Giới thiệu về tường lửa
Tường lửa, firewall, là rào chắn mà một số cá nhân, tổ chức, doanh nghiệp thiết lập để ngăn chặn người dùng mạng Internet truy cập các thông tin không mong muốn hoặc/và ngăn chặn người dùng từ bên ngoài truy nhập các thông tin bảo mật nằm trong mạng nội bộ. Nói cách khác, tường lửa là một thiết bị giúp kiểm soát các truy cập giữa mạng công cộng và mạng nội bộ, để bảo đảm an toàn cho sự vận hành của mạng nội bộ.
Tường lửa pfSense và các tính năng nổi bật
PfSense là tường lửa mềm, tức là bạn chỉ cần một máy tính bất kì, hoặc tốt hơn là một máy chủ, rồi cài đặt pfSense là đã có ngay một tường lửa mạnh mẽ cho hệ thống mạng trong doanh nghiệp. Trong phân khúc tường lửa cho doanh nghiệp vừa và nhỏ, với khoảng dưới 1000 người sử dụng, pfSense được đánh giá là tường lửa nguồn mở tốt nhất hiện nay với khả năng đáp ứng lên tới hàng triệu kết nối đồng thời. Không những thế, tường lửa pfSense còn có nhiều tính năng mở rộng tích hợp, tất cả trong một, vượt xa các tưởng lửa thông thường, kể cả các tường lửa cứng của các hãng nổi tiếng về thiết bị mạng.
- Tường lửa tầng L3, L4, L7
- Chặn truy cập theo khu vực địa lý
- Quản lý chất lượng QoS
- Proxy
- Quản trị mạng không dây
- Hỗ trợ VLAN
- Cân bẳng tải
- VPN theo 4 giao thức
- Giám sát/Phân tích mạng
- Quản lý tên miền (DC), hỗ trợ tên miền động (DynDNS)
- Cho phép chạy song hành, failover
- Hỗ trợ ngôn ngữ tiếng Việt (*)
- Tự động cập nhật black list.
- Tự động nâng cấp phiên bản
(*) Ngôn ngữ tiếng Việt được dịch bởi các chuyên gia về hệ thống mạng, được miễn phí và duy nhất tại Techlink.
Lợi ích mà pfSense đem tới
Hoàn toàn miễn phí, giá cả là ưu thế vượt trội của tường lửa pfSense. Tuy nhiên, rẻ không có nghĩa là kém chất lượng, tường lửa pfSense hoạt động cực kỳ ổn định với hiệu năng cao, đã tối ưu hóa mã nguồn và cả hệ điều hành. Cũng chính vì thê, pfSense không cần nền tảng phần cứng mạnh. Nếu doanh nghiệp không có đường truyền tốc độ cao, tường lửa pfSense chỉ cần cài đặt lên một máy tính cá nhân là có thể bắt đầu hoạt động. Điều đó càng góp phần làm giảm chi phí triển khai, đồng thời tạo nên sự linh hoạt, tính mở rộng/sẵn sàng chưa từng có, khi doanh nghiệp muốn có nhiều hơn một tường lửa.
Không chỉ là một tường lửa, pfSense hoạt động như một thiết bị mạng tổng hợp với đầy đủ mọi tính năng toàn diện sẵn sàng bất cứ lúc nào. Khi có một vấn đề về hệ thống mạng phát sinh, thay vì phải loay hoay tìm thiết bị và mất thời gian đặt hàng, doanh nghiệp có thể kết hợp các tính năng đa dạng trên pfSense để tạo thành giải pháp hợp lý, khắc phục sự cố ngay lập tức.
Không kém phần quan trọng là khả năng quản lý. Tường lửa pfSense được quản trị một cách dễ dàng, trong sáng qua giao diện web. Hơn thế nữa, pfSense đã có giao diện web quản trị duy nhất bằng tiếng Việt, được các chuyên gia hệ thống mạng của Techlink biên dịch, nên việc sử dụng càng trở nên đơn giản và rõ ràng, giúp các nhà quản trị mạng thực sự thoải mái và thấu hiểu về mọi hoạt động của tường lửa.
Như vậy, tường lửa pfSense là sự kết hợp hoàn hảo và mạnh mẽ, đem lại sự hợp lý cho các nhà tài chính, và sự tin tưởng cho các nhà quản trị.
Các gói dịch vụ
Là một phần mềm mã nguồn mở, theo giấy phép BSD License, tường lửa pfSense không đòi hỏi bất cứ chi phí bản quyền nào. Doanh nghiệp có thể tùy ý tải về, cài đặt, và triển khai. (Tải về tại đây).
