Tìm hiểu về Firewalls và VPN
LỚP 57MTT
GVHD: Nguyễn Hồng Giang


Danh sách nhóm:
1. Đinh Hữu Hoàng
2. Nguyễn Thị Thu Cúc


Mục tiêu của phần này là nghiên cứu vai trò của Tường lửa và
Mục tiêu

Mạng riêng ảo(VPN) trong việc cung cấp bảo mật cho các
mạng công cộng được chia sẻ như Internet.


Tổng quan

VPN là ví dụ về việc cung cấp kết nối được kiểm soát trên mạng công
Tường lửa là một bộ định tuyến được lập trình đặc biệt nằm giữa một

cộng như

Mạng máy tính là tài nguyên thường

trang web và phần còn lại của mạng. Nó là một bộ định tuyến theo

Internet. VPN sử dụng khái niệm được gọi là đường hầm IP — liên kết

được chia sẻ bởi nhiều ứng dụng sử

nghĩa nó được kết nối với hai hoặc nhiều mạng vật lý và nó chuyển

điểm-điểm-điểm ảo giữa một cặp nút thực sự được phân tách bởi một số

dụng cho nhiều mục đích khác nhau.

tiếp các gói từ mạng này sang mạng khác, nhưng nó cũng lọc các gói

lượng mạng tùy ý. Liên kết ảo được tạo trong bộ định tuyến ở lối vào

Đôi khi dữ liệu được truyền giữa các

dữ liệu qua đó. Tường lửa cho phép quản trị viên hệ thống triển khai

đường hầm bằng cách cung cấp liên kết địa chỉ IP của bộ định tuyến ở

quy trình ứng dụng là bảo mật và

chính sách bảo mật trong một nơi tập trung. Tường lửa dựa trên bộ

đầu xa của đường hầm. Bất cứ khi nào bộ định tuyến tại lối vào của

người dùng ứng dụng muốn người

lọc là loại được triển khai đơn giản và được triển khai rộng rãi nhất.

đường hầm muốn gửi một gói tin qua liên kết ảo này, nó đóng gói gói

khác không thể đọc được.


Chúng được cấu hình với một bảng các địa chỉ mô tả các gói mà chúng

bên trong một gói dữ liệu IP. Địa chỉ đích trong tiêu đề IP là địa chỉ của

sẽ và sẽ không chuyển tiếp.

bộ định tuyến ở đầu xa của đường hầm, trong khi địa chỉ nguồn là của
bộ đóng gói bộ định tuyến.


Tạo một dự án mới

Khởi động OPNET IT Guru Academic

Chọn Project và nhấn OK ⇒ Đặt tên

Edition ⇒ Chọn New từ thực đơn File.

cho dự án <your initials > _VPN, và
kịch bản NoFirewall ⇒ Nhấp OK.

Nhấp vào Quit trên
Startup Wizard.
Để xóa bản đồ nền thế giới, chọn
View ⇒ Background ⇒ Set
Border Map ⇒ Chọn NONE từ
drop-down menu ⇒ Nhấp OK.



Tạo và cấu hình mạng
Khởi tạo mạng

Thêm các đối tượng sau đây, từ bảng màu, vào vùng làm việc
Mở hộp thoại Object

của dự án (xem hình bên dưới cho vị trí): Application Config,

Palette bằng cách

Profile Config, một ip32_cloud, một ppp_server, ba

Đổi tên các đối

ethernet4_slip8_gtwy routers, và hai ppp_wkstn hosts. Để thêm

tượng bạn đã

Lưu

chắc chắn rằng mục

một đối tượng từ bảng màu, nhấp vào biểu tượng của nó trong

thêm và kết nối

dự án

internet_toolbox


bảng đối tượng ⇒ Chuyển chuột vào vùng làm việc và nhấp vào

chúng bằng các

của

được chọn từ pull-

nơi bạn muốn đặt đối tượng ⇒ Rightclick để cho biết bạn đã

liên kết PPP

bạn

down menu trên

hoàn tất việc tạo các đối tượng thuộc loại này.

