Tường lửa, firewall, là rào chắn mà một số cá nhân, tổ chức, doanh
nghiệp thiết lập để ngăn chặn người dùng mạng Internet truy cập các
thông tin không mong muốn hoặc/và ngăn chặn người dùng từ bên ngoài truy
nhập các thông tin bảo mật nằm trong mạng nội bộ. Nói cách khác, tường
lửa là một thiết bị giúp kiểm soát các truy cập giữa mạng công cộng và
mạng nội bộ, để bảo đảm an toàn cho sự vận hành của mạng nội bộ.
Tường lửa pfSense và các tính năng nổi bật
PfSense
là tường lửa mềm, tức là bạn chỉ cần một máy tính bất kì, hoặc tốt hơn
là một máy chủ, rồi cài đặt pfSense là đã có ngay một tường lửa mạnh
mẽ cho hệ thống mạng trong doanh nghiệp. Trong phân khúc tường lửa cho
doanh nghiệp vừa và nhỏ, với khoảng dưới 1000 người sử dụng, pfSense
được đánh giá là tường lửa nguồn mở tốt nhất hiện nay với khả năng đáp
ứng lên tới hàng triệu kết nối đồng thời. Không những thế, tường lửa
pfSense còn có nhiều tính năng mở rộng tích hợp, tất cả trong một, vượt
xa các tưởng lửa thông thường, kể cả các tường lửa cứng của các hãng nổi
tiếng về thiết bị mạng.
- Tường lửa tầng L3, L4, L7
- Chặn truy cập theo khu vực địa lý
- Quản lý chất lượng QoS
- Proxy
- Quản trị mạng không dây
- Hỗ trợ VLAN
- Cân bẳng tải
- VPN theo 4 giao thức
- Giám sát/Phân tích mạng
- Quản lý tên miền (DC), hỗ trợ tên miền động (DynDNS)
- Cho phép chạy song hành, failover
- Hỗ trợ ngôn ngữ tiếng Việt (*)
- Tự động cập nhật black list.
- Tự động nâng cấp phiên bản
(*) Ngôn ngữ tiếng Việt được dịch bởi các chuyên gia về hệ thống mạng, được miễn phí và duy nhất tại Techlink.
Lợi ích mà pfSense đem tới
Hoàn toàn miễn phí, giá cả là ưu thế vượt trội của tường lửa pfSense. Tuy nhiên, rẻ không có nghĩa là kém chất lượng, tường lửa pfSense hoạt động cực kỳ ổn định
với hiệu năng cao, đã tối ưu hóa mã nguồn và cả hệ điều hành. Cũng
chính vì thê, pfSense không cần nền tảng phần cứng mạnh. Nếu doanh
nghiệp không có đường truyền tốc độ cao, tường lửa pfSense chỉ cần cài
đặt lên một máy tính cá nhân là có thể bắt đầu hoạt động. Điều đó càng
góp phần làm giảm chi phí triển khai, đồng thời tạo nên sự linh hoạt, tính mở rộng/sẵn sàng chưa từng có, khi doanh nghiệp muốn có nhiều hơn một tường lửa.
Không chỉ là một tường lửa, pfSense hoạt động như một thiết bị mạng tổng hợp với đầy đủ mọi tính năng toàn diện
sẵn sàng bất cứ lúc nào. Khi có một vấn đề về hệ thống mạng phát sinh,
thay vì phải loay hoay tìm thiết bị và mất thời gian đặt hàng, doanh
nghiệp có thể kết hợp các tính năng đa dạng trên pfSense để tạo thành
giải pháp hợp lý, khắc phục sự cố ngay lập tức.
Không kém phần quan trọng là khả năng quản lý. Tường lửa pfSense được quản trị một cách dễ dàng, trong sáng qua giao diện web. Hơn thế nữa, pfSense đã có giao diện web quản trị duy nhất bằng tiếng Việt,
được các chuyên gia hệ thống mạng của Techlink biên dịch, nên việc sử
dụng càng trở nên đơn giản và rõ ràng, giúp các nhà quản trị mạng thực
sự thoải mái và thấu hiểu về mọi hoạt động của tường lửa.
Như vậy, tường lửa pfSense là sự kết hợp
hoàn hảo và mạnh mẽ, đem lại sự hợp lý cho các nhà tài chính, và sự tin
tưởng cho các nhà quản trị.
Các gói dịch vụ
Là một phần mềm mã nguồn mở, theo giấy
phép BSD License, tường lửa pfSense không đòi hỏi bất cứ chi phí bản
quyền nào. Doanh nghiệp có thể tùy ý tải về, cài đặt, và triển khai. (
Tải về tại đây).
