Đại học Công Nghệ Thông Tin
Đại học quốc gia Tp.HCM
Đề tài:
Tìm hiểu công cụ Pfsense
Các thành viên trong nhóm:
Nguyễn Tiến Thành
MSSV: 08520354
Nguyễn Vũ An
MSSV: 08520517
Phạm Ngọc Sơn
MSSV: 08520317
Giáo viên:
Vũ Trí Dũng
1
Mục lục
Chương I:Giới Thiệu 3
Chương II:Tìm hiểu về PfSenSe 7
Chương III:So sánh PFSenSe với FireWall khác 43
Kết Luận: 43
2
Chương I:Giới Thiệu
1.1 Tổng quan về an ninh mạng:
Theo kết quả điều tra của Công ty an ninh mạng Bkav, đã có ít nhất 85.000 máy tính tại Việt
Nam bị lấy cắp dữ liệu vì nhiễm virus của mạng botnet Ramnit. Đây là tình trạng đáng báo động
bởi nhiều thông tin quan trọng của các cá nhân, tổ chức tại Việt Nam có thể đã nằm trong tay tin
tặc.Qua theo dõi và phân tích các biến thể virus cho thấy, mạng lưới botnet Ramnit được hacker
điều khiển bằng giao thức IRC thông qua nhiều máy chủ đặt ở Mỹ, Nga, Đức và Trung Quốc.
Kết quả điều tra cho thấy hacker đã tạo lập botnet Ramnit bằng cách phát tán virus qua tất cả các
con đường như: USB, khai thác lỗ hổng phần mềm, gửi email đính kèm virus, gửi link qua các
chương trình chat… Virus Ramnit còn giả mạo các phần mềm phổ biến như: Macromedia Flash
Player, Adobe Acrobat Reader, Windows Update… hòng qua mặt người sử dụng. Chính vì thế,

dữ liệu trên máy tính. Chúng có thể sử dụng máy tính cuả bạn để tấn công một máy tính của
gia đình hoặc doanh nghiệp khác kết nối Internet.
1.3 Giới thiệu về Firewall:
1.3.1 Firewall là gì:
-Trong Công nghệ mạng thông tin, FireWall là một kỹ thuật được tích hợp vào hệ thống mạng để
chống lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm
nhập vào hệ thông của một số thông tin khác không mong muốn.
-Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) được đặt giữa ạng
của một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet.
Phân loại Firewall:
Firewall được chia làm 2 loại, gồm Firewall phần cứng và Firewall phần mềm:
 Firewall phần cứng: Là những firewall được tích hợp trên Router.
Đặc điểm:
• Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm quy tắc
như firewall mềm)
• Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng
Transport)
• Firewall cứng không thể kiểm tra được nột dung của gói tin.
 Firewall mềm: Là những Firewall được cài đặt trên Server.
4
Đặc điểm:
• Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng.
• Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng)
• Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa).
Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall…
1.3.2 Chức năng của Firewall
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết
lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. Cụ thể là:
• Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet).
• Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet).

thương mại, chẳng hạn như GUI trên nền Web tạo sự quản lý một cách dễ dàng. Trong khi đó
phần mềm miễn phí này còn có nhiều tính năng ấn tượng đối với firewall/router miễn phí, tuy
nhiên cũng có một số hạn chế.
Pfsense hỗ trợ lọc bởi địa chỉ nguồn và địa chỉ đích, cổng nguồn hoặc cổng đích hay địa
chỉ IP. Nó cũng hỗ trợ chính sách định tuyến và có thể hoạt động trong các chế độ bridge hoặc
transparent, cho phép bạn chỉ cần đặt pfSense ở giữa các thiết bị mạng mà không cần đòi hỏi
việc cấu hình bổ sung. pfSense cung cấp network address translation (NAT) và tính năng chuyển
tiếp cổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với Point-to-Point Tunneling Protocol
(PPTP), Generic Routing Encapsulation (GRE) và Session Initiation Protocol (SIP) khi sử dụng
NAT.
pfSense được dựa trên FreeBSD và giao thức Common Address Redundancy Protocol
(CARP) của FreeBSD, cung cấp khả năng dự phòng bằng cách cho phép các quản trị viên nhóm
hai hoặc nhiều tường lửa vào một nhóm tự động chuyển đổi dự phòng. Vì nó hỗ trợ nhiều kết nối
mạng diện rộng (WAN) nên có thể thực hiện việc cân bằng tải. Tuy nhiên có một hạn chế với nó
7
ở chỗ chỉ có thể thực hiện cân bằng lưu lượng phân phối giữa hai kết nối WAN và bạn không thể
chỉ định được lưu lượng cho qua một kết nối
2.2 Cài đặt PfSenSe và hệ thống mạng cho bài báo cáo
2.2.1 Hệ thống mạng sử dụng trong bài báo cáo:
2.2.2 Mô hình mạng như sau
8
Cụ thể trong mô hình này, server pfSense sẽ có 2 đường kết nối WAN và một đường đi
vào LAN. Vì vậy, khi thực hiện bài lab này, chúng ta phải có ít nhất 2 kết nối wan để cung cấp 2
9
đường internet từ hai 2 ISP khác nhau. Nhưng khi thực hiện, ta chỉ có một đường kết nối ra
internet và không có server. Vì vậy, với bài lab tôi đã thực hiện trên WMWare, sử dụng máy ảo
Windows Server 2003 để chia một đường kết nối thành 2 đường (qua tính năng Routing and
Remote Access), server pfSense cũng thực hiện trên VMware.
Cấu hình card mạng cho WinSer2k3: Có 3 network interface:
- Interface đầu tiên ( interface mặc định) sẽ được bridge ra ngoài để kết nối Internet. IP là

