Triển khai dịch vụ firewall as a service (fwaas) trên nền tảng openstack

Trang 1 RẦN NGỌC SƠNBỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC PHENIKAA ĐỒ ÁN TỐT NGHIỆP TRIỂN KHAI DỊCH VỤ FIREWALL-AS-A-SERVICE FWAAS TRÊN NỀN TẢNG OPENSTACK KHOA HỌC MÁY TÍNH Sinh viên: T

Sinh viên: Trần Ngọc Sơn

Mã số sinh viên: 18010148 Khóa: K12

Ngành: Khoa Học Máy Tính Hệ: Chính quy

Giảng viên hướng dẫn: Th.S Nguyễn Thành Trung

Hà Nội – Năm 2022

Copies for internal use only in Phenikaa University

TRƯỜNG ĐẠI HỌC PHENIKAA

Sinh viên: Trần Ngọc Sơn

Mã số sinh viên: 18010148 Khóa: K12

Ngành: Khoa Học Máy Tính Hệ: Chính quy

Giảng viên hướng dẫn: Th.S Nguyễn Thành Trung

Hà Nội – Năm 2022

Copies for internal use only in Phenikaa University

BỘ GIÁO DỤC VÀ ĐÀO TẠO CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM

TRƯỜNG ĐẠI HỌC PHENIKAA Độc lập – Tự do – Hạnh phúc

NHẬN XÉT ĐỒ ÁN TỐT NGHIỆP CỦA GIẢNG VIÊN HƯỚNG DẪN Giảng viên hướng dẫn: Th.S Nguyễn Thành Trung Khoa: CNTT Tên đồ án: Triền khai dịch vụ Firewall as a Service trên nền tảng Openstack Sinh viên thực hiện: Trần Ngọc Sơn Lớp: KHMT – K12 NỘI DUNG NHẬN XÉT: ………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

Kết luận: Đồng ý cho bảo vệ: Không đồng ý cho bảo vệ:

Hà Nội, ngày tháng năm 2022 GIẢNG VIÊN HƯỚNG DẪN (Ký và ghi rõ họ tên)

Copies for internal use only in Phenikaa University

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC PHENIKAA

CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM

Độc lập - Tự do - Hạnh phúc

NHẬN XÉT ĐỒ ÁN TỐT NGHIỆP CỦA GIẢNG VIÊN PHẢN BIỆN

Giảng viên phản biện: Th.S Phạm Văn Hà Khoa: CNTT

Tên đồ án: Triền khai dịch vụ Firewall as a Service trên nền tảng Openstack

NỘI DUNG NHẬN XÉT

I Nhận xét ĐAKLTN:

- Bố cục, hình thức trình bày:

- Đảm bảo tính cấp thiết, hiện đại, không trùng lặp:

- Nội dung:

- Mức độ thực hiện:

II Kết quả đạt được:

III Ưu nhược điểm:

IV Kết luận: Đồng ý cho bảo vệ: Không đồng ý cho bảo vệ:

Hà Nội, ngày tháng năm 2022

GIẢNG VIÊN PHẢN BIỆN

Copies for internal use only in Phenikaa University

LỜI CAM ĐOAN

Tên tôi là: Trần Ngọc Sơn

Ngành: Công Nghệ Thông Tin

Tôi đã thực hiện đồ án tốt nghiệp với đề tài: Triển khai dịch vụ Firewall-as-a-Service trên nền tảng Openstack

Tôi xin cam đoan đây là đề tài nghiên cứu của riêng tôi và được sự hướng dẫn của thầy Th.S Nguyễn Thành Trung Có 1 đề tài trùng tên nhưng hai hướng phát triển khác nhau sẽ được nêu rõ trong mục cuối của đồ án này

Các nội dung nghiên cứu, kết quả trong đề tài này là trung thực và chưa được các tác giả khác công bố dưới bất kỳ hình thức nào Nếu phát hiện có bất kỳ hình thức gian lận nào tôi xin hoàn toàn chịu trách nhiệm trước pháp luật

GIẢNG VIÊN HƯỚNG DẪN

Copies for internal use only in Phenikaa University

LỜI CẢM ƠN

Đầu tiên em xin gửi lời cảm ơn chân thành đến ThS Nguyễn Thành Trung đã cho

em cơ hội lựa chọn và nghiên cứu về nền tảng điện toán đám mây mà những năm gần đây rất được ưa chuộng Mặc dù khởi đầu còn bỡ ngỡ nhưng dưới sự chỉ dẫn của thầy em đã hoàn thành được đồ án này

Em xin cảm ơn các thầy, cô trong khoa CNTT đã giảng dạy em trong quá trình học tập và nghiên cứu suốt 4 năm qua

Bên cạnh đó, em xin cảm ơn các bạn lớp K12-KHMT đã cùng nhau học tập đồng hành cùng nhau từ khi bước vào trường đến bây giờ, mặc dù có sự thay đổi người trong những năm đầu do việc học có áp lực nhưng chúng ta đã cố gắng để đến ngày hôm nay, ngay tại đây để hoàn thành đồ án

Em xin chân thành cảm ơn!