Nhằm để hỗ trợ cho các khách hàng tốt hơn trong việc triển khai và sử dụng tường lửa pfSense, Techlink cung cấp thêm các gói dịch vụ hỗ trợ sau:
Gói triển khai phù hợp với các doanh nghiệp muốn áp dụng ngay hệ thống tường lửa mềm pfSense, để đáp ứng với nhu cầu hiện tại, giảm thiểu thời gian chi phí tìm hiểu công cụ. Gói bảo trì là sự lựa chọn dài hạn và hợp lý khi doanh nghiệp muốn được hỗ trợ bởi đội ngũ chuyên gia hệ thống mạng thường trực giám sát, phát hiện sự cố và lên cấu hình phù hợp cho mọi vấn đề phát sinh, bảo đảm sự hoạt động ổn định của toàn hệ thống. Gói phát triển dành cho các doanh nghiệp có những đặc thù riêng, cần phải tùy biến tường lửa pfSense cho phù hợp, chẳng hạn như tích hợp tường lửa vào một công cụ quản trị chung của doanh nghiệp, đưa logo lên thiết bị…
Xin vui lòng liên hệ với Techlink để có thể thông tin chi tiết.
Lưu ý: Tất cả các gói dịch vụ trên đều được hỗ trợ cài đặt giao diện tiếng Việt do Techlink biên dịch.
Các tình huống ứng dụng
Cấm/Cho phép các truy cập từ bên ngoài hoặc bên trong mạng nội bộ
Mô tả: Hiện tại, doanh nghiệp có các máy chủ dịch vụ và nhiều người dùng bên trong mạng nội bộ. Doanh nghiệp muốn:
- Từ bên ngoài mạng internet, người dùng chỉ được phép truy cập vào một số dịch vụ bên trong nhất định
- Từ bên trong mạng nội bộ, người dùng chỉ được phép truy cập tới các dịch vụ internet nhất định.
Giải pháp: Đây là tính năng cơ bản của mọi tường lửa, pfSense hoàn toàn đáp ứng yêu cầu này. pfSense có thể tiến hành cấm/cho phép các truy cập thông qua các thông số về địa chỉ IP, port, tên miền…
Cấm truy cập theo thời gian biểu
Mô tả: Doanh nghiệp qui định, thời gian làm việc từ 8h tới 12h sáng, và 13h00 tới 17h00. Trong khoảng thời gian làm việc, nhân viên không được sử dụng mạng internet để chat yahoo messenger, skype, hay xem phim. Trong khoảng thời gian nghỉ trưa, từ 12h tới 13h, nhân viên có thể thoải mái truy cập internet.
Giải pháp: pfSense không chỉ đặt các luật cấm/cho phép, mà còn có thể thiết lập lịch biểu tác dụng cho các luật này. Trong trường hợp trên, quản trị mạng có thể xây dựng các luật cấm truy cập chat/xem phim, đồng thời tạo ra một lịch biểu theo thời gian làm việc, cuối cùng là đem kết hợp giữa luật và lịch biểu. Đây là một đặc tính rất hữu ích, nên được triển khai để tạo ra sự thoải mái nhất định trong doanh nghiệp. Nhà quản trị mạng cũng không phải thao tác thủ công hàng ngày.
Cho phép truy cập máy chủ nội bộ từ internet
Mô tả: Hiện tại, doanh nghiệp đã có một địa chỉ IP tĩnh. Thông qua đó, doanh nghiệp muốn đưa các dịch vụ web, chia sẻ file, CRM, ERP ra bên ngoài mạng internet, để các đối tác, nhà cung cấp… có thể truy nhập vào. Đây là nhu cầu rất phổ biến.
Giải pháp 1 : pfSense hỗ trợ NAT (PAT) với khả năng ánh xạ các cổng dịch vụ với các máy chủ khác nhau, đáp ứng được yêu cầu trên. Cách thực hiện này đơn giản, và phần lớn các tường lửa đều có thể thực hiện được. Nhược điểm là người dùng phải nhớ được số hiệu cổng truy nhập.
Giải pháp 2 : pfSense hỗ trợ reverve proxy với khả năng ánh xạ ánh xạ tên miền về các máy chủ khác nhau, đáp ứng được yêu cầu trên. Các tường lửa khác không có tính năng này, hoặc bắt buộc phải có nhiều IP tĩnh.
