BÁO cáo môn học cơ sở AN TOÀN THÔNG TIN đề tài tìm HIỂU và SO SÁNH TÍNH NĂNG của một số LOẠI TƯỜNG lửa

Cấu hình Iptables

Iptables là một tường lửa yêu cầu cao về bảo mật, nơi tất cả dữ liệu từ các gói tin được gửi qua Internet Linux Kernel thực hiện việc lọc các gói tin này thông qua một giao diện sử dụng bảng các bộ lọc khác nhau.

Xóa hết các rule đã có trong chain: Iptables – X Đặt danh sách cho các chain: ‘built-in’(INPUT, OUTPUT &

Iptables là công cụ quản lý tường lửa trong Linux, cho phép người dùng thực hiện các thao tác quan trọng như liệt kê các quy tắc trong chuỗi bằng lệnh "iptables -L", xóa các quy tắc bằng "iptables -F" và reset bộ đếm gói về 0 với "iptables -Z" Để thao tác hiệu quả với các quy tắc, người dùng cần nhớ các tùy chọn tương ứng để thực hiện các lệnh một cách dễ dàng.

Tùy chọn để thao tác với rules trong Iptables

Thêm rule: -A Xóa rule: -D Thay thế rule: -R Chèn thêm rule: -I

TIEU LUAN MOI download : skknchat123@gmail 10 com moi nhat

Các câu lệnh cơ bản Iptables

Để làm việc với các quy tắc trong Iptables, người dùng cần sử dụng các lệnh Các lệnh trong Iptables được chia thành hai loại: cơ bản và nâng cao Tuy nhiên, người dùng thường chỉ cần áp dụng linh hoạt các lệnh cơ bản để dễ dàng quản lý các quy tắc Vậy các lệnh cơ bản của Iptables bao gồm những lệnh nào? Tất cả sẽ được cập nhật ngay sau đây Một trong những lệnh quan trọng là lệnh tạo một quy tắc mới.

Ví dụ: iptables -A INPUT -i lo -j ACCEPT Lệnh này có nghĩa là:

A nghĩa là Append A INPUT nghĩa là khai báo kiểu kết nối sẽ được áp dụng I nghĩa là Internet I lo nghĩa là khai báo thiết bị mạng được áp dụng

J nghĩa là Jump J ACCEPT nghĩa là khai báo hành động sẽ được áp dụng cho quy tắc này.

Khi người dùng gõ lệnh `iptables -L -v`, sẽ thấy một quy tắc mới xuất hiện Sau khi thêm hoặc thay đổi các quy tắc, người dùng cần lưu lại bằng lệnh `service iptables save` và khởi động lại tường lửa bằng `service iptables restart` để áp dụng các thay đổi Để tiếp tục thêm quy tắc nhằm lưu lại quá trình kết nối hiện tại và tránh bị tự động chặn ra khỏi máy chủ, hãy thực hiện đúng các lệnh quy định.

Lệnh thực hiện: iptables -A INPUT -m state –state ESTABLISHED, RELATED -j ACCEPT

Lệnh tạo một rule mới Để các cổng được phép truy cập từ bên ngoài vào qua giao thức tcp thì hãy thực hiện theo lệnh.

Để cho phép kết nối SSH qua cổng 22, bạn có thể sử dụng lệnh iptables: `iptables -A INPUT -p tcp dport 22 -j ACCEPT` Lệnh này áp dụng giao thức TCP cho cổng 22, cho phép các kết nối SSH Để ngăn chặn tất cả các kết nối không đáp ứng các quy tắc đã thiết lập, bạn thực hiện lệnh `iptables -A INPUT -j DROP`, tương tự như quy tắc 5 ở trên.

Để chèn một quy tắc mới vào vị trí mong muốn, việc sử dụng các lệnh bổ sung để thêm quy tắc là rất quan trọng Người dùng chỉ cần thay tham số -A table bằng tham số INSERT –l để hoàn tất quá trình.

Để thêm một quy tắc mới vào Iptables, bạn sử dụng lệnh: `iptables -I INPUT 2 -p tcp dport 8080 -j ACCEPT` Để xóa một quy tắc đã tạo tại vị trí 4, bạn có thể sử dụng lệnh xóa với tham số -D, cấu trúc lệnh xóa như sau: `iptables -D INPUT 4`.

Để xóa toàn bộ các quy tắc có hành động DROP trong Iptables, bạn chỉ cần sử dụng lệnh "IPtables -D INPUT 4" Cấu trúc lệnh này giúp bạn dễ dàng loại bỏ tất cả các quy tắc không mong muốn.

Tổng quan về tường lửa Pfsense

Giới thiệu về Pfsense

pfSense là một giải pháp tường lửa mạnh mẽ, tích hợp nhiều tính năng tương tự như các thiết bị thương mại, bao gồm giao diện quản lý web dễ sử dụng Được xây dựng trên nền tảng FreeBSD và sử dụng giao thức Common Address Redundancy Protocol (CARP), pfSense cho phép thiết lập hệ thống dự phòng tự động cho các tường lửa Ngoài ra, với khả năng hỗ trợ nhiều kết nối mạng diện rộng (WAN), pfSense cũng có thể thực hiện việc cân bằng tải hiệu quả.

pfSense là một giải pháp tường lửa mạnh mẽ, bao gồm nhiều tính năng tương tự như các thiết bị thương mại, với giao diện quản lý dễ sử dụng qua Web Được xây dựng trên nền tảng FreeBSD và sử dụng giao thức Common Address Redundancy Protocol (CARP), pfSense cung cấp khả năng dự phòng tự động cho các tường lửa Hỗ trợ nhiều kết nối mạng diện rộng (WAN) giúp pfSense thực hiện cân bằng tải hiệu quả Đặc biệt, yêu cầu cấu hình để cài đặt pfSense rất thấp, chỉ cần một máy tính với cấu hình P3, RAM 128 MB và HDD 1GB là đủ để thiết lập tường lửa này.

Tuy nhiên đặc thù Pfsense là tường lửa ngăn các nguy hại giữa mạng WAN và mạng LAN nên máy cài đặt Pfsense yêu cầu tối thiểu 2 card mạng

Tính năng của Pfsense

Tính năng Aliases cho phép chúng ta nhóm lại các cổng, máy chủ hoặc mạng khác nhau và gán cho chúng một tên chung, giúp việc thiết lập các quy tắc trở nên dễ dàng và nhanh chóng hơn.

Các thành phần trong Aliases bao gồm: Host, dùng để tạo nhóm các địa chỉ IP; Network, cho phép tạo nhóm các mạng; và Port, cho phép gom nhóm các cổng mà không cho phép nhóm các giao thức, vì các giao thức này được sử dụng trong các quy tắc.

Luật Firewall là nơi lưu trữ các quy tắc quản lý lưu lượng mạng Mặc định, pfSense cho phép tất cả lưu thông ra vào hệ thống Để kiểm soát mạng bên trong Firewall, bạn cần tạo ra các quy tắc phù hợp.

When configuring destination and source options, users can select from various choices including "Any," which encompasses all addresses, or specify a "Single host or alias," referring to a specific IP address or its alias Additionally, options include "LAN subnet," which pertains to the local area network, "Network," indicating a specific network address, and "LAN address," which covers all internal network addresses For external connections, "WAN address" represents all external network addresses Furthermore, users can identify "PPTP clients," which are those connecting via the PPTP VPN protocol, and "PPPoE clients," referring to those utilizing the PPPoE VPN protocol.

pfSense hỗ trợ việc sử dụng nhiều địa chỉ IP công cộng thông qua cơ chế NAT với IP ảo, bao gồm ba loại: Proxy ARP, CARP và một loại khác Mỗi loại IP ảo phù hợp với những tình huống cụ thể, trong đó pfSense thường cung cấp ARP trên các địa chỉ IP Khi cần sử dụng Proxy ARP hoặc CARP, điều này sẽ đảm bảo kết nối ổn định Ngược lại, nếu ARP không cần thiết, như khi các IP công cộng bổ sung được định tuyến bởi nhà cung cấp dịch vụ mạng, loại IP ảo khác sẽ được áp dụng.

Virtual IP được sử dụng trong pfSense để chuyển tiếp lưu lượng hiệu quả cho các tác vụ như chuyển tiếp cổng NAT, NAT Outbound và NAT 1:1 Chúng cũng hỗ trợ tính năng failover và cho phép các dịch vụ trên router kết nối với nhiều địa chỉ IP khác nhau.

Có thể được sử dụng bởi các tường lửa chính nó để chạy các dịch vụ hoặc được chuyển tiếp.

Tạo ra lớp 2 lưu lượng cho các VIP (Virtual IP).

Có thể được sử dụng cho clustering (tường lửa và tường lửa chủ failover chế độ chờ).

Các VIP đã được trong cùng một subnet IP của giao diện thực Sẽ trả lời ICMP ping nếu được phép theo các quy tắc tường lửa.

Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được chuyển tiếp.

Tạo ra lớp 2 lưu lượng cho các VIP.

Các VIP có thể được trong một subnet khác với IP của giao diện thực Không trả lời gói tin ICMP ping.

Có thể được sử dụng nếu các tuyến đường cung cấp cho bạn VIP của bạn dù sao mà không cần thông báo lớp 2.

Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được chuyển tiếp.

Các VIP có thể được trong một subnet khác với các giao diện

IP Không trả lời ICMP ping.

Trong Firewall, bạn có thể cấu hình các thiết lập NAT để sử dụng cổng chuyển tiếp cho các dịch vụ hoặc thiết lập NAT tĩnh (1:1) cho các host cụ thể Thiết lập mặc định của NAT áp dụng cho các kết nối outbound.

Automatic outbound NAT…, tuy nhiên bạn có thể thay đổi kiểu Manual outbound NAT nếu cần.

Định tuyến là một trong những tính năng quan trọng của Firewall, bên cạnh việc lọc và thực hiện NAT Nó bao gồm việc quản lý các tuyến tĩnh, áp dụng các giao thức định tuyến, xử lý định tuyến IP công cộng và cung cấp thông tin chi tiết về định tuyến trong mạng.

Bridging trên pfSense cho phép kết hợp nhiều interface thành một miền mới, giúp hai cổng trên tường lửa hoạt động như một miền duy nhất Điều này giúp quản lý lưu lượng giữa các interface thông qua các quy luật đã được cấu hình, tạo ra sự linh hoạt trong việc quản lý mạng Mỗi interface thường đại diện cho một miền riêng với một subnet IP duy nhất, nhưng với chức năng bridging, chúng có thể hoạt động đồng bộ hơn.

VLAN (Virtual LAN) là một giải pháp giúp phân đoạn mạng thành nhiều mạng con độc lập Tuy nhiên, khi thiết kế và triển khai VLAN, vấn đề bảo mật cần được xem xét kỹ lưỡng Do VLAN không hoàn toàn đảm bảo an toàn, việc thiếu sót trong bảo mật có thể gây tổn hại cho mạng của bạn.

Multi-WAN của pfSense cho phép tận dụng nhiều kết nối Internet, giúp nâng cao thời gian hoạt động và tăng cường băng thông Để cấu hình Multi-WAN, trước tiên cần thiết lập hai giao diện (LAN và WAN) hoạt động.

Pfsense có khả năng xử lý nhiều WAN interface, triển khai sử dụng khoảng 10-

12 WANs WAN interface bổ sung được gọi là OPT WAN.

VPN (Mạng Riêng Ảo) là một giải pháp kết nối cho phép các máy tính giao tiếp an toàn qua môi trường chia sẻ như Internet, bảo vệ dữ liệu và quyền riêng tư của người dùng.

TIEU LUAN MOI download: skknchat123@gmail.com cung cấp tính riêng tư và bảo mật dữ liệu Để kết nối giữa các máy tính, thông tin được bọc trong header chứa dữ liệu định tuyến, giúp gửi dữ liệu qua mạng chia sẻ đến máy nhận như truyền qua các đường ống riêng gọi là tunnel Để đảm bảo an toàn, các gói tin được mã hóa và chỉ có thể giải mã bằng khóa thích hợp, ngăn chặn việc "trộm" gói tin trong quá trình truyền tải Chức năng này của pfSense được đánh giá cao về hiệu quả bảo mật.

IPSec (IP Security) đóng vai trò quan trọng trong việc giải quyết các vấn đề mà firewall không thể hoàn toàn xử lý, bao gồm xác thực host-to-host và mã hóa dữ liệu Được phát triển bởi Internet Engineering Task Force (IETF), IPSec giúp đảm bảo tính toàn vẹn và sự riêng tư của thông tin trong quá trình truyền tải giữa các host Mặc dù firewall có thể giảm thiểu nguy cơ tấn công trên Internet, nhưng vẫn còn những hạn chế trong việc xác thực và mã hóa thông tin IPSec không chỉ giải quyết những vấn đề này mà còn cung cấp các khả năng đặc biệt khi kết hợp với firewall, như VPN và khả năng lọc gói tốt hơn, giúp xác minh host hiệu quả hơn thông qua tiêu đề xác thực IPSec.

PPTP VPN: Pfsense có thể được cấu hình làm máy chủ PPTP VPN, đây là một trong ba lựa chọn VPN phổ biến nhất do hầu hết các hệ điều hành, bao gồm tất cả các phiên bản Windows từ Windows 95, đã tích hợp sẵn PPTP client Tuy nhiên, do tính bảo mật không được đảm bảo, việc sử dụng PPTP VPN không được khuyến nghị.

TRIỂN KHAI XÂY DỰNG TƯỜNG LỬA IPTABLES VÀ TƯỜNG LỬA PFSENSE

Triển khai Iptables

Tường lửa Iptables là một giải pháp tường lửa miễn phí được tích hợp trong hệ điều hành Linux, cho phép kiểm soát truy cập cho mạng máy tính nội bộ và phân vùng mạng máy chủ hiệu quả.

Hướng dẫn này cung cấp cách thiết lập tập luật cho tường lửa Iptables nhằm kiểm soát các dịch vụ cho mạng nội bộ, mạng DMZ và mạng Internet Cụ thể, bài viết hướng dẫn cho phép người dùng trong mạng LAN truy cập Internet thông qua các giao thức HTTP, HTTPS, ICMP và DNS.

Cho phép người dùng từ mạng Internet và mạng nội bộ truy cập được trang web từ máy chủ web trong phần vùng DMZ.

Cho phép người dùng sử dụng ứng dụng thư điện tử để gửi và nhận thư với nhau.

Cài đặt ứng dụng thư Mozilla Thunderbird trên máy ảo hệ điều hành Windows 7 và thiết lập máy ảo Windows Server 2012 Đã cấu hình dịch vụ web bằng máy chủ IIS với trang web mặc định của Microsoft Ngoài ra, dịch vụ phân giải tên miền DNS đã được cài đặt với các bản ghi phù hợp cho web và mail Cuối cùng, phần mềm máy chủ thư điện tử MDaemon V10 cũng đã được cài đặt thành công.

01 máy ảo hệ điều hành CentOS 6.5 để làm tường lửa Iptables

Hình 3.3 Mô hình cài đặt

3.1.4 Một số câu lệnh cơ bản sử dụng trong tường lửa Iptables

Lệnh khởi động tường lửa:

[root@server]# service iptables start [root@server]# service iptables stop [root@server]# service iptables restart Để khởi động Iptables mỗi khi khởi động máy:

[root@server]# chkconfig iptables on Để xem tình trạng của Iptables:

[root@server]# service iptables status

Lưu thông tin cấu hình:

[root@server]# /etc/init.d/iptables save

Lệnh xóa toàn bộ luật có trong Iptables:

[root@server]# iptables -F [root@server]# iptables –t nat -

3.1.5 Các kịch bản thực hiện Kịch bản 1 Cho phép máy tính trong LAN Ping ra ngoài mạng Internet Bước 1: Kiểm tra Ping

Tại máy trạm Windows 7 thực Ping đến địa chỉ IP bất kỳ.

Kết quả, không Ping được ra ngoài mạng

Bước 2: Thiết lập luật trên tường lửa Iptables để cho phép máy trạm Ping ra bên ngoài.

Trước hết cần kiểm tra tên của các giao diện mạng trên máy tường lửa Iptables:

Trong hình trên giao diện eth1 kết nối mạng Internet Giao diện eth2 kết nối mạng nội bộ, giao diện eth3 kết nối mạng máy chủ.

Tiếp theo đặt lệnh cho Iptables để cho phép máy trạm trong mạng nội bộ Ping ra mạng Internet.

[root@server]#iptables -A FORWARD -i eth2 -o eth1 -s 172.16.1.0/24 -p icmp icmp-type any -j

[root@server]#iptables -A FORWARD -i eth1 -o eth2 -d 172.16.1.0/24 -p icmp icmp-type any -j

[root@server]#iptables -t nat -A POSTROUTING -o eth1 -s 172.16.1.0/24 -j SNAT to-source 192.168.190.4

[root@server]#nano /proc/sys/net/ipv4/ip_forward 0 -> 1

Địa chỉ IP 192.168.190.4 được sử dụng cho giao diện mạng kết nối Internet (eth1) và có thể thay đổi tùy thuộc vào từng trường hợp cụ thể của máy ảo.

Bước 3: Kiểm tra kết quả

Trở lại máy trạm Windows 7 kiểm tra Ping tới địa chỉ IP tại bước 1 Kết quả thành công.

Kịch bản 2: Cho phép máy tính trong LAN truy vấn DNS ra Internet Bước 1: Kiểm tra truy vấn

Trước khi thiết lập luật cho tường lửa, tại máy trạm Windows 7 không truy vấn được DNS Sử dụng lệnh nslookup để truy vấn.

Bước 2: Cấu hình luật để cho phép truy vấn DNS tại tường lửa.

[root@server]#iptables -A FORWARD-i eth2 -o eth1 -s 172.16.1.0/24 -p udp dport 53 -j ACCEPT

[root@server]#iptables -A FORWARD -i eth1 -o eth2 -d 172.16.1.0/24 -p udp sport 53 -j ACCEPT

Bước 3: Kiểm tra kết quả

Kết quả, lúc này tại máy Windows 7 thực hiện truy vấn thành công

Kịch bản 3: Cho phép máy tính trong mạng LAN truy cập được các website từ mạng Internet

[root@server]#iptables -A FORWARD -i ens39 -o ens33 -s 172.16.1.0/24 -p tcp -m multiport dport 80,443 -j ACCEPT

[root@server]#iptables -A FORWARD -i ens33 -o ens39 -s 172.16.1.0/24 -p tcp -m multiport sport 80,443 -j ACCEPT

Kịch bản 4: Cho phép truy cập tới máy chủ web trong phân vùng mạng DMZ Thiết lập:

[root@server]#iptables -A FORWARD -i ens39 -o ens38 -s 172.16.1.0/24 -p tcp -m multiport dport 80,443 -j ACCEPT

[root@server]#iptables -A FORWARD -i ens38 -o ens39 -d 172.16.1.0/24 -p tcp -m multiport sport 80,443 -j ACCEPT

[root@server]#iptables -t nat -A POSTROUTING -o ens38 -s 172.16.1.0/24 -d 10.0.0.0/24 -j SNAT –to-source 10.0.0.2

Thiết lập và cấu hình tường lửa PfSense

Tường lửa PfSense là một giải pháp tường lửa mềm miễn phí, giúp kiểm soát lưu lượng mạng và thực hiện các biện pháp bảo vệ an toàn cho hệ thống mạng máy tính.

PfSense là một tường lửa mạnh mẽ, cho phép cấu hình dễ dàng thông qua giao diện đồ họa Với khả năng quản lý dựa trên dòng lệnh, người quản trị có thể theo dõi và tối ưu hóa hoạt động của mạng, từ đó đảm bảo an toàn cho hệ thống máy tính.

A virtual machine running Windows 7 has been set up with Google Chrome installed, alongside another virtual machine operating on Windows Server 2012 The server has been configured with IIS web services, utilizing Microsoft's default website Additionally, MDaemon V10 email server software has been installed on the primary virtual machine.

Hình 4.5 Mô hình cài đặt

Để thiết lập một hệ thống tường lửa hiệu quả, bạn cần thực hiện các bước sau: đầu tiên, chuẩn bị các máy ảo; tiếp theo, cài đặt tường lửa PfSense; sau đó, cấu hình tường lửa với các thiết lập cơ bản; tiếp tục quản trị tường lửa qua giao diện đồ họa; và cuối cùng, tạo tập luật theo kịch bản cụ thể để đảm bảo an ninh mạng.

3.2.4 Chuẩn bị các máy ảo

Máy ảo Windows 7 với cấu hình như sau:

Cấu hình phần cứng: chú ý Vmnet2

Cài đặt trình duyệt Google Chrome Cấu hình IP:

Máy ảo Server 2012 Cấu hình phần cứng: chú ý Vmnet3

Cài đặt máy chủ web IIS Truy cập theo đường dẫn để cài đặt dịch vụ Server Manager → Manage → Add Roles and Features

The Add Roles and Features window appears; click Next to initiate the installation process In the Select installation type section, choose Role-based or feature-based installation to set up services and features for the server.

Chọn Next để tiếp tục cài đặt.

Trong tùy chọn Select destination server → Chọn Select a server from the server pool.

Tiếp tục lựa chọn dịch vụ

Chọn Next để tiếp tục.

Trong mục Select features để mặc định → chọn Next để tiếp tục.

Các bước tiếp theo để mặc định → Install Quá trình cài đặt thành công. Để kiểm tra dịch vụ web, sử dụng trình duyệt Internet Explorer trên Server

2012 Truy cập theo đường dẫn: http://localhost

Nội dung hiển thị như trên thì dịch vụ web đã hoạt động.

Từ giao diện trên chọn CD/DVD → trỏ tới nơi lưu trữ hệ điều hành PfSense

Nhấn Open để lựa chọn hệ điều hành.

Chọn OK để hoàn tất cấu hình phần cứng.

3.2.6 Cài đặt tường lửa PfSense

Sau khi cấu hình phần cứng cho máy ảo PfSense xong, khởi động máy ảo.

Quá trình cài đặt bắt đầu

Quá trình diễn ra mặc định

Quá trình tiếp theo để mặc định và nhấn Enter để cài đặt.

Giao diện cuối cùng chọn

Chọn No để bỏ qua chế độ kiểm tra.

Chọn Reboot để khởi động lại tường lửa sau khi đã cài đặt xong.

3.2.7 Cấu hình tường lửa cơ bản

Sau khi khởi động lại tường lửa, bắt đầu cấu hình cơ bản:

Cấu hình mạng LAN ảo, chọn n để bỏ qua.

Lựa chọn cổng mạng tương ứng với các phân vùng mạng

Le0: Cổng mạng kết nối Internet Le1: Cổng mạng kết nối LAN Le2: Cổng mạng kết nối DMZ

Chọn y để thực hiện xử lý.

Tiếp tục cấu hình địa chỉ IP cho mỗi cổng mạng tương ứng với mô hình đã cho.

Chú ý: ở trong môi trường ảo hóa này IP cổng WAN nên để mặc định Tiếp tục cấu hình cho cổng LAN

Chú ý: muốn quản trị tường lửa PfSense qua giao diện web thì phải thực hiện bước sau đây:

Tương tự cấu hình IP cho cổng mạng DMZ qua OPT1

Kết quả cuối cùng sau khi cấu hình cơ bản:

Kiểm tra kết nối tới các máy:

Kết quả cấu hình mạng thành công.

3.2.8 Quản trị tường lửa bằng đồ họa

Sau khi hoàn tất cấu hình cơ bản, bạn có thể sử dụng trình duyệt web trên máy tính Windows 7 để truy cập và quản lý tường lửa thông qua giao diện đồ họa.

Tại máy Windows 7 sử dụng trình duyệt Google Chrome đã cài đặt truy cập theo đường dẫn: http://172.16.1.1

User: admin Pass: pfsense Công việc đầu tiên cần thay đổi mật khẩu cho tài khoản admin

Nhấn Save ở phía cuối trang để lưu và trở về giao diện quản trị.

Giao diện quản trị chung

Thông tin về cổng mạng

Lưu ý rằng địa chỉ IP của cổng WAN khác với địa chỉ IP trong mô hình đã trình bày Để sử dụng chế độ DHCP, trong môi trường máy ảo, cần phải kích hoạt chế độ này để có thể truy cập Internet.

Trong thực tế IP cổng này là IP public là địa chỉ tĩnh.

3.2.9 Tạo tập luật theo kịch bản Kịch bản 0: Xóa các luật mặc định.

Khi cài đặt tường lửa, hệ thống sẽ tự động tạo ra các luật mặc định Tuy nhiên, những luật này không đủ an toàn cho hệ thống của bạn Do đó, việc thiết lập lại các luật tường lửa từ đầu là rất cần thiết để đảm bảo an toàn tối ưu cho mạng lưới.

Truy cập theo đường dẫn: Firewall → Rules → LAN

Xóa các luật mặc định, kích vào tùy chọn Apply changes, kết quả.

Lúc này chỉ còn 1 luật mặc định, luật này không thể xóa được vì đây là luật cho quản trị tường lửa.

Kịch bản 1: Cho phép máy trạm trong mạng LAN Ping ra Internet Trước khi thiết lập luật, kiểm tra Ping:

Kết quả đang bị chặn bởi tường lửa.

Chọn Add, giao diện cấu hình luật xuất hiện lựa chọn các thông tin sau:

Chọn Save để lưu cấu hình Kết quả

Ping kiểm tra lại, kết quả:

Như vậy sau khi thiết lập luật cho tường lửa, thì lúc này các gói tin ICMP đi qua tường lửa đều cho phép.

Kịch bản 2: Cho phép máy tính trong mạng LAN truy vấn DNS ra Internet Chọn Add, cấu hình luật với thông tin như sau:

Nhấn Save để lưu, và Apply Changes để chạy luật.

Kiểm tra kết quả, sử dụng giao diện dòng lệnh DOS, chạy lệnh: nslookup để kiểm tra:

Có kết quả trả về địa chỉ IP tương ứng với tên miền.

Kịch bản 3: Cho phép máy tính trong mạng LAN truy cập website qua cổng 80, 443.

Luật đã tạo như sau:

Kiểm tra kết quả truy cập website trên Windows 7:

Kịch bản 4: Cho phép máy tính ngoài Internet truy cập vào website trên máy chủ DMZ

Chuyển qua giao diện cấu hình cho WAN Bỏ 2 luật mặc định đã được tạo sẵn trong mạng WAN bằng cách vào phần setting bỏ 2 tùy chọn như sau:

Vào phần Add để tạo luật với các thông tin như sau:

Kết quả: Để người dùng từ bên ngoài có thể truy cập được cần thực hiện NAT từ ngoài vào trong máy web server.

Vào Firewall → NAT Để public các dịch vụ, chúng ta sử dụng NAT chế độ Port Forward Chọn Add, tạo luật:

Note: The WAN address refers to the firewall's network port connecting to the Internet, which is configured in this article as 192.168.190.129 A workstation outside the Internet (in this practical exercise, a physical computer is used) accesses the website through this address.

Chọn lưu và Apply Change.

Để truy cập vào máy vật lý thông qua trình duyệt web, hãy sử dụng địa chỉ được cung cấp Lưu ý rằng máy vật lý và máy ảo kết nối với nhau thông qua cổng NAT của máy ảo.

Kịch bản 5: cho phép người dùng trong mạng LAN gửi và nhận mail với người dùng ngoài Internet sử dụng mail server trong DMZ.

Cài đặt dịch vụ DNS trên máy chủ Windows Server 2012 Truy cập vào Server Manager chọn Manage → Add role and feature

Tích vào dịch vụ DNS để cài đặt Các tùy chọn tiếp theo để mặc định Sau khi cài đặt thành công vào Tool để cấu hình cho DNS.

Giao diện quản trị DNS xuất hiện:

Chọn Forward Lookup Zone để tạo tên miền với IP tương ứng.

Chọn Reverse Lookup Zone để tạo phân giải ngược.

Để kiểm tra xem dịch vụ DNS có hoạt động đúng hay không, bạn cần sử dụng chương trình DOS (cmd) và lệnh nslookup.

Trước tiên cần cấu hình lại địa chỉ IP của máy chủ DNS trong cấu hình mạng.

Kết quả truy vấn thành công.

Cài đặt dịch vụ mail trên máy chủ Windows Server 2012:

Sao chép phần mềm máy chủ thư điện tử MDaemon V10 vào Server

2012 Thực hiện cài đặt và điền một số thông tin như sau:

Primary IP DNS: 10.0.0.20 Sau khi cài đặt xong mail server, tạo các tài khoản người dùng mail Vào mục Account → new account, với các thông tin

Tương tự tạo tài khoản cho user2.

Tại máy Windows 7 thiết lập tài khoản cho user1.

Sử dụng phần mềm Thunderbird Setup 31.5.0 làm mail client cho tài khoản user1.

Cài đặt và cấu hình như sau:

Trước tiên phải chuyển IP DNS trên Windows 7 như sau:

Sử dụng DOS (cmd) lệnh nslookup để truy vấn thử tên miền.

Cài đặt phần mềm Thunderbird, cấu hình như sau:

Chọn Continue để tiếp tục, của sổ xuất hiện chọn Manual config

Chọn Re-test để kiểm tra kết nối.

Lúc này chương trình sẽ báo lỗi vì tường lửa đang chặn kết nối từ LAN tới DMZ.

Mở luật trong tường lửa để cho phép kết nối mail (POP3, SMTP) truyền tải thông tin.

Truy cập vào trình duyệt quản trị tường lửa, vào phần Rules → LAN và mở luật như sau:

Kết quả: mail client truy vấn thành công.

Nhấn Done để kết thúc cài đặt và thiết lập cho mail client

Để kiểm tra quá trình gửi và nhận email, người dùng có thể sử dụng tài khoản user1 để gửi và nhận thư cho chính mình Việc này giúp xác định xem quá trình gửi và nhận email đã thành công hay chưa.

TIEU LUAN MOI download : skknchat123@gmail 51 com moi nhat Đã gửi và nhận thư thành công.

Cấu hình luật để Public dịch vụ mail ra Internet:

Cấu hình trên máy tính vật lý Cài đặt phần mềm Thunderbirth và thiết lập giống như trong Win7

Kết quả thành công Done để đóng của sổ cấu hình.

TIEU LUAN MOI download : skknchat123@gmail.com moi nhat

Tiêu đề	Tìm hiểu và so sánh tính năng của một số loại tường lửa
Tác giả	Nguyễn Hoàng Anh, Nguyễn Thanh Hải
Người hướng dẫn	TS. Nguyễn Ngọc Toàn
Trường học	Học viện Kỹ thuật Mật mã
Chuyên ngành	An toàn thông tin
Thể loại	báo cáo
Năm xuất bản	2022
Thành phố	Hà Nội

Định dạng
Số trang	62
Dung lượng	2,6 MB