Hà nội, ngày … tháng … năm 2022

Tác giả đồ án

Trần Ngọc Sơn

Copies for internal use only in Phenikaa University

Mục lục

MỞ ĐẦU 1

Chương I Giới thiệu chung 2

1.1 Ý tưởng thực hiện 2

1.2 Đặt vấn đề 2

1.3 Phương hướng tiếp cận 3

1.4 Khái niệm về điện toán đám mây và ứng dụng 4

1.5 Tường lửa 5

1.6 Neutron FWaaS 6

1.6.1 Neutron FWaaS v1 6

1.6.2 Neutron FWaaS v2 6

1.7 Dịch vụ mạng Openstack 7

1.8 Webserver 7

1.8.1 Cơ chế hoạt động của Webserver 8

1.8.2 Một số webserver phổ biến 9

1.9 Bố cục đồ án 10

CHƯƠNG II KHẢO SÁT VÀ PHÂN TÍCH YÊU CẦU 11

2.1 Thực trạng ứng dụng điện toán đám mây ở các doanh nghiệp Việt Nam 11

2.1.1 Khó khăn và lợi thế 11

2.1.2 Vai trò 12

2.2 Hiện trạng 12

2.3 Khác biệt của tường lửa vật lý với tường lửa đám mây 13

2.4 Ưu nhược điểm của mô hình điện toán đám mây 13

2.4.1 Ưu điểm 13

2.4.2 Nhược điểm 13

2.5 Khảo sát thực tế tại đại học Phenikaa 14

CHƯƠNG III TRIỂN KHAI FIREWALL AS A SERVICE TRÊN OPENSTACK 15

3.1 Ý tưởng thực hiện 15

3.2 Phương pháp bảo mật 16

3.3 Mô tả chi tiết 16

3.4 Tổng quan chức năng 17

3.4.1 Chức năng trong nhóm tường lửa 17

3.4.2 Nhóm bảo mật 22

Copies for internal use only in Phenikaa University

3.5 Cài đặt Openstack 28

3.6 Xây dựng và triển khai dịch vụ 30

3.6.1 Tạo firewall. 30

3.6.2 Tạo network. 32

3.6.3 Tạo máy ảo. 33

3.6.4 Tạo router. 34

CHƯƠNG IV ĐÁNH GIÁ VÀ KẾT LUẬN 35

4.1 Đánh giá 35

4.1.1 Các tiêu chí đánh giá 35

4.1.2 Kết quả đánh giá ảnh hưởng của dịch vụ tới hiệu năng 35

4.2 Lợi ích và hạn chế 38

4.3 Kết luận và hướng phát triển. 39

4.4 Giải trình 40

TÀI LIỆU THAM KHẢO 41

PHỤ LỤC: CÀI ĐẶT MÔI TRƯỜNG CHO VIỆC ẢO HÓA 42

Copies for internal use only in Phenikaa University

DANH MỤC HÌNH ẢNH

Hình 1 Neutron FwaaS v1 6

Hình 2 Webserver thông dụng nhất hiện nay 8

Hình 3 Mô hình hoạt động cơ bản của webserver 8

Hình 4 Nginx 10

Hình 5 Ý tưởng thực hiện 15

Hình 6 Mô hình triển khai 17

Hình 7 Các loại giao thức 18

Hình 8 Tạo tường lửa và thêm các điều kiện qua Port 18

Hình 9 Tạo quy tắc tường lửa 19

Hình 10 Tạo chính sác tường lửa 20

Hình 11 Kết quả khi thực thi quy tắc tường lửa 20

Hình 12 Hai máy ảo chưa liên kết với nhau 21

Hình 13 Thêm Router để liên kết mạng 21

Hình 14 Kết quả khi thêm router 22

Hình 15 Mô hình thực thi 22

Hình 16 Quản lý các nhóm bảo mật 23

Hình 17 Thêm các nhóm bảo mật 23

Hình 18 Thêm quy tắc vào nhóm bảo mật 24

Hình 19 Các loại quy tắc 25

Hình 20 Tính năng của Open port/Port Ranger 26

Hình 21 Quy tắc ICMP 27

Hình 22 Trang đăng nhập của penstack 29

Hình 23 Giao diện của Openstack 30

Hình 24 Mô hình dịch vụ triển khai 30

Hình 25 Trước hết tạo Firewall Rules 31

Hình 26 Tạo firewall policies 31

Hình 27 Tạo Firewall Group 32

Hình 28 Tạo network 32

Hình 29 Tạo Instances 33

Hình 30 Trạng thái của instances 33

Hình 31 Tạo router 34

Hình 32 Khu vực KTX khi chưa có áp dụng quy tắc tường lửa 36

Hình 33 Khu vực KTX đang không thể kết nối tới những khu vực khác khi áp dụng quy tắc tường lửa 37

Hình 34 khu vực Canteen cũng trỏ tới được khu vực KTX mà chỉ có thể trỏ đến khu vực GD 38

Copies for internal use only in Phenikaa University

DANH MỤC BẢNG BIỂU

Bảng 1 Tính năng FWaaS v2……….7 Bảng 2: Nội dung cài đặt và mở tính năng Firewall trên Openstack……….28 Bảng 3: Mô tả khu vực……… 35

Copies for internal use only in Phenikaa University

DANH MỤC CÁC TỪ VIẾT TẮT

8 Open Systems Interconnection Reference Model OSI

Copies for internal use only in Phenikaa University

MỞ ĐẦU

Điện toán đám mây hiện nay đang được sử dụng phổ biến trên thị trường thế giới Các công ty, doanh nghiệp đều đang vận hành triển khai dịch vụ của họ trên các nền tảng Cloud thay vì các phần mềm, ứng dụng truyền thống trước đây Điều này đem lại nhiều lợi ích cho các cá nhân doanh nghiệp như tiết kiệm chi phí, thời gian, nhân lực và nâng cao tính linh hoạt

Các dịch vụ Firewall as a Service (FWaaS) cung cấp khả năng bảo vệ mà không yêu cầu các tổ chức triển khai phần cứng tường lửa chuyên dụng cho từng địa điểm kinh doanh Thay vào đó, một nhà cung cấp FWaaS vận hành một dịch vụ tường lửa tập trung dựa trên đám mây để hợp nhất lưu lượng truy cập đến tất cả các vị trí của tổ chức Điều này bao gồm trụ sở chính của công ty, văn phòng chi nhánh từ xa, người dùng di động và các dịch vụ đám mây đó hoặc thay mặt cho tổ chức điều hành Bất kể nguồn hay đích, việc cung cấp FWaaS có thể thực hiện một chính sách bảo mật nhất quán trên tất cả lưu lượng truy cập Tường lửa dựa trên đám mây cũng cung cấp một số tính năng giúp loại bỏ việc có nhiều thiết bị vật lý riêng biệt Ngoài ra, các công ty sẽ không còn phải sở hữu, triển khai, cấu hình, nâng cấp và quản lý các thiết bị vật lý ở nhiều địa điểm

Openstack được xem là nền tảng mã nguồn mở miễn phí được phát triển trên nền tảng công nghệ điện toán đám mây Neutron cung cấp dịch vụ mạng và được xem như là thành phần cốt lõi của Openstack Neutron cho phép người quản trị quản lý và cung cấp các tài nguyên mạng một cách nhanh chóng Đồng thời nó cũng cung cấp thêm cơ chế bảo mật cho người dùng như nhóm bảo mật (Security Group) đặt trên các cổng của máy ảo và Router

