đồ án nhóm hệ điều hành unix linux đề tài tìm hiểu cà vài đặt tường lửa ipcop

Mục đích của IPCopIPCop firewall là một firewall ứng dụng cho doanh nghiệp vừa và nhỏ Small Office/ Home Office - SOHO.* IPCop có thể được phát triển như một add-on để một hệ điều hành t

ĐẠI HỌC DUY TÂNTRƯỜNG KHOA HỌC MÁY TÍNH

KHOA KỸ THUẬT MẠNG MÁY TÍNH & TRUYỀN THÔNG

ĐỒ ÁN NHÓM

HỆ ĐIỀU HÀNH UNIX/LINUX

ĐỀ TÀI: <Tìm hiểu cà vài đặt tường lửa IPCop>

GIẢNG VIÊN HƯỚNG DẪN : ThS ĐẶNG NGỌC CƯỜNG

Chương I Giới thiệu và mục đích của IPCop Firewall 3

1 Giới thiệu về IPCop Firewall 3

c Ưu điểm của IPCop Firewall 4

2 Các tính năng quan trọng của IPCop Firewall 5

a Web proxy 5

b DHCP và Dynamic DNS DHCP: 6

c Time server và Port Forwarding 8

d Traffic Shaping và Vitual Private Network - VPN 10

Chương III:CÀI ĐẶT VÀ DEMO ỨNG DỤNG 11

Chương I Giới thiệu và mục đích của IPCop Firewall 1 Giới thiệu về IPCop Firewall

* IPCop là một phần mềm được cắt ra từ Linux và có khả năng hoạt động như một firewall Nó có những tính năng cao cấp của firewall, bao gồm VPN sử dụng IPSec.

** Phần mềm mã nguồn mở (Open Soure Software), bản quyền của GNU Grneral Public License (GPL) và được miễn phí khi sử dụng.

2 Mục đích của IPCop

IPCop firewall là một firewall ứng dụng cho doanh nghiệp vừa và nhỏ (Small Office/ Home Office - SOHO).

* IPCop có thể được phát triển như một add-on để một hệ điều hành theo cách mà Shorewall là một ứng dụng được cài đặt trên hệ thống linux hoặc máy chủ ISA trên hệ thống windows.

* Nếu máy chủ của bạn với mục đích chỉ là một tường lửa cho mạng của bạn, bạn cần có một sự hiểu biết đầy đủ và cơ bản về hệ hiều hành Linux để có được những phần mêm cài đặt và nếu muốn hoạt động tốt thì bạn phải cấu hình cả hai hệ điều hành và IPCop Tuy nhiên, bản thân IPCop là một điều hành riêng bạn không cần thiết phải biết Linux để sử dụng hệ thống trên.

Chương II Những thành phần và tính năng của IPCop Firewall

1 Các thành phần

a Giao diện web

Nhiều tưởng lửa phức tạp đối với người dùng Nó đòi hỏi phải có kĩ năng và kinh nghiệm để làm quen Giao diện máy chủ ISO là một ví dụ điển hình Giao diện để cấu hình IPCop là giao diện Web, đây là giao diện khá dễ sử dụng và trực quan cho người quản trị.

b Giao diện mạng

IPCop cung cấp bốn giao diện mạng bao gồm: Green, Blue, Orange, Red Mỗi giao diện mạng được sử dụng để kết nối đến một mạng riêng biệt.

Green Network Interface

Giao diện mạng này kết nối với mạng cục bộ (mạng bên trong) của bạn IPCop

sẽ tự động cho phép tất cả các kết nối từ giao diện mạng này đến tất cả các mạng khác.

Red Network Interface

Giao diện mạng Red đại diện cho mạng ngoài Internet Mục đích của mạng Red này nhằm bảo vệ các nguy cơ đối với mạng Green, Blue và Orange Các phân đoạn Red có thể là một mạng Ethernet giao diện tĩnh hoặc sử dụng DHCP, nó có thể là một USB ADSL modem, một card ISDN hoặc có thể là một dial-up, anolog

modem kết nối với điện thoại chuyển mạch công cộng Orange Network Interface

Giao diện mạng Orange được thiết kế như một mạng DMZ (demilitized zone) DMZ mạng ý nghĩa như một phân đoạn mạng giữa mạng nội bộ và một mạng bên ngoài Trong khu vực DMZ thường đặt các máy chủ dịch vụ như Web, Mail,