Mỗi người dùng có một tài khoản riêng để truy cập wireless
Mô tả: Hiện tại, doanh nghiệp đang sử dụng mạng wireless để các nhân viên sử dụng. Doanh nghiệp cũng có một mạng wireless riêng dành cho các khách hàng đến công ty. Đôi khi, khách hàng hoặc một cá nhân nào đó trong mạng wireless sử dụng băng thông quá nhiều, chẳng hạn để xem phim online, làm ảnh hưởng tới công việc của người khác, nhưng doanh nghiệp không thể xác định được đó là ai. Hoặc sau một thời gian định kỳ, để an toàn, doanh nghiệp thay đổi mật khẩu truy nhập wireless và phải báo lại cho tất cả ngươi dùng nội bộ rất phiền phức.
Bấm vào đây để xem "một số trường hợp ứng dụng captive-portal"
Giải pháp: để kiểm soát truy cập wireless, doanh nghiệp có thể mua các thiết bị wireless controller với giá thành không hề rẻ. Như thế, nhà quản trị mạng phải làm việc với loại thiết bị mới, phải làm quen với các trang web và phần mềm quản trị của các loại thiết bị khác nhau.
pfSense tích hợp chức năng quản trị mạng wireless với số lượng mạng không hạn chế. Thông qua pfSense, doanh nghiệp có thể tạo ra các tài khoản truy cập wireless riêng cho từng người dùng, cho phép băng thông tối đa cho từng người dùng. Doanh nghiệp cũng có thể tạo ra các voucher, có tác dụng giống như thẻ cào truy cập wireless, để phát cho các khách hàng vãng lai tới sử dụng, và chỉ có hạn mức sử dụng trong ngày. Hơn thế nữa, doanh nghiệp có thể quảng cáo dựa trên mạng wireless này, bằng cách định hướng các truy nhập của người dùng chưa được xác thực về một trang web giới thiệu công ty (tính năng này hay được áp dụng trong các bệnh viện, khách sạn, trường học, nơi có nhiều khách vãng lai).
Sử dụng tên miền động miễn phí
Mô tả: Trong doanh nghiệp, có một chi nhánh nào đó có hệ thống mạng, nhưng không mua địa chỉ IP tĩnh và tên miền. Vì vậy, người dùng/khách hàng từ bên ngoài internet không thể truy cập được vào hệ thống mạng nội bộ bên trong để truy cập thông tin cần thiết.
Giải pháp: hoàn toàn miễn phí, doanh nghiệp có thể sử dụng tên miền động được cung cấp bởi noip, dyndns… Cách này có ưu điểm là việc sử dụng hoàn toàn giống như tên miền tĩnh và IP tĩnh, và nhược điểm là phải cài một phần mềm được cung cấp bởi noip, dyndns lên một máy tính nào đó trong mạng nội bộ, để phần mềm đó cập nhật thường xuyên địa chỉ IP, rồi lại phải cấu hình tường lửa để cho phép phần mềm đó hoạt động.
Với pfSense, vẫn theo cơ chế tên miền động như trên, nhưng tất cả các nhược điểm đều được khắc phục. Thay vì phải tải về phần mềm cung cấp địa chỉ IP với nguồn gốc không rõ ràng, pfSense có chức năng riêng để tự tiến hành việc này, mà không phải cài đặt lên bất cứ một máy tính nào khác. Như vậy, pfSense vừa là tường lửa, vừa tự động cập nhật IP động cho hệ thống quản lý tên miền toàn cầu, rất nhanh chóng và bảo đảm an toàn.
Kết nối mạng nội bộ của các chi nhánh với nhau
Mô tả: Doanh nghiệp có nhiều chi nhánh ở khắp nơi trong cả nước. Doanh nghiệp muốn kết nối mạng nội bộ của tất cả các chi nhánh với nhau để hoạt động chia sẽ thông tin giữa các chi nhánh diễn ra nhanh chóng, an toàn và tin cậy.
Giải pháp: phương pháp chung của mọi tường lửa là triển khai mạng LAN ảo – VPN – giữa các chi nhánh. Thông thường, người ta sử dụng IPsec để tạo VPN. Nhưng không chỉ dừng lại ở đó, pfSense hỗ trợ thêm cả 4 phương thức khác để tạo VPN, là IPsec, L2TP, PPTP và OpenVPN. Đặc biệt OpenVPN rất được thịnh hành trên môi trường Linux, hoàn toàn miễn phí và không đòi hỏi người dùng đầu cuối phải hiểu rõ về kỹ thuật...
So sánh với các sản phẩm khác
tiennd2