DS1

nhấp vào

. Hãy

bảng đối tượng.


Cấu hình các nút

1. Nhấp chuột phải vào Applications⇒ Edit Attributes ⇒ Gán Default cho Application Definitions ⇒ Nhấp vào OK.

2. Nhấp chuột phải vào Profiles ⇒ Edit Attributes ⇒ Gán Sample Profiles cho Profile Configuration ⇒ Nhấn OK.
3. Nhấp chuột phải vào Server ⇒ Edit Attributes ⇒ Gán All cho Application: Supported Services ⇒ Nhấp vào OK.
4. Nhấp chuột phải vào Sales A ⇒ Select Similar Nodes (thực hiện trên cả Sales A và Sales B được chọn).
i. Nhấp chuột phải vào Sale A ⇒ Edit Attributes ⇒ tích vào ô Apply Changes to Selected Objects.
ii. Chọn Application: Supported Profiles ⇒ chuyển row thành 1 ⇒ Trong none 0 ⇒ Profile Name = Sales Person (đây là một trong "mẫu hồ sơ" chúng tôi đã định cấu hình trong nút Cấu hình).
iii. Nhấp vào OK.
5. Lưu dự án của bạn.


Chọn Số liệu thống kê

1. Nhấp chuột phải vào bất kỳ đâu trong vùng làm việc của dự án và chọn Choose Individual Statistics từ trình đơn bật lên.
2. Trong hộp thoại Choose Results dialog, hãy kiểm tra các thống kê sau:
i. Global Statistics ⇒ DB Query ⇒ Response Time (sec).
ii. Global Statistics ⇒ HTTP ⇒ Page Response Time (seconds).
3. Nhấp OK.
4. Nhấp chuột phải vào Sale A và chọn Choose Individual Statistics từ trình đơn bật lên.
5. Trong hộp thoại Chọn kết quả, kiểm tra các thống kê sau:
i. Client DB ⇒ Traffic Received (byte / giây).
ii. Client Http ⇒ Traffic Received (byte / giây).
6. Nhấp OK.
7. Nhấp chuột phải vào Sale B và chọn Choose Individual Statistics từ trình đơn bật lên.
8. Trong hộp thoại Chọn kết quả, kiểm tra các thống kê sau:
i. Client DB ⇒ Traffic Received (byte / giây).
ii. Client Http ⇒ Traffic Received (byte / giây).
9. Nhấp OK và sau đó lưu dự án của bạn.


Kịch bản tường lửa


Trong mạng chúng tôi vừa tạo, hồ sơ Sales cho phép cả trang sales truy cập các ứng dụng như Truy cập
Cơ sở dữ liệu, Email và Duyệt web từ máy chủ (kiểm tra Cấu hình Cấu hình của nút Cấu hình). Giả sử
rằng chúng ta cần phải bảo vệ cơ sở dữ liệu trong máy chủ từ truy cập bên ngoài, bao gồm cả sales. Một
cách để làm đó là thay thế Router C bằng một tường lửa như sau:
1. Chọn Duplicate Scenario từ menu Scenarios và đặt tên là Firewall ⇒ Nhấp vào OK.
2. Trong kịch bản mới, nhấn chuột phải vào Router C ⇒ Edit Attributes.
3. Gán ethernet2_slip8_firewall cho thuộc tính mô hình.
4. Proxy Server Information ⇒ Mở row 1, dành cho ứng dụng Cơ sở dữ liệu, phân cấp ⇒ Chọn
No cho Proxy Server Information như hình.
5. Nhấp OK và sau đó lưu dự án của bạn.
=> Cấu hình Tường lửa của chúng tôi không cho phép lưu lượng truy cập liên quan đến cơ sở dữ liệu đi
qua tường lửa (nó lọc các gói đó ra). Bằng cách này, các cơ sở dữ liệu trong máy chủ được bảo vệ khỏi
truy cập từ bên ngoài.