Blue Network Interface

Mạng Blue được thêm vào IPCop phiên bản 1.4 Mạng này được kết nối với các thiết bị không dây và bảo vệ các thiết bị này.

c Ưu điểm của IPCop Firewall

* Dễ quản lý và giám sát

Các nhà phát triển IPCop đã xây dựng một hệ thống giúp cho việc nâng cấp hệ thống đơn giản hơn Điều này được thực hiện hoàn toàn trên giao diện Web Tuy nhiên, nếu người dùng không muốn đăng nhập vào Linux Console thì việc thay đổi này có thể thực hiện đơn giản bằng các sử dụng phím và màn hình được gắn liền với máy tính hoặc sử dụng SSH từ một máy tính trên mạng nội bộ (Giao diện Green) Mặc định SSH bị tắt, vì vậy muốn sử

dụng phải bật nó lên Với những trạng thái được cung cấp trên giao diện Web, chúng ta có thể biết hệ thống đang làm việc như thế nào Chúng ta có thể nhìn

Quản trị từ xa thông qua Web hoặc SSH

2 Các tính năng quan trọng của IPCop Firewall

a Web proxy

IPCop được dùng như một proxy cũng như tường lửa Bạn có thể dễ dàng quản lý bộ nhớ cache và cấu hình proxy trên giao diện Green Tất cả những gì bạn làm là kích vào các ô trong giao diện để cấu hình proxy trên IPCop.

Các dịch vụ proxy cho phép người dùng truy cập các dịch vụ internet, với dịch vụ này người dùng luôn nghĩ mình đang tương tác trực tiếp với internetTuy nhiên, khi Client muốn truy xuất đến các dịch vụ internet thì phải qua proxyProxy có nhiệm vụ xác định các yêu cầu của người dùng rồi quyết định có đáp ứng hay không Nếu có đáp ứng thì proxy sẽ kết nối với Server thật thay cho Client và tiếp tục chuyển tiếp các yêu cầu đến chi client cũng như đáp ứng những yêu cầu của Server đến client Vì vậy, proxy giống như trung gian giữa Server và Client.

b DHCP và Dynamic DNS DHCP:

IPCop được cung cấp thêm tính năng cấp phát IP động tương tự trên Windows Server của Microsoft

Dynamic DNS

Dynamic DNS là phương thức ánh xạ tên miền tới địa chỉ IP có tần suất thay đổi cao (do không phải mọi máy đều sử dụng IP tĩnh) Dịch vụ DNS động (Dynamic DNS) cung cấp một chương trình đặc biệt chạy trên máy tính của người sử dụng

dịch vụ Dynamic DNS gọi là Dynamic DNS Client.

Chương trình này giám sát sự thay đổi địa chỉ IP tại host và liên hệ với hệ thống DNS mỗi khi địa chỉ IP của host (vốn được cung cấp bởi ISP bằng phương pháp

động) thay đổi và sau đó update thông tin vào CSDL DNS về sự thay đổi địa chỉ đó Bằng các này, cho dù máy chủ có thường xuyên bị thay đổi địa chỉ thì tên miền vẫn được hệ thống máy chủ DNS trò về đúng địa chỉ cấp IP mới đó

c Time server và Port Forwarding

Time server

IPCop cung cấp dịch vụ Network Time Protocol dùng để đồng bộ các host trên Internet

Port Forwarding

Đây là chức năng khá phổ biến trong tường lửa từ doanh nghiệp vừa và nhỏ đến những doanh nghiệp lớn Có hai thuận lợi trong IPCopThứ nhất là chúng ta không có hạn chế số lượng chuyển tiếp Thứ hai, nó rất dễ cài đặtĐối với những thiết bị của doanh nghiệp vừa và nhỏ không chỉ chúng ta bị hạn chế về số lượng cồng mà còn tìm thấy những cấu hình phức tạp xung quanh nó.

Trong mô hình trên, IPCop kết nối với Client trên 2 cổng 25 (Mail) và 80 (Web) nhưng kết nối đến cổng 25 và 80 đã được chuyển tiếp đến các dịch vụ tương ứng

d Traffic Shaping và Vitual Private Network - VPN

Trafic Shaping

Thiết lập mức ưu tiên về tốc đô theo port, hỗ trợ cả 2 giao thức là TCP và UDP Giúp quản lý hiệu quả băng thông Internet theo nhu cầu sử dụng của từng nhóm ứng dụng VPN (Vitual Private Network - Mạng riêng ảo)

Tính năng này cho phép bạn tham gia nhiều mạng hơn trên internet với một liên kết riêng

Chương III:CÀI ĐẶT VÀ DEMO ỨNG DỤNG 1.Mô hình

2.Cài đặt.

