ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ


Vũ Hồng Phong


NGHIÊN CỨU TRIỂN KHAI NOKIA FIREWALL







KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Ngành: Công Nghệ Thông Tin










HÀ NỘI - 2009

ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ


Vũ Hồng Phong






NGHIÊN CỨU TRIỂN KHAI NOKIA FIREWALL







KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Ngành: Công Nghệ Thông Tin


Cán bộ hướng dẫn: ThS. Đoàn Minh Phương
Cán bộ đồng hướng dẫn: ThS. Nguyễn Nam Hải







HÀ NỘI - 2009


LỜI CẢM ƠN

Lời đầu tiên, em xin gửi lời cảm ơn chân thành tới ThS. Nguyễn Nam Hải và
ThS. Đoàn Minh Phương. Hai thầy đã giúp đỡ em lựa chọn đề tài đồng thời trực tiếp
hướng dẫn và đưa ra những nhận xét quý giá trong suốt quá trình em thực hiện khóa
luận này. Em cũng xin gửi lời cảm ơn tới các thầy trong Trung Tâm Máy Tính – Đại
học Công Nghệ - ĐHQGHN đã hết sức tạo điều ki
ện để em nghiên cứu và hoàn thành
khóa luận.
Em xin được cảm ơn các thầy, các cô trong trường Đại học Công Nghệ, trong
suốt bốn năm qua đã giảng dạy chúng em. Những kiến thức các thầy, các cô cung cấp
sẽ là hành trang vững chắc để em tiến bước trong tương lai.
Trong quá trình học tập, em đã nhận được rất nhiều sự giúp đỡ, động viên từ các
bạn trong lớp K50CA, K50MMT. Em xin được gửi lời cảm ơ
n tất cả các bạn.
Cuối cùng, em xin gửi lời cảm ơn sâu sắc nhất tới bố mẹ và gia đình em. Những
người luôn luôn cổ vũ, khích lệ và mang tới cho em những điều tốt đẹp nhất trong
cuộc sống.


TÓM TẮT NỘI DUNG


Phần mở đầu của Khóa luận sẽ đặt ra các vấn đề làm cơ sở cho việc thực hiện
Khóa luận. Các vấn đề được đặt ra dựa trên việc khảo sát thực tế hiện trạng hệ thống
mạng trường Đại học Công Nghệ (xem chi tiết trong phụ lục B).
Tiếp đó, Khóa luận sẽ trình bày giải pháp sử dụng Nokia Check Point để nâng
cao khả năng an ninh và hoạt
động của hệ thống mạng. Các phần sau của khóa luận sẽ
lần lượt trình bày về phương pháp cài đặt, triển khai thiết bị Nokia IP1220. Đầu tiên là
tìm hiểu về HĐH IPSO sử dụng trên Nokia IP1220, các bước cài đặt, cấu hình HĐH
IPSO. Tiếp đó là phần giới thiệu và cách cài đặt ứng dụng Firewall-1/VPN-1. Sau đó
là cách cấu hình tường lửa, thiết lập các chính sách an ninh, cấu hình NAT, Routing ,
cấu hình mạng riêng ảo VPN tích hợp với máy chủ LDAP. Tr
ước mỗi phần đều có nêu
tóm tắt các kiến thức cơ bản được sử dụng.
Phần kết luận sẽ nêu lên kết quả triển khai thành công Nokia Check Point trên hệ
thống mạng thực tế của trường Đại học Công Nghệ và các phương hướng, bổ sung cần
thực hiện trong tương lai.

MỤC LỤC

BẢNG VIẾT TẮT 7
DANH SÁCH HÌNH VẼ 8
DANH SÁCH BẢNG 10
ĐẶT VẤN ĐỀ 11
CHƯƠNG 1. GIỚI THIỆU TỔNG QUAN VỀ NOKIA CHECK POINT VÀ HỆ ĐIỀU HÀNH IPSO 13
1.1. Giải pháp Nokia Check Point 13
1.2. Tổng quan Nokia Check Point 13
1.2.1. Hệ điều hành IPSO 14
1.2.2. Cài đặt HĐH IPSO và cấu hình ban đầu 14
1.2.2.1. Boot Manager 15
1.2.2.2. Cài đặt IPSO 16

1.2.2.3. Cài đặt ban đầu 19
CHƯƠNG 2. CÀI ĐẶT CHECK POINT NGX R62 22
2.1. Giới thiệu 22
2.2. Cài đặt package 22
2.2.1. Cài đặt gói wrapper 23
2.2.1.1. Cài đặt với CLI 23
2.2.1.2. Cài đặt với Nokia Network Voyager 23
2.2.2. Cài đặt SmartConsole NGX R62 24
CHƯƠNG 3. THIẾT LẬP CẤU HÌNH TƯỜNG LỬA 25
3.1. Thiết lập cấu hình ban đầu 25
3.2. Chính sách tường lửa mặc định 27
3.3. Thiết lập các luật tường lửa qua SmartDashboard 29
CHƯƠNG 4. THIẾT LẬP CẤU HÌNH NAT 32
4.1. Ẩn giấu đối tượng mạng 32
4.2. Cấu hình luật NAT 33
CHƯƠNG 5. CẤU HÌNH SMARTDEFENSE 35
5.1. Giới thiệu về SmartDefense 35
5.2. Network Security 36
5.2.1. Denial of Service 36
5.2.2. IP and ICMP 36
5.2.3. TCP 37
5.2.4. Fingerprint Scrambling 38
5.2.5. Successive Events 38
5.2.6. Dynamic Ports 38
5.3. Application Intelligence 39
5.3.1. HTTP Worm Catcher 39
5.3.2. Cross-Site Scripting 40
5.3.3. HTTP Protocol Inspection 40

