Tìm hiểu về Firewalls và VPN
LỚP 57MTT
GVHD: Nguyễn Hồng Giang
Danh sách nhóm:
1. Đinh Hữu Hoàng
2. Nguyễn Thị Thu Cúc
Mục tiêu của phần này là nghiên cứu vai trò của Tường lửa và
Mục tiêu
Mạng riêng ảo(VPN) trong việc cung cấp bảo mật cho các
mạng công cộng được chia sẻ như Internet.
Tổng quan
VPN là ví dụ về việc cung cấp kết nối được kiểm soát trên mạng công
Tường lửa là một bộ định tuyến được lập trình đặc biệt nằm giữa một
cộng như
Mạng máy tính là tài nguyên thường
trang web và phần còn lại của mạng. Nó là một bộ định tuyến theo
Internet. VPN sử dụng khái niệm được gọi là đường hầm IP — liên kết
được chia sẻ bởi nhiều ứng dụng sử
nghĩa nó được kết nối với hai hoặc nhiều mạng vật lý và nó chuyển
điểm-điểm-điểm ảo giữa một cặp nút thực sự được phân tách bởi một số
dụng cho nhiều mục đích khác nhau.
tiếp các gói từ mạng này sang mạng khác, nhưng nó cũng lọc các gói
lượng mạng tùy ý. Liên kết ảo được tạo trong bộ định tuyến ở lối vào
Đôi khi dữ liệu được truyền giữa các
dữ liệu qua đó. Tường lửa cho phép quản trị viên hệ thống triển khai
đường hầm bằng cách cung cấp liên kết địa chỉ IP của bộ định tuyến ở
quy trình ứng dụng là bảo mật và
chính sách bảo mật trong một nơi tập trung. Tường lửa dựa trên bộ
đầu xa của đường hầm. Bất cứ khi nào bộ định tuyến tại lối vào của
người dùng ứng dụng muốn người
lọc là loại được triển khai đơn giản và được triển khai rộng rãi nhất.
đường hầm muốn gửi một gói tin qua liên kết ảo này, nó đóng gói gói
khác không thể đọc được.
Chúng được cấu hình với một bảng các địa chỉ mô tả các gói mà chúng
bên trong một gói dữ liệu IP. Địa chỉ đích trong tiêu đề IP là địa chỉ của
sẽ và sẽ không chuyển tiếp.
bộ định tuyến ở đầu xa của đường hầm, trong khi địa chỉ nguồn là của
bộ đóng gói bộ định tuyến.
Tạo một dự án mới
Khởi động OPNET IT Guru Academic
Chọn Project và nhấn OK ⇒ Đặt tên
Edition ⇒ Chọn New từ thực đơn File.
cho dự án <your initials > _VPN, và
kịch bản NoFirewall ⇒ Nhấp OK.
Nhấp vào Quit trên
Startup Wizard.
Để xóa bản đồ nền thế giới, chọn
View ⇒ Background ⇒ Set
Border Map ⇒ Chọn NONE từ
drop-down menu ⇒ Nhấp OK.
Tạo và cấu hình mạng
Khởi tạo mạng
Thêm các đối tượng sau đây, từ bảng màu, vào vùng làm việc
Mở hộp thoại Object
của dự án (xem hình bên dưới cho vị trí): Application Config,
Palette bằng cách
Profile Config, một ip32_cloud, một ppp_server, ba
Đổi tên các đối
ethernet4_slip8_gtwy routers, và hai ppp_wkstn hosts. Để thêm
tượng bạn đã
Lưu
chắc chắn rằng mục
một đối tượng từ bảng màu, nhấp vào biểu tượng của nó trong
thêm và kết nối
dự án
internet_toolbox
bảng đối tượng ⇒ Chuyển chuột vào vùng làm việc và nhấp vào
chúng bằng các
của
được chọn từ pull-
nơi bạn muốn đặt đối tượng ⇒ Rightclick để cho biết bạn đã
liên kết PPP
bạn
down menu trên
hoàn tất việc tạo các đối tượng thuộc loại này.
DS1
nhấp vào
. Hãy
bảng đối tượng.
Cấu hình các nút
1. Nhấp chuột phải vào Applications⇒ Edit Attributes ⇒ Gán Default cho Application Definitions ⇒ Nhấp vào OK.
2. Nhấp chuột phải vào Profiles ⇒ Edit Attributes ⇒ Gán Sample Profiles cho Profile Configuration ⇒ Nhấn OK.
3. Nhấp chuột phải vào Server ⇒ Edit Attributes ⇒ Gán All cho Application: Supported Services ⇒ Nhấp vào OK.
4. Nhấp chuột phải vào Sales A ⇒ Select Similar Nodes (thực hiện trên cả Sales A và Sales B được chọn).
i. Nhấp chuột phải vào Sale A ⇒ Edit Attributes ⇒ tích vào ô Apply Changes to Selected Objects.
ii. Chọn Application: Supported Profiles ⇒ chuyển row thành 1 ⇒ Trong none 0 ⇒ Profile Name = Sales Person (đây là một trong "mẫu hồ sơ" chúng tôi đã định cấu hình trong nút Cấu hình).
iii. Nhấp vào OK.
5. Lưu dự án của bạn.
Chọn Số liệu thống kê
1. Nhấp chuột phải vào bất kỳ đâu trong vùng làm việc của dự án và chọn Choose Individual Statistics từ trình đơn bật lên.
2. Trong hộp thoại Choose Results dialog, hãy kiểm tra các thống kê sau:
i. Global Statistics ⇒ DB Query ⇒ Response Time (sec).
ii. Global Statistics ⇒ HTTP ⇒ Page Response Time (seconds).
3. Nhấp OK.
4. Nhấp chuột phải vào Sale A và chọn Choose Individual Statistics từ trình đơn bật lên.
5. Trong hộp thoại Chọn kết quả, kiểm tra các thống kê sau:
i. Client DB ⇒ Traffic Received (byte / giây).
ii. Client Http ⇒ Traffic Received (byte / giây).
6. Nhấp OK.
7. Nhấp chuột phải vào Sale B và chọn Choose Individual Statistics từ trình đơn bật lên.
8. Trong hộp thoại Chọn kết quả, kiểm tra các thống kê sau:
i. Client DB ⇒ Traffic Received (byte / giây).
ii. Client Http ⇒ Traffic Received (byte / giây).
9. Nhấp OK và sau đó lưu dự án của bạn.
Kịch bản tường lửa
Trong mạng chúng tôi vừa tạo, hồ sơ Sales cho phép cả trang sales truy cập các ứng dụng như Truy cập
Cơ sở dữ liệu, Email và Duyệt web từ máy chủ (kiểm tra Cấu hình Cấu hình của nút Cấu hình). Giả sử
rằng chúng ta cần phải bảo vệ cơ sở dữ liệu trong máy chủ từ truy cập bên ngoài, bao gồm cả sales. Một
cách để làm đó là thay thế Router C bằng một tường lửa như sau:
1. Chọn Duplicate Scenario từ menu Scenarios và đặt tên là Firewall ⇒ Nhấp vào OK.
2. Trong kịch bản mới, nhấn chuột phải vào Router C ⇒ Edit Attributes.
3. Gán ethernet2_slip8_firewall cho thuộc tính mô hình.
4. Proxy Server Information ⇒ Mở row 1, dành cho ứng dụng Cơ sở dữ liệu, phân cấp ⇒ Chọn
No cho Proxy Server Information như hình.
5. Nhấp OK và sau đó lưu dự án của bạn.
=> Cấu hình Tường lửa của chúng tôi không cho phép lưu lượng truy cập liên quan đến cơ sở dữ liệu đi
qua tường lửa (nó lọc các gói đó ra). Bằng cách này, các cơ sở dữ liệu trong máy chủ được bảo vệ khỏi
truy cập từ bên ngoài.
Trong kịch bản tường lửa, chúng tôi đã bảo vệ cơ sở dữ liệu trong máy chủ khỏi truy cập bên ngoài “bất kỳ” bằng bộ định tuyến tường lửa.
Giả sử rằng chúng tôi muốn cho phép những người trong trang web Sales A có quyền truy cập vào cơ sở dữ liệu trong máy chủ. Vì tường lửa
Kịch bản Firewall_VPN
lọc tất cả lưu lượng truy cập liên quan đến cơ sở dữ liệu bất kể nguồn lưu lượng truy cập là gì, chúng ta cần xem xét giải pháp VPN. Một
đường hầm ảo có thể được sử dụng bởi Sales A để gửi các yêu cầu cơ sở dữ liệu đến máy chủ. Tường lửa sẽ không lọc lưu lượng được tạo bởi
Sales A vì các gói IP trong đường hầm sẽ được đóng gói bên trong một gói dữ liệu IP.
1. Trong khi bạn đang ở trong Firewall, hãy chọn Duplicate Scenario từ Scenarios và đặt tên cho nó là Firewall_VPN ⇒ Nhấp OK.
2. Hủy bỏ liên kết giữa Router C và Server.
3. Mở hộp thoại Object Palette bằng cách nhấp vào
. Đảm bảo rằng đã mở
palette là một trong số đó gọi là internet_toolbox.
i. Thêm vào vùng làm việc của dự án một ethernet4_slip8_gtwy và một IP VPN Config (xem hình bên dưới để biết vị trí).
ii. Từ Object Palette, sử dụng hai liên kết PPP DS1 để kết nối router mới với
Router C (tường lửa) và Server.
iii. Đóng hộp thoại Object Palette.
4. Đổi tên đối tượng IP VPN Config thành VPN.
5. Đổi tên router mới thành Router D.
Cấu hình VPN
Nhấp chuột phải vào nút VPN ⇒Edit Attributes
i. Mở VPN Configuration ⇒ chuyển Row 1 ⇒ Mở Row 0 ⇒ Chỉnh sửa giá trị của
Tunnel Source Name và ghi xuống Router A ⇒ Chỉnh sửa giá trị của Tunnel Destination
Name và ghi xuống Router D
ii. Mở Remote Client List ⇒ chuyển Row 1 ⇒ Mở Row 0 ⇒ Chỉnh sửa giá trị của
Client Node Name và ghi xuống Sales A.
iii. Nhấp vào OK và sau đó lưu dự án của bạn.
Chạy mô phỏng
Vào menu Scenarios ⇒
Chọn Manage Scenarios
Để chạy mô phỏng cho ba kịch bản cùng một lúc
Thay đổi các giá trị trong cột Kết
Sau khi hoàn thành ba mô phỏng, một
quả thành <collect> (hoặc
mô phỏng cho mỗi kịch bản, hãy nhấp
<recollect>) cho ba kịch bản. Giữ giá
vào Close ⇒ Lưu dự án của bạn.
trị mặc định của Sim Duration (1
giờ).
Nhấn OK để chạy ba mô phỏng. Tùy thuộc
vào tốc độ bộ xử lý của bạn, quá trình này có
thể mất vài phút để hoàn thành
Xem kết quả
1. Chọn Compare Results từ menu Results.
2. Mở Sales A ⇒ Mở rộng phân cấp Client DB ⇒ Chọn Traffic Received.
3. Thay đổi trình đơn thả xuống ở phần giữa phía dưới của hộp thoại
Compare Results từ As Is đến time_average
4. Nhấn Show và biểu đồ kết quả sẽ giống với biểu đồ sau:
5. Tạo biểu đồ tương tự như biểu đồ trước, nhưng đối với Sales B:
6. Tạo hai biểu đồ tương tự như các biểu đồ trước để mô tả Lưu lượng truy
cập đã nhận bởi Client Http cho Sales A và Sales B.
Lưu ý: Kết quả có thể thay đổi đôi chút do vị trí nút khác nhau.