Tải bản đầy đủ (.doc) (41 trang)

ĐỀ TÀI GIAO THỨC VPN FIREWALL

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.01 MB, 41 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP. HỒ CHÍ MINH
KHOA CÔNG NGHỆ THÔNG TIN

BÀI LAB
GIAO THỨC VPN &
FIREWALL
GVHD: Thái Thanh Tuấn
SVTH: Tạ Ngọc Tùng 1191020180
Phạm Đình Tuân 1191020169
Lưu Quang Vũ 1191020191
TPHCM, ngày 29 Tháng 2 năm 2013
GVHD : Thầy Thái Thanh Tuấn 2 Đề Tài Firewall – VPN
MỤC LỤC
I. SƠ LƯỢC VỀ FIREWALL: 3
II. SƠ LƯỢC VỀ VPN: 4
III. BÀI LAB MÔ PHỎNG FIREWALL VPN: 5
III.1. Vấn đề cần nghiên cứu: 5
III.2. Mô hình tổng quát: 5
III.3. Kịch bản: 6
III.4. Triễn khai mô phỏng bằng OPNET IT GURU 6
III.4.1. Kịch bản thứ 1: Ở hình 2 trên , tên dự án
mới Project Name: là Firewall_VPN và tên kịch
bản Scenario Name: Ko_firewall (không có
firewall) 7
III.4.2. Kịch bản thứ 2 : 21
III.4.3. Kịch bản thứ 3: có firewall và thực hiện
chính sách bảo mật cấm quyền truy xuất dịch vụ :
database và email. Nhân bản kịch bản thứ 2 hệ
thống có tường lửa với tên Co_Firewall thành kịch
bản thứ 3 hệ thống có tên là


Co_Firewall_block_data_email 22
III.4.4. Kịch Bản thứ 4 : 30
SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng
GVHD : Thầy Thái Thanh Tuấn 3 Đề Tài Firewall – VPN
I. SƠ LƯỢC VỀ FIREWALL:
Firewall là tường lửa dùng để ngăn chặn các tấn công bên ngoài trên mạng
internet vào trong mạng cục bộ.
Thiết bị Firewall chính là phần cứng hay là phần mềm không cho phép, liên
lạc, xâm nhập vào máy tính cá nhân hay tổ chức, trên môi trường có kết nối
mạng, bởi các chính sách bảo mật an ninh được firewall đặt ra ở các rule
( các quy luật).
Nhiệm vụ kiểm soát chặt chẽ các dữ liệu lưu thông trên vùng không đáng tin
cậy chính là trên mạng internet với vùng có độ tin cậy cao đó là mạng LAN
mạng cục bộ thông qua chính sách an ninh và mô hình kết nối theo nguyên
tắc phân quyền tối thiểu.
Để không xảy ra các lỗi nhỏ biến tường lửa trở nên vô dụng không hoạt
động tốt, người quản trị phải hiểu biết sâu về các giao thức, và an ninh mạng
máy tính.
Tường lửa thông dụng nhất là tường lửa tránh xâm nhập, tấn công từ ngoài
vào dùng cho máy tính cá nhân hoặc 1 mạng cục bộ công ty.
Tường lửa kiểm duyệt internet, không cho máy tính truy cập một số trang
web, máy chủ, thường do các nhà cung cấp internet thiết lập.


Hình minh hoạ firewall
SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng
FIREWAL
L
WAN
LAN

GVHD : Thầy Thái Thanh Tuấn 4 Đề Tài Firewall – VPN
II. SƠ LƯỢC VỀ VPN:
VPN (virtual private network) là một mạng riêng ảo, dùng để kết nối với nhiều
người dùng từ xa, hay các mạng khác thông qua kết nối thực trên mạng công
cộng internet, dùng để gửi hay nhận dữ liệu trên một đường truyền riêng ảo
được thiết lập để đảm bảo tính an toàn và bảo mật.
VPN tạo ra đường ống hay đường hầm (turnel) bảo mật trao đổi riêng giữa bên
nhận và bên gửi với cơ chế mã hoá dữ liệu, tương tự như kết nối point to point
trên mạng riêng. Bên gửi mã hoá che giấu dữ liệu, chỉ cung cấp thông tin về
đường đi tới đích nhanh chóng thông qua mạng internet, đó là gói dữ liệu
(header).
Nếu có bị lấy đi gói dữ liệu packet trên mạng công cộng bởi hacker thì cũng
không đọc được nội dung vì không giải mã được. Sự liên kết dữ liệu mã hoá và
được đóng gói gọi là kết nối VPN. Đường kết nối VPN gọi là VPN turnel hay là
đường hầm , đường ống VPN.
Hình minh hoạ sử dụng vpn và firewall
SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng
INTERNE
T
INTERNE
T
vpn lan lan vpn lan lan
Công ty con 1
vpn user lan vpn user lan
CÔNG TY MẸ
Công ty con 2
LAN
LAN
GVHD : Thầy Thái Thanh Tuấn 5 Đề Tài Firewall – VPN
III. BÀI LAB MÔ PHỎNG FIREWALL VPN:

