BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƢỜNG ĐẠI HỌC NHA TRANG
KHOA CÔNG NGHỆ THÔNG TIN


ĐỒ ÁN TỐT NGHIỆP

GVHD: Thạc sỹ Ngô Văn Công
Sinh viên: Nguyễn Thị Luyến
Lớp: 50
TH
1
MSSV: 50130815

Đề tài:
TÌM HIỂU CÂN BẰNG TẢI VÀ XÂY DỰNG MÔ HÌNH
CÂN BẰNG TẢI TRÊN FIREWALL PFSENSE

Nha Trang, tháng 6 năm 2012
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƢỜNG ĐẠI HỌC NHA TRANG

Mỗi ngày có hàng ngàn người truy cập vào trang web của doang nghiệp, tổ chức,
hàng triệu thuê bao sử dụng điện thoại và các dịch vụ gia tăng của nhà cung cấp, hàng
nghìn tỷ đồng giao dịch giữa các ngân hàng. Điều gì sẽ xảy nếu các dịch vụ đó hoạt động
kém cỏi, ì ạch hay trong một giờ tất cả những hoạt động đó bị ngừng lại? Doanh nghiệp
sẽ mất đi cả trăm khách hàng, đối tác tiềm năng, nhà cung cấp bị phàn nàn, các hoạt động
giao dịch, kinh doanh của khách hàng bị ảnh hưởng, hàng nghìn nhà đầu tư bị mất chi
phí, cơ hội. Đó không chỉ là thiệt hại về kinh tế mà còn về uy tín, hình ảnh, sức cạnh
tranh.
Nguyên nhân gây ra tình trạng trên có thể do hạ tầng mạng, phần cứng, phần mềm
hiệu năng thấp, cũng có thể do hệ thống bị tấn công, hệ thống không được sử dụng tối ưu,
không có cơ chế tăng tốc. Đối với lỗi gây đình trệ hệ thống, phần lớn do hệ thống nội bộ
trong các doang nghiệp, tổ chức có lỗi, chẳng hạn như đường mạng bị đứt, thiết bị bị
hỏng, mất điện cục bộ, ứng dụng bị lỗi, máy chủ bị lỗi hay bị tấn công và có thể xảy ra ở
bất cứ hệ thống nào, bất cứ lúc nào.
Để tránh tình trạng trên, các doanh nghiệp đều đã và đang đầu tư hệ thống hạ tầng
một cách bài bản nhằm đạt hiệu năng cao. Đó là việc trang bị các máy chủ ứng dụng
mạnh, có dự phòng. Tuy nhiên, nếu tại mỗi thời điểm mỗi chức năng chi có một server
hoạt động hoặc không có giải pháp chuyên dụng để cân bằng tải cho các server thì không
thể đáp ứng được nhu cầu của hệ thống ứng dụng đồ sộ, đòi hỏi hoạt động liên tục như
các trang web thương mại điện tử, các ứng dụng nhiều người dùng, các hoạt động tiền tệ,
tài chính, các cửa ngõ giao tiếp với khách hàng của ngân hàng, chứng khoán, nhà cung
cấp dịch vụ. Do đó, cần phải có nhiều server cùng đồng thời cung cấp một dịch vụ cho hệ
thống, cung cấp hiệu năng và tính sẳn sàng cao hơn, tính tin cậy cao hơn. Làm sao để các
server đó có thể phối hợp với nhau hiệu quả, đảm bảo tính sẳn sàng, liên tục, an toàn. Đó
là lý do ra đời của các giải pháp cân bằng tải.
Hiện nay, để cân bằng tải cho hệ thống mạng của doanh nghiệp thì chúng ta có
nhiều giải pháp như sử dụng Router Cisco, dùng tường lửa của Microsoft như ISA….

Em xin chân thành cảm ơn!

Nha Trang, ngày 20 tháng 6 năm 2012
Sinh viên thực tập
Nguyễn Thị Luyến LỜI NHẬN XÉT CỦA GIẢNG VIÊN HƢỚNG DẪN

MỤC LỤC
Chƣơng 1: Tổng quan firewall 1
I. Khái quát về firewall 1
1. Khái niệm firewall 1
2. Chức năng 1
2.1 Quản lý và điều khiển luồng dữ liệu trên mạng 2
2.2 Chuyển đổi địa chỉ mạng (NAT) 2
2.3 Xác thực quyền truy cập 4
2.4 Hoạt động như một thiết bị trung gian 4
2.5 Bảo vệ tài nguyên 5
2.6 Ghi nhận và báo cáo các sự kiện 6
3. Hạn chế 6
II. Phân loại firewall 7

