: 50TH1 MSSV: 50130815 Nha Trang, tháng 6 năm 2012 LỜI MỞ ĐẦU Mỗi ngày có hàng ngàn người truy cập vào trang web của doang nghiệp, tổ chức, hàng triệu thuê bao sử dụng điện thoại và các dịch vụ gia tăng của nhà cung cấp, hàng nghìn tỷ đồng giao dịch giữa các ngân hàng. Điều gì sẽ xảy nếu các dịch vụ đó hoạt động kém cỏi, ì ạch hay trong một giờ tất cả những hoạt động đó bị ngừng lại? Doanh nghiệp sẽ mất đi cả trăm khách hàng, đối tác tiềm năng, nhà cung cấp bị phàn nàn, các hoạt động giao dịch, kinh doanh của khách hàng bị ảnh hưởng, hàng nghìn nhà đầu tư bị mất chi phí, cơ hội. Đó không chỉ là thiệt hại về kinh tế mà còn về uy tín, hình ảnh, sức cạnh tranh. Nguyên nhân gây ra tình trạng trên có thể do hạ tầng mạng, phần cứng, phần mềm hiệu năng thấp, cũng có thể do hệ thống bị tấn công, hệ thống không được sử dụng tối ưu, không có cơ chế tăng tốc. Đối với lỗi gây đình trệ hệ thống, phần lớn do hệ thống nội bộ trong các doang nghiệp, tổ chức có lỗi, chẳng hạn như đường mạng bị đứt, thiết bị bị hỏng, mất điện cục bộ, ứng dụng bị lỗi, máy chủ bị lỗi hay bị tấn công và có thể xảy ra ở bất cứ hệ thống nào, bất cứ lúc nào. Để tránh tình trạng trên, các doanh nghiệp đều đã và đang đầu tư hệ thống hạ tầng một cách bài bản nhằm đạt hiệu năng cao. Đó là việc trang bị các máy chủ ứng dụng mạnh, có dự phòng. Tuy nhiên, nếu tại mỗi thời điểm mỗi chức năng chi có một server hoạt động hoặc không có giải pháp chuyên dụng để cân bằng tải cho các server thì không thể đáp ứng được nhu cầu của hệ thống ứng dụng đồ sộ, đòi hỏi hoạt động liên tục như các trang web thương mại điện tử, các ứng dụng nhiều người dùng, các hoạt động tiền tệ, tài chính, các cửa ngõ giao tiếp với khách hàng của ngân hàng, chứng khoán, nhà cung cấp dịch vụ. Do đó, cần phải có nhiều server cùng đồng thời cung cấp một dịch vụ cho hệ thống, cung cấp hiệu năng và tính sẳn sàng cao hơn, tính tin cậy cao hơn. Làm sao để các server đó có thể phối hợp với nhau hiệu quả, đảm bảo tính sẳn sàng, liên tục, an toàn. Đó là lý do ra đời của các giải pháp cân bằng tải. Hiện nay, để cân bằng tải cho hệ thống mạng của doanh nghiệp thì chúng ta có nhiều giải pháp như sử dụng Router Cisco, dùng tường lửa của Microsoft như ISA…. Tuy nhiên những thành phần kể trên tương đối tốn kém. Vì vậy đối với người dùng không muốn tốn tiền nhưng lại muốn có một tường lửa bảo vệ hệ thống mạng bên trong (mạng nội bộ) khi mà chúng ta giao tiếp vối hệ thống mạng bên ngoài (Internet) thì PFSENSE là một giải pháp tiết kiệm và hiệu quả tương đối tốt nhất đối với người dùng. Firewall pfSense sẽ giải quyết các vấn đề bảo mật cho doanh nghiệp vừa và nhỏ. Sau bài giới thiệu Trong luận văn này sẽ hiểu rõ hơn về các tính năng của pfsense cũng như các điểm mạnh và yếu của pfsense với các phần mềm khác. Luận văn bao gồm năm chương: Chương 1: Tìm hiểu tổng quan về firewall. Chương 2: Lý thuyết cân bằng tải. Chương 3: Tìm hiểu pfsense. Chương 4: Xây dựng mô hình. Chương 5: Triển khai và đánh giá hệ thống. LỜI CẢM ƠN Trong thời gian thực hiện đồ án vừa qua, em đã rút ra được rất nhiều kinh nghiệm thực tế mà khi ngồi trên ghế nhà trường không thể có được. Để hoàn thành bài thực tập này ngoài sự nỗ lực của bản thân, em còn nhận được sự giúp đỡ và động viên của nhiều người. Đầu tiên em xin gửi lời cảm ơn đến quý thầy cô trong khoa Công nghệ thông tin đã trang bị cho em những kiến thức vô cùng quý giá trong suốt quá trình học. Đặc biệt là nhờ sự chỉ bảo hướng dẫn và góp ý tận tình của thầy Ngô Văn Công trong quá trình thực hiện đồ án này. Bên cạnh đó, em gửi lời cảm ơn đến gia đình, bạn bè, những người đã luôn động viên, cổ vũ tinh thần và luôn tạo những điều kiện thuận lợi để em hoàn thành đề tài này. Trong quá trình thực hiện đồ án và làm báo cáo, do còn thiếu nhiều kinh nghiệm thực tế nên không tránh khỏi những sai sót. Em mong các thầy cô chỉ bảo thêm giúp em hoàn thành và xây dựng đồ án thành một ứng dụng thực tế. Em xin chân thành cảm ơn! Nha Trang, ngày 20 tháng 6 năm 2012 Sinh viên thực tập Nguyễn Thị Luyến LỜI NHẬN XÉT CỦA GIẢNG VIÊN HƢỚNG DẪN ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... LỜI NHẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... MỤC LỤC Chƣơng 1: Tổng quan firewall .......................................................................1 Khái quát về firewall ................................................................................................ 1 I. 1. Khái niệm firewall .............................................................................................. 1 2. Chức năng ........................................................................................................... 1 2.1 Quản lý và điều khiển luồng dữ liệu trên mạng .............................................. 2 2.2 Chuyển đổi địa chỉ mạng (NAT) ..................................................................... 2 2.3 Xác thực quyền truy cập.................................................................................. 4 2.4 Hoạt động như một thiết bị trung gian ............................................................ 4 2.5 Bảo vệ tài nguyên ............................................................................................ 5 2.6 Ghi nhận và báo cáo các sự kiện ..................................................................... 6 Hạn chế ............................................................................................................... 