Luận Văn Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense

Đồ án tốt nghiệp năm 2012
Đề tài: TÌM HIỂU CÂN BẰNG TẢI VÀ XÂY DỰNG MÔ HÌNH CÂN BẰNG TẢI TRÊN FIREWALL PFSENSE


MỤC LỤC
Chương 1: Tổng quan firewall . 1
I. Khái quát về firewall 1
1. Khái niệm firewall 1
2. Chức năng . 1
2.1 Quản lý và điều khiển luồng dữ liệu trên mạng 2
2.2 Chuyển đổi địa chỉ mạng (NAT) . 2
2.3 Xác thực quyền truy cập 4
2.4 Hoạt động như một thiết bị trung gian 4
2.5 Bảo vệ tài nguyên 5
2.6 Ghi nhận và báo cáo các sự kiện . 6
3. Hạn chế . 6
II. Phân loại firewall 7
1. Phân loại theo các sản phầm firewall . 8
1.1 Firewall phần mềm (Software firewalls) . 8
1.2 Firewall phần cứng (Appliance firewalls) . 9
1.3 Firewall tích hợp (Intergrated firewalls) . 10
2. Phân loại theo các công nghệ firewall 10
3. Firewall mã nguồn mở và firewall mã nguồn đóng 14
III. Các thành phần của firewall . 14
1. Bộ lọc gói tin(Packet filleting route) 14
2. Cổng ứng dụng( Application level gateway hay proxy server) 16
3. Cổng mạch (Circuite level gateway) 18
IV. Các kiến trúc firewall cơ bản 19
1. Kiến trúc Dual – Homed Host(Máy chủ trung gian) 21
2. Kiến trúc Screend Host . 22
3. Kiến trúc Screened Subnet . 24
V. Lựa chọn giải pháp firewall 26
Chương 2: Lý thuyết cân bằng tải 27
I. Khái niệm cân bằng tải . 27
1. Cân bằng tải chiều ra - Outbound Load-balancing . 27
2. Cân bằng tải chiều vào - Load-balancing Inbound . 28
3. Cân bằng tải cho server - Server Loadbacing . 29
II. Các tính năng cân bằng tải 30
III. Các giải pháp cân bằng tải 32
1. Cân bằng tải bằng phần mềm cài trên máy chủ 32
2. Cân bằng tải nhờ proxy . 32
3. Cân bằng tải nhờ thiết bị chia kết nối . 33
IV. Một số kịch bản cân bằng tải 34
1. Kịch bản Active - Standby (hoạt động - chờ) . 34
2. Kịch bản Active – Active . 35
3. VRRP 36
4. xxRP . 37
5. Cáp Fail – Over . 37
6. Stateful Fail – Over (Fail – Over có trạng thái) 38
Chương 3: Tổng quan về pfsense .39
I. Giới thiệu pfsense . 39
II. Cài đặt và cấu hình . 41
1. Yêu cầu phần cứng . 41
2. Cài đặt pfsense 41
3. Thiết lập card mạng cho máy pfsense 44
4. Đặt IP và thiết lập DHCP cấp phát vào bên trong mạng LAN . 45
5. Cấu hình Pfsense qua giao diện web – WebGUI . 46
6. Cài đặt Packages . 51
7. Backup and Recovery . 53
III. Một số dịch vụ và ứng dụng của Pfsense . 54
1. Một số tính năng của Pfsense firewall 54
1.1 Pfsense Aliases 54
1.2 Network Address Translation(NAT) . 55
1.3 Pfsense rules 56
1.4 Pfsense schedules 57
1.5 Traffic Shapers 58
1.6 Virtual IPs . 62
2. Một số dịch vụ của Pfsense 63
2.1 Captive Portal 63
2.2 DHCP Server . 67
2.3 Load Balancer . 67
3. VPN trên Pfsense 71
3.1 VPN PPTP . 71
3.2 Open VPN . 74
Chương 4: Xây dựng mô hình 79
I. Xây dựng mô hình cân bằng tải cho các farm server . 79
1. Mô hình thực tế . 79
2. Mô hình Lab . 80
II. Xây dựng mô hình cân bằng tải đường WAN 81
1. Mô hình thực tế . 81
2. Mô hình Lab . 82