Trong kịch bản tường lửa, chúng tôi đã bảo vệ cơ sở dữ liệu trong máy chủ khỏi truy cập bên ngoài “bất kỳ” bằng bộ định tuyến tường lửa.
Giả sử rằng chúng tôi muốn cho phép những người trong trang web Sales A có quyền truy cập vào cơ sở dữ liệu trong máy chủ. Vì tường lửa

Kịch bản Firewall_VPN

lọc tất cả lưu lượng truy cập liên quan đến cơ sở dữ liệu bất kể nguồn lưu lượng truy cập là gì, chúng ta cần xem xét giải pháp VPN. Một
đường hầm ảo có thể được sử dụng bởi Sales A để gửi các yêu cầu cơ sở dữ liệu đến máy chủ. Tường lửa sẽ không lọc lưu lượng được tạo bởi
Sales A vì các gói IP trong đường hầm sẽ được đóng gói bên trong một gói dữ liệu IP.
1. Trong khi bạn đang ở trong Firewall, hãy chọn Duplicate Scenario từ Scenarios và đặt tên cho nó là Firewall_VPN ⇒ Nhấp OK.
2. Hủy bỏ liên kết giữa Router C và Server.
3. Mở hộp thoại Object Palette bằng cách nhấp vào

. Đảm bảo rằng đã mở

palette là một trong số đó gọi là internet_toolbox.

i. Thêm vào vùng làm việc của dự án một ethernet4_slip8_gtwy và một IP VPN Config (xem hình bên dưới để biết vị trí).
ii. Từ Object Palette, sử dụng hai liên kết PPP DS1 để kết nối router mới với
Router C (tường lửa) và Server.
iii. Đóng hộp thoại Object Palette.
4. Đổi tên đối tượng IP VPN Config thành VPN.
5. Đổi tên router mới thành Router D.


Cấu hình VPN

Nhấp chuột phải vào nút VPN ⇒Edit Attributes
i. Mở VPN Configuration ⇒ chuyển Row 1 ⇒ Mở Row 0 ⇒ Chỉnh sửa giá trị của
Tunnel Source Name và ghi xuống Router A ⇒ Chỉnh sửa giá trị của Tunnel Destination
Name và ghi xuống Router D
ii. Mở Remote Client List ⇒ chuyển Row 1 ⇒ Mở Row 0 ⇒ Chỉnh sửa giá trị của
Client Node Name và ghi xuống Sales A.
iii. Nhấp vào OK và sau đó lưu dự án của bạn.


Chạy mô phỏng
Vào menu Scenarios ⇒
Chọn Manage Scenarios

Để chạy mô phỏng cho ba kịch bản cùng một lúc

Thay đổi các giá trị trong cột Kết
Sau khi hoàn thành ba mô phỏng, một

quả thành <collect> (hoặc


mô phỏng cho mỗi kịch bản, hãy nhấp

<recollect>) cho ba kịch bản. Giữ giá

vào Close ⇒ Lưu dự án của bạn.

trị mặc định của Sim Duration (1
giờ).

Nhấn OK để chạy ba mô phỏng. Tùy thuộc
vào tốc độ bộ xử lý của bạn, quá trình này có
thể mất vài phút để hoàn thành


Xem kết quả

1. Chọn Compare Results từ menu Results.

2. Mở Sales A ⇒ Mở rộng phân cấp Client DB ⇒ Chọn Traffic Received.

3. Thay đổi trình đơn thả xuống ở phần giữa phía dưới của hộp thoại
Compare Results từ As Is đến time_average

4. Nhấn Show và biểu đồ kết quả sẽ giống với biểu đồ sau:


5. Tạo biểu đồ tương tự như biểu đồ trước, nhưng đối với Sales B:

6. Tạo hai biểu đồ tương tự như các biểu đồ trước để mô tả Lưu lượng truy
cập đã nhận bởi Client Http cho Sales A và Sales B.


Lưu ý: Kết quả có thể thay đổi đôi chút do vị trí nút khác nhau.