6 3. II. Phân loại firewall ...................................................................................................... 7 Phân loại theo các sản phầm firewall ................................................................. 8 1. 1.1 Firewall phần mềm (Software firewalls)......................................................... 8 1.2 Firewall phần cứng (Appliance firewalls) ....................................................... 9 1.3 Firewall tích hợp (Intergrated firewalls) ....................................................... 10 2. Phân loại theo các công nghệ firewall .............................................................. 10 3. Firewall mã nguồn mở và firewall mã nguồn đóng.......................................... 14 III. Các thành phần của firewall ................................................................................... 14 1. Bộ lọc gói tin(Packet filleting route) ................................................................ 14 2. Cổng ứng dụng( Application level gateway hay proxy server) ........................ 16 3. Cổng mạch (Circuite level gateway). ............................................................... 18 IV. Các kiến trúc firewall cơ bản .................................................................................. 19 1. Kiến trúc Dual – Homed Host(Máy chủ trung gian) ........................................ 21 2. Kiến trúc Screend Host ..................................................................................... 22 3. Kiến trúc Screened Subnet ............................................................................... 24 V. Lựa chọn giải pháp firewall .................................................................................... 26 Chƣơng 2: Lý thuyết cân bằng tải................................................................27 Khái niệm cân bằng tải ........................................................................................... 27 I. 1. Cân bằng tải chiều ra - Outbound Load-balancing ........................................... 27 2. Cân bằng tải chiều vào - Load-balancing Inbound ........................................... 28 3. Cân bằng tải cho server - Server Loadbacing ................................................... 29 II. Các tính năng cân bằng tải...................................................................................... 30 III. Các giải pháp cân bằng tải ...................................................................................... 32 1. Cân bằng tải bằng phần mềm cài trên máy chủ ................................................ 32 2. Cân bằng tải nhờ proxy..................................................................................... 32 3. Cân bằng tải nhờ thiết bị chia kết nối ............................................................... 33 IV. Một số kịch bản cân bằng tải .................................................................................. 34 1. Kịch bản Active - Standby (hoạt động - chờ) ................................................... 34 2. Kịch bản Active – Active ................................................................................. 35 3. VRRP ................................................................................................................ 36 4. xxRP ................................................................................................................. 37 5. Cáp Fail – Over ................................................................................................. 37 6. Stateful Fail – Over (Fail – Over có trạng thái)................................................ 38 Chƣơng 3: Tổng quan về pfsense .................................................................39 Giới thiệu pfsense ................................................................................................... 39 I. II. Cài đặt và cấu hình ................................................................................................. 41 1. Yêu cầu phần cứng ........................................................................................... 41 2. Cài đặt pfsense .................................................................................................. 41 3. Thiết lập card mạng cho máy pfsense .............................................................. 44 4. Đặt IP và thiết lập DHCP cấp phát vào bên trong mạng LAN ......................... 45 5. Cấu hình Pfsense qua giao diện web – WebGUI ............................................. 46 6. Cài đặt Packages ............................................................................................... 51 7. Backup and Recovery ....................................................................................... 53 III. Một số dịch vụ và ứng dụng của Pfsense ............................................................... 54 Một số tính năng của Pfsense firewall .............................................................. 54 1. 1.1 Pfsense Aliases .............................................................................................. 54 1.2 Network Address Translation(NAT)............................................................. 55 1.3 Pfsense rules .................................................................................................. 56 1.4 Pfsense schedules .......................................................................................... 