5.3.4. File and Print Sharing Worm Catcher 42

CHƯƠNG 6. THIẾT LẬP CẤU HÌNH VPN 43
6.1. Tổng quan về VPN 43
6.2. Giải pháp VPN Check Point cho truy cập từ xa 43
6.2.1. Cấu hình Office Mode sử dụng IP Pool 43
6.2.2. Truy cập VPN từ xa sử dụng SecuRemote/SecureClient 49
CHƯƠNG 7. CẤU HÌNH VPN TÍCH HỢP LDAP 54
7.1. Giới thiệu sơ lược về LDAP 54
7.2. Cấu hình VPN tích hợp LDAP 56
7.2.1. Cấu hình máy chủ LDAP 56
7.2.2. Cài đặt và cấu hình VPN-1 57
7.2.2.1. Kích hoạt SmartDirectory trong Global Properties 57
7.2.2.2. Tạo một host object cho OpenLDAP server 57
7.2.2.3. Tạo một LDAP Account Unit 58
7.2.2.4. Tạo LDAP group 59
CHƯƠNG 8. TRIỂN KHAI THỰC TẾ 60
8.1. Phân tích và giải pháp 60
8.2. Cài đặt 62
8.2.1. Lắp đặt và cài đặt ban dầu 62
8.2.2. Thiết lập cấu hình 65
8.3. Giám sát và quản lý 80
KẾT LUẬN 86
PHỤ LỤC 87
Phụ lục A. fw1ng.schema 87
Phụ lục B: Hiện trạng mạng VNUNet 90
TÀI LIỆU THAM KHẢO 97

7
BẢNG VIẾT TẮT





BGP Border Gateway Protocol
CLISH Command Line Interface Shell
DHCP Dynamic Host Configuration Protocol
DNS Domain Name System
ĐHQGHN Đại Học Quốc Gia Hà Nội
FreeBSD Free Berkeley Software Distribution
FTP File Transfer Protocol
GUI Graphic User Interface
HTTP Hypertext Transfer Protocol
HTTPS Hypertext Transfer Protocol Secure
ICMP Internet Control Message Protocol
IGRP Interior Gateway Routing Protocol
IP Internet Protocol
IPSO IP Security Operating System
ISS Internet Security System
LDAP Lightweight Directory Access Protocol
NAT Network Address Translation
OSI Open Systems Interconnection
OSPF Open Shortest Path First
RIP Routing Information Protocol
SNMP Simple Network Management Protocol
SSH Secure Shell
TCP Tranmission Control Protocol
Telnet Telecomunication network
VNUNet Vietnam National University Network
VPN Virtual Private Network



8

DANH SÁCH HÌNH VẼ


Hình 1. Nokia IP1220 Platform 13
Hình 2. SmartDashboard – Security 30
Hình 3. Thực thi cài đặt 31
Hình 4. SmartDashboard – Address Translation 32
Hình 5. Cấu hình luật NAT tự động 33
Hình 6. Các luật NAT 34
Hình 7. Global Properties - NAT 34
Hình 8. Network Quota 37
Hình 9. Dynamic Ports 39
Hình 10. General HTTP Worm Catcher 40
Hình 11. HTTP Protocol Inspection 41
Hình 12. File and Print Sharing 42
Hình 13. Check Point Gateway – General Properties 44
Hình 14. Tạo Network Object 45
Hình 15. Cấu hình Office Mode 46
Hình 16. Tạo User 47
Hình 17. Remote Access Community Properties 48
Hình 18. Remote Access Rule 48
Hình 19. Server Address 50
Hình 20. Authentication Method 50
Hình 21. Connectivity Settings 51
Hình 22. Advanced Settings 51
Hình 23. Validate Site 52
Hình 24. Giao diện kết nối SecureClient 52
Hình 25. Tạo Profile 53

Hình 26. Hoạt động của giao thức LDAP 54
Hình 27. Entry 54
Hình 28. Kích hoạt Smart Directory 57
Hình 29. LDAP Server Properties 58
Hình 30. Mô hình mạng cũ 60
Hình 31. Mô hình mạng mới 61
Hình 32. Thông tin về hệ điều hành và các gói kích hoạt 63
Hình 33. Cấu hình các cổng của thiết bị 64
Hình 34. Đặt gateway 64
Hình 35. Cấu hình Host Name, SNMP 65
Hình 36. Smartmap 65
Hình 37. General Properties 66
Hình 38. Topology 67
Hình 39. Các luật tường lửa 68
Hình 40. Protection Overview 69
Hình 41. Remote Access 69