III.1. Vấn đề cần nghiên cứu:
• Nghiên cứu hệ thống mạng có firewall và vpn trên internet.
• Nghiên cứu lưu lượng đường truyền tốc độ ảnh hưởng
• Hiểu được khả năng chặn ứng dụng Firewall.
• Chức năng bảo mật trên mạng riêng ảo VPN
• Những số liệu mô phỏng làm sáng tỏ, rút ra kết luận và áp dụng cho
mô hình thực tế sẽ được làm
III.2. Mô hình tổng quát:
SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng
Paris
Maseille
SERVER
FIREWALL
INTERNET
VPN TUNNEL
ROUTER
ROUTER
ROUTER
GVHD : Thầy Thái Thanh Tuấn 6 Đề Tài Firewall – VPN
III.3. Kịch bản:
Các cụm máy tính ở thành phố Marseille & cụm máy tính ở thành phố Paris kết
nối tới máy chủ server (có các dịch vụ như: Database Server, Email Server,
Web Server) trên các router qua mạng internet.
• Tạo kịch bản đầu tiên là hệ thống chưa có firewall được đặt tên là
ko_firewall.
• Tạo kịch bản thứ hai là hệ thống có firewall được đặt tên là
co_firewall.
• Tạo kịch bản thứ ba là hệ thống có firewall được đặt các chính sách,
các rule (các quy luật) là cấm quyền truy xuất trên dịch vụ database và
email. Và được đặt tên là co_firewall_block_data_email

• Tạo kịch bản thứ tư là hệ thống vừa có co_firewall_block_data_email
của kịch bản thứ 3 vừa có thêm VPN, thiết lập VPN Tunnel để tạo
đường hầm hay đường ống dành riêng cho cụm máy tính thành phố
Marseille nối tới Máy Chủ Server (bằng router Marseille với router
main server) để cụm máy tính thành phố Marseille này truy xuất được
các loại dịch vụ, mà trước đó ở kịch bản 3
co_firewall_block_data_email hệ thống không truy xuất được do thực
hiện chính sách bảo mật cấm quyền data và email, còn cụm máy tính ở
thành phố Paris do không có đường hầm kết nối VPN tới máy chủ
Server nên chỉ thực hiện đúng theo kịch bản thứ 3
Co_Firewall_block_data_email là ngăn chặn database, email được
quyền truy xuất.
III.4. Triễn khai mô phỏng bằng OPNET IT GURU
Từ menu chọn File – new để tạo dự án mới
Hình 1
SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng
GVHD : Thầy Thái Thanh Tuấn 7 Đề Tài Firewall – VPN
Nhấn ok.
Hình 2
III.4.1. Kịch bản thứ 1: Ở hình 2 trên , tên dự án mới Project Name: là
Firewall_VPN và tên kịch bản Scenario Name: Ko_firewall (không có firewall)
Chọn ok
Hình 3
chọn Create Empty Scenarios để tạo kịch bản rỗng nhấn next
Hình 4
chọn Enterprise nhấn Next
SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng
GVHD : Thầy Thái Thanh Tuấn 8 Đề Tài Firewall – VPN
hình 5
check vào Take Size From Map để vào danh sách bản đồ có sẵn trên phần mềm,

nhấn next
hình 6
Phần danh sách bản đồ. Chọn france(Pháp) nhấn next
hình 7
Trong bảng chọn kỹ thuật mạng, chọn internet_toolbox check thành yes, rồi nhấn
next
SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng
GVHD : Thầy Thái Thanh Tuấn 9 Đề Tài Firewall – VPN
Nhấn ok.
hình 8
Để phóng lớn bản đồ nước Pháp ta dung thanh công cụ Zoom kéo trên màn hình để
phóng lớn vùng cần xem
Hình 9
SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng
GVHD : Thầy Thái Thanh Tuấn 10 Đề Tài Firewall – VPN
Chọn Application Config và Profile Config vào
hình 10
Nhấn vào 100BaseT LAN đưa giống vị trí hình 10 trên, là địa điểm của cụm máy ở
thành phố Marsille và cụm máy ở thành phố Paris.
Đổi tên bằng cách nhấp chuột phải vào từng cụm máy tính chọn set name và đặt
tên, như hình 11 ở dưới
hình 11
Tương tự thêm ppp server vào và đổi tên như hình 11 ở trên
SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng
GVHD : Thầy Thái Thanh Tuấn 11 Đề Tài Firewall – VPN
hình 12
Chọn ethernet 4 slip8 qtwy để thêm 3 router vào bản đồ như hình 12 trên và đặt tên
router Marseille để nối với cụm máy tính Marseille, router server để nối với cụm
máy chủ server, router Paris để nối với cụm máy tính Paris.
hình 13