Cấu hình IP cho giao diện Green- mạng LAN.

Menu cài đặt các thành phần chính của IPCOP

Ở lựa chọn Network configuration type tùy vào mục đích chúng ta lựa chọn các giao diện phù hợp, ở đây tôi chọn GREEN + ORANGE + RED GREEN tương ứng với mạng LAN, RED là mạng WAN, ORANGE là phân vùng “Phi quân sự” thường được kết nối với hệ thống máy chủ Web, Mail

Ở lựa chọn Driver and card asignmets, nhấn OK để HDH tự động nhận card mạng

Lựa chọn Address settings , chon RED để cài đặt card RED , lựa chọn DHCP để máy nhận IP động được cấp từ ISP.

Cài đặt mạng GREE , IP này được dùng cho các máy chủ web, mail trong một vùng riêng, nhằm đảm bảo an toàn.

Ở lựa chọn Network configuration type tùy vào mục đích chúng ta lựa chọn các giao diện phù hợp, ở đây tôi chọn GREEN + ORANGE + RED GREEN tương ứng với mạng LAN, RED là mạng WAN, ORANGE là phân vùng “Phi quân sự” thường được kết nối với hệ thống máy chủ Web, Mail,

Sau khi đăng nhập thành công, chúng ta có thể xem thông tin các dịch vụ, tình trạng bộ nó, RAM, CPU, và có thể cấu hình các dịch vụ bằng giao diện Web

1.Cài đặt URL Fiter

Đầu tiên chúng ta cần download bộ cài URLFiter Tiếp theo sử dụng phần mềm WinSCP để copy bộ cài URLFiter sang Firewall server để cài đặt

Tiếp theo ta tiến hành giải nén với lệnh: ar zxvf ipcop-urlfiter-1.9.3.tar.gz

d ipcop-urlfiter-1.9.3 – Vào thư mục chứa ipcop-urlfiter-1.9.3

/install để tiến hành cài đặt

Sau khi cài đặt xong, chúng ta qua máy Client và tiến hành F5 lại trình duyệt, sẽ xuất hiện

Tùy chọn URL Filter trong mục Services Ở mục blacklist là danh sánh các trang web bị chặn

Chúng ta vào Services => Proxy và Enable tính năng URLFilter Trang web không bị chặn

Add dịch vụ pop3(110)

Add dịch vụ pop3s (995)

Add rules mới

Cài đặt mạng Green ra ngoài các dịch vụ

Tiến hành bật Rules và lưu lại cấu hình rules Enable blocktraffic

Khi chưa enable rules

Kết quả sau khi bật rules

3.Port Forwarding

Vào giao diện IPCop từ Client và vào Port forwading Thêm rules mới như hình

Thêm rules nữa với port 110

4.Advance Proxy

Advance Proxy là dạng proxy chuẩn của IPCop, nó cung cấp đầy đủ các tính năng của một proxy.

Để cài Advance proxy chúng ta tải gói advanceproxy.tar.gz Sau đó tiến hành giải nén và cài đặt bằng các lệnh tương tự như Url Filtering.

Sau khi cài đặt thành công, ta sẽ vào từ Services -> Advance Proxy

Cấu hình Advance Proxy

Unrestricted IP addresses: Không hạn chế đối với IP 172.16.1.3 Banned IP addresses: Chặn IP 172.16.1.20 truy nhập Internet Cấu hình giới hạn tốc độ download/upload file cho toàn hệ thống mạng

Với IP 172.16.1.3 không bị cấm

Với IP 172.16.1.20 bị cấm

BẢNG PHÂN CÔNG NHIỆM VỤ

STTTên nhiệm vụ Thành viên thực hiệnThời gian thực

5Cao Hoàn Tuấn1/12->7/120%Không làm

Nhóm trưởng chấm điểm cho các thành viên nhóm:

STT MSSVHọ và tên SVVai tròTỉ lệ đóng góp12721210047Nguyễn Xuân TiếnNhóm trưởng30%

427211236417

Lý Gia BảoThành viên20%

1 Nguyễn Xuân Tiến 2721210047

TÀI LIỆU THAM KHẢO