9
Hình 42. Remote Access Community Properties 70

Hình 43. VPN Basic 71
Hình 44. VPN - IKE 71
Hình 45. VPN – IPSEC 72
Hình 46. VPN NAT 72
Hình 47. Tạo Host Node 73
Hình 48. Thẻ General 73
Hình 49. LDAP Server Properties 74
Hình 50. Thẻ Server 74
Hình 51. Thẻ Object Management 75
Hình 52. Hiển thị tài khoản LDAP 75

Hình 53. LDAP Group 76
Hình 54. Luật Remote Access 76
Hình 55. Chọn Visitor Mode 77
Hình 56. Màn hình đăng nhập 78
Hình 57. Thiết lập kết nối 78
Hình 58. Xác thực tài khoản 78
Hình 59. Kết nối thành công 79
Hình 60. Kiểm tra địa chỉ 79
Hình 61. Kiểm tra bảng định tuyến 80
Hình 62. SmartView Tracker - Log 81
Hình 63. Record Detail 81
Hình 64. SmartView Tracker – Active 82
Hình 65. SmartView Tracker - Audit 83
Hình 66. SmartView Monitor 84
Hình 67. SmartView Monitor - System 85
Hình 68. SmartView Monitor – Remote User 85
Hình 69. Mô hình logic hệ thống mạng VNUnet…………………………………… 69
Hình 70. Mô hình logic hệ thống mạng CTnet…………………………………… 94


10
DANH SÁCH BẢNG


Bảng 1. Các tham biến của Boot Manager 15
Bảng 2. Các bộ lọc mặc định 28






11
ĐẶT VẤN ĐỀ

ĐHQGHN là một tổ chức đại học quy mô trung bình bao gồm nhiều đơn vị thành
viên và trực thuộc, với nhiều campus phân bố trên diện tích khá rộng trong nội thành
thủ đô Hà Nội.
Trong quá khứ, VNUnet được xây dựng theo hướng tập hợp các mạng LAN sẵn
có của các đơn vị thành viên và trực thuộc nên cơ sở hạ tầng truyền thông thuộc quyền
quản lý của VNUnet chỉ bao gồm các đường cáp kết nố
i từ điểm trung tâm tại E3, 144
Xuân Thuỷ đến các điểm tập trung của các LAN thành viên (theo chuẩn Ethernet
100/1000 Mbps), các đường kết nối ra môi trường bên ngoài và các thiết bị ghép nối
tập trung. Hệ thống LAN trong mỗi đơn vị thuộc quyền quản lý của chính đơn vị đó.
Sự ổn định, an toàn, an ninh của VNunet chịu ảnh hưởng trực tiếp từ các mạng
thành viên. Hiệu quả khai thác cài tài nguyên, dịch vụ của VNUnet cũ
ng được xác
định từ chính những người dùng cuối trong các mạng thành viên.
Hệ thống mạng hiện tại mới chỉ chủ yếu cung cấp tạm thời các đường truyền theo
mô hình mạng phẳng, không phân cấp, không có các giải pháp đảm bảo an ninh và
quản trị và chỉ có thể cung cấp một số dịch vụ mạng hiệu quả hạn chế, không thể đáp
ứng nhu cầu nghiên cứu, đào tạo hiệ
n tại của Trường.
Kế hoạch chiến lược phát triển của ĐHQGHN là phấn đấu đến năm 2020 trở
thành đại học theo định hướng nghiên cứu, đa ngành đa lĩnh vực ngang tầm các đại
học tiên tiến trong khu vực Châu Á; một số lĩnh vực và nhiều ngành, chuyên ngành đạt
trình độ quốc tế.
Trong giai đoạn phát triển mới ĐHQGHN đã xác định ưu tiên đầu tư
phát triển
VNUnet hiện đại, đồng bộ, đi trước một bước, với vai trò là một trong những công cụ

hỗ trợ công nghệ cao, phục vụ mục tiêu phát triển ĐHQGHN đạt tầm các đại học tiên
tiến trong khu vực châu Á, trong tất cả các phạm vi hoạt động quản lý, nghiên cứu
khoa học và đào tạo.
Để khắc phục các hạn chế của hệ thống mạng hiện tại và
đáp ứng mục tiêu phát
triển hệ thống mạng VNUnet, đề án phát triển mạng VNUnet đã đưa ra các mục tiêu
cần phát triển. Hai trong số các mục tiêu đó là:
- Có giải pháp quản lý giám sát một cách chuyên nghiệp để mạng hoạt động
thông suốt, ổn định, hiệu quả.

12
- Có giải pháp đảm bảo an toàn, an ninh chống thâm nhập, phá hoại, chống
truy cập trái phép.
Để hoàn thành những mục tiêu đã đề ra này, việc nghiên cứu triển khai các công
nghệ tiên tiến trên thế giới là một vấn đề vô cùng cần thiết. Trong đó công việc quản
trị và đảm bảo an toàn, an ninh cho hệ thống mạng VNUnet phải được đặt lên hàng
đầu. Do đó, khóa luận này có ý nghĩa thực tế rất lớn trong việc phát tri
ển Đại học quốc
gia Hà Nội.

13
CHƯƠNG 1. GIỚI THIỆU TỔNG QUAN VỀ NOKIA CHECK
POINT VÀ HỆ ĐIỀU HÀNH IPSO
1.1. Giải pháp Nokia Check Point




Hình 1. Nokia IP1220 Platform


Nokia IP1220 là một trong một loạt sản phẩm Nokia IP, dòng thiết bị phần cứng
chuyên cung cấp các giải pháp mạnh mẽ và chuyên dụng về tường lửa/VPN cũng như
tích hợp được rất nhiều tính năng được kỳ vọng khác.
Nokia IP1220 giống như một tấm lá chắn bảo vệ hệ thống mạng bên trong, ngăn
chặn các lưu thông bất hợp pháp vào bên trong mạng, kiểm soát tất cả các gói tin đi
qua, thi
ết lập các chính sách phù hợp với yêu cầu đối với tất cả các đối tượng cả bên
trong và bên ngoài mạng. Thiết bị sẽ đóng vai trò lớp rào cản ban đầu vững chắc cho
các hệ thống quan trọng như hệ thống Server, Data Center Ngoài ra nó còn có thể
đóng vai trò của một VPN gateway, cung cấp giải pháp mạng riêng ảo cho mạng, có
khả năng tích hợp với các hệ thống cung cấp dịch vụ thư mục để
quản lý các tài khoản
người dùng. Trong bối cảnh hệ thống mạng hiện tại của trường Đại học Công Nghệ
chưa có một thiết bị tường lửa và VPN thực sự chuyên dụng thì Nokia IP1220 là một
sự bổ sung rất chính xác và hợp lý.
1.2. Tổng quan Nokia Check Point [4]
Hệ điều hành dùng trong các sản phẩm Nokia IP có tên gọi là IPSO.


14
1.2.1.Hệ điều hành IPSO
Hệ điều hành IPSO là lõi của nền tảng Nokia IP Security. Nó là một hệ điều hành
bảo mật và thu gọn dựa trên nền tảng UNIX có thể chạy hiệu quả trên các thiết bị phần
cứng nhỏ hơn. IPSO ban đầu là một nhánh của hệ điều hành FreeBSD 2.2.6 và đã
được thay đổi đáng kể qua nhiều năm nên có thể xem nó như một họ hàng xa của
FreeBSD. Và d
ần dần, nó trở thành hệ điều hành thích ứng với các ứng dụng như bộ
sản phẩm Check Point VPN-1/Firewall-1 và phần mềm ISS RealSecure Network
Intrusion Detection Sensor.
Nhiều câu lệnh UNIX vẫn hoạt động bình thường trong giao diện dòng lệnh

(CLI) của IPSO. Tuy nhiên chỉ có rất ít các thao tác quản trị sử dụng bộ lệnh UNIX
chuẩn. Thay vào đó, IPSO cung cấp hai tiện ích biên soạn dòng lệnh mạnh mẽ là ipsctl
và Command Line Interface Shell (CLISH). Lệnh ipsctl được sử dụng như một công
c
ụ xử lý sự cố, còn CLISH được dùng để cấu hình tất cả các thiết lập cho HĐH IPSO.
Mặc dù có thể cấu hình IPSO trực tiếp từ CLI, nhưng giống như hầu hết các hệ
điều hành mạng khác, người dùng cũng được cung cấp một lựa chọn khác đó là cấu
hình qua giao diện web. Nokia Network Voyager cho phép cấu hình thiết bị Nokia IP
qua trình duyệt web. Nokia Network Voyager có thể dùng để cài đặt và theo dõi trong
suốt quá trình hoạt động của thi
ết bị.
Để thiết lập cấu hình cho IPSO, người dùng có thể truy cập trực tiếp tới thiết bị
qua cổng Console. Ngoài ra, người dùng có thể truy cập từ xa tới thiết bị bằng cách sử
dụng Telnet, FTP, SSH hoặc HTTP/HTTPS.
1.2.2.Cài đặt HĐH IPSO và cấu hình ban đầu
Kết nối tới cổng Console của thiết bị. Có thể sử dụng một số phần mềm terminal
emulator như HyperTerminal, SecureCRT… Thiết lập cấu hình cho terminal emulator
như sau:
• Bits/second (BPS): 9600
• Data bits: 8
• Parity: None
• Stop bits: 1
• Flow control: None
• Terminal emulation: Auto, VT100, hoặc VT102

15
1.2.2.1.Boot Manager
Chương trình Boot Manager chạy khi hệ thống khởi động, trước khi nhân IPSO
được đưa vào bộ nhớ. Boot Manager được đặt ở trong đĩa cứng hoặc bộ nhớ flash tùy
theo từng phiên bản của thiết bị. Nếu không bị ngắt, Boot Manager sẽ khởi động hệ

thống với nhân mặc định, còn nếu bị ngắt thì giao diện dòng lệnh sẽ được hiển thị. Chế
độ này thường dùng cho mục đích qu
ản trị: bảo trì hệ thống hoặc cài đặt lại các hệ điều
hành.
Để khởi động chương trình Boot Manager trước hết phải khởi động thiết bị. Sau
khi hoàn thành quá trình kiểm tra bộ nhớ, thiết bị sẽ hiển thị ra hai lựa chọn, một là
Boot Manager (1 Bootmgr) và hai là IPSO (2 IPSO). Lựa chọn 2 để bắt đầu khởi động
vào hệ điều hành IPSO. Để vào chế độ Boot Manager sử dụng l
ựa chọn 1.