Do sự rộng lớn của dịch vụ điện toán đám mây, sự đa dạng và được các doanh nghiệp

ưa chuộng, và với sự gợi ý của Thầy ThS Nguyễn Thành Trung, em quyết định tìm hiểu

và lựa chọn đề tài “Triền kai dịch vụ Firewall-as-a-Service trên nền tảng Openstack” Dù

kỹ năng còn hạn chế và thời gian hạn hẹp nhưng em đã nỗ lực hết sức mình vào đề tài này,

em mong được sự cảm thông và sự góp ý chỉ bảo của quý thầy cô để em có thể hoàn thiện bài đồ án tốt hơn

Copies for internal use only in Phenikaa University

Chương I Giới thiệu chung

ở trong ký túc xá sẽ không bị kẻ gian xâm nhập thông qua mạng lưới internet nội bộ trường

để làm điều xấu như ăn cắp tài liệu, thư mục học tập, file bài tập của những sinh viên trong khu vực ký túc xá Quy mô dịch vụ triển khai tuy nhỏ nhưng nếu hướng tới quy mô lớn hơn như toàn trường thì với kỹ năng còn hạn chế của mình em chưa thực thi được chỉ mới dám nghĩ đến và đây cũng là một hướng phát triển cho đề tài của mình

Để phát triển được quy mô toàn trường thì sẽ phải xây dựng lên nhiều khu vực khác ngoài ký túc xá, giảng đường, nhà ăn ra thì còn bao gồm: thư viện, phòng nghiên cứu, phòng thực hành, phòng máy, phòng thí nghiệm, phòng làm việc của cán bộ giảng viên trường và nhiều khu vực khác Mỗi khu vực đều đặt ra những quy tắc tường lửa riêng với những khu vực khác để hạn chế sự tương tác với nhau Có khả năng bảo mật cao, quy mô như bản đồ thế giới thu nhỏ với trái đất là đại học Phenikaa và những khu vực đó là các nước trên thế giới đang bảo vệ mạng lưới của mình khỏi những sự xâm nhập trái phép từ các khu vực khác

Các bên cung cấp nền tảng điện toán đám mây Platform đều là cho người sử dụng thuê

và chạy các máy ảo cũng như xây dựng mạng trên chính trung tâm dữ liệu của họ Người

sử dụng chỉ cần trả phí cho các dịch vụ mà họ sử dụng và triển khai các ứng dụng của bên trên các dịch vụ mà họ đã thuê từ bên thứ ba Nhờ đó người sử dụng dịch vụ mà không cần quan tâm đến các thiết bị vật lý Do đó việc quản lý tài nguyên vật lý cũng như độ ổn định của hệ thống cũng thuộc trách nghiệm của bên cung cấp dịch vụ bởi nhiều chuyên gia

Copies for internal use only in Phenikaa University

Tuy nhiên, bên cạnh lợi ích mà nền tảng điện toán đám mây đem lại thì vẫn còn một số bất cập Theo đó, các dịch vụ cùa họ cung cấp ra ngoài cho người sử dụng đều là dịch vụ độc quyền và được cài đặt sẵn trên hệ thống trung tâm dữ liệu của riêng họ Điều này khiến cho một số công ty lớn khi họ đã có sẵn một hệ thống trung tâm dữ liệu thì họ cần triển khai một hệ thống điện toán đám mây trên chính trung tâm dữ liệu của họ Do đó điện toán đám mây cụ thể hơn trong đồ án sẽ dử dụng nền tảng Openstack có thể được xem như cách giải quyết cho vấn đề này

Ngoài ra, hiện tại các nhóm bảo mật mà OpenStack cung cấp chỉ giúp cho hệ thống xây dựng các chính sách bảo mật cơ bản bằng việc lọc gói tin theo địa chỉ IP, Source Port, Destination Port, Nhóm bảo mật mà hiện tại OpenStack cung cấp chỉ có thể lọc gói tin theo các thông thuộc layer 3 – 4 trong mô hình mạng OSI Nếu người quản trị muốn lọc gói tin ở mức độ sâu hơn để đảm bảo an toàn hơn cho hệ thống, họ cần phải can thiệp vào trong mã nguồn của dịch vụ mạng và phát triển các chức năng mà họ muốn sử dụng Mặc dù là một hệ thống mã nguồn mở nhưng việc tiếp cận và phát triển các dịch vụ trên Openstack cũng khá khó khăn Với tổng số lượng dòng lệnh lên tới 20 triệu dòng thì việc nắm bắt và phát triển chức năng cho hệ thống Openstack cũng tốn một lượng lớn thời gian Đây có thể là một bất cập đối với những nhà quả trị hệ thống khi mà họ không có đủ kinh nghiệm phát triển dịch vụ và cần triển khai dịch vụ trong thời gian ngắn

Bài toán đưa ra có thể giải quyết theo nhiều hướng khác nhau Nhà phát triển có thể tạo

ra một dịch vụ phát hiện xâm nhập trái phép thông qua việc kiểm soát các tiến trình đang chạy trong toàn hệ thống, xây dựng những dịch vụ mã hóa những dữ liệu nhạy cảm, xây dựng một dịch vụ tường lửa giúp đảm bảo an toàn cho các luồng dữ liệu vào – ra Trong các tiếp cận trên thì xây dựng một dịch vụ tường lửa đủ mạnh là một hướng tiếp cận dễ hơn Tường lửa nắm giữ vai trò trung gian trong hệ thống mạng, kiểm soát lưu lượng vào -

ra

Điều đó khiến cho nhà quản trị dễ dàng kiểm soát lưu lượng ra-vào, đóng mở lưu lượng tránh thất thoát lưu lượng không cần thiết Cách tiếp cận này tuy đơn giản nhưng lại đem hiệu quả cao khi người dùng trên hệ thống có thể tự do lựa chọn đâu là những kết nối bị nghi ngờ gây hại cho hệ thống

Như mục ý tưởng thực hiện thì đồ án sẽ đề xuất hướng giải quyết bài toán gồm các bước: xây dựng hệ thống mạng lưới trường đại học Phenikaa, tạo dựng các quy tắc tường lửa áp đặt lên khu vực Ký Túc Xá, cung cấp giao diện bậc cao cũng như công cụ giúp người

Copies for internal use only in Phenikaa University

hiệu quả của dịch vụ trong việc ngăn chặn sự truy cập của kẻ gian lạ mặt và ứng dụng nó vào hệ thống Openstack

Điện toán đám mây:

Trước đây, các công ty, tập đoàn lớn thường cài đặt tất cả các ứng dụng hay phần mềm trên những cụm máy chủ của họ Chúng ta hãy tưởng tượng mỗi một công ty sẽ có một hệ thống máy chủ Như vậy, số lượng công ty càng nhiều thì số lượng máy chủ tương ứng cũng cao Vấn đề này gây tốn kém cho rất nhiều doanh nghiệp lớn Do đó công nghệ điện toán đám mây ra đời giúp giảm chi phí phát sinh từ hệ thống máy chủ đồ sộ của các công ty riêng lẻ

Điện toán đám mây là việc phân phối các tài nguyên Công nghệ thông tin theo nhu cầu qua Internet với chính sách thanh toán theo mức sử dụng Thay vì mua, sở hữu và bảo trì các trung tâm dữ liệu và máy chủ vật lý, chúng ta có thể tiếp cận các dịch vụ công nghệ, như năng lượng điện toán, lưu trữ và cơ sở dữ liệu khi cần thiết từ nhà cung cấp dịch vụ

Lợi ích của điện toán đám mây:

Nhanh chóng: Đám mây cho phép chúng ta dễ dàng tiếp cận nhiều công nghệ để chúng ta có thể thay đổi mới nhanh hơn và phát triển gần như mọi thứ mà chúng ta có thể tưởng tượng Chúng ta có thể nhanh chóng chuyển nguồn tài nguyên từ dịch vụ cơ sở hạ tầng, như điện toán, kho lưu trữ và cơ sở dữ liệu

Quy mô linh hoạt: với đám mây, chúng ta không phải cung cấp quá nhiều tài nguyên

để xử lý các hoạt động kinh doanh cao điểm trong tương lai Thay vào đó, chúng ta cung cấp tài nguyên mà chúng ta thực sự cần Chúng ta có thể tăng hoặc giảm mô hình của các tài nguyên này ngay lập tức để tăng và giảm công suất khi bạn yêu cầu doanh nghiệp của mình thay đổi

Tiết kiệm chi phí: đám mây cho phép chúng ta thay thế các khoản chi phí cố định (như quản lý trung tâm dữ liệu và máy chủ) bằng các tài khoản chi phí biến đổi, đồng thời phải trả tiền cho tài nguyên công nghệ thông tin mà chúng ta sử dụng Ngoài ra, chi phí biến đổi cũng sẽ thấp hơn nhiều so với chi phí chúng ta tự trang trải do tính kinh tế theo quy mô

Ứng dụng:

Cơ sở dữ liệu đám mây: Nếu ngân sách của chúng ta đang còn hạn chế và muốn

tiết kiệm chi phí đầu tư cho công nghệ, đồng thời không có đội ngũ vận hành chuyên môn cao Nhưng cần sử dụng đến một lượng lớn dữ liệu thì việc áp dụng công nghệ điện toán đám mây là lựa chọn sáng suốt

Copies for internal use only in Phenikaa University

Cơ sở dữ liệu bằng công nghệ điện toán đám mây luôn hoạt động một cách mạnh

mẽ mà doanh nghiệp đó có thể tiết kiệm được khoản chi phí mua máy chủ vật lý để lưu trữ

và vận hành Ngoài ra, chúng ta không cần phải lo lắng điều gì bởi đội ngũ kỹ thuật của nhà cung cấp sẽ đảm bảo tính ổn định của hệ thống cơ sở dữ liệu trong suốt quá trình vận hành

Dịch vụ lưu trữ website an toàn: việc lưu trữ website luôn được xem là vấn đề

quan trọng và thực sự cần thiết khi hệ thống của doanh nghiệp không đáp ứng sự tăng trưởng mạnh mẽ, liên tục của các doanh nghiệp Áp dụng công nghệ điện toán đám mây thì mọi vấn đề liên quan sẽ được giải quyết ổn thỏa Ngoài ra, doanh nghiệp chỉ phải thoanh toán theo nhu cầu thực tế sử dụng dịch vụ nhưng vẫn luôn đảm bảo hệ thống an ninh được xuyên suốt và trọn vẹn

Sao lưu, khôi phục dữ liệu nhanh chóng: sao lưu lại nguồn dữ liệu trong quá trình

hoạt động rất quan trọng Khi có sự cố xảy ra người dùng vẫn có thể tự động khôi phục dữ liệu nhanh chóng Trước khi xuất hiện công nghệ điện toán đám mây, mỗi cá nhân, doanh nghiệp phải tự sao lưu thủ công Tuy nhiên khi áp dụng ứng dụng này thì tất cả dữ liệu đều được sao lưu hoàn toàn tự động để đảm bảo sự tiên lợi đến mức tối đa trong quá trình sử dụng

Ứng dụng quản lý doanh nghiệp: Khi đưa các dữ liệu lên hệ thống lưu trữ đám

mây, các doanh nghiệp có thể dễ dàng kiểm soát và quản lý dữ liệu một cách hiệu quả nhất Hầu hết các nền tảng chuyên phân tích dữ liệu đều sử dụng hình thức này và chúng đều có khả năng xử lý dữ liệu có cấu trúc hoặc không có cấu trúc một cách trọn vẹn

Lưu trữ và chia sẻ dữ liệu hiệu quả: Chỉ cần có Internet, người dùng có thể hoàn

toàn sao lưu và truy xuất dữ liệu ở khắp mọi nơi và bất cứ khi nào họ cần Những ứng dụng trên nền tảng điện toán đám mây được sử dụng phổ biến tính đến nay đó là: Google Drive, Dropbox, One Drive…

Tường lửa (Firewall) là một hệ thống an ninh mạng, có thể dựa trên phần cứng hoặc phần mềm, sử dụng quy tắc kiểm soát traffic vào-ra khỏi hệ thống Tường lửa hoạt động như một rào chắn giữa mạng an toàn và mạng không an toàn

