ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Vũ Hồng Phong NGHIÊN CỨU TRIỂN KHAI NOKIA FIREWALL KHỐ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Công Nghệ Thông Tin HÀ NỘI - 2009 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Vũ Hồng Phong NGHIÊN CỨU TRIỂN KHAI NOKIA FIREWALL KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Cơng Nghệ Thơng Tin Cán hướng dẫn: ThS Đoàn Minh Phương Cán đồng hướng dẫn: ThS Nguyễn Nam Hải HÀ NỘI - 2009 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com LỜI CẢM ƠN Lời đầu tiên, em xin gửi lời cảm ơn chân thành tới ThS Nguyễn Nam Hải ThS Đoàn Minh Phương Hai thầy giúp đỡ em lựa chọn đề tài đồng thời trực tiếp hướng dẫn đưa nhận xét quý giá suốt trình em thực khóa luận Em xin gửi lời cảm ơn tới thầy Trung Tâm Máy Tính – Đại học Cơng Nghệ - ĐHQGHN tạo điều kiện để em nghiên cứu hồn thành khóa luận Em xin cảm ơn thầy, cô trường Đại học Công Nghệ, suốt bốn năm qua giảng dạy chúng em Những kiến thức thầy, cô cung cấp hành trang vững để em tiến bước tương lai Trong trình học tập, em nhận nhiều giúp đỡ, động viên từ bạn lớp K50CA, K50MMT Em xin gửi lời cảm ơn tất bạn Cuối cùng, em xin gửi lời cảm ơn sâu sắc tới bố mẹ gia đình em Những người ln ln cổ vũ, khích lệ mang tới cho em điều tốt đẹp sống LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com TÓM TẮT NỘI DUNG Phần mở đầu Khóa luận đặt vấn đề làm sở cho việc thực Khóa luận Các vấn đề đặt dựa việc khảo sát thực tế trạng hệ thống mạng trường Đại học Công Nghệ (xem chi tiết phụ lục B) Tiếp đó, Khóa luận trình bày giải pháp sử dụng Nokia Check Point để nâng cao khả an ninh hoạt động hệ thống mạng Các phần sau khóa luận trình bày phương pháp cài đặt, triển khai thiết bị Nokia IP1220 Đầu tiên tìm hiểu HĐH IPSO sử dụng Nokia IP1220, bước cài đặt, cấu hình HĐH IPSO Tiếp phần giới thiệu cách cài đặt ứng dụng Firewall-1/VPN-1 Sau cách cấu hình tường lửa, thiết lập sách an ninh, cấu hình NAT, Routing , cấu hình mạng riêng ảo VPN tích hợp với máy chủ LDAP Trước phần có nêu tóm tắt kiến thức sử dụng Phần kết luận nêu lên kết triển khai thành công Nokia Check Point hệ thống mạng thực tế trường Đại học Công Nghệ phương hướng, bổ sung cần thực tương lai LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com MỤC LỤC BẢNG VIẾT TẮT DANH SÁCH HÌNH VẼ DANH SÁCH BẢNG 10 ĐẶT VẤN ĐỀ 11 CHƯƠNG GIỚI THIỆU TỔNG QUAN VỀ NOKIA CHECK POINT VÀ HỆ ĐIỀU HÀNH IPSO 13 1.1 Giải pháp Nokia Check Point 13 1.2 Tổng quan Nokia Check Point 13 1.2.1 Hệ điều hành IPSO 14 1.2.2 Cài đặt HĐH IPSO cấu hình ban đầu 14 1.2.2.1 Boot Manager 15 1.2.2.2 Cài đặt IPSO 16 1.2.2.3 Cài đặt ban đầu 19 CHƯƠNG CÀI ĐẶT CHECK POINT NGX R62 22 2.1 Giới thiệu 22 2.2 Cài đặt package 22 2.2.1 Cài đặt gói wrapper 23 2.2.1.1 Cài đặt với CLI 23 2.2.1.2 Cài đặt với Nokia Network Voyager 23 2.2.2 Cài đặt SmartConsole NGX R62 24 CHƯƠNG THIẾT LẬP CẤU HÌNH TƯỜNG LỬA 25 3.1 Thiết lập cấu hình ban đầu 25 3.2 Chính sách tường lửa mặc định 27 3.3 Thiết lập luật tường lửa qua SmartDashboard 29 CHƯƠNG THIẾT LẬP CẤU HÌNH NAT 32 4.1 Ẩn giấu đối tượng mạng 32 4.2 Cấu hình luật NAT 33 CHƯƠNG CẤU HÌNH SMARTDEFENSE 35 5.1 Giới thiệu SmartDefense 35 5.2 Network Security 36 5.2.1 Denial of Service 36 5.2.2 IP and ICMP 36 5.2.3 TCP 37 5.2.4 Fingerprint Scrambling 38 5.2.5 Successive Events 38 5.2.6 Dynamic Ports 38 5.3 Application Intelligence 39 5.3.1 HTTP Worm Catcher 39 5.3.2 Cross-Site Scripting 40 5.3.3 HTTP Protocol Inspection 40 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 5.3.4 File and Print Sharing Worm Catcher 42 CHƯƠNG THIẾT LẬP CẤU HÌNH VPN 43 6.1 Tổng quan VPN 43 6.2 Giải pháp VPN Check Point cho truy cập từ xa 43 6.2.1 Cấu hình Office Mode sử dụng IP Pool 43 6.2.2 Truy cập VPN từ xa sử dụng SecuRemote/SecureClient 49 CHƯƠNG CẤU HÌNH VPN TÍCH HỢP LDAP 54 7.1 Giới thiệu sơ lược LDAP 54 7.2 Cấu hình VPN tích hợp LDAP 56 7.2.1 Cấu hình máy chủ LDAP 56 7.2.2 Cài đặt cấu hình VPN-1 57 7.2.2.1 Kích hoạt SmartDirectory Global Properties 57 7.2.2.2 Tạo host object cho OpenLDAP server 57 7.2.2.3 Tạo LDAP Account Unit 58 7.2.2.4 Tạo LDAP group 59 CHƯƠNG TRIỂN KHAI THỰC TẾ 60 8.1 Phân tích giải pháp 60 8.2 Cài đặt 62 8.2.1 Lắp đặt cài đặt ban dầu 62 8.2.2 Thiết lập cấu hình 65 8.3 Giám sát quản lý 80 KẾT LUẬN 86 PHỤ LỤC 87 Phụ lục A fw1ng.schema 87 Phụ lục B: Hiện trạng mạng VNUNet 90 TÀI LIỆU THAM KHẢO 97 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com BẢNG VIẾT TẮT BGP CLISH DHCP DNS ĐHQGHN FreeBSD FTP GUI HTTP HTTPS ICMP IGRP IP IPSO ISS LDAP NAT OSI OSPF RIP SNMP SSH TCP Telnet VNUNet VPN Border Gateway Protocol Command Line Interface Shell Dynamic Host Configuration Protocol Domain Name System Đại Học Quốc Gia Hà Nội Free Berkeley Software Distribution File Transfer Protocol Graphic User Interface Hypertext Transfer Protocol Hypertext Transfer Protocol Secure Internet Control Message Protocol Interior Gateway Routing Protocol Internet Protocol IP Security Operating System Internet Security System Lightweight Directory Access Protocol Network Address Translation Open Systems Interconnection Open Shortest Path First Routing Information Protocol Simple Network Management Protocol Secure Shell Tranmission Control Protocol Telecomunication network Vietnam National University Network Virtual Private Network LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com DANH SÁCH HÌNH VẼ Hình Nokia IP1220 Platform 13 Hình SmartDashboard – Security 30 Hình Thực thi cài đặt 31 Hình SmartDashboard – Address Translation 32 Hình Cấu hình luật NAT tự động 33 Hình Các luật NAT 34 Hình Global Properties - NAT 34 Hình Network Quota 37 Hình Dynamic Ports 39 Hình 10 General HTTP Worm Catcher 40 Hình 11 HTTP Protocol Inspection 41 Hình 12 File and Print Sharing 42 Hình 13 Check Point Gateway – General Properties 44 Hình 14 Tạo Network Object .45 Hình 15 Cấu hình Office Mode 46 Hình 16 Tạo User 47 Hình 17 Remote Access Community Properties 48 Hình 18 Remote Access Rule .48 Hình 19 Server Address 50 Hình 20 Authentication Method 50 Hình 21 Connectivity Settings 51 Hình 22 Advanced Settings 51 Hình 23 Validate Site 52 Hình 24 Giao diện kết nối SecureClient .52 Hình 25 Tạo Profile 53 Hình 26 Hoạt động giao thức LDAP .54 Hình 27 Entry 54 Hình 28 Kích hoạt Smart Directory 57 Hình 29 LDAP Server Properties 58 Hình 30 Mơ hình mạng cũ 60 Hình 31 Mơ hình mạng 61 Hình 32 Thơng tin hệ điều hành gói kích hoạt .63 Hình 33 Cấu hình cổng thiết bị 64 Hình 34 Đặt gateway 64 Hình 35 Cấu hình Host Name, SNMP 65 Hình 36 Smartmap 65 Hình 37 General Properties 66 Hình 38 Topology .67 Hình 39 Các luật tường lửa 68 Hình 40 Protection Overview .69 Hình 41 Remote Access .69 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hình 42 Remote Access Community Properties 70 Hình 43 VPN Basic 71 Hình 44 VPN - IKE 71 Hình 45 VPN – IPSEC 72 Hình 46 VPN NAT .72 Hình 47 Tạo Host Node 73 Hình 48 Thẻ General 73 Hình 49 LDAP Server Properties 74 Hình 50 Thẻ Server 74 Hình 51 Thẻ Object Management 75 Hình 52 Hiển thị tài khoản LDAP 75 Hình 53 LDAP Group 76 Hình 54 Luật Remote Access .76 Hình 55 Chọn Visitor Mode 77 Hình 56 Màn hình đăng nhập .78 Hình 57 Thiết lập kết nối 78 Hình 58 Xác thực tài khoản 78 Hình 59 Kết nối thành cơng 79 Hình 60 Kiểm tra địa 79 Hình 61 Kiểm tra bảng định tuyến .80 Hình 62 SmartView Tracker - Log .81 Hình 63 Record Detail 81 Hình 64 SmartView Tracker – Active 82 Hình 65 SmartView Tracker - Audit 83 Hình 66 SmartView Monitor 84 Hình 67 SmartView Monitor - System .85 Hình 68 SmartView Monitor – Remote User .85 Hình 69 Mơ hình logic hệ thống mạng VNUnet…………………………………… 69 Hình 70 Mơ hình logic hệ thống mạng CTnet…………………………………… 94 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com DANH SÁCH BẢNG Bảng Các tham biến Boot Manager 15 Bảng Các lọc mặc định .28 10 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hình 65 SmartView Tracker - Audit Thời điểm tai, thiết bị lắp đặt mạng thực tế, kết ban đầu cho thấy thiết bị hoạt động tốt ổn định SmartView Monitor cho phép người quản trị giám sát theo thời gian thực hoạt động mạng, hiển thị nhiều dạng khác bảng, biểu đồ 83 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hình 66 SmartView Monitor Người quản trị giám sát thơng tin network traffic, VPN Tunnel, Remote User, hàng loạt thông tin cần thiết khác 84 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hình 67 SmartView Monitor - System Hình 68 SmartView Monitor – Remote User 85 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com KẾT LUẬN Sau kết thúc thời gian làm khóa luận tốt nghiệp với đề tài “Nghiên cứu triển khai Nokia firewall”, em thực triển khai thành công Nokia IP1220 hệ thống mạng trường Đại học Công Nghệ Các chức triển khai Nokia IP1220 gồm có NAT, định tuyến, chức tường lửa VPN Đặc biệt chức VPN có khả tích hợp với máy chủ LDAP có sẵn trường Đại học Cơng Nghệ giúp cho người dùng cần sử dụng account để truy cập tất dịch vụ khác mail, website môn học, VPN… Việc triển khai thành công Nokia IP1220 hệ thống mạng trường Đại học Công Nghệ giúp nâng cao khả bảo mật mạng, cung cấp hệ thống tường lửa khả truy cập từ xa qua mạng riêng ảo cách an toàn, mạnh mẽ chuyên nghiệp Và khóa luận tài liệu bổ ích dành cho mục đích tham khảo sau Các phương hướng phát triển tương lai gồm có: - Nghiên cứu thêm cấu hình VPN mạng nối mạng Nokia Check Point - Nghiên cứu thiết lập cấu hình VRRP cấu hình Check Point Gateway Cluster - Thiết lập luật tường lửa cho phù hợp với điều kiện thay đổi hệ thống mạng - Cập nhật cài đặt phiên Trong trình nghiên cứu làm khóa luận em gặp phải nhiều khó khăn Nokia IP1220 thiết bị phức tạp đắt tiền nên em điều kiện để thực hành nhà Nhưng bù lại em thầy trung tâm máy tính tạo điều kiện thời gian thực Khóa luận Cũng Nokia IP1220 thiết bị phức tạp, đắt tiền chuyên dụng nên khơng sử dụng phổ biến, việc tìm hiểu, tìm kiếm tài liệu, tải sản phẩm, phần mềm khó Tuy nhiên nhờ cố gắng, nỗ lực hướng dẫn tận tình thầy em hồn thành Khóa luận Do lần viết tài liệu khoa học nên Khóa luận khơng tránh khỏi cịn nhiều thiếu sót, em mong nhận bảo, hướng dẫn từ thầy cô 86 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com PHỤ LỤC Phụ lục A fw1ng.schema Nội dung tệp fw1ng.schema cho OpenLDAP attributetype ( 1.3.114.7.4.2.0.1 NAME 'fw1auth-method' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.2 NAME 'fw1auth-server' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.3 NAME 'fw1pwdlastmod' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.4 NAME 'fw1skey-number' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.5 NAME 'fw1skey-seed' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.6 NAME 'fw1skey-passwd' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.7 NAME 'fw1skey-mdm' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.8 NAME 'fw1expiration-date' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.9 NAME 'fw1hour-range-from' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.10 NAME 'fw1hour-range-to' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.11 NAME 'fw1day' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.12 NAME 'fw1allowed-src' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.13 NAME 'fw1allowed-dst' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) 87 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com attributetype ( 1.3.114.7.4.2.0.14 NAME 'fw1allowed-vlan' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.15 NAME 'fw1SR-keym' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.16 NAME 'fw1SR-datam' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.17 NAME 'fw1SR-mdm' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.18 NAME 'fw1enc-fwz-expiration' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.19 NAME 'fw1sr-auth-track' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.20 NAME 'fw1grouptemplate' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.21 NAME 'fw1ISAKMP-EncMethod' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.22 NAME 'fw1ISAKMP-AuthMethods' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.23 NAME 'fw1ISAKMP-HashMethods' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.24 NAME 'fw1ISAKMP-Transform' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.25 NAME 'fw1ISAKMP-DataIntegrityMethod' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.26 NAME 'fw1ISAKMP-SharedSecret' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.27 NAME 'fw1ISAKMP-DataEncMethod' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.28 NAME 'fw1enc-methods' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) 88 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com attributetype ( 1.3.114.7.4.2.0.29 NAME 'fw1userPwdPolicy' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.30 NAME 'fw1badPwdCount' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.31 NAME 'fw1lastLoginFailure' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.32 NAME 'memberoftemplate' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.33 NAME 'memberOf' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) objectclass ( 1.3.114.7.3.2.0.1 NAME 'fw1template' SUP 'top' MUST ( cn ) MAY ( member $ description $ fw1auth-method $ fw1authserver $ fw1pwdlastmod $ fw1skey-number $ fw1skey-seed $ fw1skeypasswd $ fw1skey-mdm $ fw1expiration-date $ fw1hour-range-from $ fw1hour-range-to $ fw1day $ fw1allowed-src $ fw1allowed-dst $ fw1allowed-vlan $ fw1SR-keym $ fw1SR-datam $ fw1SR-mdm $ fw1encfwz-expiration $ fw1sr-auth-track $ fw1grouptemplate $ fw1ISAKMPEncMethod $ fw1ISAKMP-AuthMethods $ fw1ISAKMP-HashMethods $ fw1ISAKMP-Transform $ fw1ISAKMP-DataIntegrityMethod $ fw1ISAKMPSharedSecret $ fw1ISAKMP-DataEncMethod $ fw1enc-methods $ fw1userPwdPolicy $ memberOf) ) objectclass ( 1.3.114.7.3.2.0.2 NAME 'fw1person' SUP top AUXILIARY MUST ( cn $ sn ) MAY ( description $ userpassword $ mail $ uid $ fw1authmethod $ fw1auth-server $ fw1pwdlastmod $ fw1skey-number $ fw1skey-seed $ fw1skey-passwd $ fw1skey-mdm $ fw1expiration-date $ fw1hour-range-from $ fw1hour-range-to $ fw1day $ fw1allowed-src $ fw1allowed-dst $ fw1allowed-vlan $ fw1SR-keym $ fw1SR-datam $ fw1SR-mdm $ fw1enc-fwz-expiration $ fw1sr-auth-track $ fw1grouptemplate $ fw1ISAKMP-EncMethod $ fw1ISAKMP-AuthMethods $ fw1ISAKMP-HashMethods $ fw1ISAKMP-Transform $ fw1ISAKMPDataIntegrityMethod $ fw1ISAKMP-SharedSecret $ fw1ISAKMPDataEncMethod $ fw1enc-methods $ fw1userPwdPolicy $ fw1badPwdCount $ fw1lastLoginFailure $ memberoftemplate $ memberOf) ) 89 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Phụ lục B: Hiện trạng mạng VNUNet [3] B.1 Khái quát trạng VNUNet B.1.1 Mơ hình tổ chức Đại học quốc gia Hà Nội có tổng cộng 28 đơn vị với 2.503 cán 23.628 sinh viên, học viên hệ tập trung (26.131 cán học viên, sinh viên hệ tập trung), 26.000 sinh viên hệ không tập trung Gần 100% cán có máy tính làm việc Số lượng máy tính phịng thí nghiệm phịng thực hành phục vụ cơng tác giảng dạy ký túc xá có khoảng 1.500 chiếc, tổng cộng có khoảng 4.000 máy tính kết nối vào VNunet Tỷ lệ sinh viên có máy tính nhà ước tính khoảng 20%, số lượng sinh viên có thiết bị xử lý thông tin di động thấp, khoảng 2%, thiết bị di động chưa có khả kết nối di động vào VNUnet B.1.2 Cơ sở hạ tầng truyền thông VNUNet Hệ thống cáp quang: có đường kết nối từ điểm trung tâm tới - Các đơn vị 144 Xuân Thuỷ: Cơ quan ĐHQGHN, Trường ĐHNN, Trường ĐHCN, Trường ĐHKT, Khoa Quản trị kinh doanh, Trung tâm Thông tin Thư viện - Các đơn vị 334-336 Nguyễn Trãi: Trường ĐHKHTN, Trường ĐHKHXH-NV - Ký túc xá Mễ trì Mở rộng hệ thống cáp quang nói hệ thống đường kết nối cáp đồng đến hầu khắp đơn vị ĐHQGHN Bốn địa điểm, năm đơn vị chưa kết nối vào VNUnet gồm có - Địa điểm 19 Lê Thánh Tơng: Khoa Hóa - Địa điểm 16 Hàng Chuối: Nhà xuất bản, Nhà in - Khoa Quốc tế - Ban Quản lý dự án Hoà Lạc Hoà Lạc Các đường kết nối bên - Lease line 10 Mbps tới Viettel vào Internet 90 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Lease line 100 Mbps tới Netnam vào VINAren – mạng khoa học giáo dục Việt Nam qua vào TEIN2, APAN - Lease line tới mạng hành phủ (chưa hoạt động) Hệ thống thiết bị ghép nối Tại điểm tập trung VNUnet có - Cisco Router 2800 - Switch trung tâm Catalyst 4507 (2005) với cổng quang 48 cổng Giga Ethernet RJ45 - Switch phân đoạn Catalyst 2950, (2003), Catalyst 1900, (2001) - Fire wall Cisco Pix 515e (2001, hỏng) Kiến trúc ghép nối Hệ thống truyền thông xây dựng theo kiến trúc Ethernet, mức đơn vị thành viên, trực thuộc subnet/VLAN, sử dụng không gian địa IP giả lập (10.0.0.0 172.16.0.0) Các kết nối bên với tên miền vnu.edu.vn vnu.vn thực qua số lượng IP cấp phát hạn chế (32 địa chỉ) Tại đơn vị thành viên, trực thuộc, việc phân chia subnet/VLAN thực Trường ĐHCN, chưa thực tất đơn vị cịn lại, đơn vị, dù lớn, dù nhỏ miền broadcast, với tỷ lệ gói tin broadcast lớn, tỷ lệ truyền tin hữu ích thấp (chỉ xung quanh 30%) Hơn chất lượng thi công quản lý kết nối mức logic vật lý không quan tâm nên tỷ lệ lỗi thực tế cao; làm giảm sút nghiêm trọng hiệu suất hoạt động hệ thống – gây nên lãng phí khơng nhỏ đầu tư ĐHQGHN Một số đơn vị tự thực kết nối bên qua ADSL, đặt website 91 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com INTERNET CPNET 112 TEIN2 VINAren 203.113.130.192/27 Router 3600 Proxy Cáp Trung tâm TTTV TTPT Hệ thống, Khoa SP, Khoa SĐH Khoa QTKD KTX Mễ Trì Thư viện TĐ Vện CNTT VP ĐHQGHN 10.10.0.0/16 ĐH KHXH-NV ĐH Ngoại ngữ ĐH KHTN Mail quang 10.1.0.0/16 TT Đào tạo từ xa Web 172.16.0.0/16 Catalyst 4507 ĐH Kinh tế, Khoa Luật, Viện CNSH Catalyst 2950 TRƯỜNG ĐH CÔNG NGHỆ Với hệ thống thiết bị ghép nối mạng riêng Hình 69 Mơ hình logic hệ thống mạng VNUnet B.1.3 Hệ thống server dịch vụ Hệ thống server có 15 chiếc, có 12 trang bị năm 2004, có GB, 11 có GB RAM, số lại trang bị từ năm 2000 Dung lượng đĩa cứng lưu trữ hạn chế, server có đĩa cứng dung lượng 150 GB, số cịn lại có tối đa 80 GB VNU cung cấp dịch vụ: Tài khoản truy cập Internet cho khoảng 3000 tài khoản cán bộ, giảng viên ĐHQGHN Thư tín điện tử cho cán bộ, giảng viên ĐHQGHN với dung lượng hộp thư hạn chế, 10MB/account Dịch vụ văn thư điện tử cho Cơ quan ĐHQGHN Duy trì kỹ thuật hoạt động Website ĐHQGHN Website ba khoa trực thuộc là: khoa sau đại học, khoa Sư phạm, khoa Quốc tế 92 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Từ số liệu thống kê trên, ta thấy ĐHQGHN tổ chức đại học quy mơ trung bình bao gồm nhiều đơn vị thành viên trực thuộc, với nhiều campus phân bố diện tích rộng nội thành thủ Hà Nội Một trong mạnh, tiêu chí xây dựng phát triển ĐHQGHN việc xác lập chế để tập hợp chia sẻ hiệu tài nguyên tri thức, người, từ đơn vị thành viên trực thuộc VNUnet có ý nghĩa quan trọng ĐHQGHN, giải pháp ICT tất yếu cần có khơng việc tổ chức tập hợp chia sẻ tài ngun mơi trường ĐHQGHN mà cịn tổ chức cung cấp dịch vụ hữu ích ĐHQGHN cho đơn vị thành viên, trực thuộc; Một thể vai trị ý nghĩa mơ hình ĐHQGHN B.2 Hiện trạng mạng CTNet Trường Đại học Công nghệ triển khai hoạt động mặt rộng gồm địa điểm cách xa từ đến km, địa điểm 144 Xuân Thủy địa điểm chính, địa điểm khác có phịng máy thực hành truy cập Internet sinh viên cách xa km Sơ đồ mặt địa điểm gồm tịa nhà E3, E4, G2, G3, G2B, G5 G6 trình bày hình vẽ Trong năm 2007, cho phép ĐHQGHN, Trường ĐHCN triển khai kế hoạch xây dựng nâng tầng nhà G2 để có thêm 1000 m2 mặt để chuyển dần sinh viên học khu vực 144 Xuân Thủy, định hướng ưu tiên cho hệ đào tạo chất lượng cao chương trình đào tạo trình độ quốc tế B.2.1 Mơ hình tổ chức 93 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hệ thống có 01 Swicth trung tâm Catalyst 6509 đặt trung tâm máy tinh tầng nhà G2B Từ có đường cáp UTP đến wallplace phịng (của Khoa Cơng nghệ cũ; thành lập Trường ĐHCN, phòng thay đổi thiết kế, Internet VNUnet Router Các trường Thành viên đơn vị trực thuộc ĐHQG Switch Các phòng làm việc phịng máy tính tịa nhà E3 Các phịng làm việc phịng máy tính tịa nhà E4 Các phịng làm việc phịng máy tính tòa nhà G2 Phần mạng Trường ĐHCN thay đổi đơn vị sử dụng, điều chỉnh, nối tiếp thêm không quản lý được) Kết nối từ phòng đến máy tính thực qua HUB Hình 70 Mơ hình logic mạng CTNet B.2.2 Server dịch vụ hệ thống Có 04 server với cấu sau - Server Web, CPU P.4, GB RAM, ổ cứng 36 GB (từ phòng HCQT) - Server quản lý người dùng, CPU P.4, GB RAM, ổ cứng 36 GB - Server phục vụ tệp, CPU P.4, 512 MB RAM, ổ cứng 36 GB - Server phục vụ tiện ích, CPU P.4, 512 MB RAM, ổ cứng 36 GB Những dịch vụ hệ thống Hệ thống cung cấp dịch cụ tối thiểu, có Website mơn học, tư liệu điện tử MIT nhà cung cấp khác Dịch vụ tệp dù cung cấp cho sinh viên dung lượng đĩa cứng hạn chế nên không hiệu 94 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com B.3 Nhận xét VNUnet CTNet có hệ thống đường truyền thơng tốt: kết nối bên mạnh, hệ thống đường truyền nội phủ ba khu vực Hạn chế: - Kết nối Internet bên ngồi kết nối đơn, khơng có dự phịng, có cố đường truyền, liên lạc với bên ngồi bị gián đoạn - Sử dụng không gian địa giả lập với thiết bị Proxy Hệ thống an ninh an tồn yếu - Cịn địa điểm chưa kết nối vào VNUnet, có địa điểm cần quan tâm kết nối sớm 19 Lê Thánh Tông Khoa Quốc tế - Tốc độ truyền thông đường trục cáp quang phần lớn hạn chế tốc độ 100 Mbps theo cấu trúc đơn, halfduplex, không đảm bảo kết nối liên lục có cố - Kiến trúc phân tầng mạng cịn đơn giản, khơng ổn định làm giảm hiệu suất mạng, gây lãng phí lớn đầu tư tài nguyên ĐHQGHN, gây ức chế tâm lý người dùng, làm xuất tư tưởng kết nối phân tán bên ngoài, đặt website bên ngồi Hệ thống server dường khơng số lượng cấu hình kỹ thuật, đặc biệt dung lượng lưu trữ hạn