III. Xây dựng mô hình cân bằng tải firewall 83
Chương 5: Triển khai và đánh giá hệ thống .85
I. Triển khai mô hình cân bằng tải cho các farm server 85
1. Cài đặt server Apache . 85
2. Triển khai mô hình . 88
3. Kiểm tra, đánh giá 91
II. Triển khai mô hình cân bằng tải đường WAN . 93
1. Cấu hình Routing and remote access trên server 2003 . 93
2. Cài đặt, cấu hình pfsense 99
3. Cấu hình cân bằng tải đường WAN trên máy pfsense . 102
3.1 Kiểm tra, chỉnh sửa Gateway 103
3.2 Thêm Gateway Group . 104
3.3 Sử dụng Gateway Group trong rules firewall của interface LAN 107
4. Kiếm tra, đánh giá 114
III. Triển khai mô hình cân bằng tải firewall . 116
1. Cài đặt, cấu hình primary firewall 116
2. Cài đặt, cấu hình Backup firewall 119
3. Kiểm tra, đánh giá 120
Chương 6: Tổng kết .122
TÀI LIỆU THAM KHẢO .123
DANH MỤC HÌNH
Hình 1-1 Firewall cơ bản 1
Hình 1-2 Ví dụ về firewall NAT . 4
Hình 1-3 Proxy Firewall 5
Hình 1-4 Phân loại firewall . 7
Hình 1-5 Packet filtering firewall 11
Hình 1-6 Circuit-level firewalls . 12
Hình 1-7 Proxy firewalls 12
Hình 1-8 Stateful firewalls . 13
Hình 1-9 Packet filtering router 15
Hình 1-10 Application gateway . 16
Hình 1-11 Hành động sử dụng telnet qua cổng vòng 19
Hình 1-12 Kiến trúc firewall cơ bản . 20
Hình 1-13 Cấu trúc chung của một hệ thống Firewall . 20
Hình 1-14 Kiến trúc Dual-homed host 22
Hình 1-15 Kiến trúc Screened host . 24
Hình 1-16 Kiến trúc Screened subnet 25
Hình 2-1 Outbound Load-balancing . 28
Hình 2-2 Load-balancing Inbound 29
Hình 2-3 Server Loadbalancing 29
Hình 2-4 Kịch bản Active- Standby . 34
Hình 2-5 Hoạt động của kịch bản active - standby 35
Hình 2-6 Kịch bản Active - Active . 35
Hình 2-7 Hoạt động của kịch bản Active - Active . 36
Hình 2-8 Hoạt động của VRRP . 36
Hình 3-1 Logo Pfsense 39
Hình 3-2 Cấu trúc fireưall pfsense 40
Hình 3-3 Màn hình wellcome to FressBSD . 41
Hình 3-4 Chọn I để bắt đầu cài đặt Pfsense 42
Hình 3-5 Chọn Accept these Setting để cài đặt . 42
Hình 3-6 Chọn quick/ Easy Install để cài đặt vào ổ cứng . 43
Hình 3-7 Chọn Reboot để khởi động lại hệ thống . 43
Hình 3-8 Giao diện textmode 44
Hình 3-9 Thiết lập card mạngcho máy pfsense . 44
Hình 3-10 Thông tin card mạng sau khi thiết lập . 45
Hình 3-11 Thiết lập địa chỉ IP cho LAN 45
Hình 3-12 Đặt IP và thiết lập DHCP cho mạng LAN . 46
Hình 3-13 Màn hình đăng nhập 46
Hình 3-14 Giao diện WEBGUI 47
Hình 3-15 Khai báo DNS . 47
Hình 3-16 Chọn múi giờ cho máy pfsense . 48
Hình 3-17 Cấu hình interface WAN 48
Hình 3-18 Đặt địa chỉ IP cho LAN trên giao diện web . 49
Hình 3-19 Cấu hình DHCP LAN trên giao diện web 49
Hình 3-20 Thiết lập lại mật khẩu cho admin . 50
Hình 3-21 Reload lại hệ thống 50
Hình 3-22 Giao diện pfsense trên nền web . 51
Hình 3-23 Giao diện cài đặt packages 51
Hình 3-24 Cài đặt packages 52
Hình 3-25 Danh sách các packages được cài đặt 52
Hình 3-26 Sao lưu hệ thống . 53
Hình 3-27 Phục hồi hệ thống . 53
Hình 3-28 Pfsense Aliases . 54