thêm ip32 cloud vào như trên hình 13 đổi tên thành internet làm mạng công cộng
internet
SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng
GVHD : Thầy Thái Thanh Tuấn 12 Đề Tài Firewall – VPN
hình 14
chọn cách nối dây (link) tương ứng từ router đến cụm máy tính ở thành phố tương
ứng như hình 14 trên.
hình 15
SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng
GVHD : Thầy Thái Thanh Tuấn 13 Đề Tài Firewall – VPN
Chọn cáp nối internet tới các router, và giữa router server với server như trên hình
15.
hình 16
Click phải chuột vào Application config chọn Edit Attributes xuất hiện bảng như
hình 16
Application Definitions với giá trị value là default như hình 17 dưới.
hình 17
Nhấn ok. Application config này dùng để cấu hình các loại dịch vụ bao gồm
Database, Email, và Web (Http)
SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng
GVHD : Thầy Thái Thanh Tuấn 14 Đề Tài Firewall – VPN
hình 18
Ở hình 18 trên Click phải chuột vào Profile config chọn Edit Attributes xuất hiện
bảng hình 19 bên dưới ở phần hình trên cùng, chọn mục
Profile Configuration với giá trị tab value là Edit
sẽ xuất hiện bảng ở hình 19 phần hình dưới cùng
hình 19
SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng
GVHD : Thầy Thái Thanh Tuấn 15 Đề Tài Firewall – VPN
Chọn 1 trong Rows xuất hiện bảng ở hình 20 bên dưới (phần hình dưới cùng)

hình 20
Ở mục Profile Name chọn edit và đặt với tên là city user như hình 20 trên. Chọn tab
Applications, nhấn vào None chọn Edit sẽ xuất hiện bảng giống hình 21 bên dưới
hình 21
SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng
GVHD : Thầy Thái Thanh Tuấn 16 Đề Tài Firewall – VPN
hình 22
Chọn 3 ở Rows (hình 22 trên) để thêm 3 loại dịch vụ database, email, web(http) sẽ
xuất hiện bảng như hình 22 dưới ở tab Name
hình 22
Chọn vào từng dòng ở mục Name hình 22.
Dòng 1: chọn Database Access (Heavy).
Dòng 2: chọn Email (Heavy).
Dòng 3: chọn Web Browsing (Heavy).
nhấn ok để trở lại bảng giống hình 23 dưới
SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng
GVHD : Thầy Thái Thanh Tuấn 17 Đề Tài Firewall – VPN
hình 23
Chọn ở mục Operation Mode là Simultaneous và ở mục Repeatability là Unlimited
giống như hình 23 trên. nhấn ok- ok.
hình 24
Bước tiếp theo click phải chuột vào server – Edit Attributesn (hình 24 trên) sẽ xuất
hiện bảng giống hình 25 dưới.
SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng
GVHD : Thầy Thái Thanh Tuấn 18 Đề Tài Firewall – VPN
hình 25
Ở bên tab Attribute chọn Application: Supported Services bên tab value tương ứng
chọn là All để hỗ trợ cho tất cả các dịch vụ. nhấn ok.
SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng
GVHD : Thầy Thái Thanh Tuấn 19 Đề Tài Firewall – VPN

hình 26
click phải chuột vào 1 cụm máy tính và chọn Select Similar Nodes (giống hình 26
trên) để chọn luôn các cụm máy tính tương tự còn lại. Click phải chuột vào 1 cụm
máy tính chọn Edit Attributes để cấu hình thuộc tính, xuất hiện bảng giống hình 27
bên dưới
hình 27
SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng
GVHD : Thầy Thái Thanh Tuấn 20 Đề Tài Firewall – VPN
Tìm đến mục Application: Supported Profiles chọn giá trị là edit sẽ xuất hiện bảng
giống hình 28 dưới
hình 28
chọn 1 ở mục Rows giống hình 28 trên và chọn tiếp mục Profile Name cũng như
hình 28 trên chọn edit và đặt tên là City Users, nhấn Ok
check dấu vào Apply Changes to Selected Objects. Để chọn cấu hình thuộc tính
giống nhau cho 2 cụm máy tính Marseille và Paris), nhấn ok.
Bước tiếp theo, ta cấu hình thống kê cho toàn hệ thống Ko_Firewall.
Click phải chuột ra vùng trống chọn Choose Individual Statistics để cấu hình xuất
hiện 1 bảng giống hình 29 ở dưới
Hình 29
SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng
GVHD : Thầy Thái Thanh Tuấn 21 Đề Tài Firewall – VPN
chọn lần lượt giống hình trên:
+ DB Query: check vào Traffic Received (bytes/sec): lưu lượng nhận được.
+ Email: check vào Traffic Received (bytes/sec): lưu lượng nhận đơn vị byte trên
giây.
check vào Traffic Received (packets/sec): lưu lượng nhận đơn vị là gói dữ
liệu trên 1 giây.
check vào Traffic Sent (bytes/sec): lưu lượng gửi đơn vị là bytes trên 1 giây.
+ HTTP: check vào Page Response Time(seconds): lưu lượng thời gian hồi đáp đơn
vị là giây.

check vào Traffic Received (bytes/sec): lưu lượng nhận đơn vị byte trên
giây.
check vào Traffic Sent (bytes/sec): lưu lượng gửi đơn vị là bytes trên 1 giây.
Đến đây đã cấu hình hoàn tất kịch bản đầu tiên cho hệ thống không có tường lửa
Ko_Firewall.
III.4.2. Kịch bản thứ 2 :
hệ thống có tường lửa nhưng không thực hiện các chính sách bảo mật, cấm quyền
với tên là Co_Firewall.
Ta nhân bản kịch bản 1 hệ thống không có tường lửa Ko_Firewall như sau: vào
Scenarious chọn Duplicate Scenario và sửa lại thành tên Co_Firewall
click phải chuột vào router server chọn Edit-Attributes xuất hiện bảng dưới như
hình 30
hình 30
SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng
GVHD : Thầy Thái Thanh Tuấn 22 Đề Tài Firewall – VPN
Ở hình 30 trên chọn như sau:
mục name: sữa ở tab Value với tên là: firewall
mục model: chọn bên tab Value chọn là ethernet2 slip 8 firewall.
hình 31
Đến đây ta hoàn tất kịch bản thứ 2 hệ thống có tường lửa Co_Firewall nhưng chưa
tinh chỉnh gì hết (hình 31).
III.4.3. Kịch bản thứ 3: có firewall và thực hiện chính sách bảo mật cấm
quyền truy xuất dịch vụ : database và email. Nhân bản kịch bản thứ 2 hệ
thống có tường lửa với tên Co_Firewall thành kịch bản thứ 3 hệ thống
có tên là Co_Firewall_block_data_email.
Vào menu: chọn Scenarios – Duplicate Scenario
hình 32
đặt tên là Co_Firewall_block_data_email như hình 32 trên.
SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng
GVHD : Thầy Thái Thanh Tuấn 23 Đề Tài Firewall – VPN

Click phải chuột vào firewall chọn Edit-Attributes sẽ xuất hiện giống hình 33 ở
dưới
hình 33
Tìm đến mục Proxy Server Information nhấp vào ( ) để mở tiếp 1 bảng giống hình
34 bên dưới
hình 34
SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng
GVHD : Thầy Thái Thanh Tuấn 24 Đề Tài Firewall – VPN
Ở mục Proxy Server Deployed chọn thành No tương ứng ở mục Application là
Database và Email giống như hình 34 trên. Nhấn Ok – Ok.
Bước cuối cùng là cài đặt quản lý kịch bản hệ thống và chạy mô phỏng:
Từ menu vào Scenarios – Manages Scenarios và chọn giống hình 35 bên dưới.
hình 35
Ở hình 35 trên, chọn bên cột Results ta đều chọn là <collect> và bên cột Sim
Duration đều chọn là 0.5.
Nhấn ok để bắt đầu chạy mô phỏng. Mô phỏng xong chọn Close để đóng.
SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng
GVHD : Thầy Thái Thanh Tuấn 25 Đề Tài Firewall – VPN
XEM LẠI KẾT QUẢ MÔ PHỎNG VÀ SO SÁNH:
hình 36
click chuột phải vào vùng trống, chọn Compare Results như hình 36 trên, sẽ xuất
hiện hình 37 ở dưới
hình 37
Kết quả mô phỏng qua các biểu đồ lưu lương như hình dưới
SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng

×