Tải bản đầy đủ (.doc) (98 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

NGHIÊN CỨU VÀ ỨNG DỤNG IPCOP FIREWALL TÌM HIỂU ỨNG DỤNG VOICE IP

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.81 MB, 98 trang )

ĐẠI HỌC ĐÀ NẴNG
TRƯỜNG ĐẠI HỌC BÁCH KHOA
KHOA CÔNG NGHỆ THÔNG TIN
Tel. (84-511) 736 949, Fax. (84-511) 842 771
Website: itf.ud.edu.vn, E-mail:
BÁO CÁO THỰC TẬP TỐT NGHIỆP
NGÀNH CÔNG NGHỆ THÔNG TIN
MÃ NGÀNH : 05115
ĐỀ TÀI :
NGHIÊN CỨU VÀ ỨNG DỤNG IPCOP FIREWALL
TÌM HIỂU ỨNG DỤNG VOICE IP
SINH VIÊN : LÊ BÁ LƯỢNG
PHAN THANH HẢI
NGUYỄN MINH CHÍ
HOÀNG THANH TÙNG
NGUYỄN THANH TÙNG
LỚP : 06T4
ĐƠN VỊ : TRƯỜNG TÂN GROUP
CBHD : HỒ ĐẮC BIÊN
ĐÀ NẴNG, 1/2011
LỜI CẢM ƠN
Chúng em xin chân thành cảm ơn trung tâm Trường Tân Group đã tạo
điều kiện cho chúng em được thực tập tại trung tâm, được hỗ trợ thiết bị
máy móc và các cơ sở vật chất trong suốt thời gian thực tập tại trung tâm.
Và đặc biệt cảm ơn anh Hồ Đắc Biên đã trực tiếp, tận tình giúp đỡ và
hướng dẫn chúng em trong suốt thời gian thực tập tại công ty.
Chúng em xin chân thành cảm ơn các anh,chị trong công ty đã nhiệt
tình giúp đỡ chúng em hoàn thành đề tài này.
Xin các bạn cùng lớp đã ủng hộ, động viên, giúp đỡ và đóng góp ý kiến.
Chúng em xin chân thành cảm ơn!
Sinh viên


Lê Bá Lượng
Nguyễn Minh Chí
Phan Thanh Hải
Hoàng Thanh Tùng
Nguyễn Thanh Tùng
LỜI CAM ĐOAN
Chúng em xin cam đoan :
1 Những nội dung trong báo cáo này là do tôi thực hiện dưới sự
hướng dẫn trực tiếp của anh Hồ Đắc Biên
2 Mọi tham khảo dùng trong báo cáo này đều được trích dẫn rõ ràng
tên tác giả, tên công trình, thời gian, địa điểm công bố.
3 Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá,
tôi xin chịu hoàn toàn trách nhiệm.
Sinh viên,
Lê Bá Lượng
Nguyễn Minh Chí
Phan Thanh Hải
Hoàng Thanh Tùng
Nguyễn Thanh Tùng
MỤC LỤC
STT..................................................................................................................XI
SINH VIÊN.....................................................................................................XI
LỚP ................................................................................................................XI
CÔNG VIỆC..................................................................................................XI
1.......................................................................................................................XI
LÊ BÁ LƯỢNG..............................................................................................XI
06T4................................................................................................................XI
LÝ THUYẾT IPCOP, DEMO URL-FILTER, TỔNG HỢP BÁO CÁO.....XI
2.......................................................................................................................XI
NGUYỄN THANH TÙNG.............................................................................XI

06T4................................................................................................................XI
LÝ THUYẾT FIREWALL,DEMO MAILSERVER....................................XI
3.......................................................................................................................XI
06T4................................................................................................................XI
LÝ THUYẾT IPCOP, DEMO ADVANCE PROXY....................................XI
4.......................................................................................................................XI
HOÀNG THANH TÙNG...............................................................................XI
06T4................................................................................................................XI
LÝ THUYẾT VOIP, LÝ THUYẾT FIREWALL.........................................XI
5.......................................................................................................................XI
PHAN THANH HẢI......................................................................................XI
06T4................................................................................................................XI
LÝ THUYẾT VOIP, DEMO BLOCKOUTRAFFIC, DEMO TRIXBOX...XI
PHẦN 1: NGHIÊN CỨU VÀ ỨNG DỤNG...................................................13
IPCOP FIREWALL.......................................................................................13
TỔNG QUAN ĐỀ TÀI...................................................................................13
.I Đề tài................................................................................................................13
.I.1. Tên đề tài..................................................................................................13
.I.2. Mục đích và ý nghĩa.................................................................................13
GIỚI THIỆU CHUNG VỀ TƯỜNG LỬA....................................................14
.I Khái niệm và chức năng của firewall.............................................................14
.I.1. Khái niệm.................................................................................................14
.I.2. Chức năng firewall...................................................................................15
.II Cấu trúc, thành phần và cơ chế hoạt động firewall......................................16
.II.1. Cấu trúc...................................................................................................16
.II.2. Thành phần và cơ chế hoạt động............................................................16
.II.2.1. Thành phần..........................................................................................16
.II.2.2. Cơ chế hoạt động................................................................................17
.III Phân loại, kỹ thuật và hạn chế của firewall.................................................21
.III.1. Các loại firewall....................................................................................21