Giống như tường lửa, tường lửa đám mây được xây dựng để ngăn chặn hoặc giảm thiểu sự truy cập trái phép từ bên ngoài nhằm bảo vệ thông tin nội bộ và hạn chế sự xâm nhập không mong muốn Mô hình tường lửa được phân phối trên đám mây còn được gọi là Firewall-as-a-Service (FWaaS)

Copies for internal use only in Phenikaa University

1.6 Neutron FWaaS

1.6.1 Neutron FWaaS v1

Neutron FWaaS v1 là phiên bản ban đầu của việc triển khai dịch vụ FWaaS của Openstack Neutron FWaaS v1 cung cấp sự phòng hộ cho các Router Một khi tường lửa được áp dụng cho Router thì toàn bộ các cổng thuộc Router sẽ được bảo vệ

Hình 1 Neutron FwaaS v1

1.6.2 Neutron FWaaS v2

Neutron có cung cấp một phiên bản mới hơn của FWaaS v1 với tên gọi là FWaaS v2 Theo đó, FWaaS v2 cung cấp nhiều dịch vụ chi tiết hơn so với phiên bản tiền nhiệm Điểm đáng chú ý nhất của v2 đó là khái niệm về “tường lửa” được thay thế bởi khái niệm

“nhóm tường lửa” Một nhóm tường lửa là sự kết hợp của hai chính sách đó là: chính sách đầu vào (ingress policy) và chính sách đầu ra (egress policy) Trong đó, chính sách đầu vào giúp kiểm soát luồng dữ liệu vào trong Router trước khi định tuyến Còn chính sách đầu ra thì ngược lại, giúp kiểm soát các luồng dữ liệu ra khỏi Router sau khi xử lý và định tuyến

Ngoài ra, trong phiên bản FWaaS v2, các nhóm tường lửa không còn được áp dụng

ở mức Router (áp dụng trên toàn bộ cổng của Router) mà sẽ được áp dụng tại mức cổng Theo đó, các cổng trên Router có thể được gán với các nhóm tường lửa Bằng việc gán các nhóm tường lửa cho các cổng trên OpenStack Router, khả năng bảo vệ hệ thống của FWaaS v2 tăng lên đáng kể khi mà các luồn dữ liệu được kiểm soát chặt chẽ hơn

Copies for internal use only in Phenikaa University

a Tính năng

Bảng 2 Tính năng FWaaS v2

Dịch vụ mạng (Neutron) cho phép chúng ta tạo và gắn kết các thiết bị được quản lý bởi các dịch vụ openstack khác vào mạng Các trình cắm thêm có thể được triển khai để phù hợp với các thiết bị và phần mềm mạng khác nhau, mang lại sự linh hoạt cho kiến trúc

và triển khai Openstack Trong đó dịch vụ mạng Openstack bao gồm những thành phần sau:

+) Neutron-Server: chấp nhận và quyết định các yêu cầu API tới trình cắm thêm dịch

Router: là thành phần cốt lõi của mạng trong Openstack và cung cấp cho người thuê

sự linh hoạt để thiết kế mạng sao cho phù hợp nhất với ứng dụng của họ Floating IP cho phép người thuê cung cấp kết nối trực tiếp theo chương trình và nhanh chóng đến các ứng ụng thông qua địa chỉ IP

Hình 2 Webserver thông dụng nhất hiện nay

1.8.1 Cơ chế hoạt động của Webserver

Hình 3 Mô hình hoạt động cơ bản của webserver

Bất cứ khi nào chúng ta xem một trang web trên internet Có nghĩa là chúng ta đã yêu cầu trang đó từ một webserver Khi chúng ta nhập địa chỉ ip trên trình duyệt của mình 192.168.1.6:82/dongho nó sẽ tiến hành các bước sau để gửi phản hồi:

 Trình duyệt web phân giải tên miền thành địa chỉ ip

Trình duyệt web của chúng ta trước tiên cần phải xác định địa chỉ ip Trình duyệt sẽ yêu cầu thông tin từ một hoặc nhiều máy chủ DNS thông qua internet Máy chủ DNS sẽ cho trình duyệt biết địa chỉ ip mà chúng ta trỏ đến sẽ là nơi đặt trang web

 Webserver gửi lại client trang được yêu cầu

Copies for internal use only in Phenikaa University

Webserver phản hồi bằng cách gửi lại những thông tin client yêu cầu nếu trang không tồn tại hoặc có lỗi xảy ra nó sẽ thông báo lỗi thích hợp

1.8.2 Một số webserver phổ biến

1.8.2.1 Apache HTTP Server

Apache là webserver được sử dụng rộng rãi nhất trên thế giới Apache được phát triển và duy trì bởi một cộng đồng mã nguồn mở dưới sự bảo trợ của Apache Software Foundation Apache được phát hành với giấy phép Apache Lincense là được sử dụng tự do, miễn phí

Tính đến tháng 8 năm 2018, apache ước tính phục vụ cho 54.2% các trang web đang hoạt động và 53.3% số máy chủ hàng đầu Apache chạy trên các hệ điều hành Windows, linux, MacOS

1.8.2.2 Nginx

Là một webserver mạnh mẽ của mã nguồn mở Nginx sử dụng kiến trúc đơn luồng, hướng sự kiện vì thế nó hiệu quả hơn Apache server Nó cũng có thể làm những thứ quan trọng khác, chẳng hạn như load balancing, HTTP caching, hay sử dụng như một reverse proxy Nginx là kiến thức không thể thiếu đối với một web developer, system administrator

Nginx khá là ổn định, cấu hình đơn giản và hiệu suất cao

Nginx là phần mềm mã nguồn mở và miễn phí, được phát hành rộng rãi theo giấy phép BSD Nginx được phát triển bằng ngôn ngữ và chạy được trên các hệ điều hành như Linux, FreeBSD, Windows, MacOS…

Copies for internal use only in Phenikaa University

Hình 4 Nginx

Trong đồ án hôm nay sẽ sử dụng đến Nginx làm webserver cho mô hình triển khai FwaaS Trong đồ án sẽ tạo 1 webserver là 192.168.1.6, tạo thêm 3 trang web khác nhau cho phép sử dụng 2 cổng 81 và 82 để truy cập vào trang web thông qua địa chỉ ip là 192.168.1.6:81/dongho, 192.168.1.6:81/shoppi, 192.168.1.6:82/shoppi-phake