Màn hình pfSense sau khi cài xong.Bấm 2 để thiết lập địa chỉ IP cho card Lan(đây chính là địa
chỉ IP để truy cập WebGUI vào máy pfSense trên máy Client trong Lan)
Đặt địa chỉ IP cho máy pfSense là 192.168.0.1 và kích hoạt DHCP server cấp phát địa chỉ IP
động cho các máy trong Lan thuộc dãy 192.168.0.50-192.168.0.100
2.2.4 Cài đặt địa chỉ cho WAN qua Web GUI:
Trên máy client ta kiểm tra địa chỉ IP và thử ping tới địa chỉ của Pfsense
14
Địa chỉ ip là 192.168.0.32=>đây là địa chỉ IP được cấp phát bởi PfsenSe
Mở trình duyệt nhập vào 192.168.0.1.Màn hình đăng nhập điền “User: admin” “Pass: pfsense”
Giao diện chính của pfSenSe
15
Ta join domain cho pfsense: Hostname: pfsense, Domain: uit.local
Interface=>WAN1.Thiết lập địa chỉ IP như hình.
Type:Static. IP address:192.168.2.2 Gateway:192.168.2.3 Sau đó bấm Save
16
Tương tự cho WAN2:
Type:Static IP address:192.168.3.2 Gateway:192.168.3.3 Sau đó bấm Save
2.2.5 Khai báo DNS:
17
Khai báo DNS Server để các máy trong Lan có thể phân giải được IP của các máy bên
ngoài. Do máy DC đã cài sẵn DNS server nên ta có thể trỏ IP trực tiếp về DC, và thêm 1 DNS
Server của Google.
Vào System=>General Setup
Khai báo như hình dưới.Sau đó bấm Save:
2.3 Các tính năng của PfSenSe
2.3.1 PfSenSe Aliases:
18
Aliases có thể giúp ta tiết kiệm một lượng lớn thời gian nếu bạn sử dụng chúng một cách chính
xác
Một Aliases cho phép bạn sử dụng thay cho địa chỉ một host , hoặc một mạng có thể được sử

Như hình trên các máy trong mạng Lan sẽ được cấp địa chỉ từ 192.168.0.30-192.168.0.100, gw
là 192.168.0.1, DNS server trỏ về máy DC 192.168.0.2, nằm trong domain uit.local.
2.4.2 Network LoadBalancer:
PfSense cung cấp LoadBalancer (cân bằng tải) cho Server và Gateway.Ở đây ta chỉ báo
cáo về LoadBlancer cho GW
Đầu tiên ta cần kiểm tra tình trạng của 2 GW:
22
Vào System=>Routing.Chọn Tab Group.
Khi nhóm 2 GW lại với nhau ta có thể cấu hình Load Blacing(cân bằng tải) hoặc cấu hình
Fail Over cho 2 GW này
Bấm để thêm Group
-Tiers : Trong một Gateway Group, chúng ta cần gán mỗi gateway cho mỗi tier. Các gateway có
tier thấp hơn sẽ được ưu tiên hơn. Nếu có hai gateway được gán cùng một tier trong cùng một
Gateway Group, pfSense sẽ thực Load Balancing trên hai gateway này. Nếu hai gateway được
gán tier khác nhau, pfSense sẽ thực hiện Failover cho gateway có tier thấp hơn. Nếu tier được
thiết lập là Never, gateway được gán sẽ coi như không thuộc Gateway Group đó.
- Trigger Level :
• Member Down: Kích hoạt chỉ khi các liên kế của interface thành viên bị down
• Packet Loss: Kích hoạt chỉ khi các gói tin đến gateway bị mất cao hơn ngưỡng xác định
• Packet Loss or High Latency: Kết hợp cả hai trường hợp trên, tùy chọn này được hay
dùng nhất.
Khi hai gateway có cùng một tier, chúng sẽ được load balancing. Có nghĩa là trên một kết
nối, các lưu lượng ra ngoài mạng sẽ được định tuyến qua các WAN theo kiểu round-robin. Nếu
một gateway trong số các gateway cùng tier (trong cùng một gateway group) bị down, nó sẽ
không được sử dụng và các gateway khác cùng tier sẽ vẫn hoạt động bình thường.
Như hình trên ta cấu hình cho 2 Wan1 và Wan2 loadblacing
23
-Tiếp theo Chúng ta phải chỉnh định lưu lượng truy cập đến các gateway bằng cách thiết lập các
rule trong firewall bằng cách vào Firewall=>Rules chọn tab LAN.
Thêm một số Rule như sau: