Hình 1.8: Mô hình sử dụng PFSense

Next Article

TÀI LIỆU THAM KHẢO

1.2.1.4. Giải pháp quản lý tài nguyên và truy cập internet bằng hệ thống mã nguồn mở PFSense

Hình 1.8: Mô hình sử dụng PFSense

PFSense là một hệ thống mạnh mẽ hoàn toàn miễn phí, cho phép quản lý tài nguyên và truy cập internet tập trung. PFSense mang tới nhiều dịch vụ khác nhau trong một hệ thống nhất quán, đảm bảo đầy đủ các tính năng cơ bản cho một hệ thống mạng cỡ lớn, đòi hỏi các yêu cầu về bảo mật, định tuyến, cân bằng tải. PFSense sử dụng giao diện webgui để thiết lập các dịch vụ và ứng dụng nên rất dễ dàng sử dụng. Một số dịch vụ và ứng dụng của PFSense: - DHCP Sever: Cấp phát địa chỉ IP cho các máy client khi máy được gắn vào mạng Lan của PFSense quản lý. PFSense còn có thể cấp DHCP cho từng Vlan riêng biệt. Hỗ trợ nhiều subnet khác nhau (từ 0 đến 32bit). Nó được kích hoạt mặc định trên các subnet hoặc các Vlan cùng đồng thời gán các gateway và địa chỉ DNS Server nếu như dịch vụ DNS forwarder được kích hoạt. Cho phép triển khai Mac filter tập trung, dựa vào ánh xạ 1-1 giữa địa chỉ MAC và địa chỉ IP từ gói tin ARP request phía client gửi đến. Có thể ngăn chặn kết nối từ các thiết bị client đến hệ thống mạng, trong trường hợp thiết bị client thiết lập địa chỉ tĩnh. Hỗ trợ đầy đủ filelogs để người quản trị tiện theo dõi quá trình cấp phát địa chỉ IP động trên hệ thống. - FreeRadius cũng chính là Radius Server nằm trong PFSense. Free Radius kết hợp để làm chứng thực cùng với Captive Portal. - DNS Forwarder Nếu dịch vụ DNS Forwarder đang được sử dụng thì khi cấp phát địa chỉ IP cho các client thì DHCP server mặc định sẽ gán địa chỉ của máy chủ DNS cho các client này khi trường này bị bỏ trống. DNS Forwarder được kích hoạt mặc định trên hệ thống PFSense, sử dụng những máy chủ DNS được cấu hình trong hệ thống hoặc được tự động thu được từ các ISP qua các cấu hình WAN Interface (DHCP, PpoE, PPTP) trong hệ thống và được lưu lại trong bộ nhớ đệm.