.III.2. Kỹ thuật và hạn chế của firewall..........................................................22
.III.2.1. Lọc khung (Frame Filtering).............................................................22
.III.2.2. Lọc gói (Packet Filtering).................................................................22
.III.2.3. Những hạn chế của firewall..............................................................23
.IV Một số mô hình firewall...............................................................................23
.IV.1. Packet-Filtering Router (Bộ trung chuyển có lọc gói tin)...................23
.IV.2. Screened Host ......................................................................................25
.IV.3. Demilitarized Zone (khu vực phi quân sự hoá - DMZ) hay Screened-
subnet Firewall:...............................................................................................26
.IV.4. Proxy Server..........................................................................................27
GIỚI THIỆU CHUNG VỀ IPCOP FIREWALL..........................................30
.I Giới thiệu và mục đích của Ipcop firewall.....................................................30
.I.1. Giới thiệu về ipcop firewall.....................................................................30
.I.2. Mục đích của ipcop..................................................................................30
.II Những thành phần và tính năng của ipcop firewall......................................30
.II.1. Các thành phần.......................................................................................30
.II.1.1. Giao diện web.....................................................................................30
.II.1.2. Giao diện mạng (network interfaces).................................................31
.II.1.3. Ưu điểm của Ipcop firewall................................................................31
.II.2. Các tính năng quan trọng của Ipcop firewall.........................................32
.II.2.1. Web proxy ...........................................................................................32
.II.2.2. Dhcp và Dynamic DNS.......................................................................33
.II.2.3. Time server và port Forwarding.........................................................34
.II.2.4. Traffic Shaping và Vitual Private Network – VPN............................36
CÀI ĐẶT VÀ DEMO ỨNG DỤNG...............................................................37
.I Cài đặt ipcop firewall......................................................................................37
.I.1. Mô hình....................................................................................................37
............................................................................................................................37
.I.2. Cài đặt......................................................................................................38
.........................................................................................................................38

.II Cài đặt và cấu hình gói urlfilter blockouttraffic...........................................40
.II.1. Cài đặt urlfilter.......................................................................................40
.II.2. Cài đặt blockouttracffic..........................................................................43
Mục lục iii
.II.3. Cài đặt hmail...........................................................................................51
.........................................................................................................................51
.II.4. Port Forwarding......................................................................................55
.II.5. Advance Proxy........................................................................................57
PHẦN 2: NGHIÊN CỨU ỨNG DỤNG VOICE IP.......................................61
TỔNG QUAN ĐỀ TÀI...................................................................................61
.I Đề tài................................................................................................................61
.I.1. Tên đề tài..................................................................................................61
.I.2. Mục đích và ý nghĩa.................................................................................61
TỔNG QUAN VỀ VOICE IP........................................................................62
.I Giới thiệu chung về Voice Ip..........................................................................62
.I.1. Giới thiệu..................................................................................................62
.I.2. Các định nghĩa liên quan đến Voice Ip...................................................63
.I.3. Các thành phần trong mạng Voice Ip......................................................64
.II Các kiểu kết nối sử dụng Voice Ip và những điểm thuận lợi của Voice Ip so
với PSTN................................................................................................................65
.II.1. Các kiểu kết nối sử dụng voice Ip..........................................................65
.II.1.1. Computer to computer........................................................................65
.II.1.2. Computer to phone..............................................................................65
.II.1.3. Phone to phone....................................................................................65
.II.2. Những điểm thuận lợi của Voice Ip so với PSTN.................................65
CÁCH THỨC HOẠT ĐỘNG NHÂN TỐ ẢNH HƯỞNG VÀ CÁC BỘ GIAO
THỨC..............................................................................................................68
.I Voice Ip hoạt động như thế nào......................................................................68
.I.1. Số hóa tín hiệu analog..............................................................................68
.I.2. Lấy mẫu (Sampling).................................................................................70

.I.3. Lượng tử hóa (Quantization)...................................................................71
.........................................................................................................................71
.I.4. Mã hóa và nén giọng nói.........................................................................72
.I.4.1. Mã hóa (Encoding)...............................................................................72
.I.4.2. Nén giọng nói (Voice compression).....................................................72
.II Các nhân tố ảnh hưởng đến chất lượng thoại Voice Ip và các giao thức của
Voice Ip (voice ip protocols).................................................................................73
.II.1. Các nhân tố ảnh hưởng đến chất lượng thoại Voice Ip.........................73
.II.1.1. Sự trễ:..................................................................................................74
.II.1.2. Sự biến thiên độ trễ (Jitter).................................................................74
.II.1.3. Mất gói ...............................................................................................74
.II.2. Các giao thức của Voice Ip (Voice Ip Protocols):.................................74
.II.2.1. Bộ giao thức H.323.............................................................................75
.II.2.2. Bộ giao thức SIP.................................................................................75
.II.2.3. Mgcp và Megaco/H.248......................................................................77
.III Tính bảo mật và hướng khắc phục...............................................................77
.III.1. Tính bảo mật của Voice Ip....................................................................77
.III.2. Hướng khắc phục và biện pháp giải quyết............................................78
Mục lục iv
CÀI ĐẶT DEMO ỨNG DỤNG VOICE IP...................................................80
.I Cài đặt và cấu hình Trixbox............................................................................80
.I.1. Tải bản cài đặt và ghi đĩa.........................................................................80
.I.1.1. Ghi ra CD............................................................................................80
.I.1.2. Chuẩn bị cài đặt..................................................................................83
.I.2. Cài đặt Trixbox CE 2.6 CE......................................................................83
.II Cài đặt và cấu hình A2billing........................................................................86
............................................................................................................................86
KẾT LUẬN.....................................................................................................94
[1] Trang web : />a2billing-171-cho-trixboxasterisk.html...................................................................1
[2] Trang web : />[3] Trang web : />a-29268.html............................................................................................................1