chế, không đủ sức mạnh để triển khai dịch vụ phạm vi rộng toàn ĐHQGHN Quá nghèo nàn dịch vụ B.4 Mục tiêu phát triển hệ thống mạng VNUnet CTNet Để án phát triển mạng VNUnet CTNet đưa mục tiêu cần phát triển sau: - Tích hợp đa dịch vụ: data (web 2.0, wap, Mail, SMS, MMS, eDocument, ), voice, DVD video, - Cung cấp ứng dụng trực tuyến, dịch vụ chia sẻ cộng đồng trực tuyến phục vụ trực tiếp công tác quản lý, nghiên cứu khoa học đào tạo Làm giảm kinh phí đầu tư, tăng cường hiệu suất khai thác tài nguyên chia sẻ cá nhân, tập thể toàn hệ thống 95 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Cung cấp đầy đủ tư liệu, tạp chí điện tử theo nhu cầu người dùng - Có trung tâm liệu mạnh - Hệ thống xương sống cáp quang đạt băng thông 10 Gbps, băng thông đến người dùng cuối 1Gbps - Hệ thống kết nối không dây phục vụ thiết bị xử lý thông tin di động phủ khắp môi trường làm việc, học tập ĐHQGHN, kể ký túc xá - Phổ cập Video Conferencing phục vụ công tác đào tạo từ xa tiếp nhận giảng từ xa - Kết nối với bên ổn định, tốc độ cao theo nhiều hướng Lease line, Vệ tinh, đảm bảo truy cập tài nguyên bên cách nhanh chóng desktop ảo - Có giải pháp backup toàn hệ thống giải pháp an toàn điện hiệu - Có giải pháp quản lý giám sát cách chuyên nghiệp để mạng hoạt động thông suốt, ổn định, hiệu - Có giải pháp đảm bảo an toàn, an ninh chống thâm nhập, phá hoại, chống truy cập trái phép - Hỗ trợ cán bộ, giảng viên truy cập vào mạng nội từ xa Để hoàn thành mục tiêu đề này, việc nghiên cứu triển khai công nghệ tiên tiến giới vấn đề vô cần thiết 96 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com TÀI LIỆU THAM KHẢO [1] Brian Arkills LDAP Directories Explained: An Introduction and Analysis Addison Wesley, February 21, 2003 [2] Gerald Carter LDAP System Administration O'Reilly March 2003 [3] Chris Tobkin &Daniel Kligerman Check Point NG/AI: Next Generation with Application Intelligence Security Administration Syngress Publishing © 2004, Chapter 13 [4] Warren Verbanec, Andrew Hay, Peter Giannouslis, Keli Hay Nokia Firewall, VPN, and IPSO Configuration Guide, Syngress Publishing, Inc Elsevier, Inc 2009 [5] Nokia Check Point for Nokia IPSO Getting Started Guide, January 2007 [6] OPSEC Engineering How To Configure OpenLDAP to work with Check Point Devices [7] akbkhome http://ldap.akbkhome.com/index.php/ [8] The Academypro http://theacademypro.com/ [9] ThS Nguyễn Nam Hải Đề án phát triển VNUnet 97 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... triển khai SmartCenter server Enforcement module thiết bị SmartConsole triển khai máy chạy HĐH Microsoft Windows Cách triển khai gọi triển khai độc lập Để chạy NGX R62, phải có hệ điều hành Nokia. ..ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Vũ Hồng Phong NGHIÊN CỨU TRIỂN KHAI NOKIA FIREWALL KHỐ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Cơng Nghệ Thơng Tin Cán hướng... mạng hiệu hạn chế, đáp ứng nhu cầu nghiên cứu, đào tạo Trường Kế hoạch chiến lược phát triển ĐHQGHN phấn đấu đến năm 2020 trở thành đại học theo định hướng nghiên cứu, đa ngành đa lĩnh vực ngang