Firewalls and VPN
Mạng bảo mật và mạng riêng ảo
Mục tiêu
Mục tiêu của phần này là nghiên cứu vai trò của Tường lửa và Mạng riêng
ảo(VPN) trong việc cung cấp bảo mật cho các mạng công cộng được chia sẻ như Internet.

Tổng quan
Mạng máy tính là tài nguyên thường được chia sẻ bởi nhiều ứng dụng sử dụng cho
nhiều mục đích khác nhau. Đôi khi dữ liệu được truyền giữa các quy trình ứng dụng là
bảo mật và người dùng ứng dụng muốn người khác không thể đọc được.
Tường lửa là một bộ định tuyến được lập trình đặc biệt nằm giữa một trang web và
phần còn lại của mạng. Nó là một bộ định tuyến theo nghĩa nó được kết nối với hai hoặc
nhiều mạng vật lý và nó chuyển tiếp các gói từ mạng này sang mạng khác, nhưng nó
cũng lọc các gói dữ liệu qua đó. Tường lửa cho phép quản trị viên hệ thống triển khai
chính sách bảo mật trong một nơi tập trung. Tường lửa dựa trên bộ lọc là loại được triển
khai đơn giản và được triển khai rộng rãi nhất. Chúng được cấu hình với một bảng các
địa chỉ mô tả các gói mà chúng sẽ và sẽ không chuyển tiếp.
VPN là ví dụ về việc cung cấp kết nối được kiểm soát trên mạng công cộng như
Internet. VPN sử dụng khái niệm được gọi là đường hầm IP — liên kết điểm-điểm-điểm
ảo giữa một cặp nút thực sự được phân tách bởi một số lượng mạng tùy ý. Liên kết ảo
được tạo trong bộ định tuyến ở lối vào đường hầm bằng cách cung cấp liên kết địa chỉ IP
của bộ định tuyến ở đầu xa của đường hầm. Bất cứ khi nào bộ định tuyến tại lối vào của
đường hầm muốn gửi một gói tin qua liên kết ảo này, nó đóng gói gói bên trong một gói
dữ liệu IP. Địa chỉ đích trong tiêu đề IP là địa chỉ của bộ định tuyến ở đầu xa của đường
hầm, trong khi địa chỉ nguồn là của bộ đóng gói bộ định tuyến.
Trong phần này, bạn sẽ thiết lập một mạng nơi máy chủ được truy cập qua Internet
bởi khách hàng có đặc quyền khác nhau. Bạn sẽ nghiên cứu cách tường lửa và VPN có
thể cung cấp bảo mật cho thông tin trong các máy chủ trong khi vẫn duy trì quyền truy
cập cho khách hàng với đặc quyền thích hợp.

Thủ tục

Tạo một dự án mới:
1. Khởi động OPNET IT Guru Academic Edition ⇒ Chọn New từ File.
2. Chọn Project và nhấn OK ⇒ Đặt tên cho dự án <your initials > _VPN, và kịch bản
NoFirewall ⇒ Nhấp OK.
3. Nhấp vào Quit trên Startup Wizard.
4. Để xóa bản đồ nền thế giới, chọn View ⇒ Background ⇒ Set Border Map ⇒ Chọn
NONE từ drop-down menu ⇒ Nhấp OK.

Tạo và cấu hình mạng
Khởi tạo mạng:
1. Mở hộp thoại Object Palette bằng cách nhấp vào
. Hãy chắc chắn rằng mục
internet_toolbox được chọn từ pull-down menu trên bảng đối tượng.


2. Thêm các đối tượng sau đây, từ bảng màu, vào vùng làm việc của dự án (xem
hình bên dưới cho vị trí): Application Config, Profile Config, một ip32_cloud, một
ppp_server, ba ethernet4_slip8_gtwy routers, và hai ppp_wkstn hosts.
a. Để thêm một đối tượng từ bảng màu, nhấp vào biểu tượng của nó trong bảng đối
tượng ⇒ Chuyển chuột vào vùng làm việc và nhấp vào nơi bạn muốn đặt đối tượng ⇒
Nhấp chuột phải để cho biết bạn đã hoàn tất việc tạo các đối tượng thuộc loại này.
3. Đổi tên các đối tượng bạn đã thêm và kết nối chúng bằng các liên kết PPP DS1,
như được hiển thị bên dưới:

4. Lưu dự án của bạn.
Định cấu hình các nút:
1. Nhấp chuột phải vào Applications⇒ Edit Attributes ⇒ Gán Default cho
Application Definitions⇒ Nhấp vào OK.
2. Nhấp chuột phải vào Profiles ⇒ Edit Attributes ⇒ Gán Sample Profiles cho
Profile Configuration ⇒ Nhấn OK.

3. Nhấp chuột phải vào Server ⇒ Edit Attributes ⇒ Gán All cho Application:
Supported Services ⇒ Nhấp vào OK.
4. Nhấp chuột phải vào Sales A ⇒ Select Similar Nodes (thực hiện trên cả Sales A
và Sales B được chọn).
i. Nhấp chuột phải vào Sale A ⇒ Edit Attributes ⇒ tích vào ô Apply Changes to
Selected Objects.
ii. Chọn Application: Supported Profiles ⇒ chuyển row thành 1 ⇒ Trong none 0 ⇒
Profile Name = Sales Person (đây là một trong "mẫu hồ sơ" chúng tôi đã định cấu hình
trong nút Cấu hình).
iii. Nhấp vào OK.
5. Lưu dự án của bạn.
Chọn Số liệu thống kê
1. Nhấp chuột phải vào bất kỳ đâu trong vùng làm việc của dự án và chọn Choose
Individual Statistics từ trình đơn bật lên.


2. Trong hộp thoại Choose Results dialog, hãy kiểm tra các thống kê sau:
i. Global Statistics ⇒ DB Query ⇒ Response Time (sec).
ii. Global Statistics ⇒ HTTP ⇒ Page Response Time (seconds).
3. Nhấp OK.
4. Nhấp chuột phải vào Sale A và chọn Choose Individual Statistics từ trình đơn
bật lên.
5. Trong hộp thoại Chọn kết quả, kiểm tra các thống kê sau:
i. Client DB ⇒ Traffic Received (byte / giây).
ii. Client Http ⇒ Traffic Received (byte / giây).
6. Nhấp OK.
7. Nhấp chuột phải vào Sale B và chọn Choose Individual Statistics từ trình đơn
bật lên.
8. Trong hộp thoại Chọn kết quả, kiểm tra các thống kê sau:
i. Client DB ⇒ Traffic Received (byte / giây).

ii. Client Http ⇒ Traffic Received (byte / giây).
9. Nhấp OK và sau đó lưu dự án của bạn.

Kịch bản tường lửa
Trong mạng chúng tôi vừa tạo, hồ sơ Sales cho phép cả trang sales truy cập các
ứng dụng như Truy cập Cơ sở dữ liệu, Email và Duyệt web từ máy chủ (kiểm tra Cấu
hình Cấu hình của nút Cấu hình). Giả sử rằng chúng ta cần phải bảo vệ cơ sở dữ liệu
trong máy chủ từ truy cập bên ngoài, bao gồm cả nhân viên bán hàng. Một cách để làm
đó là thay thế Router C bằng một tường lửa như sau:
1. Chọn Duplicate Scenario từ menu Scenarios và đặt tên là Firewall ⇒ Nhấp vào
OK.
2. Trong kịch bản mới, nhấn chuột phải vào Router C ⇒ Edit Attributes.
3. Gán ethernet2_slip8_firewall cho thuộc tính mô hình.
4. Mở rộng Proxy Server Information ⇒ Mở row 1, dành cho ứng dụng Cơ sở dữ
liệu, phân cấp ⇒ Chọn No cho Proxy Server Information như hình:


5. Nhấp OK và sau đó lưu dự án của bạn.
Cấu hình Tường lửa của chúng tôi không cho phép lưu lượng truy cập liên quan
đến cơ sở dữ liệu đi qua tường lửa (nó lọc các gói đó ra). Bằng cách này, các cơ sở dữ
liệu trong máy chủ được bảo vệ khỏi truy cập từ bên ngoài. Kịch bản tường lửa của bạn
sẽ trông giống như sau :

Kịch bản Firewall_VPN
Trong kịch bản tường lửa, chúng tôi đã bảo vệ cơ sở dữ liệu trong máy chủ khỏi
truy cập bên ngoài “bất kỳ” bằng bộ định tuyến tường lửa. Giả sử rằng chúng tôi muốn
cho phép những người trong trang web Bán hàng A có quyền truy cập vào cơ sở dữ liệu
trong máy chủ. Vì tường lửa lọc tất cả lưu lượng truy cập liên quan đến cơ sở dữ liệu bất



kể nguồn lưu lượng truy cập là gì, chúng ta cần xem xét giải pháp VPN. Một đường hầm
ảo có thể được sử dụng bởi Sales A để gửi các yêu cầu cơ sở dữ liệu đến máy chủ. Tường
lửa sẽ không lọc lưu lượng được tạo bởi Sales A vì các gói IP trong đường hầm sẽ được
đóng gói bên trong một gói dữ liệu IP.
1. Trong khi bạn đang ở trong Firewall, hãy chọn Duplicate Scenario từ Scenarios
và đặt tên cho nó là Firewall_VPN ⇒ Nhấp OK.
2. Hủy bỏ liên kết giữa Router C và Server.
3. Mở hộp thoại Object Palette bằng cách nhấp vào
. Đảm bảo rằng đã mở
palette là một trong số đó gọi là internet_toolbox.
i. Thêm vào vùng làm việc của dự án một ethernet4_slip8_gtwy và một IP VPN
Config (xem hình bên dưới để biết vị trí).
ii. Từ Object Palette, sử dụng hai liên kết PPP DS1 để kết nối router mới với
Router C(tường lửa) và Server, như hình dưới đây.
iii. Đóng hộp thoại Object Palette.
4. Đổi tên đối tượng IP VPN Config thành VPN.
5. Đổi tên router mới thành Router D như sau:

Định cấu hình VPN
Nhấp chuột phải vào nút VPN ⇒ Edit Attributes.
i. Mở VPN Configuration ⇒ chuyển Row 1 ⇒ Mở Row 0 ⇒ Chỉnh sửa giá trị của
Tunnel Source Name và ghi xuống Router A ⇒ Chỉnh sửa giá trị của Tunnel Destination
Name và ghi xuống Router D
ii. Mở Remote Client List ⇒ chuyển Row 1 ⇒ Mở Row 0 ⇒ Chỉnh sửa giá trị của
Client Node Name và ghi xuống Sales A.
iii. Nhấp vào OK và sau đó lưu dự án của bạn.


Chạy mô phỏng
Để chạy mô phỏng cho ba kịch bản cùng một lúc:

1. Vào menu Scenarios ⇒ Chọn Manage Scenarios.
2. Thay đổi các giá trị trong cột Results<collect> (hoặc <recollect>) cho ba dòng.
Giữ giá trị mặc định của Sim Duration (1 hour).
So sánh với hình sau:

3. Nhấn OK để chạy ba mô phỏng. Tùy thuộc vào tốc độ bộ xử lý của bạn, quá
trình này có thể mất vài phút để hoàn thành.
4. Sau khi hoàn thành ba mô phỏng, một mô phỏng cho mỗi kịch bản, hãy nhấp
vào Close ⇒ Lưu dự án của bạn.

Xem kết quả
Để xem và phân tích kết quả:
1. Chọn Compare Results từ menu Results.
2. Mở Sales A ⇒ Mở rộng phân cấp Client DB ⇒ Chọn Traffic Received.


3. Thay đổi trình đơn thả xuống ở phần giữa phía dưới của hộp thoại Compare
Results từ As Is đến time_average như hình sau:

4. Nhấn Show và biểu đồ kết quả sẽ giống với biểu đồ sau:

5. Tạo biểu đồ tương tự như biểu đồ trước, nhưng đối Sales B:


6. Tạo hai biểu đồ tương tự như các biểu đồ trước để mô tả Lưu lượng truy cập đã
nhận bởi Client Http cho Sales A và Sales B.


Lưu ý: Kết quả có thể thay đổi đôi chút do vị trí nút khác nhau.


Đọc thêm
- Tác động của khả năng liên kết Internet lên hiệu suất ứng dụng: Từ Menu giao thức,

chọn Phương pháp ⇒ Lập kế hoạch dung lượng.
- Mạng riêng ảo: IETF RFC số 2685 (www.ietf.org/rfc.html).

Câu hỏi
1) Từ các đồ thị thu được, giải thích hiệu quả của tường lửa, cũng như
cấu hình VPN, trên lưu lượng cơ sở dữ liệu theo yêu cầu của Sales A và Sales B.
2 So sánh các biểu đồ hiển thị lưu lượng HTTP đã nhận với các biểu đồ hiển thị
lưu lượng truy cập cơ sở dữ liệu nhận được.
3) Tạo và phân tích (các) biểu đồ hiển thị ảnh hưởng của tường lửa, cũng như
VPN được định cấu hình, về thời gian phản hồi (độ trễ) của các trang HTTP và truy vấn
cơ sở dữ liệu.
4) Trong kịch bản Firewall_VPN, chúng tôi đã cấu hình nút VPN sao cho không
có lưu lượng nào từ Bán hàng A bị chặn bởi tường lửa. Tạo một bản sao của kịch bản
Firewall_VPN và đặt tên cho kịch bản mới là Q4_DB_Web. Trong trường hợp
Q4_DB_Web, chúng tôi muốn định cấu hình mạng để:
a. Các cơ sở dữ liệu trong máy chủ chỉ có thể được truy cập bởi những người trong
trang bán hàng A.
b. Các trang web trong máy chủ chỉ có thể được truy cập bởi những người trong
trang web Bán hàng B.
Báo cáo của bạn bao gồm sơ đồ cấu hình mạng mới với bất kỳ thay đổi nào bạn đã
thực hiện cho các thuộc tính của các nút hiện có hoặc được thêm vào. Tạo ra các đồ thị
cần thiết để cho thấy rằng mạng mới đáp ứng các yêu cầu trên.


Báo cáo thí nghiệm
Chuẩn bị một báo cáo theo các hướng dẫn được giải thích trong Lab 0. Báo cáo
phải bao gồm câu trả lời cho các câu hỏi trên cũng như các biểu đồ bạn đã tạo từ kịch bản

mô phỏng. Thảo luận các kết quả bạn thu được và so sánh các kết quả này với sự mong
chờ của bạn. Đề cập đến bất kỳ sự bất thường hoặc hành vi không giải thích được.