- Squid Proxy trong PFSense: ngoài các tính năng thường thấy của squid proxy thì việc tăng khả năng caching của PFSense cũng giảm nhiều thời gian tìm thông tin với các yêu cầu giống nhau. - Captive Portal là một dịch vụ của PFSense cung cấp nhằm để chứng thực người sử dụng. Có thể cấu hình cho nhiều Interface hoặc trên mỗi Interface độc lập. Captive Portal hỗ trợ xác thực với chính PFSense hoặc với máy chủ FreeRadius, Xác thực dựa trên UserName/Password hoặc bằng voucher key. Hỗ trợ Mac filter trong xác thực, Hỗ trợ xác thực theo thời gian thực hoặc theo phiên. - FireWall là một tính năng quan trọng trong PFSense. Cũng như nhiều hệ thống firewall khác thì PFSense cũng hoạt động theo nguyên tắc lọc gói tin là packet filter. PFSense sử dụng giao diện WebGUI để thiết lập các Rule cho hầu hết các giao thức TCP, UDP, ICMP v.v. ngoại trừ P2P. Hệ thống FireWall sẽ thực hiện các luật theo nguyên tắc lần lượt từ trên xuống dưới, khi có sự mâu thuẫn về luật thì ưu tiên luật bên trên. PFSense cho phép xây dựng các luật trên nguyên tắc các luật chung thì ở bên dưới và các luật riêng thì ở bên trên. Aliases cho phép gộp nhóm các port, host hoặc network thành tên và sử dụng trong các cấu hình firewall rules, NAT, traffic shaper v.v. điều này cho phép tạo ra các tập quy tắc ngắn gọn, dễ dàng quản lý hơn. FireWall cung cấp Network Address Translation (NAT), có thể cấu hình các thiết lập NAT nếu cần sử dụng cổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1) cho các Host cụ thể. Thiết lập mặc định của NAT cho các kết nối outbound là automatic/dynamic, tuy nhiên cũng có thể thay đổi kiểu manual nếu cần. FireWall cung cấp Traffic Shaper giúp theo dõi và quản lý băng thông mạng dễ dàng và hiệu quả hơn, điều khiển lưu lượng mạng máy tính để tối ưu hóa hiệu suất độ trễ thấp hơn, hoặc tăng băng thông bằng cách trì hoãn, có thể sử dụng các gói dữ liệu đáp ứng theo tiêu chí nhất định. Traffic Shaping là phương pháp tối ưu hóa kết nối internet. Nó tăng tối đa tốc độ trong khi đảm bảo tối thiểu thời gian trễ, khi sử dụng những gói dữ liệu ACK được sắp xếp thứ tự ưu tiên trong đường truyền tải lên, điều này cho phép tiến trình tải về được tiếp tục với tốc độ tối đa. FireWall cung cấp tính năng Schedules, với tính năng này các Firewall rules có thể được sắp xếp để nó có thể chỉ hoạt động vào các thời điểm nhất định cụ thể. Đây là một tính năng giúp cho bạn kiểm soát được thời gian làm việc, cho bạn một lịch làm việc cụ thể rõ ràng. - Load Balancing chức năng này hỗ trợ cho cả hai hướng Inbound và Outbound. Hướng Outbound thì có thể thực hiện chức năng này bằng cách kết hợp nhiều đường WAN nhằm đáp ứng băng thông lớn hơn cho các thiết bị trong mạng internal ra ngoài Internet. Hướng Inbound thì được sử dụng bởi các nhà cung cấp dịch vụ như

Webservice. PFSense cung cấp hai tùy chọn cho chức năng cân bằng tải là failover và load balancer. Tùy chọn failover cho phép triển khai các đường WAN dự phòng với các thứ tự ưu tiên từ 1 đến n. Khi đường WAN thứ 1 bị lỗi thì ngay lập tức chuyển sang đường WAN có mức ưu tiên thấp hơn. Tùy chọn load balancer cho phép hệ thống tự động chia tải đều trên các WAN dựa vào thời gian trả lời các request yêu cầu từ phía các client. Nếu thời gian phản hồi các yêu cầu từ WAN thứ 1 trạm trễ thì yêu cầu đó sẽ được sang các đường WAN khác. - Routing cũng là 1 tính năng cơ bản khác của PFSense. Chức năng làm công cụ định tuyến đáp ứng cho đòi hỏi hệ thống phải tách ra từng phần riêng biệt. Có 2 cách thức để triển khai: Static Routes: Thiết lập bảng định tuyến tĩnh giữa các thiết bị router với các mạng con. Các máy cài đặt dịch vụ vân vân theo những cổng được khai báo trên hệ thống PFSense. Routing Public Ips: Cấu hình định tuyến các địa chỉ IP công cộng khi muốn cấu hình một subnet cho một interface mạng bên trong hệ thống firewall. Giao thức CARP thường được sử dụng trong cách thức triển khai này. Cần ít nhất 2 địa chỉ IP public một gán cho địa chỉ của WAN và một địa chỉ còn lại gán cho một các mạng con bên trong hệ thống firewall. Các giao thức định tuyến được hỗ trợ trong PFSense gồm RIP (Routing Information Protocol), BGP (Border Gateway Protocol), ngoài ra OSPF (Open Shortest Path First) được cài đặt như 1 package tại một số điểm.

1.2.2 So sánh các giải pháp:

Từ những giải pháp được nêu lên thì thấy được hai giải pháp quản lý tài nguyên và truy cập internet là NAC của Cisco và PFSense có khả năng tương ứng với nhau. Vì vậy sẽ đưa ra những so sanh giữa hai giải pháp này. Xem trong bảng 1.1 bên dưới: