Mục đích của IPCopIPCop firewall là một firewall ứng dụng cho doanh nghiệp vừa và nhỏ Small Office/ Home Office - SOHO.* IPCop có thể được phát triển như một add-on để một hệ điều hành t
Trang 1ĐẠI HỌC DUY TÂNTRƯỜNG KHOA HỌC MÁY TÍNH
KHOA KỸ THUẬT MẠNG MÁY TÍNH & TRUYỀN THÔNG
ĐỒ ÁN NHÓM
HỆ ĐIỀU HÀNH UNIX/LINUX
ĐỀ TÀI: <Tìm hiểu cà vài đặt tường lửa IPCop>
GIẢNG VIÊN HƯỚNG DẪN : ThS ĐẶNG NGỌC CƯỜNG
Trang 2Chương I Giới thiệu và mục đích của IPCop Firewall 3
1 Giới thiệu về IPCop Firewall 3
c Ưu điểm của IPCop Firewall 4
2 Các tính năng quan trọng của IPCop Firewall 5
a Web proxy 5
b DHCP và Dynamic DNS DHCP: 6
c Time server và Port Forwarding 8
d Traffic Shaping và Vitual Private Network - VPN 10
Chương III:CÀI ĐẶT VÀ DEMO ỨNG DỤNG 11
Trang 3Chương I Giới thiệu và mục đích của IPCop Firewall 1 Giới thiệu về IPCop Firewall
* IPCop là một phần mềm được cắt ra từ Linux và có khả năng hoạt động như một firewall Nó có những tính năng cao cấp của firewall, bao gồm VPN sử dụng IPSec.
** Phần mềm mã nguồn mở (Open Soure Software), bản quyền của GNU Grneral Public License (GPL) và được miễn phí khi sử dụng.
2 Mục đích của IPCop
IPCop firewall là một firewall ứng dụng cho doanh nghiệp vừa và nhỏ (Small Office/ Home Office - SOHO).
* IPCop có thể được phát triển như một add-on để một hệ điều hành theo cách mà Shorewall là một ứng dụng được cài đặt trên hệ thống linux hoặc máy chủ ISA trên hệ thống windows.
* Nếu máy chủ của bạn với mục đích chỉ là một tường lửa cho mạng của bạn, bạn cần có một sự hiểu biết đầy đủ và cơ bản về hệ hiều hành Linux để có được những phần mêm cài đặt và nếu muốn hoạt động tốt thì bạn phải cấu hình cả hai hệ điều hành và IPCop Tuy nhiên, bản thân IPCop là một điều hành riêng bạn không cần thiết phải biết Linux để sử dụng hệ thống trên.
Chương II Những thành phần và tính năng của IPCop Firewall
1 Các thành phần
a Giao diện web
Nhiều tưởng lửa phức tạp đối với người dùng Nó đòi hỏi phải có kĩ năng và kinh nghiệm để làm quen Giao diện máy chủ ISO là một ví dụ điển hình Giao diện để cấu hình IPCop là giao diện Web, đây là giao diện khá dễ sử dụng và trực quan cho người quản trị.
b Giao diện mạng
IPCop cung cấp bốn giao diện mạng bao gồm: Green, Blue, Orange, Red Mỗi giao diện mạng được sử dụng để kết nối đến một mạng riêng biệt.
Green Network Interface
Giao diện mạng này kết nối với mạng cục bộ (mạng bên trong) của bạn IPCop
Trang 4sẽ tự động cho phép tất cả các kết nối từ giao diện mạng này đến tất cả các mạng khác.
Red Network Interface
Giao diện mạng Red đại diện cho mạng ngoài Internet Mục đích của mạng Red này nhằm bảo vệ các nguy cơ đối với mạng Green, Blue và Orange Các phân đoạn Red có thể là một mạng Ethernet giao diện tĩnh hoặc sử dụng DHCP, nó có thể là một USB ADSL modem, một card ISDN hoặc có thể là một dial-up, anolog
modem kết nối với điện thoại chuyển mạch công cộng Orange Network Interface
Giao diện mạng Orange được thiết kế như một mạng DMZ (demilitized zone) DMZ mạng ý nghĩa như một phân đoạn mạng giữa mạng nội bộ và một mạng bên ngoài Trong khu vực DMZ thường đặt các máy chủ dịch vụ như Web, Mail,
Blue Network Interface
Mạng Blue được thêm vào IPCop phiên bản 1.4 Mạng này được kết nối với các thiết bị không dây và bảo vệ các thiết bị này.
c Ưu điểm của IPCop Firewall
* Dễ quản lý và giám sát
Các nhà phát triển IPCop đã xây dựng một hệ thống giúp cho việc nâng cấp hệ thống đơn giản hơn Điều này được thực hiện hoàn toàn trên giao diện Web Tuy nhiên, nếu người dùng không muốn đăng nhập vào Linux Console thì việc thay đổi này có thể thực hiện đơn giản bằng các sử dụng phím và màn hình được gắn liền với máy tính hoặc sử dụng SSH từ một máy tính trên mạng nội bộ (Giao diện Green) Mặc định SSH bị tắt, vì vậy muốn sử
dụng phải bật nó lên Với những trạng thái được cung cấp trên giao diện Web, chúng ta có thể biết hệ thống đang làm việc như thế nào Chúng ta có thể nhìn
Trang 5Quản trị từ xa thông qua Web hoặc SSH
2 Các tính năng quan trọng của IPCop Firewall
a Web proxy
IPCop được dùng như một proxy cũng như tường lửa Bạn có thể dễ dàng quản lý bộ nhớ cache và cấu hình proxy trên giao diện Green Tất cả những gì bạn làm là kích vào các ô trong giao diện để cấu hình proxy trên IPCop.
Trang 6Các dịch vụ proxy cho phép người dùng truy cập các dịch vụ internet, với dịch vụ này người dùng luôn nghĩ mình đang tương tác trực tiếp với internetTuy nhiên, khi Client muốn truy xuất đến các dịch vụ internet thì phải qua proxyProxy có nhiệm vụ xác định các yêu cầu của người dùng rồi quyết định có đáp ứng hay không Nếu có đáp ứng thì proxy sẽ kết nối với Server thật thay cho Client và tiếp tục chuyển tiếp các yêu cầu đến chi client cũng như đáp ứng những yêu cầu của Server đến client Vì vậy, proxy giống như trung gian giữa Server và Client.
b DHCP và Dynamic DNS DHCP:
IPCop được cung cấp thêm tính năng cấp phát IP động tương tự trên Windows Server của Microsoft
Trang 7Dynamic DNS
Dynamic DNS là phương thức ánh xạ tên miền tới địa chỉ IP có tần suất thay đổi cao (do không phải mọi máy đều sử dụng IP tĩnh) Dịch vụ DNS động (Dynamic DNS) cung cấp một chương trình đặc biệt chạy trên máy tính của người sử dụng
dịch vụ Dynamic DNS gọi là Dynamic DNS Client.
Chương trình này giám sát sự thay đổi địa chỉ IP tại host và liên hệ với hệ thống DNS mỗi khi địa chỉ IP của host (vốn được cung cấp bởi ISP bằng phương pháp
Trang 8động) thay đổi và sau đó update thông tin vào CSDL DNS về sự thay đổi địa chỉ đó Bằng các này, cho dù máy chủ có thường xuyên bị thay đổi địa chỉ thì tên miền vẫn được hệ thống máy chủ DNS trò về đúng địa chỉ cấp IP mới đó
c Time server và Port Forwarding
Time server
IPCop cung cấp dịch vụ Network Time Protocol dùng để đồng bộ các host trên Internet
Trang 9Port Forwarding
Đây là chức năng khá phổ biến trong tường lửa từ doanh nghiệp vừa và nhỏ đến những doanh nghiệp lớn Có hai thuận lợi trong IPCopThứ nhất là chúng ta không có hạn chế số lượng chuyển tiếp Thứ hai, nó rất dễ cài đặtĐối với những thiết bị của doanh nghiệp vừa và nhỏ không chỉ chúng ta bị hạn chế về số lượng cồng mà còn tìm thấy những cấu hình phức tạp xung quanh nó.
Trang 10Trong mô hình trên, IPCop kết nối với Client trên 2 cổng 25 (Mail) và 80 (Web) nhưng kết nối đến cổng 25 và 80 đã được chuyển tiếp đến các dịch vụ tương ứng
d Traffic Shaping và Vitual Private Network - VPN
Trafic Shaping
Thiết lập mức ưu tiên về tốc đô theo port, hỗ trợ cả 2 giao thức là TCP và UDP Giúp quản lý hiệu quả băng thông Internet theo nhu cầu sử dụng của từng nhóm ứng dụng VPN (Vitual Private Network - Mạng riêng ảo)
Tính năng này cho phép bạn tham gia nhiều mạng hơn trên internet với một liên kết riêng
Trang 11Chương III:CÀI ĐẶT VÀ DEMO ỨNG DỤNG 1.Mô hình
2.Cài đặt.