57 1.5 Traffic Shapers .............................................................................................. 58 1.6 Virtual IPs ..................................................................................................... 62 Một số dịch vụ của Pfsense .............................................................................. 63 2. 2.1 Captive Portal ................................................................................................ 63 2.2 DHCP Server ................................................................................................. 67 2.3 Load Balancer ............................................................................................... 67 3. VPN trên Pfsense .............................................................................................. 71 3.1 VPN PPTP ..................................................................................................... 71 3.2 Open VPN ..................................................................................................... 74 Chƣơng 4: Xây dựng mô hình ......................................................................79 Xây dựng mô hình cân bằng tải cho các farm server ............................................. 79 I. 1. Mô hình thực tế ................................................................................................. 79 2. Mô hình Lab ..................................................................................................... 80 II. Xây dựng mô hình cân bằng tải đường WAN ........................................................ 81 1. Mô hình thực tế ................................................................................................. 81 2. Mô hình Lab ..................................................................................................... 82 III. Xây dựng mô hình cân bằng tải firewall ................................................................ 83 Chƣơng 5: Triển khai và đánh giá hệ thống ...............................................85 Triển khai mô hình cân bằng tải cho các farm server ............................................ 85 I. 1. Cài đặt server Apache ....................................................................................... 85 2. Triển khai mô hình ........................................................................................... 88 3. Kiểm tra, đánh giá ............................................................................................ 91 II. Triển khai mô hình cân bằng tải đường WAN ....................................................... 93 1. Cấu hình Routing and remote access trên server 2003..................................... 93 2. Cài đặt, cấu hình pfsense .................................................................................. 99 3. Cấu hình cân bằng tải đường WAN trên máy pfsense ................................... 102 4. 3.1 Kiểm tra, chỉnh sửa Gateway ...................................................................... 103 3.2 Thêm Gateway Group ................................................................................. 104 3.3 Sử dụng Gateway Group trong rules firewall của interface LAN. ............. 107 Kiếm tra, đánh giá .......................................................................................... 114 III. Triển khai mô hình cân bằng tải firewall ............................................................. 116 1. Cài đặt, cấu hình primary firewall .................................................................. 116 2. Cài đặt, cấu hình Backup firewall .................................................................. 119 3. Kiểm tra, đánh giá .......................................................................................... 120 Chƣơng 6: Tổng kết .....................................................................................122 TÀI LIỆU THAM KHẢO ...................................................................................123 DANH MỤC HÌNH Hình 1-1 Firewall cơ bản .................................................................................................... 1 Hình 1-2 Ví dụ về firewall NAT ........................................................................................... 4 Hình 1-3 Proxy Firewall...................................................................................................... 5 Hình 1-4 Phân loại firewall ................................................................................................. 7 Hình 1-5 Packet filtering firewall...................................................................................... 11 Hình 1-6 Circuit-level firewalls ......................................................................................... 12 Hình 1-7 Proxy firewalls .................................................................................................. 12 Hình 1-8 Stateful firewalls ................................................................................................. 13 Hình 1-9 Packet filtering router ........................................................................................ 15 Hình 1-10 Application gateway ......................................................................................... 16 Hình 1-11 Hành động sử dụng telnet qua cổng vòng ........................................................ 19 Hình 1-12 Kiến trúc firewall cơ bản ................................................................................. 20 Hình 1-13 Cấu trúc chung của một hệ thống Firewall ..................................................... 20 Hình 1-14 Kiến trúc Dual-homed host .............................................................................. 22 Hình 1-15 Kiến trúc Screened host ................................................................................... 24 Hình 1-16 Kiến trúc Screened subnet ................................................................................ 25 Hình 2-1 Outbound Load-balancing ................................................................................. 28 Hình 2-2 Load-balancing Inbound .................................................................................... 29 Hình 2-3 Server Loadbalancing ........................................................................................ 29 Hình 2-4 Kịch bản Active- Standby ................................................................................... 34 Hình 2-5 Hoạt động của kịch bản active - standby .......................................................... 35 Hình 2-6 Kịch bản Active - Active ..................................................................................... 35 Hình 2-7 Hoạt động của kịch bản Active - Active ............................................................. 36 Hình 2-8 Hoạt động của VRRP ......................................................................................... 36 Hình 3-1 Logo Pfsense ...................................................................................................... 39 Hình 3-2 Cấu trúc fireưall pfsense .................................................................................... 40 Hình 3-3 Màn hình wellcome to FressBSD ....................................................................... 41 Hình 3-4 Chọn I để bắt đầu cài đặt Pfsense ...................................................................... 42 Hình 3-5 Chọn Accept these Setting để cài đặt ................................................................. 42 Hình 3-6 Chọn quick/ Easy Install để cài đặt vào ổ cứng ................................................. 43 Hình 3-7 Chọn Reboot để khởi động lại hệ thống ............................................................. 43 Hình 3-8 Giao diện textmode ............................................................................................ 44 Hình 3-9 Thiết lập card mạngcho máy pfsense ................................................................. 44 Hình 3-10 Thông tin card mạng sau khi thiết lập ............................................................. 45 Hình 3-11 Thiết lập địa chỉ IP cho LAN............................................................................ 45 Hình 3-12 Đặt IP và thiết lập DHCP cho mạng LAN ....................................................... 46 Hình 3-13 Màn hình đăng nhập ........................................................................................ 46 Hình 3-14 Giao diện WEBGUI .......................................................................................... 47 Hình 3-15 Khai báo DNS................................................................................................... 47 Hình 3-16 Chọn múi giờ cho máy pfsense ......................................................................... 48 Hình 3-17 Cấu hình interface WAN .................................................................................. 48 Hình 3-18 Đặt địa chỉ IP cho LAN trên giao diện web ..................................................... 49 Hình 3-19 Cấu hình DHCP LAN trên giao diện web ........................................................ 49 Hình 3-20 Thiết lập lại mật khẩu cho admin ..................................................................... 50 Hình 3-21 Reload lại hệ thống .......................................................................................... 50 Hình 3-22 Giao diện pfsense trên nền web ....................................................................... 51 Hình 3-23 Giao diện cài đặt packages .............................................................................. 51 Hình 3-24 Cài đặt packages .............................................................................................. 52 Hình 3-25 Danh sách các packages được cài đặt ............................................................ 52 Hình 3-26 Sao lưu hệ thống ............................................................................................... 53 Hình 3-27 Phục hồi hệ thống ............................................................................................. 53 Hình 3-28 Pfsense Aliases ................................................................................................. 54 Hình 3-29 Tạo alias webport quy định các cổng cho server............................................. 55 Hình 3-30 Pfsense rules ..................................................................................................... 56 Hình 3-31 Hai rules được mặc định trong tab LAN .......................................................... 56 Hình 3-32 Tạo rule cấm truy cập web sử dụng cổng 80 cho các máy LAN ...................... 57 Hình 3-33 Pfsense schedules ............................................................................................. 