Nhằm để hỗ trợ cho các khách hàng tốt
hơn trong việc triển khai và sử dụng tường lửa pfSense, Techlink cung
cấp thêm các gói dịch vụ hỗ trợ sau:
Gói triển khai phù hợp
với các doanh nghiệp muốn áp dụng ngay hệ thống tường lửa mềm pfSense,
để đáp ứng với nhu cầu hiện tại, giảm thiểu thời gian chi phí tìm hiểu
công cụ. Gói bảo trì là sự lựa chọn dài hạn và hợp lý
khi doanh nghiệp muốn được hỗ trợ bởi đội ngũ chuyên gia hệ thống mạng
thường trực giám sát, phát hiện sự cố và lên cấu hình phù hợp cho mọi
vấn đề phát sinh, bảo đảm sự hoạt động ổn định của toàn hệ thống. Gói phát triển
dành cho các doanh nghiệp có những đặc thù riêng, cần phải tùy biến
tường lửa pfSense cho phù hợp, chẳng hạn như tích hợp tường lửa vào một
công cụ quản trị chung của doanh nghiệp, đưa logo lên thiết bị…
Xin vui lòng liên hệ với Techlink để có thể thông tin chi tiết.
Lưu ý: Tất cả các gói dịch vụ trên đều được hỗ trợ cài đặt giao diện tiếng Việt do Techlink biên dịch.
Các tình huống ứng dụng
Cấm/Cho phép các truy cập từ bên ngoài hoặc bên trong mạng nội bộ
Mô tả: Hiện tại, doanh nghiệp có các máy chủ dịch vụ và nhiều người dùng bên trong mạng nội bộ. Doanh nghiệp muốn:
- Từ bên ngoài mạng internet, người dùng chỉ được phép truy cập vào một số dịch vụ bên trong nhất định
- Từ bên trong mạng nội bộ, người dùng chỉ được phép truy cập tới các dịch vụ internet nhất định.
Giải pháp: Đây là tính
năng cơ bản của mọi tường lửa, pfSense hoàn toàn đáp ứng yêu cầu này.
pfSense có thể tiến hành cấm/cho phép các truy cập thông qua các thông
số về địa chỉ IP, port, tên miền…
Cấm truy cập theo thời gian biểu
Mô tả: Doanh nghiệp qui
định, thời gian làm việc từ 8h tới 12h sáng, và 13h00 tới 17h00. Trong
khoảng thời gian làm việc, nhân viên không được sử dụng mạng internet để
chat yahoo messenger, skype, hay xem phim. Trong khoảng thời gian nghỉ
trưa, từ 12h tới 13h, nhân viên có thể thoải mái truy cập internet.
Giải pháp: pfSense
không chỉ đặt các luật cấm/cho phép, mà còn có thể thiết lập lịch biểu
tác dụng cho các luật này. Trong trường hợp trên, quản trị mạng có thể
xây dựng các luật cấm truy cập chat/xem phim, đồng thời tạo ra một lịch
biểu theo thời gian làm việc, cuối cùng là đem kết hợp giữa luật và lịch
biểu. Đây là một đặc tính rất hữu ích, nên được triển khai để tạo ra sự
thoải mái nhất định trong doanh nghiệp. Nhà quản trị mạng cũng không
phải thao tác thủ công hàng ngày.
Cho phép truy cập máy chủ nội bộ từ internet
Mô tả: Hiện tại, doanh
nghiệp đã có một địa chỉ IP tĩnh. Thông qua đó, doanh nghiệp muốn đưa
các dịch vụ web, chia sẻ file, CRM, ERP ra bên ngoài mạng internet, để
các đối tác, nhà cung cấp… có thể truy nhập vào. Đây là nhu cầu rất phổ
biến.
Giải pháp 1 : pfSense
hỗ trợ NAT (PAT) với khả năng ánh xạ các cổng dịch vụ với các máy chủ
khác nhau, đáp ứng được yêu cầu trên. Cách thực hiện này đơn giản, và
phần lớn các tường lửa đều có thể thực hiện được. Nhược điểm là người
dùng phải nhớ được số hiệu cổng truy nhập.
Giải pháp 2 : pfSense
hỗ trợ reverve proxy với khả năng ánh xạ ánh xạ tên miền về các máy chủ
khác nhau, đáp ứng được yêu cầu trên. Các tường lửa khác không có tính
năng này, hoặc bắt buộc phải có nhiều IP tĩnh.