Hình 3-29 Tạo alias webport quy định các cổng cho server . 55
Hình 3-30 Pfsense rules . 56
Hình 3-31 Hai rules được mặc định trong tab LAN 56
Hình 3-32 Tạo rule cấm truy cập web sử dụng cổng 80 cho các máy LAN 57
Hình 3-33 Pfsense schedules . 57
Hình 3-34 Lịch giờ làm việc 58
Hình 3-35 Chi tiết lịch làm việc 58
Hình 3-36 Traffic Sharper . 59
Hình 3-37 Cấu hình Traffic Sharper . 59
Hình 3-38 Voice over IP 60
Hình 3-39 Penalty Box 60
Hình 3-40 Peer to peer netwworking 61
Hình 3-41 Network Games 61
Hình 3-42 Raise of lower other Applications 62
Hình 3-43 Captive portal . 63
Hình 3-44 Các tính năng trong menu Captive Portal . 64
Hình 3-45 Các tính năng trong menu Captive Portal . 65
Hình 3-46 Các tính năng trong menu Captive Portal . 66
Hình 3-47 DHCP server 67
Hình 3-48 Load balancer 68
Hình 3-49 Tạo pool cân bằng tải 68
Hình 3-50 Chọn monitor cho pool load balacing . 69
Hình 3-51 Tạo một rules áp dụng pool cân bằng tải 69
Hình 3-52 Các thông số tùy chỉnh trong firewall rules . 70
Hình 3-53 Tình trang cân bằng tải khi 2 đường truyền online . 70
Hình 3-54 Cân bằng tải khi 1 đường truyền offline, 1 đường truyền online . 71
Hình 3-55 Cấu hình PPTP VPN 72
Hình 3-56 Chọn mã hóa 128 bit 72
Hình 3-57 Tạo rule cho phép PPTP client kết nối đến mạng LAN . 73
Hình 3-58 Tạo kết nối VPN . 73
Hình 3-59 Nhập IP PPTP server . 74
Hình 3-60 Nhập username, password để kết nối . 74
Hình 3-61 Chọn loại server chứng thực . 74
Hình 3-62 Tạo một CA mới . 75
Hình 3-63 Tạo server chứng thực 76
Hình 3-64 Thông tin cấu hinh server certificate . 76
Hình 3-65 Cấu hình Tunneling network 77
Hình 3-66 Thêm rule cho OpenVPN server 77
Hình 3-67 Kết quả sau khi cấu hình 77
Hình 3-68 OpenVPN client đã được cài đặt 78
Hình 4-1 Mô hình cân bằng tải server thực tế 79
Hình 4-2 Mô hình cân bằng tải webserver trong bài LAB 80
Hình 4-3 Mô hình cân bằng tải đường WAN thực tế . 81
Hình 4-4 Mô hình LAB cân bằng tải đường WAN . 82
Hình 4-5 Mô hình cân bằng tải firewall 83
Hình 5-1 Giao diện cài đặt Apache . 85
Hình 5-2 Chọn "I accept the terms in the license agreement" để tiếp tục cài đặt . 85
Hình 5-3 Thiết lập thông tin cho Apache 86
Hình 5-4 Chọn kiểu cài đặt Apache 86
Hình 5-5 Chọn nơi lưu Appche 87
Hình 5-6 Chọn Install để cài đặt Apache 87
Hình 5-7 Giao diện web localhost . 88
Hình 5-8 Tạo Monitor 89
Hình 5-9 Monitor sau khi tạo 89
Hình 5-10 Tạo Server Pool 90
Hình 5-11 Thêm webserver vào pool . 90
Hình 5-12 Pool sau khi tạo 90
Hình 5-13 Tạo virtual server . 91
Hình 5-14 Server ảo sau khi tạo 91
Hình 5-15 Tình trang webserver khi online 91
Hình 5-16 Trạng thái khi có 1 server offline . 92
Hình 5-17 Client nhận phản hồi từ server apache 1 . 92
Hình 5-18 Client nhận phản hồi từ server apache 1 . 93
Hình 5-19 Thiết lập card mạng cho máy ảo 2003 . 94
Hình 5-20 Thiết lập IP cho interfaces 2 94
Hình 5-21 Thiết lập ip cho interfaces 3 . 95
Hình 5-22 Bật chức năng Rooting and remote access 95