[4] Trang web : />demo/........................................................................................................................1
[5] Trang web : />1-4-Installation-deb..................................................................................................1
[6] Trang web : />Mục lục v
MỤC LỤC HÌNH ẢNH
HÌNH 1.MÔ HÌNH TƯỜNG LỬA ĐƠN GIẢN...........................................14
HÌNH 2.LỌC GÓI TIN..................................................................................17
HÌNH 3.CỔNG MẠCH..................................................................................21
HÌNH 4.PACKET- FILTERING ROUTER..................................................24
HÌNH 5.SINGLE- HOMED BASTION HOST.............................................25
HÌNH 6.DUAL- HOMED BASTION HOST.................................................26
HÌNH 7.MÔ HÌNH SCREENED-SUBNET FIREWALL...........................27
HÌNH 8.MÔ HÌNH 1 PROXY ĐƠN GIẢN...................................................28
HÌNH 9.GIAO DIỆN WEB............................................................................32
HÌNH 10.DICH VỤ WEB PROXY................................................................32
HÌNH 11.DỊCH VỤ DHCP............................................................................33
HÌNH 12.DỊCH VỤ DNS................................................................................34
HÌNH 13.DỊCH VỤ TIME SERVER............................................................35
HÌNH 14.DỊCH VỤ PORT FORWARDING................................................35
HÌNH 15.THÊM MỘT LUẬT MỚI..............................................................36
HÌNH 16.DỊCH VỤ VPN...............................................................................36
HÌNH 17.MÔ HÌNH CÀI ĐẶT......................................................................37
HÌNH 18.ĐẶT ĐỊA CHỈ IP CHO CARD MẠNG GREEN.........................38
HÌNH 19.CHỌN 3 MẠNG CẦN DÙNG GREEN+ORANGE+RED...........38
HÌNH 20.ĐẶT ĐỊA CHỈ IP CHO CARD MẠNG ORANGE.....................39
HÌNH 21.ĐẶT ĐỊA CHỈ IP CHO CARD MẠNG RED...............................39
HÌNH 22.CÀI ĐẶT CẤU HÌNH CHUNG CHO CẢ 3 CARD GREEN,
ORANGE, RED..............................................................................................40
HÌNH 23.CÀI ĐẶT GÓI URLFILTER.........................................................40
HÌNH 24.CÀI ĐẶT URLFILTER THÀNH CÔNG VÀ WEB PROXY ĐƯỢC
MỞ..................................................................................................................41

HÌNH 25.CLIENT NỐI VỚI IPCOP QUA CARD MẠNG GREEN QUA
ĐỊA CHỈ HTTP://192.168.3.1/81....................................................................41
HÌNH 26.VÀO DỊCH VỤ WEB PROXY ENABLE ON GREEN VÀ NHẤN
NÚT SAVE......................................................................................................42
Mục lục vi
PHẦN CUSTOM BLACKLIST :CHỌN NHỮNG TRANG WEB CẦN
CHẶN KHÔNG CHO ĐI RA INTERNET...................................................42
HÌNH 27.CHẶN 3 TRANG WEB KHÔNG CHO VÀO INTERNET.........42
HÌNH 28.CÁC TRANG WEB KHÁC VÀO ĐƯỢC MẠNG.......................42
HÌNH 29.TRANG HTTP://24H.COM.VN ĐÃ BỊ CHẶN ...........................43
HÌNH 30.TRANG WEB HTTP://BAODATVIET.VN CŨNG BỊ CHẶN....43
HÌNH 31.CÀI ĐẶT GÓI BLOCKOUTTRACFFIC.....................................43
HÌNH 32.QUÁ TRÌNH CÀI ĐẶT.................................................................44
HÌNH 33.CHỌN DỊNH VỤ MẶC ĐỊNH SMTP(25)....................................44
HÌNH 34.ADD DỊCH VỤ SMTPS.................................................................45
HÌNH 35.ADD DỊCH VỤ POP3(110)............................................................45
HÌNH 36.ADD DỊCH VỤ POP3S(995)..........................................................46
HÌNH 37.TẠO RA RULE MỚI.....................................................................46
HÌNH 38.CÀI ĐẶT MẠNG GREEN RA NGOÀI BẰNG CÁC DỊCH VỤ
NHƯ HÌNH VẺ..............................................................................................47
HÌNH 39.BẬT RULE.....................................................................................47
HÌNH 40.LƯU LẠI CẤU HÌNH NEW RULE..............................................48
HÌNH 41.ENABLE BLOCKOUTTRACFFIC..............................................48
HÌNH 42.SERVER MẠNG ORANGE VẪN VÔ ĐƯỢC INTERNET.......49
HÌNH 43.CLIENT MẠNG VẪN VÔ BÌNH THƯỜNG(CLIENT MẠNG
GREEN)..........................................................................................................49
HÌNH 44.BÊN PHÍA SERVER(ORANGE) KHÔNG VÀO ĐƯỢC MẠNG 50
HÌNH 45.BÊN PHÍA CLIENT VẪN VÀO ĐƯỢC MẠNG BÌNH
THƯỜNG(MẠNG GREEN)..........................................................................50
HÌNH 46.GIAO DIỆN SAU KHI CÀI HMAIL............................................51

HÌNH 47.TẠO USER U1................................................................................51
HÌNH 48.TẠO USER U2................................................................................52
HÌNH 49.OUTLOOK EXPRESS...................................................................52
HÌNH 50.INCOMING MAIL SERVER VỚI TÊN 53
HÌNH 51.INCOMING MAIL SERVER VỚI TÊN
HÌNH 52.U1 GỬI MAIL CHO U2.................................................................54
HÌNH 53.U2 NHẬN ĐƯỢC MAIL CỦA U1................................................54
HÌNH 54.VÀO TAB PORT FORWARDING...............................................55
Mục lục vii
HÌNH 55.THÊM PORT 25.............................................................................55
HÌNH 56.THÊM PORT 110...........................................................................55
HÌNH 57.GỬI MAIL RA MẠNG NGOÀI....................................................56
HÌNH 58.CLIENT NHẬN ĐƯỢC EMAIL...................................................56
HÌNH 59.MẠNG NGOÀI NHẬN VÀ XEM EMAIL THÀNH CÔNG........56
HÌNH 60.GIAO DIỆN CẤU HÌNH ADVANCE PROXY............................57
HÌNH 61.CẤU HÌNH KHÔNG HẠN GIỚI HẠN ĐỐI VỚI IP 192.168.3.357
HÌNH 62.CẤU HÌNH CHẶN IP 192.168.3.10 TRUY CẬP INTERNET.....58
HÌNH 63.CẤU HÌNH GIỚI HẠN DOWNLOAD CHO TOÀN MẠNG.....58
HÌNH 64.IP 192.168.3.3 KHÔNG BỊ HẠN CHẾ..........................................59
HÌNH 65.CẤU HÌNH ĐỊA CHỈ IP CỦA XP................................................59
HÌNH 66.ĐỊA CHỈ IP 192.168.3.10 BỊ CẤM ...............................................60
HÌNH 67.CÁC ĐỊA KHÁC VẪN TRUY CẬP INTERNET BÌNH THƯỜNG.
.........................................................................................................................60
HÌNH 68.CÁC MẠNG KHÔNG THỂ DOWNLOAD QUÁ 5MB...............60
HÌNH 69.MÔ HÌNH CHUNG VỀ VOICE IP...............................................63
HÌNH 70.CHUYỂN MẠCH GÓI TRONG VOICE IP.................................66
HÌNH 71.SỰ KHÁC NHAU GIỮA PS VÀ CS.............................................67
HÌNH 72.LẤY MẪU......................................................................................70
HÌNH 73.LƯỢNG TỬ HÓA..........................................................................71
HÌNH 74.PACKETIZING VOICE................................................................73

HÌNH 75.CẤU TRÚC CỦA H.323.................................................................75
HÌNH 76.VÍ DỤ GIAO THỨC SIP...............................................................76
HÌNH 77.CD BURNER XP............................................................................81
HÌNH 78.CHỌN FILE ISO............................................................................82
HÌNH 79.GHI FILE ISO................................................................................82
HÌNH 80. MÀN HÌNH CÀI ĐẶT TRIXBOX ĐẦU TIÊN...........................83
.........................................................................................................................84
HÌNH 81.LỰA CHỌN NGÔN NGỮ.............................................................84
HÌNH 82. CHỌN MÚI GIỜ...........................................................................84
HÌNH 83.NHẬP MẬT KHẨU ROOT...........................................................85
HÌNH 84. DẤU NHẮC CONSOLE...............................................................85
Mục lục viii
HÌNH 85.CÀI ĐẶT CÁC GÓI PHỤ THUỘC..............................................86
HÌNH 86.ĐẶT ĐỊA CHỈ IP ..........................................................................86
HÌNH 87.CÀI ĐẶT MYSQL SERVER.........................................................87
HÌNH 88.TẢI FILE A2BILLING..................................................................87
HÌNH 89.LOGIN VÀO GIAO DIỆN ADMIN..............................................87
HÌNH 90.TẠO USER.....................................................................................88
HÌNH 91.RELOAD TRIXBOX......................................................................88
HÌNH 92.KẾT QUẢ GỌI CỤ BỘ.................................................................89
HÌNH 93.CÀI ĐẶT PHPMYADMIN............................................................89
HÌNH 94.TẠO DATABASE...........................................................................90
HÌNH 95.CHỈNH SỬA FILE A2BILLING.CONF.......................................90
HÌNH 96.TẠO NỘI DUNG CHO DATABASE A2B....................................90
HÌNH 97.CHỈNH SỬA ASTERISK MANAGER.........................................91
HÌNH 98.CẤU HÌNH DIALPLAN................................................................91
HÌNH 99.TẠO TÁC VỤ CRON....................................................................92
HÌNH 100.LOGIN VÀO GIAO DIỆN CỦA A2BILLING...........................92
HÌNH 101.CÁC TÍNH NĂNG CỦA A2BILLING.......................................93
Mục lục ix

MỞ ĐẦU
1. Đôi nét về TTG Training Center
TTG Training Center:
Tiền thân là công ty DTSCorp có trụ sở chính tại Tp.HCM, thành lập vào năm
2005, hoạt động trong lĩnh vực tư vấn giải pháp CNTT, thiết kế và thi công các hệ
thống mạng, an ninh mạng, các ứng dụng CNTT cho các doanh nghiệp.
Tháng 5 năm 2006 hợp tác với công ty TNHH VSIC Informatics - công ty
100% vốn nước ngoài - đầu tư và thành lập chi nhánh công ty TNHH VSIC
Informatics tại Đà Nẵng, hoạt động chuyên về lĩnh vực đào tạo CNTT.
Tháng 01 năm 2008: Mua lại toàn bộ chi nhánh công ty TNHH VSIC
Informatics tại Đà Nẵng, tăng vốn điều lệ và đổi tên thành TTG Training Center.
Từ thời điểm có mặt tại Đà Nẵng năm 2006 VSIC Informatics (nay là TTG
Training Center) đã từng bước khẳng định và dần trở thành một trong những Trung
tâm đào tạo Công nghệ mạng máy tính hàng đầu tại Đà Nẵng nói riêng và các tỉnh
miền Trung nói chung.
Để giữ vững vị thế hàng đầu trong đào tạo Công nghệ mạng máy tính, TTG
Training Center tiếp tục những nỗ lực để duy trì chất lượng đào tạo ưu việt cùng với
những dịch vụ hỗ trợ học viên tốt nhất.
TTG Training Center hiện là nhà cung cấp hàng đầu về dịch vụ đào tạo trong
lĩnh lực công nghệ thông tin và truyền thông tại Việt Nam:
 Giảng viên đẳng cấp Quốc tế, nhiệt tình, tận tâm và kinh nghiệm thực tiễn.
 Thiết bị đầy đủ, hiện đại của chính hãng.
 Chương trình, giáo trình luôn được cập nhật Version mới nhất.
 Thực hành ngoài giờ trên thiết bị và không giới hạn thời gian.
 Tham gia miến phí các Hội thảo chuyên đề hàng tuần để bổ sung thêm kiến
thức thực tiễn.
Trụ sở TRUONG TAN Group Training Center
• Cơ sở 1: 134 Lê Duẩn, Quận Hải Châu, Thành phố Đà Nẵng
• Cơ sở 2: 75 Nguyễn Khuyến, Quận Thanh Khê, Thành phố Đà Nẵng
Điện thoại: (0511) 3867768 - Fax: (0511) 3867767 - Email:

2. Yêu cầu đề tài
Mục lục x
Ngày nay, với nhu cầu trao đổi thông tin thông qua mạng Internet mang lại
một tốc độ và lợi ích vô cùng to lớn nó còn tiềm ẩn lớn mối nguy hại cho an toàn
thông tin nội bộ và vấn đề quản lí truy cập. Chính vì vậy ta cần có phương pháp để
giải quyết vấn đề này và tường lửa là một giải pháp tối ưu cho vấn đề này.
Để hệ hoạt động an toàn ipcop firewall là một lựa chọn tối ưu vì ipcop firewall
là một phần mềm miễn phí và yêu cầu cài đặt đơn giản.
Ngoài ra việc ứng dụng Internet vào thực tiễn cùng là một vấn đề đang rất phổ
biến hiện nay, và một trong những ứng dụng đó là Voice ip nó giúp cho chúng ta gọi
điện thoại với giá thành rẻ hơn bình thường rất nhiều.
Công việc cần thực hiện:
• Xây dựng mô hình mô hình sử dụng ipcop firewall.
• Cấu hình ipcop firewall trong hệ thống mô hình đó.
• Xây dựng Demo thành công và sử dụng các tính năng nổi bật của Ipcop
firewall .
• Giả lập hệ thống gọi điện thoại sử dụng Voice ip.
• Cấu hình tổng đài PBx
3. Công việc được giao
Định kì đến công ty thực tập theo lịch sắp xếp của công ty và giảng viên hướng
dẫn.
Tham gia các hoạt động của công ty, tham gia xây dựng forum của công ty tại
địa chỉ: />Sử dụng hệ thống thiết bị của công ty để mô phỏng và thực hiện đề tài. Tuân
thủ các yêu cầu và nội quy công ty đưa ra.
Báo cáo tiền độ định kỳ với giáo viên hướng dẫn đề tài.
Mục lục xi
Phân công công việc
STT Sinh viên Lớp Công việc
1 Lê Bá Lượng 06T4 Lý thuyết Ipcop, demo url-
filter, tổng hợp báo cáo.

2 Nguyễn Thanh Tùng 06T4 Lý thuyết Firewall,demo
mailserver
3
Nguyễn Minh Chí
06T4 Lý thuyết Ipcop, demo
advance proxy
4 Hoàng Thanh Tùng 06T4 Lý thuyết voip, Lý thuyết
Firewall
5 Phan Thanh Hải 06T4 Lý thuyết voip, demo
blockoutraffic, demo trixbox
PHẦN 1: NGHIÊN CỨU VÀ ỨNG DỤNG
IPCOP FIREWALL
CHƯƠNG MỞ ĐẦU
TỔNG QUAN ĐỀ TÀI
.I Đề tài
.I.1. Tên đề tài
Nghiên cứu ứng dụng Ipcop Firewall
.I.2. Mục đích và ý nghĩa
• Tìm hiểu chung về tường lửa (firewall) và các chức năng của nó
• Các mục đích của firewall
• Tìm hiểu các khối mô hình của firewall
• Giới thiệu về Ipcop firewall và các tính năng của nó.
• Các Addon thêm vào
• Xây dựng được mô hình demo về ipcop firewall
• Cài đặt và cấu hình các tính năng nổi bật của Ipcop firewall.
Lê Bá Lượng, Phan Thanh Hải, Nguyễn Minh Chí, Hoàng Thanh Tùng, Nguyễn Thanh Tùng
Lớp 06T4 13
CHƯƠNG 1
GIỚI THIỆU CHUNG VỀ TƯỜNG LỬA
.I Khái niệm và chức năng của firewall

.I.1. Khái niệm
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để
ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật
được tích hợp vào hệ thống mạng để chống sự truy nhập trái phép nhằm bảo vệ các
nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống.
Cũng có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin tưởng khỏi các mạng
không tin tưởng.
Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công
ty, tổ chức, ngành hay một quốc gia và Internet. Vai trò chính là bảo mật thông tin,
ngăn chặn sự truy nhập không mong muốn từ bên ngoài và cấm truy nhập từ bên
trong tới một số địa chỉ nhất định trên Internet.
Hình 1. Mô hình tường lửa đơn giản
Một cách vắn tắt, firewall là hệ thống ngăn chặn việc truy nhập trái phép từ bên
ngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra. Firewall thực
hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu định
trước.
Lê Bá Lượng, Phan Thanh Hải, Nguyễn Minh Chí, Hoàng Thanh Tùng, Nguyễn Thanh Tùng
Lớp 06T4 14
Nghiên cứu ứng dụng ipcop firewall và Voice Ip
Firewall có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai.
• Firewall cứng : Là những firewall được tích hợp trên Router hoặc trên các thiết
bị chuyên dụng.
o Hoạt tính cao hơn so firewall mềm.
o Tốc độ xử lý nhanh hơn.
o Bảo mật cao hơn.
o Chi phí đắt hơn so firewall mềm.
• Firewall mềm : Là những Firewall được cài đặt trên Server.
o Hoạt tính không cao bằng firewall cứng.
o Tốc độ xử lý chậm, phụ thuộc hệ điều hành.
o Tiện lợi, có thể cài đặt dễ dàng trên các máy server.

o Đa dạng , chi phí thấp hơn so firewall cứng.
.I.2. Chức năng firewall
Chức năng chính của Firewall là kiểm soát luồng thông tin giữa Intranet (mạng
bên trong) và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa Intranet và
mạng Internet.
Cụ thể là :
o Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet).
o Cho phép hoặc cấm những dịch vụ từ ngoài truy nhập vào trong (từ Internet
vào Intranet).
o Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
o Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
o Kiểm soát người sử dụng và việc truy nhập của người sử dụng. Kiểm soát nội
dung thông tin lưu chuyển trên mạng.
15
Nghiên cứu ứng dụng ipcop firewall và Voice Ip
Một firewall khảo sát tất cả các luồng lưu lượng giữa hai mạng để xem nó có
đạt chuẩn hay không. Nếu nó đạt, nó được định tuyến giữa các mạng, ngược lại nó bị
hủy. Một bộ lọc firewall lọc cả lưu lượng ra lẫn lưu lượng vào. Nó cũng có thể quản
lý việc truy cập từ bên ngoài vào nguồn tài nguyên mạng bên trong. Nó có thể được
sử dụng để ghi lại tất cả các cố gắng để vào mạng riêng và đưa ra cảnh báo nhanh
chóng khi kẻ thù hoặc kẻ không được phân quyền đột nhập.
Firewall có thể lọc các gói dựa vào địa chỉ nguồn, địa chỉ đích và số cổng của
chúng. Điều này còn được gọi là lọc địa chỉ. Firewall cũng có thể lọc các loại đặc biệt
của lưu lượng mạng. Điều này được gọi là lọc giao thức bởi vì việc ra quyết định cho
chuyển tiếp hoặc từ chối lưu lượng phụ thuộc vào giao thức được sử dụng, ví dụ
HTTP, FTP hoặc Telnet. Firewall cũng có thể lọc luồng lưu lượng thông qua thuộc
tính và trạng thái của gói.
.II Cấu trúc, thành phần và cơ chế hoạt động firewall
.II.1. Cấu trúc
Firewall bao gồm :

- Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc
có chức năng router.
- Các phần mềm quản lí an ninh chạy trên hệ thống máy chủ. Thông thường là
các hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán
(Accounting).
.II.2. Thành phần và cơ chế hoạt động
.II.2.1. Thành phần
Firewall chuẩn gồm một hay nhiều các thành phần sau đây :
• Bộ lọc packet (packet- filtering router)
• Cổng ứng dụng (application-level gateway hay proxy server)
• Cổng mạch (circuite level gateway)
16
Nghiên cứu ứng dụng ipcop firewall và Voice Ip
.II.2.2. Cơ chế hoạt động
a. Bộ lọc packet
Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc
theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói
chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP,
NFS …) thành các gói dữ liệu (data packets) rồi gán cho các gói này những địa chỉ có
thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan
rất nhiều đến các packet và những con số địa chỉ của chúng.
Hình 2. Lọc gói tin
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra
toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các
luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin
ở đầu mỗi packet (header), dùng để cho phép truyền các packet đó ở trên mạng. Bao
gồm:
• Địa chỉ IP nơi xuất phát (Source)
• Địa chỉ IP nơi nhận ( Destination)
• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …)

• Cổng TCP/UDP nơi xuất phát
• Cổng TCP/UDP nơi nhận
• Dạng thông báo ICMP
17
Nghiên cứu ứng dụng ipcop firewall và Voice Ip
• Giao diện packet đến
• Giao diện packet đi
Nếu packet thỏa các luật lệ đã được thiết lập trước của Firewall thì packet đó
được chuyển qua, nếu không thỏa thì sẽ bị loại bỏ. Việc kiểm soát các cổng làm cho
Firewall có khả năng chỉ cho phép một số loại kết nối nhất định được phép mới vào
được hệ thống mạng cục bộ.
• Ưu điểm
o Đa số các hệ thống Firewall đều sử dụng bộ lọc packet. Một trong
những ưu điểm của phương pháp dùng bộ lọc packet là đảm bảo thông qua của lưu
lượng mạng.
o Bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì
vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.
 Hạn chế
Việc định nghĩa các chế độ lọc packet là một việc khá phức tạp, nó đòi hỏi
người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet
header và các giá trị cụ thể mà họ có thể nhận trên mỗi trường. Khi đòi hỏi vể sự lọc
càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều
khiển.
b. Cổng ứng dụng
Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các
loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động
của nó dựa trên cách thức gọi là Proxy service (dịch vụ uỷ quyền). Proxy service là
các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng. Nếu người quản trị
mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ
không được cung cấp và do đó không thể chuyển thông tin qua firewall. Ngoài ra,

proxy code (mã uỷ nhiệm) có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm
trong ứng dụng mà người quản trị mạng cho là chấp nhận được trong khi từ chối
những đặc điểm khác.
18
Nghiên cứu ứng dụng ipcop firewall và Voice Ip
Một cổng ứng dụng thường được coi như là một pháo đài chủ (bastion host), bởi
vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp
đảm bảo an ninh của một bastion host là :
- Bastion host luôn chạy các version (phiên bản) an toàn của các phần mềm hệ
thống (Operating system). Các version an toàn này được thiết kế chuyên cho mục
đích chống lại sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợp
firewall.
- Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt
trên bastion host, đơn giản chỉ vì nếu một dịch vụ được cài đặt, nó không thể bị tấn
công.
Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS,
FTP, SMTP và xác thực user là được cài đặt trên bastion host.
- Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user
password hay smart card.
- Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một số các máy chủ
nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ
đúng với một số máy chủ trên toàn hệ thống.
- Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông
qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong việc tìm
theo dấu vết hay ngăn chặn kẻ phá hoại.
- Mỗi proxy đều độc lập với các proxies khác trên bastion host. Điều này cho
phép dễ dàng trong quá trình cài đặt một proxy mới, hay tháo gỡ một proxy đang có
vấn để.
Ưu điểm:
- Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên

mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có
thể truy nhập được bởi các dịch vụ.
- Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào
cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là
các dịch vụ ấy bị khoá.
19
Nghiên cứu ứng dụng ipcop firewall và Voice Ip
- Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt và nó có nhật ký ghi
chép lại thông tin về truy nhập hệ thống.
- Luật lệ filtering (lọc) cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn
so với bộ lọc packet.
Hạn chế:
Yêu cầu các users thực hiện các thao tác chỉnh sửa phần mềm đã cài đặt trên
máy client cho truy nhập vào các dịch vụ proxy. Ví dụ, Telnet truy nhập qua cổng
ứng dụng đòi hỏi hai bước đê nối với máy chủ chứ không phải là một bước. Tuy
nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là
trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng
trên lệnh Telnet.
c. Cổng mạch
Cổng mạch là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng
dụng. Cổng mạch đơn giản chỉ chuyển tiếp các kết nối TCP mà không thực hiện bất
kỳ một hành động xử lý hay lọc packet nào.
Hình 3 minh hoạ một hành động sử dụng nối telnet qua cổng mạch. Cổng mạch
đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm tra,
lọc hay điều khiển các thủ tục Telnet . Cổng mạch làm việc như một sợi dây, sao
chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài
(outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall nên
nó che dấu thông tin về mạng nội bộ.
20
Nghiên cứu ứng dụng ipcop firewall và Voice Ip

Hình 3. Cổng mạch
Cổng mạch thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản
trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một
bastion host có thể được cấu hình như là một hỗn hợp cung cấp. Cổng ứng dụng cho
những kết nối đến và cổng mạch cho các kết nối đi. Điều này làm cho hệ thống bức
tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy
nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo
vệ mạng nội bộ từ những sự tấn công bên ngoài.
.III Phân loại, kỹ thuật và hạn chế của firewall
.III.1. Các loại firewall
Có ba loại tường lửa cơ bản tùy theo:
• Truyền thông được thực hiện giữa một nút đơn và mạng, hay giữa một số
mạng.
• Truyền thông được chặn tại tầng mạng, hay tại tầng ứng dụng.
• Tường lửa có theo dõi trạng thái của truyền thông hay không.
Phân loại theo phạm vi của các truyền trông được lọc, có các loại sau:
• Tường lửa cá nhân, một ứng dụng phần mềm với chức năng thông thường là
lọc dữ liệu ra vào một máy tính đơn.
• Tường lửa mạng, thường chạy trên một thiết bị mạng hay máy tính chuyên
dụng đặt tại ranh giới của hai hay nhiều mạng hoặc các khu phi quân sự (mạng con
trung gian nằm giữa mạng nội bộ và mạng bên ngoài). Một tường lửa thuộc loại này
lọc tất cả giao thông dữ liệu vào hoặc ra các mạng được kết nối qua nó.
Loại tường lửa mạng tương ứng với ý nghĩa truyền thống của thuật ngữ "tường
lửa" trong ngành mạng máy tính.
Khi phân loại theo các tầng giao thức nơi giao thông dữ liệu có thể bị chặn, có
ba loại tường lửa chính:
• Tường lửa tầng mạng. Ví dụ iptables.
• Tường lửa tầng ứng dụng. Ví dụ TCP Wrappers.
• Tường lửa ứng dụng Ví dụ: hạn chế các dịch vụ ftp bằng việc định cấu hình tại
tệp /etc/ftpaccess.

Các loại tường lửa tầng mạng và tường lửa tầng ứng dụng thường trùm lên
nhau, mặc dù tường lửa cá nhân không phục vụ mạng, nhưng một số hệ thống đơn đã
cài đặt chung cả hai.
21
Nghiên cứu ứng dụng ipcop firewall và Voice Ip
Cuối cùng, nếu phân loại theo tiêu chí rằng tường lửa theo dõi trạng thái của
các kết nối mạng hay chỉ quan tâm đến từng gói tin một cách riêng rẽ, có hai loại
tường lửa:
• Tường lửa có trạng thái (Stateful firewall)
• Tường lửa phi trạng thái (Stateless firewall)
.III.2. Kỹ thuật và hạn chế của firewall
.III.2.1. Lọc khung (Frame Filtering)
Hoạt động trong hai tầng của mô hình OSI, có thể lọc, kiểm tra được mức bit
và nội dung của khung tin. Trong tầng này các khung dữ liệu không tin cậy sẽ bị từ
chối ngay trước khi vào mạng.
.III.2.2. Lọc gói (Packet Filtering)
Kiểu Firewall chung nhất là kiểu dựa trên tầng mạng của mô hình OSI. Lọc
gói cho phép hay từ chối gói tin mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu
để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các quy định của lọc
Packet hay không. Các quy tắc lọc packet dựa vào các thông tin trong Packet header.
Nếu quy tắc lọc packet được thoả mãn thì gói tin được chuyển qua Firewall.
Nếu không sẽ bị bỏ đi. Như vậy Firewall có thể ngăn cản các kết nối vào hệ thống
hoặc khoá việc truy nhập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép.
Một số Firewall hoạt động ở tầng mạng thường cho phép tốc độ xử lý nhanh vì
chỉ kiểm tra địa chỉ IP nguồn mà không thực hiện lệnh trên router, không xác định địa
chỉ sai hay bị cấm. Nó sử dụng địa chỉ IP nguồn làm chỉ thị, nếu một gói tin mang địa
chỉ nguồn là địa chỉ giả thì nó sẽ chiếm được quyền truy nhập vào hệ thống. Tuy
nhiên có nhiều biện pháp kỹ thuật có thể được áp dụng cho việc lọc gói tin nhằm khắc
phục nhược điểm trên, ngoài trường địa chỉ IP được kiểm tra còn có các thông tin
khác được kiểm tra với quy tắc được tạo ra trên Firewall, các thông tin này có thể là

thời gian truy nhập, giao thức sử dụng, cổng.
Firewall kiểu Packet Filtering có hai loại :
a. Packet filtering Firewall : Hoạt động tại tầng mạng của mô hình OSI hay tầng
IP trong mô hình TCP/IP. Kiểu Firewall này không quản lý được các giao dịch trên
mạng.
22
Nghiên cứu ứng dụng ipcop firewall và Voice Ip
b. Circuit level gateway : Hoạt động tại tầng phiên của mô hình OSI hay tầng
TCP trong mô hình TCP/IP. Là loại Firewall xử lý bảo mật giao dịch giữa hệ thống
và người dùng cuối. (VD: kiêmt tra ID, mật khẩu) loại Firewall cho phép lưu vết
trạng thái của người truy nhập.
.III.2.3. Những hạn chế của firewall
• Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại
thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự
xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các
thông số địa chỉ.
• Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này
không “đi qua” nó. Một cách cụ thể : firewall không thể chống lại một cuộc tấn công
từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bắt hợp pháp lên
đĩa mềm.
• Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu. Khi có
một số chương trình được chuyền theo thư điện tử, vượt qua firewall vào trong
mạng được bảo vệ và bắt đầu hoạt động ở đây.
Ví dụ với các virus máy tính, firewall không thể làm nhiệm vụ rà quét virus
trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của
các virus mới và do có rất nhiều cách để mã hoá dữ liệu thoát khỏi khả năng kiểm
soát của firewall.
Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.
.IV Một số mô hình firewall
.IV.1. Packet-Filtering Router (Bộ trung chuyển có lọc gói tin)

Hệ thống Internet firewall phổ biến nhất chỉ bao gồm một packet-filtering
router đặt giữa mạng nội bộ và Internet. Một packe-filtering router có hai chức năng :
chuyển tiếp truyền thông giữa hai mạng và sử dụng các quy luật về lọc gói để cho
phép hay từ chối truyền thông.
23

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×