2. Kịch bản Active – Active 35
3. VRRP 36
4. xxRP 37
5. Cáp Fail – Over 37
6. Stateful Fail – Over (Fail – Over có trạng thái) 38
Chƣơng 3: Tổng quan về pfsense 39
I. Giới thiệu pfsense 39
II. Cài đặt và cấu hình 41
1. Yêu cầu phần cứng 41
2. Cài đặt pfsense 41
3. Thiết lập card mạng cho máy pfsense 44
4. Đặt IP và thiết lập DHCP cấp phát vào bên trong mạng LAN 45
5. Cấu hình Pfsense qua giao diện web – WebGUI 46
6. Cài đặt Packages 51
7. Backup and Recovery 53
III. Một số dịch vụ và ứng dụng của Pfsense 54
1. Một số tính năng của Pfsense firewall 54
1.1 Pfsense Aliases 54
1.2 Network Address Translation(NAT) 55
1.3 Pfsense rules 56
1.4 Pfsense schedules 57
1.5 Traffic Shapers 58
1.6 Virtual IPs 62
2. Một số dịch vụ của Pfsense 63
2.1 Captive Portal 63
2.2 DHCP Server 67
2.3 Load Balancer 67

3. Kiểm tra, đánh giá 120
Chƣơng 6: Tổng kết 122
TÀI LIỆU THAM KHẢO 123

DANH MỤC HÌNH
Hình 1-1 Firewall cơ bản 1
Hình 1-2 Ví dụ về firewall NAT 4
Hình 1-3 Proxy Firewall 5
Hình 1-4 Phân loại firewall 7
Hình 1-5 Packet filtering firewall 11
Hình 1-6 Circuit-level firewalls 12
Hình 1-7 Proxy firewalls 12
Hình 1-8 Stateful firewalls 13
Hình 1-9 Packet filtering router 15
Hình 1-10 Application gateway 16
Hình 1-11 Hành động sử dụng telnet qua cổng vòng 19
Hình 1-12 Kiến trúc firewall cơ bản 20
Hình 1-13 Cấu trúc chung của một hệ thống Firewall 20
Hình 1-14 Kiến trúc Dual-homed host 22
Hình 1-15 Kiến trúc Screened host 24
Hình 1-16 Kiến trúc Screened subnet 25
Hình 2-1 Outbound Load-balancing 28
Hình 2-2 Load-balancing Inbound 29
Hình 2-3 Server Loadbalancing 29
Hình 2-4 Kịch bản Active- Standby 34
Hình 2-5 Hoạt động của kịch bản active - standby 35
Hình 2-6 Kịch bản Active - Active 35

Hình 3-26 Sao lưu hệ thống 53
Hình 3-27 Phục hồi hệ thống 53
Hình 3-28 Pfsense Aliases 54
Hình 3-29 Tạo alias webport quy định các cổng cho server 55
Hình 3-30 Pfsense rules 56
Hình 3-31 Hai rules được mặc định trong tab LAN 56
Hình 3-32 Tạo rule cấm truy cập web sử dụng cổng 80 cho các máy LAN 57
Hình 3-33 Pfsense schedules 57
Hình 3-34 Lịch giờ làm việc 58
Hình 3-35 Chi tiết lịch làm việc 58
Hình 3-36 Traffic Sharper 59
Hình 3-37 Cấu hình Traffic Sharper 59
Hình 3-38 Voice over IP 60
Hình 3-39 Penalty Box 60
Hình 3-40 Peer to peer netwworking 61
Hình 3-41 Network Games 61
Hình 3-42 Raise of lower other Applications 62
Hình 3-43 Captive portal 63
Hình 3-44 Các tính năng trong menu Captive Portal 64
Hình 3-45 Các tính năng trong menu Captive Portal 65
Hình 3-46 Các tính năng trong menu Captive Portal 66
Hình 3-47 DHCP server 67
Hình 3-48 Load balancer 68
Hình 3-49 Tạo pool cân bằng tải 68
Hình 3-50 Chọn monitor cho pool load balacing 69
Hình 3-51 Tạo một rules áp dụng pool cân bằng tải 69
Hình 3-52 Các thông số tùy chỉnh trong firewall rules 70