Hình 5-23 Chọn customconfigution . 96
Hình 5-24 Chọn NAT and basic firewall . 96
Hình 5-25 Thêm interface cho NAT . 97
Hình 5-26 Cấu hình interface brigde làm public interface . 97
Hình 5-27 Cấu hình 2 interface còn lại làm private interface . 98
Hình 5-28 Các interface sau khi cấu hình NAT 98
Hình 5-29 Địa chỉ MAC của các interface 99
Hình 5-30 Gán IP cho interface WAN . 100
Hình 5-31 Gán IP cho interface OPT1 100
Hình 5-32 Đặt địa chỉ IP cho interface LAN . 101
Hình 5-33 Cấp phát DHCP cho các máy trong LAN 101
Hình 5-34 Kiểm tra trạng thái Gateway 102
Hình 5-35 Khai báo DNS cho pfsense . 102
Hình 5-36 Kiểm tra Gateway 103
Hình 5-37 Tạo Gateway Group Load Balancing 105
Hình 5-38 Tạo Gateways WANFailToOPT1 . 106
Hình 5-39 Tạo Gateways OPT1FailToWAN . 106
Hình 5-40 Tạo Rule Load Balancing . 107
Hình 5-41 Chọn Gateways Load Balancing 108
Hình 5-42 Tạo Rule WANFailToOPT1 . 108
Hình 5-43 Chọn Gateways WANFailToOPT1 109
Hình 5-44 Tạo Rule OPT1FailToWAN . 109
Hình 5-45 Chọn Gateways OPT1FailToWAN 110
Hình 5-46 Tạo rule LANtoWAN 111
Hình 5-47 Chọn Gateway LANtoWAN 111
Hình 5-48 Tạo Rule LANtoOPT1 112
Hình 5-49 Chọn gateway LANtoOPT1 112
Hình 5-50 Rule LAN 113
Hình 5-51 Cấu hình DNS 113
Hình 5-52 Kiểm tra cân bằng tải . 114
Hình 5-53 Cân bằng tải chuyển qua WAN 2 . 115
Hình 5-54 Tạo IP WAN ảo 116
Hình 5-55 Tạo IP LAN ảo 117
Hình 5-56 IP mạng ảo sau khi tạo . 117
Hình 5-57 Đồng bộ hóa CARP trên tường lửa chính 118
Hình 5-58 Đồng bộ hóa CARP trên tường lửa chính 118
Hình 5-59 Tạo một firewall rule mới . 119
Hình 5-60 Cấu hình firewall rules . 119
Hình 5-61 Trạng thái CARP primary firewall khi 2 firewall hoạt động . 120
Hình 5-62 Trạng thái CARP bckup firewall khi 2 firewall hoạt động 120
Hình 5-63 Trạng thái CARP primary firewall khi tắt primary firewall 121


LỜI MỞ ĐẦU
Mỗi ngày có hàng ngàn người truy cập vào trang web của doang nghiệp, tổ chức,
hàng triệu thuê bao sử dụng điện thoại và các dịch vụ gia tăng của nhà cung cấp, hàng
nghìn tỷ đồng giao dịch giữa các ngân hàng. Điều gì sẽ xảy nếu các dịch vụ đó hoạt động
kém cỏi, ì ạch hay trong một giờ tất cả những hoạt động đó bị ngừng lại? Doanh nghiệp
sẽ mất đi cả trăm khách hàng, đối tác tiềm năng, nhà cung cấp bị phàn nàn, các hoạt động
giao dịch, kinh doanh của khách hàng bị ảnh hưởng, hàng nghìn nhà đầu tư bị mất chi
phí, cơ hội. Đó không chỉ là thiệt hại về kinh tế mà còn về uy tín, hình ảnh, sức cạnh
tranh.
Nguyên nhân gây ra tình trạng trên có thể do hạ tầng mạng, phần cứng, phần mềm
hiệu năng thấp, cũng có thể do hệ thống bị tấn công, hệ thống không được sử dụng tối ưu,
không có cơ chế tăng tốc. Đối với lỗi gây đình trệ hệ thống, phần lớn do hệ thống nội bộ
trong các doang nghiệp, tổ chức có lỗi, chẳng hạn như đường mạng bị đứt, thiết bị bị
hỏng, mất điện cục bộ, ứng dụng bị lỗi, máy chủ bị lỗi hay bị tấn công và có thể xảy ra ở
bất cứ hệ thống nào, bất cứ lúc nào.