57 Hình 3-34 Lịch giờ làm việc .............................................................................................. 58 Hình 3-35 Chi tiết lịch làm việc ........................................................................................ 58 Hình 3-36 Traffic Sharper ................................................................................................. 59 Hình 3-37 Cấu hình Traffic Sharper ................................................................................. 59 Hình 3-38 Voice over IP .................................................................................................... 60 Hình 3-39 Penalty Box ...................................................................................................... 60 Hình 3-40 Peer to peer netwworking ................................................................................ 61 Hình 3-41 Network Games ................................................................................................ 61 Hình 3-42 Raise of lower other Applications .................................................................... 62 Hình 3-43 Captive portal ................................................................................................... 63 Hình 3-44 Các tính năng trong menu Captive Portal ....................................................... 64 Hình 3-45 Các tính năng trong menu Captive Portal ....................................................... 65 Hình 3-46 Các tính năng trong menu Captive Portal ....................................................... 66 Hình 3-47 DHCP server .................................................................................................... 67 Hình 3-48 Load balancer .................................................................................................. 68 Hình 3-49 Tạo pool cân bằng tải ...................................................................................... 68 Hình 3-50 Chọn monitor cho pool load balacing ............................................................. 69 Hình 3-51 Tạo một rules áp dụng pool cân bằng tải ........................................................ 69 Hình 3-52 Các thông số tùy chỉnh trong firewall rules ..................................................... 70 Hình 3-53 Tình trang cân bằng tải khi 2 đường truyền online ......................................... 70 Hình 3-54 Cân bằng tải khi 1 đường truyền offline, 1 đường truyền online..................... 71 Hình 3-55 Cấu hình PPTP VPN ........................................................................................ 72 Hình 3-56 Chọn mã hóa 128 bit ........................................................................................ 72 Hình 3-57 Tạo rule cho phép PPTP client kết nối đến mạng LAN ................................... 73 Hình 3-58 Tạo kết nối VPN ............................................................................................... 73 Hình 3-59 Nhập IP PPTP server ....................................................................................... 74 Hình 3-60 Nhập username, password để kết nối ............................................................... 74 Hình 3-61 Chọn loại server chứng thực ........................................................................... 74 Hình 3-62 Tạo một CA mới ............................................................................................... 75 Hình 3-63 Tạo server chứng thực...................................................................................... 76 Hình 3-64 Thông tin cấu hinh server certificate ............................................................... 76 Hình 3-65 Cấu hình Tunneling network ............................................................................ 77 Hình 3-66 Thêm rule cho OpenVPN server ...................................................................... 77 Hình 3-67 Kết quả sau khi cấu hình .................................................................................. 77 Hình 3-68 OpenVPN client đã được cài đặt...................................................................... 78 Hình 4-1 Mô hình cân bằng tải server thực tế .................................................................. 79 Hình 4-2 Mô hình cân bằng tải webserver trong bài LAB ................................................ 80 Hình 4-3 Mô hình cân bằng tải đường WAN thực tế......................................................... 81 Hình 4-4 Mô hình LAB cân bằng tải đường WAN ........................................................... 82 Hình 4-5 Mô hình cân bằng tải firewall ............................................................................ 83 Hình 5-1 Giao diện cài đặt Apache ................................................................................... 85 Hình 5-2 Chọn "I accept the terms in the license agreement" để tiếp tục cài đặt ........... 85 Hình 5-3 Thiết lập thông tin cho Apache .......................................................................... 86 Hình 5-4 Chọn kiểu cài đặt Apache .................................................................................. 86 Hình 5-5 Chọn nơi lưu Appche .......................................................................................... 87 Hình 5-6 Chọn Install để cài đặt Apache .......................................................................... 