Hình 5-7 Giao diện web localhost 88
Hình 5-8 Tạo Monitor 89
Hình 5-9 Monitor sau khi tạo 89
Hình 5-10 Tạo Server Pool 90
Hình 5-11 Thêm webserver vào pool 90
Hình 5-12 Pool sau khi tạo 90
Hình 5-13 Tạo virtual server 91
Hình 5-14 Server ảo sau khi tạo 91
Hình 5-15 Tình trang webserver khi online 91
Hình 5-16 Trạng thái khi có 1 server offline 92
Hình 5-17 Client nhận phản hồi từ server apache 1 92
Hình 5-18 Client nhận phản hồi từ server apache 1 93
Hình 5-19 Thiết lập card mạng cho máy ảo 2003 94
Hình 5-20 Thiết lập IP cho interfaces 2 94
Hình 5-21 Thiết lập ip cho interfaces 3 95
Hình 5-22 Bật chức năng Rooting and remote access 95
Hình 5-23 Chọn customconfigution 96
Hình 5-24 Chọn NAT and basic firewall 96
Hình 5-25 Thêm interface cho NAT 97
Hình 5-26 Cấu hình interface brigde làm public interface 97
Hình 5-27 Cấu hình 2 interface còn lại làm private interface 98
Hình 5-28 Các interface sau khi cấu hình NAT 98
Hình 5-29 Địa chỉ MAC của các interface 99
Hình 5-30 Gán IP cho interface WAN 100
Hình 5-31 Gán IP cho interface OPT1 100
Hình 5-32 Đặt địa chỉ IP cho interface LAN 101
Hình 5-33 Cấp phát DHCP cho các máy trong LAN 101

Hình 5-61 Trạng thái CARP primary firewall khi 2 firewall hoạt động 120
Hình 5-62 Trạng thái CARP bckup firewall khi 2 firewall hoạt động 120
Hình 5-63 Trạng thái CARP primary firewall khi tắt primary firewall 121
Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense

GVHD: Ngô Văn Công Page 1

Chƣơng 1: Tổng quan firewall
I. Khái quát về firewall
1. Khái niệm firewall
Firewall là một hệ thống hay một hệ thống kết hợp trong đó có thiết lập một
đường biên giữa hai hay nhiều mạng. Firewall cài đặt các luật về bảo mật để phân
cách giữa mạng với các kết nối không mong muốn để giữ cho những thông tin
quan trọng tránh sự hiểm trong khi vẫn cho lưu thông cũng như hạn chế sự xâm
nhập vào hệ thống của một số thông tin khác không mong muốn. Cũng có thể hiểu
rằng Firewall là một cơ chế để bảo vệ mạng tin tưởng(trusted network) khỏi các
mạng không tin tưởng(untrusted network).

Hình 1-1 Firewall cơ bản
Firewall có thể hoạt động ở những tầng mạng khác nhau trong mô hình OSI
và TCP/IP. Tầng thấp nhất là tầng mạng và có thể thực hiện các chức năng phức
tạp hơn như lọc băng thông dựa vào gói tin ở tầng ứng dụng.
2. Chức năng
Về cơ bản firewall có khả năng thực hiện các nhiệm vụ sau đây:
Quản lý và điều khiển luồng dữ liệu trên mạng.
Chuyển đổi địa chỉ mạng(Network address tranlation).
Xác thực quyền truy cập.
Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense

GVHD: Ngô Văn Công Page 2

Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense

GVHD: Ngô Văn Công Page 3

các host bên trong mạng của mạng riêng bằng cách tạo ra tất cả các kênh truyền
thông với một địa chỉ IP duy nhất.
NAT che dấu bất kì địa dải IP nào cho địa chỉ mạng bên trong mạng riêng
bằng cách chuyển đổi các địa chỉ này sang địa chỉ của tường lửa khi gói tin qua
tường lửa này.
Một firewall cài đặt chức năng NAT bằng cách tạo một bảng chuyể đổi để
ánh xạ các socket bên trong với các socket bên ngoài. Khi một host trong mạng
riêng muốn thiết lập một kết nối với mạng bên ngoài, firewall sẽ tự động trao đổi
socket bên trong với socket của firewall và tạo một mục trong bảng chuyển đổi.
Sau đó firewall sẽ gửi yêu cầu tới host bên ngoài thay cho client bên trong mạng.
Khi firewall nhận được câu trả lời từ host bên ngoài nó sẽ thự hiện quá trình chuyể
đổi ngược lại.
Ví dụ: Một host trong mạng với địa chỉ IP 25.0.10.20:1234 muốn truy cập
vào trang web trên mạng với địa chỉ IP 172.17.20.30 tới firewall 127.110.121.1.
Firewall nhận yêu cầu sẽ tạo mục tỏng bảng chuyển đổi:
Source: 25.0.10.20:1234
Destination: 172.17.20.30:80
Tralation: 127.110.121.1:15485
Host đích sẽ nhận gói tin từ 127.110.121.1:15485
Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense

GVHD: Ngô Văn Công Page 4 Hình 1-2 Ví dụ về firewall NAT
2.3 Xác thực quyền truy cập

mối đe dọa bảo mật. Việc bảo vệ này được thực hiện bằng cách sử dụng các quy
tắc kiểm soát truy cập, kiểm tra trạng thái gói tin, dùng application proxies hoặc
Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense

GVHD: Ngô Văn Công Page 6

kết hợp tất cả để bảo vệ tài nguyên khỏi bị truy cập bất hợp pháp hay bị lạm dụng.
Tuy nhiên, firewall không phải là một giải pháp toàn diện để bảo vệ tài nguyên
của chúng ta.
2.6 Ghi nhận và báo cáo các sự kiện
Ta có thể ghi nhận các sự kiện của firewall bằng nhiều cách nhưng hầu hết
các firewall sử dụng hai phương pháp chính là syslog và proprietaty logging
format. Bằng cách sử dụng một trong hai phương pháp này, chúng ta có thể dễ
dàng báo cáo các sự kiện xẩy ra trong hệ thống mạng.
3. Hạn chế
Tuy firewall có những ưu điểm nổi trội nhưng vẫn tồn tại những hạn chế
khiến firewall không thể bảo vệ hệ thống an toàn một cách tuyệt đối. Một số hạn
chế của firewall có thể kể ra như sau:
Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin
không mong muốn nhưng phải xác định rõ các thông số địa chỉ.
Firewall không thể bảo vệ chống lại các cuộc tấn công bỏ qua tường lửa. Ví
dụ như một hệ thống bên trong có khả năng dial-out kết nối với một ISP hoặc
mạng LAN bên trong có thể cung cấp một modem pool có khả năng dial-in cho
các nhân viên di động hay các kiểu tấn công dạng social engineering nhắm đếm
đối tượng là các người dùng trong mạng.
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-
drivent attack). Bởi vì sự đa dạng của các hệ điều hành và các ứng dụng được hỗ
trợ từ bên trong nội bộ. Sẽ không thực thế và có lẽ là không thể cho các firewall
quét các tập tin gởi đến, email… nhằm phát hiện virus. Khi đó một số chương
trình được chuyển theo thư điện tử, vượt qua Firewall vào trong mạng được bảo vệ


Personal Firewalls:
Personal firewalls được thiết kế để bảo vệ một máy trước những truy cập
trái phép. Trong quá trình phát triển, personal firewall đã được tích hợp thêm
nhiều chức năng bổ sung như theo dõi phần mềm chống virus, phần mềm phát
hiện xâm nhập để bảo vệ thiết bị. Một số personal firewalls phổ biến như Cisco
Security Agent, Microsoft Internet connection firewall, Symantec personal
firewall…
Personal firewall rất hữu ích đối với người dùng gia đình và cá nhân bởi vì
họ đơn giản chỉ cần bảo vệ từng máy tính riêng rẻ của họ nhưng đối với doanh
nghiệp điều này lại gây bất tiện, khi số lượng host quá lớn thì chi phí cho việc
thiết lập, cấu hình và vận hành personal firewall là một điều cần phải xem xét.
Network Firewalls:
Network firewall được thiết kế để bảo vệ các host trong mạng trước sự tấn
công. Một số ví dụ về appliance-based network firewalls như Cisco PIX, Cisco
ASA, Juniper NetScreen firewall, Nokia firewalls, Symantec’s Enterprise
Firewall. Và một số ví dụ về software-base firewalls include Check Point’s
Firewall, Microsoft ISA Server, Linux-based IPTables.
Cùng với sự phát triển của công nghệ, firewall dần được tích hợp nhiều tính
năng mới như phát hiện xâm nhập, thiết lập kết nối VPN cũng như nhiều sản phẩm
firewall mới ra đời.
1. Phân loại theo các sản phầm firewall
1.1 Firewall phần mềm (Software firewalls)
Software firewalls – firewall mềm – là những firewall được cài đặt trên một
hệ điều hành. Firewall mềm bao gồm các sản phẩm như SunScreen firewall, IPF,
Microsoft ISA server, Check Point NG, Linux’s IPTables …Firewall mềm thường
đảm nhận nhiều vai trò hơn firewall cứng, nó có thể đóng vai trò như một DNS
server hay một DHCP server.