Để tránh tình trạng trên, các doanh nghiệp đều đã và đang đầu tư hệ thống hạ tầng
một cách bài bản nhằm đạt hiệu năng cao. Đó là việc trang bị các máy chủ ứng dụng
mạnh, có dự phòng. Tuy nhiên, nếu tại mỗi thời điểm mỗi chức năng chi có một server
hoạt động hoặc không có giải pháp chuyên dụng để cân bằng tải cho các server thì không
thể đáp ứng được nhu cầu của hệ thống ứng dụng đồ sộ, đòi hỏi hoạt động liên tục như
các trang web thương mại điện tử, các ứng dụng nhiều người dùng, các hoạt động tiền tệ,
tài chính, các cửa ngõ giao tiếp với khách hàng của ngân hàng, chứng khoán, nhà cung
cấp dịch vụ. Do đó, cần phải có nhiều server cùng đồng thời cung cấp một dịch vụ cho hệ
thống, cung cấp hiệu năng và tính sẳn sàng cao hơn, tính tin cậy cao hơn. Làm sao để các
server đó có thể phối hợp với nhau hiệu quả, đảm bảo tính sẳn sàng, liên tục, an toàn. Đó
là lý do ra đời của các giải pháp cân bằng tải.
Hiện nay, để cân bằng tải cho hệ thống mạng của doanh nghiệp thì chúng ta có
nhiều giải pháp như sử dụng Router Cisco, dùng tường lửa của Microsoft như ISA .
Tuy nhiên những thành phần kể trên tương đối tốn kém. Vì vậy đối với người
dùng không muốn tốn tiền nhưng lại muốn có một tường lửa bảo vệ hệ thống mạng bên
trong (mạng nội bộ) khi mà chúng ta giao tiếp vối hệ thống mạng bên ngoài (Internet) th ì
PFSENSE là một giải pháp tiết kiệm và hiệu quả tương đối tốt nhất đối với người dùng.
Firewall pfSense sẽ giải quyết các vấn đề bảo mật cho doanh nghiệp vừa và nhỏ.
Sau bài giới thiệu Trong luận văn này sẽ hiểu rõ hơn về các tính năng của pfsense cũng
như các điểm mạnh và yếu của pfsense với các phần mềm khác.
Luận văn bao gồm năm chương:
Chương 1: Tìm hiểu tổng quan về firewall.
Chương 2: Lý thuyết cân bằng tải.
Chương 3: Tìm hiểu pfsense.
Chương 4: Xây dựng mô hình.
Chương 5: Triển khai và đánh giá hệ thống.


Chương 1: Tổng quan firewall
I. Khái quát về firewall
1. Khái niệm firewall
Firewall là một hệ thống hay một hệ thống kết hợp trong đó có thiết lập một
đường biên giữa hai hay nhiều mạng. Firewall cài đặt các luật về bảo mật để phân
cách giữa mạng với các kết nối không mong muốn để giữ cho những thông tin
quan trọng tránh sự hiểm trong khi vẫn cho lưu thông cũng như hạn chế sự xâm
nhập vào hệ thống của một số thông tin khác không mong muốn. Cũng có thể hiểu
rằng Firewall là một cơ chế để bảo vệ mạng tin tưởng(trusted network) khỏi các
mạng không tin tưởng(untrusted network).
Hình 1-1 Firewall cơ bản
Firewall có thể hoạt động ở những tầng mạng khác nhau trong mô hình OSI
và TCP/IP. Tầng thấp nhất là tầng mạng và có thể thực hiện các chức năng phức
tạp hơn như lọc băng thông dựa vào gói tin ở tầng ứng dụng.
2. Chức năng
Về cơ bản firewall có khả năng thực hiện các nhiệm vụ sau đây:
Quản lý và điều khiển luồng dữ liệu trên mạng.
Chuyển đổi địa chỉ mạng(Network address tranlation).
Xác thực quyền truy cập.


TÀI LIỆU THAM KHẢO
[1] Christopher M. Buechler, Jim Pingle. PfSense: The Definitive Guide.
[1] Chris Buechler, Scott Ullrich. 66_pfSenseTutorial.
[1] Matt Williamson. PfSense 2 Cookbook.
[1] Trang tài liệu của pfsense: http://doc.pfsense.org/index.php/Main_Page.
[1] Một số tài liệu khác từ các trang web, diễn đàn trên internet