87 Hình 5-7 Giao diện web localhost ..................................................................................... 88 Hình 5-8 Tạo Monitor........................................................................................................ 89 Hình 5-9 Monitor sau khi tạo ............................................................................................ 89 Hình 5-10 Tạo Server Pool ................................................................................................ 90 Hình 5-11 Thêm webserver vào pool................................................................................. 90 Hình 5-12 Pool sau khi tạo ................................................................................................ 90 Hình 5-13 Tạo virtual server ............................................................................................. 91 Hình 5-14 Server ảo sau khi tạo ........................................................................................ 91 Hình 5-15 Tình trang webserver khi online ...................................................................... 91 Hình 5-16 Trạng thái khi có 1 server offline ..................................................................... 92 Hình 5-17 Client nhận phản hồi từ server apache 1 ......................................................... 92 Hình 5-18 Client nhận phản hồi từ server apache 1 ......................................................... 93 Hình 5-19 Thiết lập card mạng cho máy ảo 2003 ............................................................. 94 Hình 5-20 Thiết lập IP cho interfaces 2 ............................................................................ 94 Hình 5-21 Thiết lập ip cho interfaces 3 ............................................................................. 95 Hình 5-22 Bật chức năng Rooting and remote access ...................................................... 95 Hình 5-23 Chọn customconfigution................................................................................... 96 Hình 5-24 Chọn NAT and basic firewall ........................................................................... 96 Hình 5-25 Thêm interface cho NAT................................................................................... 97 Hình 5-26 Cấu hình interface brigde làm public interface ............................................... 97 Hình 5-27 Cấu hình 2 interface còn lại làm private interface ......................................... 98 Hình 5-28 Các interface sau khi cấu hình NAT ................................................................ 98 Hình 5-29 Địa chỉ MAC của các interface ........................................................................ 99 Hình 5-30 Gán IP cho interface WAN ............................................................................. 100 Hình 5-31 Gán IP cho interface OPT1............................................................................ 100 Hình 5-32 Đặt địa chỉ IP cho interface LAN ................................................................... 101 Hình 5-33 Cấp phát DHCP cho các máy trong LAN ...................................................... 101 Hình 5-34 Kiểm tra trạng thái Gateway.......................................................................... 102 Hình 5-35 Khai báo DNS cho pfsense ............................................................................. 102 Hình 5-36 Kiểm tra Gateway .......................................................................................... 103 Hình 5-37 Tạo Gateway Group Load Balancing ............................................................ 105 Hình 5-38 Tạo Gateways WANFailToOPT1 ................................................................... 106 Hình 5-39 Tạo Gateways OPT1FailToWAN ................................................................... 106 Hình 5-40 Tạo Rule Load Balancing............................................................................... 107 Hình 5-41 Chọn Gateways Load Balancing .................................................................... 108 Hình 5-42 Tạo Rule WANFailToOPT1 ........................................................................... 108 Hình 5-43 Chọn Gateways WANFailToOPT1 ................................................................ 109 Hình 5-44 Tạo Rule OPT1FailToWAN ........................................................................... 109 Hình 5-45 Chọn Gateways OPT1FailToWAN ................................................................ 110 Hình 5-46 Tạo rule LANtoWAN ...................................................................................... 111 Hình 5-47 Chọn Gateway LANtoWAN ............................................................................ 111 Hình 5-48 Tạo Rule LANtoOPT1 .................................................................................... 112 Hình 5-49 Chọn gateway LANtoOPT1 ............................................................................ 112 Hình 5-50 Rule LAN ........................................................................................................ 113 Hình 5-51 Cấu hình DNS................................................................................................ 113 Hình 5-52 Kiểm tra cân bằng tải ..................................................................................... 