Cấu hình IP cho giao diện Green- mạng LAN.
Trang 12Menu cài đặt các thành phần chính của IPCOP
Ở lựa chọn Network configuration type tùy vào mục đích chúng ta lựa chọn các giao diện phù hợp, ở đây tôi chọn GREEN + ORANGE + RED GREEN tương ứng với mạng LAN, RED là mạng WAN, ORANGE là phân vùng “Phi quân sự” thường được kết nối với hệ thống máy chủ Web, Mail
Trang 13Ở lựa chọn Driver and card asignmets, nhấn OK để HDH tự động nhận card mạng
Lựa chọn Address settings , chon RED để cài đặt card RED , lựa chọn DHCP để máy nhận IP động được cấp từ ISP.
Cài đặt mạng GREE , IP này được dùng cho các máy chủ web, mail trong một vùng riêng, nhằm đảm bảo an toàn.
Trang 14Ở lựa chọn Network configuration type tùy vào mục đích chúng ta lựa chọn các giao diện phù hợp, ở đây tôi chọn GREEN + ORANGE + RED GREEN tương ứng với mạng LAN, RED là mạng WAN, ORANGE là phân vùng “Phi quân sự” thường được kết nối với hệ thống máy chủ Web, Mail,
Trang 15Sau khi đăng nhập thành công, chúng ta có thể xem thông tin các dịch vụ, tình trạng bộ nó, RAM, CPU, và có thể cấu hình các dịch vụ bằng giao diện Web
Trang 161.Cài đặt URL Fiter
Đầu tiên chúng ta cần download bộ cài URLFiter Tiếp theo sử dụng phần mềm WinSCP để copy bộ cài URLFiter sang Firewall server để cài đặt
Tiếp theo ta tiến hành giải nén với lệnh: ar zxvf ipcop-urlfiter-1.9.3.tar.gz
d ipcop-urlfiter-1.9.3 – Vào thư mục chứa ipcop-urlfiter-1.9.3
/install để tiến hành cài đặt
Sau khi cài đặt xong, chúng ta qua máy Client và tiến hành F5 lại trình duyệt, sẽ xuất hiện
Tùy chọn URL Filter trong mục Services Ở mục blacklist là danh sánh các trang web bị chặn
Trang 17Chúng ta vào Services => Proxy và Enable tính năng URLFilter Trang web không bị chặn
Trang 19Add dịch vụ pop3(110)
Add dịch vụ pop3s (995)
Add rules mới
Cài đặt mạng Green ra ngoài các dịch vụ
Trang 20Tiến hành bật Rules và lưu lại cấu hình rules Enable blocktraffic
Khi chưa enable rules
Kết quả sau khi bật rules
Trang 213.Port Forwarding
Vào giao diện IPCop từ Client và vào Port forwading Thêm rules mới như hình
Thêm rules nữa với port 110
4.Advance Proxy
Advance Proxy là dạng proxy chuẩn của IPCop, nó cung cấp đầy đủ các tính năng của một proxy.
Để cài Advance proxy chúng ta tải gói advanceproxy.tar.gz Sau đó tiến hành giải nén và cài đặt bằng các lệnh tương tự như Url Filtering.
Sau khi cài đặt thành công, ta sẽ vào từ Services -> Advance Proxy
Trang 22Cấu hình Advance Proxy
Unrestricted IP addresses: Không hạn chế đối với IP 172.16.1.3 Banned IP addresses: Chặn IP 172.16.1.20 truy nhập Internet Cấu hình giới hạn tốc độ download/upload file cho toàn hệ thống mạng
Với IP 172.16.1.3 không bị cấm
Trang 23Với IP 172.16.1.20 bị cấm
Trang 24BẢNG PHÂN CÔNG NHIỆM VỤ
STTTên nhiệm vụ Thành viên thực hiệnThời gian thực
5Cao Hoàn Tuấn1/12->7/120%Không làm
Nhóm trưởng chấm điểm cho các thành viên nhóm:
STT MSSVHọ và tên SVVai tròTỉ lệ đóng góp12721210047Nguyễn Xuân TiếnNhóm trưởng30%
Trang 25427211236417
Lý Gia BảoThành viên20%
Trang 261 Nguyễn Xuân Tiến 2721210047
Trang 27TÀI LIỆU THAM KHẢO