Trong phần đặt vấn đề, đồ án sẽ đưa ra những vấn đề còn tồn tại trong quá trình tiếp cận hệ thống lớn, cụ thể là nền tảng điện toán đám mây Đặt ra tầm quan trọng của tường lửa trong các hệ thống đó quản lý và kiểm soát đường truyền sau đó những hướng tiếp cận cho bài toán được đề xuất và đưa ra hướng tiếp cận mà đồ án lựa chọn giải quyết vấn đề

Sau đó đồ án sẽ cung cấp thông tin cơ bản về những khái niệm sử dụng cho đồ án Theo đó, cơ sở của cách tiếp cận mà đồ án lựa chọn đó là khái niệm về mô hình FWaaS Những ưu điểm và nhược điểm của mô hình này sẽ được trình bày trong phần đánh giá và kết luận Ngoài ra, những dịch vụ hiện đang cung cấp theo mô hình trên cũng được đề cập đến và phân tích Đặc biệt, đồ án sẽ trình bày một cách rõ rảng về OpenStack, một nền tảng điện toán đám mây mã nguồn mở

Copies for internal use only in Phenikaa University

CHƯƠNG II KHẢO SÁT VÀ PHÂN TÍCH YÊU CẦU

IBM là đơn vị tiên phong đầu tiên tại Việt Nam về điện toán đám mây, sau đó là Microsoft tiếp bước Tuy vậy, cho đến nay, thực trạng sử dụng điện toán đám mây ở các doanh nghiệp vẫn còn hạn chế

Một số lý do chính cho sự tiếp cận và chuyển đổi sang công nghệ điện toán đám mây chậm trễ như vậy:

 Đầu tiên, mỗi doanh nghiệp có quy mô khác nhau, mô hình tổ chức, hoạt động trong các lĩnh vực khác nhau Nhưng chủ trương, chính sách đều phải được thông suốt từ đội ngũ lãnh đạo đến đội ngũ IT và các bộ phận liên quan Vì vậy, khi lựa chọn và chuyển đổi công nghệ này, họ phải đối mặt với những thách thức lớn về: nguồn vốn, ngân sách cho chi phí đầu tư ban đầu, chi phí sản xuất, kinh doanh, quản lý, vận hành doanh nghiệp, rào cản về kỹ thuật và bảo mật thông tin

 Thứ hai, điện toán đám mây phụ thuộc rất nhiều vào tốc độ và băng thông của đường truyền, ảnh hưởng trực tiếp đến hiệu năng và thời gian đáp ứng

 Cuối cùng là vấn đề bảo mật ứng dụng, dữ liệu và an toàn thông tin khi mọi thứ của doanh nghiệp đều được đưa lên đám mây Một số vấn đề như hành lang pháp lý, cơ chế, chính sách, phương thức để ngăn chặn, bảo mật về ứng dụng, dữ liệu quan trọng cũng được quan tâm và thảo luận trong nhiều thời gian qua

 Xây dựng niềm tin vào chất lượng dịch vụ, độ bảo mật cao

 Cạnh trang với các nhà cung cấp nước ngoài lớn như Amazon, Google

Bên cạnh những khó khăn thách thức trên thì điện toán đám mây tại Việt Nam vẫn

2.1.2 Vai trò

Tuy nhiên, cũng không thể phủ nhận được vai trò của điện toán đám mây, nó là nhân

tố chính thúc đẩy quá trình kinh doanh của doanh nghiệp, đồng thời giúp doanh nghiệp hoạt độn hiệu quả hơn và tiết kiệm chi phí hơn

 Tối ưu hóa quy trình mua sắm, đầu tư phục vụ CNTT: Hiện nay, có những doanh

nghiệp, tập đoàn lớn, cơ cấu tổ chức và quy trình rất phức tạp Thời gian từ khi đưa

ra yêu cầu đến phê duyệt, ngân sách, hồ sơ, đẩm định đến khi triển khai kéo dài từ nửa năm đến 1 năm

 Giảm độ phức tạp trong cơ cấu tổ chức: Trong các doanh nghiệp sản xuất, thương

mại mà lại có một phòng ban, đội ngũ IT vận hành, bảo trì máy móc, thiết bị, hạ tầng CNTT thì quá tốt kém Nếu thuê ngoài được quá trình này thì sẽ giảm được độ phức tạp trong cơ cấu, ngoài ra doanh nghiệp còn tập trung được vào chuyên môn của mình

 Cắt giảm chi phí: Thay vì việc phải đầu tư một khoản chi phí lớn cho 1 hạ tầng

CNTT trong vòng 3-5 năm thì với việc đi thuê dịch vụ hạ tầng CNTT Ngoài ra còn giúp giảm chi phí tiêu hao điện năng, chi phí liên quan đến nguồn lực nhân sự cho việc quản trị và vận hành

không cần phải quan tâm đến vấn đề bao lâu thì nó sẽ hết khấu hao, đầu tư có lãi hay không và có lỗi thời về công nghệ không?

 Sử dụng các tài nguyên tính toán động: Thay vì doanh nghiệp phải tính toán xem

có nên mở rộng hay không, phải đầu tư bao nhiêu cho máy thì thì nay doanh nghiệp chỉ cần đưa ra yêu cầu, các tài nguyên sẽ được cấp phát cho doanh nghiệp đúng như doanh nghiệp muốn

Với những điều kiện thuận lợi hiện nay, các doanh nghiệp Việt Nam, dù lớn hay vừa

và nhỏ đều có thể tham gia và chuyển đổi dần theo lộ trình các ứng dụng, dữ liệu CNTT, dịch vụ, sản xuất, kinh doanh của mình xang điện toán đám mây

Với mức độ sử dụng lượng lớn cơ sở dữ liệu với một khối thông tin cần bảo mật hiện nay đa số những doanh nghiệp, công ty lớn hoặc vừa đều sử dụng điện toán đám mây làm nơi lưu trữ dữ liệu thay vì phải sử dụng thiết bị vật lý, sử dụng tường lửa trên chính hệ thống của họ để ngăn ngừa những kẻ gian lạ mặt động chạm đến nguồn dữ liệu quan

trọng đang để trên đám mây

Nhưng các thiết bị vật lý còn khá phổ biến, đặc biệt đối với các doanh nghiệp không có nhiều nhân vên làm việc từ xa, chúng thậm chí có một số ưu thế so với FWaaS như các gói