Mỗi người dùng có một tài khoản riêng để truy cập wireless
Mô tả: Hiện tại, doanh
nghiệp đang sử dụng mạng wireless để các nhân viên sử dụng. Doanh nghiệp
cũng có một mạng wireless riêng dành cho các khách hàng đến công ty.
Đôi khi, khách hàng hoặc một cá nhân nào đó trong mạng wireless sử dụng
băng thông quá nhiều, chẳng hạn để xem phim online, làm ảnh hưởng tới
công việc của người khác, nhưng doanh nghiệp không thể xác định được đó
là ai. Hoặc sau một thời gian định kỳ, để an toàn, doanh nghiệp thay
đổi mật khẩu truy nhập wireless và phải báo lại cho tất cả ngươi dùng
nội bộ rất phiền phức.
Giải pháp: để kiểm soát
truy cập wireless, doanh nghiệp có thể mua các thiết bị wireless
controller với giá thành không hề rẻ. Như thế, nhà quản trị mạng phải
làm việc với loại thiết bị mới, phải làm quen với các trang web và phần
mềm quản trị của các loại thiết bị khác nhau.
pfSense tích hợp chức năng quản trị mạng
wireless với số lượng mạng không hạn chế. Thông qua pfSense, doanh
nghiệp có thể tạo ra các tài khoản truy cập wireless riêng cho từng
người dùng, cho phép băng thông tối đa cho từng người dùng. Doanh nghiệp
cũng có thể tạo ra các voucher, có tác dụng giống như thẻ cào truy cập
wireless, để phát cho các khách hàng vãng lai tới sử dụng, và chỉ có hạn
mức sử dụng trong ngày. Hơn thế nữa, doanh nghiệp có thể quảng cáo dựa
trên mạng wireless này, bằng cách định hướng các truy nhập của người
dùng chưa được xác thực về một trang web giới thiệu công ty (tính năng
này hay được áp dụng trong các bệnh viện, khách sạn, trường học, nơi có
nhiều khách vãng lai).
Sử dụng tên miền động miễn phí
Mô tả: Trong doanh
nghiệp, có một chi nhánh nào đó có hệ thống mạng, nhưng không mua địa
chỉ IP tĩnh và tên miền. Vì vậy, người dùng/khách hàng từ bên ngoài
internet không thể truy cập được vào hệ thống mạng nội bộ bên trong để
truy cập thông tin cần thiết.
Giải pháp: hoàn toàn
miễn phí, doanh nghiệp có thể sử dụng tên miền động được cung cấp bởi
noip, dyndns… Cách này có ưu điểm là việc sử dụng hoàn toàn giống như
tên miền tĩnh và IP tĩnh, và nhược điểm là phải cài một phần mềm được
cung cấp bởi noip, dyndns lên một máy tính nào đó trong mạng nội bộ, để
phần mềm đó cập nhật thường xuyên địa chỉ IP, rồi lại phải cấu hình
tường lửa để cho phép phần mềm đó hoạt động.
Với pfSense, vẫn theo cơ chế tên miền
động như trên, nhưng tất cả các nhược điểm đều được khắc phục. Thay vì
phải tải về phần mềm cung cấp địa chỉ IP với nguồn gốc không rõ ràng,
pfSense có chức năng riêng để tự tiến hành việc này, mà không phải cài
đặt lên bất cứ một máy tính nào khác. Như vậy, pfSense vừa là tường lửa,
vừa tự động cập nhật IP động cho hệ thống quản lý tên miền toàn cầu,
rất nhanh chóng và bảo đảm an toàn.
Kết nối mạng nội bộ của các chi nhánh với nhau
Mô tả: Doanh nghiệp có nhiều chi nhánh ở khắp nơi
trong cả nước. Doanh nghiệp muốn kết nối mạng nội bộ của tất cả các chi
nhánh với nhau để hoạt động chia sẽ thông tin giữa các chi nhánh diễn ra
nhanh chóng, an toàn và tin cậy.
Giải pháp: phương pháp chung của mọi
tường lửa là triển khai mạng LAN ảo – VPN – giữa các chi nhánh. Thông
thường, người ta sử dụng IPsec để tạo VPN. Nhưng không chỉ dừng lại ở
đó, pfSense hỗ trợ thêm cả 4 phương thức khác để tạo VPN, là IPsec,
L2TP, PPTP và OpenVPN. Đặc biệt OpenVPN rất được thịnh hành trên môi
trường Linux, hoàn toàn miễn phí và không đòi hỏi người dùng đầu cuối
phải hiểu rõ về kỹ thuật...