1 Bootmgr
2 IPSO
Default: 1
Starting bootmgr
Loading boot manager
Boot manager loaded.
Entering autoboot mode.
Type any character to enter command mode.
BOOTMGR[1]>

Bảng dưới đây liệt kê các tham biến của Boot Manager mà người dùng có thể
định nghĩa.

Bảng 1. Các tham biến của Boot Manager


Tên
tham biến
Ý nghĩa Giá trị mặc định
autoboot Đợi quá trình bootwait hay không Có

boot-device Nơi nạp file boot Wd0
boot-file Đường dẫn tới image của nhân /image/current/kernel
boot-flags Cờ để truyền tới nhân -x
-x Không nhận đĩa flash làm wd0 N/A
-d Vào bộ sửa lỗi nhân ngay khi khởi động N/A
-s
Chế độ đơn người dùng. Có thể yêu cầu mật
khẩu admin nếu đánh dấu “insecure” trong
/etc/ttys
N/A
-v Chế độ hiển thị chi tiết N/A
bootwait
Thời gian đợi truy cập boot manager trước khi
vào hệ điều hành
5 giây


16
Chú ý: Nếu chọn No cho tùy chọn autoboot, thiết bị sẽ không hiển thị menu nhắc truy
cập vào Boot Manager trong khi khởi động. Trong trường hợp đó, cần vào lệnh boot từ
kết nối console và khởi động thiết bị.
Các lệnh sử dụng trong chế độ Boot Manager:
- printenv: in tất cả các biến và giá trị của nó lên màn hình.
- showalias: hiển thị tất cả các alias trong bộ nhớ.
- sysinfo: hiển th
ị CPU, bộ nhớ và thông tin thiết bị.
- ls: hiển thị nội dung của một thư mục đưa ra bởi đường dẫn trên thiết bị. Ví
dụ: ls wdo /image/current hiển thị nội dung của thư mục hoạt động hiện tại.
- setenv: sử dụng để thiết lập biến môi trường. Cú pháp là setenv tên giá trị. Ví
dụ: setenv bootwait 10.

- unsetenv: ngược lại của setenv.
- set-default: gán giá trị
mặc định cho tất cả các biến môi trường.
- setalias: thiết lập các alias, cú pháp là setalias <Tên thiết bị>.
- showalias: hiển thị danh sách các alias hiện tại đã định nghĩa.
- unsetalias: hủy bỏ alias.
- halt: tạm dừng hệ thống, đây là cách an toàn nhất để tắt thiết bị Nokia.
- help: hiển thị trợ giúp cho các lệnh trong Boot Manager.
- boot: khởi động hệ thống bằng tay. Cho phép ch
ỉ định khởi động từ thiết bị
nào, với một image nhân cụ thể, sử dụng các cờ nhân. Lệnh này được sử dụng
để khôi phục lại hệ thống khi bị lỗi.
- install: chạy tiến trình cài đặt.
- passwd:thiết lập mật khẩu cài đặt (khi chạy lệnh install).
1.2.2.2.Cài đặt IPSO
Các bước cấu hình gồm:
- Khởi động thiết bị và vào chế độ Boot Manager
- Khởi động tiến trình cài đặt
- Lựa chọn các câu trả lời khi được hỏi
- Khởi động lại thiết bị khi việc cài đặt ban đầu hoàn tất

17
- Tiếp tục với cấu hình ban đầu của thiết bị
Khởi động thiết bị để vào chế độ Boot Manager bằng cách sử dụng tùy chọn 1
(như hướng dẫn trong phần Boot Manager).
Để khởi động tiến trình cài đặt, tại dấu nhắc BOOTMGR[1]> gõ lệnh install

BOOTMGR[1]> install

Một cảnh báo hiện ra cho biết người dùng sẽ phải nhập các thông tin như địa chỉ

IP máy khách, netmask, số serial hệ thống… trong suốt quá trình cài đặt và nếu tiếp
tục cài đặt tất cả các tệp và dữ liệu tồn tại trên đĩa sẽ bị xóa. Để tiếp tục, nhập vào lựa
chọn y.

################### IPSO Full Installation ####################
You will need to supply the following information:
Client IP address/netmask, FTP server IP address and flename,
system serial number, and other license information.
This process will DESTROY any existing fles and data on your disk.
#################################################################
Continue? (y/n) [n] y

Bước tiếp theo là nhập số serial của thiết bị. Số serial thường được ghi ở phía
sau của thiết bị.

Motherboard serial number is NONE.
The chassis serial number can be found on a
sticker on the back of the unit with the letters
S/N in front of the serial number.
Please enter the serial number: 12345678
Please answer the following licensing questions.

Người dùng được hỏi là có sử dụng các giao thức định tuyến IRGP và BGP
không. Để sử dụng các giao thức này cần phải mua licence. Việc lựa chọn hay không
là tùy thuộc vào từng yêu cầu cụ thể.

Will this node be using IGRP ? [y] n
Will this node be using BGP ? [y] n

Để cài đặt, thiết bị phải tải image của IPSO từ một máy chủ FPT. Tùy vào cấu

hình của máy chủ FPT người dùng có thể chọn cài đặt từ một máy chủ anonymous
FTP, hoặc từ một máy chủ FPT yêu cầu username và password. Tiếp đó người dùng
phải nhập địa chỉ ip cho thiết bị Nokia IP, địa chỉ IP của máy chủ FTP, và nhập default
gateway cho thiết bị

1. Install from anonymous FTP server.

18
2. Install from FTP server with user and password.
Choose an installation method (1-2): 1
Enter IP address of this client (10.3.2.5/24): 192.168.200.10/24
Enter IP address of FTP server (0.0.0.0): 192.168.200.50
Enter IP address of the default gateway (0.0.0.0): 192.168.200.1

Sau đó, chọn cổng và nhập địa chỉ ip, subnet mask cho cổng sử dụng để kết nối
với máy chủ FTP.

Choose an interface from the following list:
1) eth1
2) eth2
3) eth3
4) eth4
Enter a number [1-4]: 4
Choose interface speed from the following list:
1) 10 Mbit/sec
2) 100 Mbit/sec
Enter a number [1-2]: 2

Chọn chế độ duplex cho cổng.


Half or full duplex? [h/f] [h] f

Sau khi cấu hình cổng xong, người dùng phải cung cấp đường dẫn và tên của gói
cài đặt IPSO trên máy chủ FTP. Nhập kí tự / nếu gói nằm tại thư mục gốc.

Enter path to ipso image on FTP server [/]: /
Enter ipso image flename on FTP server [ipso.tgz]: ipso.tgz

Hệ thống sẽ hỏi người dùng có muốn nhận thêm các gói khác trên máy chủ FTP
không, và lựa chọn cách thức nhận các gói. Nếu chỉ cần cài đặt IPSO thì sử dụng lựa
chọn 3.

1. Retrieve all valid packages, with no further prompting.
2. Retrieve packages one-by-one, prompting for each.
3. Retrieve no packages.
Enter choice [1-3] [1]: 3

Cuối cùng màn hình sẽ hiển thị các cấu hình vừa mới thực hiện để người dùng
kiểm tra và xác nhận. Nhập y để bắt đầu cài đặt.

Client IP address=192.168.200.10/24
Server IP address=192.168.200.50
Default gateway IP address=192.168.200.1
Network Interface=eth1, speed=100M, full-duplex
Server download path=[//]
Package install type=none
Mirror set creation=no
Are these values correct? [y] y

19

Nếu thiết bị kết nối thành công đến máy chủ FTP và tìm được gói cài đặt IPSO.
Các thông báo về trạng thái các bước cài đặt được hiển thị.

Downloading compressed tarfle(s) from 192.168.200.50
Hash mark printing on (1048576 bytes/hash mark).
Interactive mode off.
100% 36760 KB 00:00 ETA
Checking validity of image. . .done.
Installing image. . .done.
Image version tag: IPSO-4.2-BUILD069-10.27.2007-035617-1515.
Checking if bootmgr upgrade is needed. . .
Need to upgrade bootmgr. Proceeding
Upgrading bootmgr. . .
new bootmgr size is 2097152
old bootmgr size is 1474560
Saving old bootmgr.
Installing new bootmgr.
Verifying installation of bootmgr.

Khi cài đặt xong, hệ thống sẽ gửi thông báo Installation completes cho người
dùng, và yêu cầu gõ Enter để khởi động lại thiết bị.

Installation completed.
Reset system or hit <Enter> to reboot.

Sau khi cài đặt xong hệ điều hành IPSO, người dùng phải thực hiện một số cấu
hình cho lần khởi động đầu tiên.
1.2.2.3.Cài đặt ban đầu
Có thể sử dụng DHCP để cung cấp hostname, địa chỉ IP và gateway cho thiết bị.
Tuy nhiên, người dùng thường sử dụng phương pháp cấu hình bằng tay qua kết

nối console. Đầu tiên sau khi khởi động lên, màn hình sẽ hiện lên yêu cầu nhập
hostname cho thiết bị, và yêu cầu xác nhận lại.

Please choose the host name for this system. This name will be
used in messages and usually corresponds with one of the network
hostnames for the system. Note that only letters, numbers, dashes,
and dots (.) are permitted in a hostname.
Hostname? pint
Hostname set to “pint”, OK? [y] y

Nhập mật khẩu cho tài khoản admin dùng để xác thực khi truy cập vào chế độ
CLI hoặc vào giao diện web Nokia Network Voyager.

Please enter password for user admin: notpassword
Please re-enter password for confrmation: notpassword

20
Sau khi cấu hình xong hostname và mật khẩu admin cho thiết bị, người dùng
được hỏi là có muốn sử dụng Nokia Network Voyager để cấu hình cho thiết bị hay chỉ
sử dụng giao diện dòng lệnh CLI.

You can confgure your system in two ways:
1) confgure an interface and use our Web-based Voyager via a
remote browser
2) confgure an interface by using the CLI
Please enter a choice [ 1-2, q ]: 1

Chọn cổng sử dụng để cấu hình thiết bị và nhập vào địa chỉ IP, subnet mask cho
cổng vừa chọn.


Select an interface from the following for confguration:
1) eth1
2) eth2
3) eth3
4) eth4
5) quit this menu
Enter choice [1-11]: 4
Enter the IP address to be used for eth4: 192.168.200.10
Enter the masklength: 24

Cấu hình default gateway cho thiết bị.

Do you wish to set the default route [ y ] ? y
Enter the default router to use with eth4: 192.168.200.1

Mặc định cổng được cấu hình chế độ full duplex và tốc độ 1000 mbs. Hệ thống
sẽ hỏi người dùng có muốn giữ cấu hình này hay muốn thay đổi.

This interface is configured as 1000 mbs by default.
Do you wish to configure this interface for other speeds [ n ] ? n

Sau đó màn hình sẽ hiển thị lại các cấu hình vừa thiết lập để người dùng kiểm tra
và xác nhận lại. Nhập y để chấp nhận.

You have entered the following parameters for the eth4 interface:
IP address: 192.168.200.10
masklength: 24
Default route: 192.168.200.1
Speed: 1000M
Duplex: full

Is this information correct [ y ] ? y

Cũng có thể cấu hình vlan cho cổng đã chọn. Thông thường lựa chọn là n.

Do you want to configure Vlan for this interface[ n ] ? n
You may now confgure your interfaces with the Web-based Voyager by
typing in the IP address “192.168.200.10” at a remote browser.

21

Bắt đầu từ thời điểm này, người dùng có thể kết nối tới thiết bị Nokia sử dụng
giao diện web Nokia Network Voyager từ trình duyệt
Tùy chọn cuối cùng trong lần cấu hình đầu tiên này đó là thay đổi chuỗi SNMP
comminity mặc định. Việc thay đổi này tùy thuộc vào yêu cầu thực tế.

Do you want to change SNMP Community string [ n ] ? n

Nếu thiết bị được đặt ở xa, người dùng phải sử dụng Telnet hoặc SSH để kết nối
đến và cấu hình cho thiết bị. Mặc định chỉ có SSH được bật. Nếu muốn sử dụng
Telnet, người dùng có thể kích hoạt bằng cách thực hiện các lệnh sau (ở giao diện
dòng lệnh CLI).

pint[admin]# clish
NokiaIP1220:9> set net-access telnet yes
NokiaIP1220:10> save confg
NokiaIP1220:11> quit

Cũng có thể kích hoạt dịch vụ Telnet dễ dàng bằng cách sử dụng giao diện web
Nokia Network Voyager.



22
CHƯƠNG 2. CÀI ĐẶT CHECK POINT NGX R62 [6]
2.1. Giới thiệu
Sau khi cài đặt IPSO cho Nokia IP1220, thiết bị đã có một nền tảng để chạy
tường lửa, VPN hay các ứng dụng khác. Bước tiếp theo, người dùng phải cài gói ứng
dụng tường lửa, VPN lên thiết bị. Để làm điều này, có thể sử dụng ứng dụng Check
Point NGX R62.
Ứng dụng Check Point NGX R62 gồm các sản phẩm quản lý, sản phẩm gateway,
và phần mềm máy khách. Trong đó sản phẩm Check Point Power và Check Point
UTM là quan trọng nhất. Chúng gồm có ba thành phầ
n chính sau:
- Enforcement module: là các module VPN-1 Power hoặc VPN-1 UTM.
- Management server: SmartCenter server lưu giữ cơ sở dữ liệu về các định
nghĩa đối tượng, định nghĩa người dùng, các chính sách và các tệp log.
- SmartConsole: chứa các ứng dụng GUI để quản lý các khía cạnh khác nhau
của chính sách an ninh. SmartConsole chứa SmartDashboard, một ứng dụng
cho người quản trị dùng để định nghĩa các đối tượng mạng, người dùng và
các chính sách.
Chúng ta sẽ triển khai SmartCenter server và Enforcement module trên thiết bị
còn SmartConsole s
ẽ được triển khai trên các máy chạy HĐH Microsoft Windows.
Cách triển khai này được gọi là triển khai độc lập.
Để chạy NGX R62, phải có hệ điều hành Nokia IPSO 3.9, 4.1 hoặc 4.2 ( phiên
bản HĐH IPSO có thể xem trong Nokia Network Voyager). Người dùng cũng cần
kiểm tra xem ứng dụng Check Point đã được cài trên thiết bị chưa (xem trang Manage
Packages của Nokia Network Voyager). Nếu đã cài đặt rồi thì có thể chuyển sang phần
cấu hình.
2.2. Cài đặt package
Trước hết cần tải NGX R62 về từ website Check Point (địa chỉ


). Các gói cài đặt cần tải gồm có:
- R62 wrapper cho Nokia IPSO (IPSO_wrapper_R62.tgz) để cài đặt
enforcement module và SmartCenter server.

23
- SmartConsole R62 (SmartConsole_R62_xxxxxxxxx_x_Win.zip).
2.2.1.Cài đặt gói wrapper
Để cài đặt gói wrapper người dùng có thể sử dụng giao diện dòng lệnh CLI hoặc
sử dụng Nokia Network Voyager.
2.2.1.1.Cài đặt với CLI
Sao chép gói wrapper vào thư mục /opt/packages (sử dụng lệnh scp hoặc phần
mềm WinSCP).
Gõ lệnh newpkg –i. Xuất hiện các tùy chọn sau:

1. Install from CD-ROM.
2. Install from anonymous FTP server.
3. Install from FTP server with user and password.
4. Install from local filesystem.
5. Exit new package installation.

Chọn lựa chọn số 4. Hệ thống sẽ hỏi về đường dẫn đến gói. Nhập vào
/option/packages rồi nhấn Enter. Chương trình cài đặt sẽ tìm gói Check Point NGX
giải nén các file cần cho quá trình cài đặt. Chương trình sẽ đưa ra bốn lựa chọn: cài
đặt, nâng cấp, bỏ qua, và thoát. Nhập 1 để cài đặt. Sau khi cài đặt xong, người dùng
phải đăng xuất sau đó đăng nhập lại. Việc này để đảm bảo việc thiết lậ
p các biến môi
trường vừa được tạo ra trong quá trình cài đặt. Sau đó người dùng có thể chạy lệnh
cpconfig.
2.2.1.2.Cài đặt với Nokia Network Voyager

Mở trang Install Packages theo đường dẫn Configuration | System Configuration
| Packages | Install Package.
Nhập tên hoặc địa chỉ IP của máy chủ FTP chứa gói wrapper.
Nhập tên thư mục chứa gói wrapper trên máy chủ FTP.
Nhập tên và mật khẩu để kết nối với máy chủ FTP.
Chọn Apply. Một danh sách các tệp hiện ra.
Chọn gói từ danh sách và nhấn Apply.
Sau khi tải xong, gói sẽ xuất hiện trong ô Select a Package to Unpack.
Chọn gói rồi nhấn Apply.
Nhấn tiếp vào liên kết: Click here to install/upgrade /opt/packages/packagename.
Chọn Yes để cài đặt và nhấn Apply.

24
Sau khi cài đặt xong, màn hình sẽ hiện ra liên kết đến trang Manage Installed
Packages. Nhấn vào liên kết để xem các gói đã cài đặt.
Người dùng có thể kích hoạt hoặc vô hiệu hóa một gói bất kỳ trong các gói đã cài
đặt bằng cách vào trang Manage Installed Packages, chọn On để kích hoạt, Off để vô
hiệu hóa.
Chú ý:
Để sử dụng tường lửa, VPN thì gói Check Point VPN-1 Power/UTM phải được
kích hoạt (gói này được kích hoạt mặc định sau khi cài đặt).
2.2.2.Cài đặt SmartConsole NGX R62
SmartConsole là một tập hợp các chương trình máy khách. Gồm có:
- SmartDashboard: dùng bởi quản trị viên hệ thống để định nghĩa và quản lý
các chính sách bảo mật.
- SmartView Tracker: sử dụng để quản lý và theo dõi log và alert thông qua hệ
thống.
- SmartView Moniter: theo dõi và tạo các báo cáo về lưu thông trên các cổng,
các module VPN-1 Power và QoS.
- SmartUpdate: quản lý và lưu trữ license.

- SecureClient Packaging Tool: định nghĩa hồ sơ người dùng cho chương trình
SecuRemote/SecureClient.
- Eventia Reporter: tạo ra các báo cáo về hoạt động của mạng.
- SmartLSM: quản lý số
lượng lớn ROBO gateway sử dụng SmartCenter
server.
SmartConsole được cài đặt trên nền tảng Windows. Sau khi tải phần mềm
SmartConsole NGX R62 về, người dùng giải nén và chạy tiến trình cài đặt như đối với
các phần mềm bình thường khác.

25
CHƯƠNG 3. THIẾT LẬP CẤU HÌNH TƯỜNG LỬA
3.1. Thiết lập cấu hình ban đầu
Trước khi có thể thiết lập cấu hình tường lửa, NAT, VPN…, người dùng cần phải
cấu hình module VPN-1 Power hoặc VPN-1 UTM bằng lệnh cpconfig. Quá trình cấu
hình cpconfig diễn ra như sau.
Kết nối qua cổng Console hoặc kết nối từ xa tới thiết bị. Gõ lệnh cpconfig. Màn
hình hiện ra văn bản licence. Nhấn phím Spacebar để cuộn màn hình xuống cuối cùng
rồi nhập y để tiếp tục.

cpngx[admin]# cpconfig
Welcome to Check Point Configuration Program
=========================================================
Please read the following license agreement.

Tiếp theo màn hình hiện ra hai tùy chọn cài đặt. Chọn tùy chọn 1 (có thể chọn
khác tùy theo yêu cầu người dùng).

(1) Check Point Power.
(2) Check Point UTM.

Enter your selection (1-2/a-abort) [1]: 1

Chọn loại cài đặt là độc lập hay phân tán.

Select installation type:

(1) Stand Alone - install VPN-1 Pro Gateway and SmartCenter
Enterprise.
(2) Distributed - install VPN-1 Pro Gateway, SmartCenter and/or
Log Server.
Enter your selection (1-2/a-abort) [1]: 1

Check Point sẽ hỏi người dùng có muốn thêm license không. Chọn y để thêm
licence, chọn n để tiếp tục cấu hình còn license có thể được thêm vào sau.
Bước tiếp theo là thêm một tài khoản quản trị. Tài khoản này dùng để đăng nhập
vào SmartCenter Server.

Do you want to add an administrator (y/n) [y] ?
Administrator name: peter
Password:
Verify Password:
Administrator peter was added successfully and has
Read/Write Permission for all products with Permission to Manage
Administrators