Copies for internal use only in Phenikaa University

chi phí khác nhau và có độ trễ thấp hơn Do đó, điện toán đám mây là một trong số những giải pháp cho hiện trạng này Thậm chí, trong trường đại học Phenikaa, và đa số những trường đại học khác nữa cũng đang sử dụng tường lửa với các thiết bị tường lửa vật lý

Sự khác biệt chính giữa tường lửa vật lý và tường lửa phần mềm (tường lửa đám mây)

là phần cứng chạy trên thiết bị vật lý của mình, trong khi tường lửa phần mềm được cài đặt trên một máy khác

Nhờ vậy, tưởng lửa vật lý cho phép bảo vệ toàn bộ mạng khỏi những mối đe dọa bên ngoài bằng một thiết bị vật lý duy nhất Còn với tường lửa phần mềm cung cấp khả năng bảo vệ nội bộ

2.4.1 Ưu điểm

Sử dụng các tài nguyên tính toán động: Các tài nguyên được cấp phát cho doanh nghiệp đúng như những gì doanh nghiệp muốn một cách tức thời bằng cách huy động tài nguyên rỗi hiện có trên internet

Giảm chi phí: Doanh nghiệp sẽ có khả năng cắt giảm chi phí để mua bán, cài đặt và bảo trì tài nguyên Thay vào đó họ chỉ cần phải xác định nhu cầu của mình rồi sau đó yêu cầu các nhà cung cấp dịch vụ đám mây để tiến hành

Giảm độ phức tạp trong cơ cấu của doanh nghiệp: Việc khoán ngoài được công việc thiết lập và vận hành bộ máy IT thì doanh nghiệp sẽ chỉ tập trung vào việc sản xuất hàng hóa chuyên môn của mình và giảm bớt được độ phức tạp trong cơ cấu

Tăng khả năng sử dụng tài nguyên tính toán: Một trong những câu hỏi đau đầu của việc đầu tư tài nguyên (ví dụ máy chủ) là bao lâu thì nó sẽ hết khấu hao, tôi đầu tư như thế có lãi hay không, có bị hết hạn (out date) về công nghệ hay không Khi sử dụng tài nguyên trên điện toán đám mây thì chúng ta không còn phải quan tâm tới điều này nữa

2.4.2 Nhược điểm

Khó để quản lý và bảo mật: Do các hệ thống này thường tập trung vào ưu điểm chia sẻ, lưu trữ chung tài nguyên Từ đó, để thực hiện quản lý, bảo mật, phòng chống hacker khá khó khăn Trong tình hình mà các thủ thuật tấn công, phá hoại của những tên tin tặc nhằm trục lợi ngày càng phổ biến Trong tương lai chắc chắn rằng chúng ta sẽ tập trung nhiều vào mảng bảo mật cho nền tảng đám mây này

Xử lý các loại dữ liệu quá niên hạn: Các loại dữ liệu lưu trữ trên hệ thống điện toán đám

Copies for internal use only in Phenikaa University

hay chỉnh sửa và sử dụng trong nhiều năm liền Tổng hợp quá nhiều loại dữ liệu như vậy, khoảng không gian lưu trữ của chúng ta bị lãng phí cũng sẽ khá nhiều

Từ đó nhiều doanh nghiệp cung cấp dịch vụ lưu trữ cũng thường hay cảnh bảo với khách hàng về các loại dữ liệu quá niên hạn sẽ bị họ xóa bỏ trong tương lai để tránh lãng phí tài nguyên lưu trữ

Do trường đại học Phenikaa với mục tiêu top 10 hàng đầu các trường đại học trên thế giới thì sử dụng các thiết bị vật lý để quản lý tường lửa, máy chủ thì không đủ nhu cầu đáp ứng vì mỗi năm số lượng sinh viên và giảng viên tăng nhanh với mốc 50.000 người thì

sử dụng thiết bị vật lý thì quá là thô sơ và đi sau thời đại Nên đồ án hôm nay sẽ hướng tới một quy mô sử dụng điện toán đám mây Thuận tiện, dễ dàng và dễ dùng, tiết kiệm lượng lớn chi phí nâng cấp, sửa chữa thay thế thiết bị vật lý qua từng thời kỳ khi mà số lượng người dùng tăng theo năm

Copies for internal use only in Phenikaa University

CHƯƠNG III TRIỂN KHAI FIREWALL AS A

SERVICE TRÊN OPENSTACK

Ý tưởng là thay thế vô số tường lửa vật lý mà chúng ta cần bảo mật tất cả lưu lượng truy cập của khu vực KTX ra khỏi tất cả các khu vực khác trong đồ án chính là khu vực GD

và Canteen của trường đại học Phenikaa, bằng các kết nối internet an toàn tới dịch vụ

Sử dụng 2 node: 1 node cài đặt Openstack để triển khai tường lửa và 1 node cài Nginx để làm webserver Trong đồ án sẽ tạo 1 hệ thống mạng lưới của Phenikaa Khu vực Phenikaa_GD và Phenikaa-canteen sẽ là khu vực public tức là sẽ truy cập được bất cứ trang web nào/ địa chỉ ip, còn riêng khu vực Phenikaa-KTX sẽ là triển khai dịch vụ FwaaS để cho các thiết bị kết nối mạng sẽ không thể ping đến với các khu vực khác (Phenikaa-canteen hay là Phenikaa_GD) nhưng vẫn đi ra được internet và truy cập vào webserver bình thường như những khu vực khác

Hình 5 Ý tưởng thực hiện

Copies for internal use only in Phenikaa University

Ý tưởng là sử dụng tường lửa trong khu vực Ký Túc Xá để tránh bị người ngoài (có thể là sinh viên trường nhưng không ở ký túc xá) có khả năng truy cập vào dữ liệu cá nhân của sinh viên trong Ký Túc Xá để lấy tài liệu/dữ liệu học tập để sao chép

Trong đồ án sẽ đi vào xây dựng tường lửa để bảo vệ khu vực Phenikaa_KTX Tất

cả đều có thể truy cập đến internet nhưng từ Phenikaa_KTX không ping đến Phenikaa_GD, Phenikaa_canteen và ngược lại Nhưng tất cả đều đi đến được webserver

Neutron bao gồm có hai phương pháp cung cấp bảo mật cấp độ mạng cho các cá thể Phương pháp đầu tiên là sử dụng các nhóm bảo mật tận dụng các quy tắc iptables để lọc lưu lượng trên nút máy tính lưu trữ phiên bản Phương pháp thứ hai là một tính năng được gọi là Firewall-as-a-Service (FWaaS) cung cấp khả năng lọc ở chu vi của mạng trên Neutron Router Được giới thiệu lần đầu trong bản phát hành Openstack ở Havana dưới dạng bản xem trước kỹ thuật, FWaaS đóng vai trò như một bổ sung cho các nhóm bảo mật Neutron,

nó không phải là sự thay thế

FWaaS là một phần mở rộng cho Neutron, cung cấp cho người dùng khả năng triển khai tường lửa vành đai để bảo vệ mạng Phần mở rộng FWaaS cho phép chúng ta thực hiện những việc sau:

 Áp dụng các quy tắc tường lửa về lưu lượng truy cập vào và ra khỏi mạng của người dùng được gắn với Router Neutron

 Tạo và chia sẻ các chính sách tường lửa chứa một bộ sưu tập có thứ tự các quy tắc tường lửa

 Kiểm tra các quy tắc và chính sách tường lửa

Điều quan trọng là phải biết sự khác biệt giữa hai phương pháp đảm bảo lưu lượng mạng đến các phiên bản Trong đó các quy tắc nhóm bảo mật được thực hiện tại cầu nối mạng được kết nối với một phiên bản trên một nút máy tính, các quy tắc tường lửa được tạo bằng FWaaS được thực hiện trên bộ định tuyến Neutron ở biên của mạng đối tượng FWaaS không nhằm thay thế chức năng của nhóm bảo mật và nó đóng vai trò bổ sung nhiều hơn cho các nhóm bảo mật, đặc biệt là ở trạng thái hiện tại của nó FWaaS hiện đang thiếu chức năng mà các nhóm bảo mật cung cấp, bao gồm cả việc không thể chỉ định hướng lưu lượng cần được lọc Điều ngược lại cũng có thể nói đối với các nhóm bảo mật, vì chúng thiếu khả năng tạo ra các quy tắc từ chối cụ thể khi tất cả lưu lượng

Admin: Người quản trị cấp cao

Network: là điểm mà các thiết bị nội bộ có thể thông qua nó để ra được internet

Copies for internal use only in Phenikaa University

Router: là cổng giao tiếp mạng nội bộ để đi ra ngoài internet

Firewall: giúp ngăn chặn sự truy cập, tấn công bằng cách tạo các quy tắc tường lửa Phenikaa_GD: là Giảng đường Phenikaa – tại đây có các thiết bị điện thoại, máy tính, laptop (thiết bị có thể truy cập internet) kết nối chung với Router3 để đi tới internet

Phenikaa_canteen: là Canteen Phenikaa – tại đây có thể ăn uống lướt web chơi game xem phim thỏa thích cũng đều bắt chung thông qua Router2 để đi tới internet

Phenikaa-KTX: là Ký túc xá Phenikaa Tại đây có Tường Lửa bảo vệ khỏi những địa chỉ IP khác trong khu vực trường, tránh được một số kẻ gian ý đồ xấu Và thông qua Router1 để kết nối tới internet bên ngoài

Hình 6 Mô hình triển khai

3.4.1 Chức năng trong nhóm tường lửa

Sử dụng tường lửa cho phép: áp dụng các quy tắc tường lửa về lưu lượng truy cập vào và ra khỏi mạng của dự án, áp dụng các giao thức TCP, UDP, ICMP hoặc tất cả các giao thức Tạo và chia sẻ các chính sách tường lửa chứa một tập hợp các quy tắc tường lửa

có thứ tự và kiểm tra các quy tắc và chính sách tường lửa

Copies for internal use only in Phenikaa University

Hình 7 Các loại giao thức

Chức năng của FWaaS rất quan trọng trong việc bảo mật thông tin dữ liệu cá nhân cũng như nội bộ trong một công ty Trong giao diện web của Openstack sẽ giúp chúng ta

dễ dàng thực thi triển khai tường lửa hơn

Với từng chức năng, từng kiểu chặn khác nhau sẽ có nhiều cách dùng khác nhau giúp cho người dùng không có kinh nghiệm cũng như kỹ năng chuyên môn có thể thực thi

dễ dàng bằng cách

Hình 8 Tạo tường lửa và thêm các điều kiện qua Port

Copies for internal use only in Phenikaa University

Trong nhóm tường lửa (Firewall Group) có ba chức năng chính bao gồm:

Firewall_group: một tài nguyên tường lửa hợp lý mà một dự án có thể tạo và quản

lý Một nhóm tường lửa có thể có chính sách tường lửa để xâm nhập lưu lượng Ingress hoặc chính sách tường lửa cho lưu lượng Egress

Firewall_policy: một bộ sưu tập có thứ tự các quy tắc tường lửa Chúng ta có thể

chia sẻ các chính sách tường lửa giữa các dự án Chúng ta có thể bao gồm chính sách tường lửa như một phần của quá trình kiểm tra của mình để một tổ chức có liên quan được ủy quyền có thể kiểm tra chính sách tường lửa Thực thể này có thể khác với người dùng hoặc

dự án được tạo bằng chính sách tường lửa

Firewall_rule: tập hợp các thuộc tính, chẳng hạn như cổng nguồn và cổng đích, địa

chỉ IP nguồn và IP đích, protocol và IP version Các thuộc tính này xác định tiêu chí đối sánh và hành động cần thực hiện chảng hạn như cho phép hoặc từ chối đối tượng với thông tin lưu lượng khớp

Từ cách phân tích trên, tôi triển khai Firewall Group như sau:

 Tạo Firewall_rule với chức năng chặn mọi truy cập từ user khác đến user2 và ngược

lại

Copies for internal use only in Phenikaa University