114 Hình 5-53 Cân bằng tải chuyển qua WAN 2 ................................................................... 115 Hình 5-54 Tạo IP WAN ảo .............................................................................................. 116 Hình 5-55 Tạo IP LAN ảo................................................................................................ 117 Hình 5-56 IP mạng ảo sau khi tạo ................................................................................... 117 Hình 5-57 Đồng bộ hóa CARP trên tường lửa chính ...................................................... 118 Hình 5-58 Đồng bộ hóa CARP trên tường lửa chính ...................................................... 118 Hình 5-59 Tạo một firewall rule mới............................................................................... 119 Hình 5-60 Cấu hình firewall rules ................................................................................... 119 Hình 5-61 Trạng thái CARP primary firewall khi 2 firewall hoạt động ......................... 120 Hình 5-62 Trạng thái CARP bckup firewall khi 2 firewall hoạt động ............................ 120 Hình 5-63 Trạng thái CARP primary firewall khi tắt primary firewall .......................... 121 Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense Chƣơng 1: I. Tổng quan firewall Khái quát về firewall 1. Khái niệm firewall Firewall là một hệ thống hay một hệ thống kết hợp trong đó có thiết lập một đường biên giữa hai hay nhiều mạng. Firewall cài đặt các luật về bảo mật để phân cách giữa mạng với các kết nối không mong muốn để giữ cho những thông tin quan trọng tránh sự hiểm trong khi vẫn cho lưu thông cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong muốn. Cũng có thể hiểu rằng Firewall là một cơ chế để bảo vệ mạng tin tưởng(trusted network) khỏi các mạng không tin tưởng(untrusted network). Hình 1-1 Firewall cơ bản Firewall có thể hoạt động ở những tầng mạng khác nhau trong mô hình OSI và TCP/IP. Tầng thấp nhất là tầng mạng và có thể thực hiện các chức năng phức tạp hơn như lọc băng thông dựa vào gói tin ở tầng ứng dụng. 2. Chức năng Về cơ bản firewall có khả năng thực hiện các nhiệm vụ sau đây: Quản lý và điều khiển luồng dữ liệu trên mạng. Chuyển đổi địa chỉ mạng(Network address tranlation). Xác thực quyền truy cập. GVHD: Ngô Văn Công Page 1 Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense Hoạt động như một thiết bị trung gian. Bảo vệ tài nguyên. Ghi nhận và báo cáo các sự kiện. 2.1 Quản lý và điều khiển luồng dữ liệu trên mạng Việc đầu tiên và cơ bản nhất mà tất cả các firewall đều có là quản lý và kiểm soát luồng dữ liệu trên mạng, firewall kiểm tra các gói tin và giám sát các kết nối đang thực hiện và sau đó lọc các kết nối dựa trên kết quả kiểm tra gói tin và các kết nối được giám sát. Kiểm tra gói tin (Packet inspection) là quá trình chặn và xử lý dữ liệu trong một gói tin để xác định xem nó được phép hay không được phép đi qua firewall. Kiểm tra gói tin có thể dựa vào các thông tin sau: - Địa chỉ IP, port nguồn hay đích: Hạn chế sự truy cập từ host hay mạng thông qua địa chỉ IP. - Trường IP protocol: UDP, TCP, ICMP và IGMP. - Thông tin chứa trong phần đầu của mỗi gói tin (sequence numbers, checksums, data flags, payload information…). Connections và state: Khi hai TCP/IP host muốn giao tiếp với nhau, chúng cần thiêt lập một số kết nối với nhau. Các kết nối phục vụ hai mục đích. Thứ nhất, nó dùng để xác thực bản thân các host với nhau. Friewall dùng các thông tin kết nối này để xác định kết nối nào được phép và các kết nối nào không được phép.Thứ hai, các kết nối dùng để xác định cách thức mà hai host sẽ liên lạc với nhau (dùng TCP hay dùng UDP…). Stateful Packet Inspection (giám sát gói tin theo trạng thái): Statefull packet inspection không những kiểm tra gói tin bao gồm cấu trúc, dữ liệu gói tin … mà kiểm tra cả trạng thái gói tin. 2.2 Chuyển đổi địa chỉ mạng (NAT) Giải pháp bắt nguồn từ sự khan hiếm của địa chỉ mạng cho các host trong mạng riêng. Firewall chuyển đổi địa chỉ IP trong mạng riêng thành địa chỉ IP chung, duy nhất có thể được sử dụng trên internet. Nó sẽ che dấu các thông tin về GVHD: Ngô Văn Công Page 2 Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense các host bên trong mạng của mạng riêng bằng cách tạo ra tất cả các kênh truyền thông với một địa chỉ IP duy nhất. NAT che dấu bất kì địa dải IP nào cho địa chỉ mạng bên trong mạng riêng bằng cách chuyển đổi các địa chỉ này sang địa chỉ của tường lửa khi gói tin qua tường lửa này. Một firewall cài đặt chức năng NAT bằng cách tạo một bảng chuyể đổi để ánh xạ các socket bên trong với các socket bên ngoài. Khi một host trong mạng riêng muốn thiết lập một kết nối với mạng bên ngoài, firewall sẽ tự động trao đổi socket bên trong với socket của firewall và tạo một mục trong bảng chuyển đổi. Sau đó firewall sẽ gửi yêu cầu tới host bên ngoài thay cho client bên trong mạng. Khi firewall nhận được câu trả lời từ host bên ngoài nó sẽ thự hiện quá trình chuyể đổi ngược lại. Ví dụ: Một host trong mạng với địa chỉ IP 25.0.10.20:1234 muốn truy cập vào trang web trên mạng với địa chỉ IP 172.17.20.30 tới firewall 127.110.121.1. Firewall nhận yêu cầu sẽ tạo mục tỏng bảng chuyển đổi: Source: Destination: Tralation: 25.0.10.20:1234 172.17.20.30:80 127.110.121.1:15485 Host đích sẽ nhận gói tin từ 127.110.121.1:15485 GVHD: Ngô Văn Công Page 3
- Xem thêm -