đồ án nhóm hệ điều hành unix linux đề tài tìm hiểu cà vài đặt tường lửa ipcop

Mục đích của IPCopIPCop firewall là một firewall ứng dụng cho doanh nghiệp vừa và nhỏ Small Office/ Home Office - SOHO.* IPCop có thể được phát triển như một add-on để một hệ điều hành t

ĐẠI HỌC DUY TÂN TRƯỜNG KHOA HỌC MÁY TÍNH KHOA KỸ THUẬT MẠNG MÁY TÍNH & TRUYỀN THÔNG



ĐỒ ÁN NHÓM

HỆ ĐIỀU HÀNH UNIX/LINUX

ĐỀ TÀI: <Tìm hiểu cà vài đặt tường lửa IPCop>

GIẢNG VIÊN HƯỚNG DẪN : ThS ĐẶNG NGỌC CƯỜNG LỚP MÔN HỌC : CS 226 AA

Thành viên: Nguyễn Xuân Tiến

Phạm Thanh PhướcNguyễn Trung Dũng

Lý Gia BảoCao Hoàn Tuấn

Chương I Giới thiệu và mục đích của IPCop Firewall 3

1 Giới thiệu về IPCop Firewall 3

2 Mục đích của IPCop 3

Chương II Những thành phần và tính năng của IPCop Firewall 3

1 Các thành phần 3

a Giao diện web 3

b Giao diện mạng 3

c Ưu điểm của IPCop Firewall 4

2 Các tính năng quan trọng của IPCop Firewall 5

a Web proxy 5

b DHCP và Dynamic DNS DHCP: 6

c Time server và Port Forwarding 8

d Traffic Shaping và Vitual Private Network - VPN 10

Chương III:CÀI ĐẶT VÀ DEMO ỨNG DỤNG 11

1.Mô hình 11

2.Cài đặt 11

1.Cài đặt URL Fiter 16

2.Cài đặt BlockOuttraffic 18

3.Port Forwarding 21

4.Advance Proxy 21

Chương I Giới thiệu và mục đích của IPCop Firewall

1 Giới thiệu về IPCop Firewall

* IPCop là một phần mềm được cắt ra từ Linux và có khả năng hoạt động nhưmột firewall Nó có những tính năng cao cấp của firewall, bao gồm VPN sửdụng IPSec

** Phần mềm mã nguồn mở (Open Soure Software), bản quyền của GNUGrneral Public License (GPL) và được miễn phí khi sử dụng

2 Mục đích của IPCop

IPCop firewall là một firewall ứng dụng cho doanh nghiệp vừa và nhỏ (SmallOffice/ Home Office - SOHO)

* IPCop có thể được phát triển như một add-on để một hệ điều hành theo cách

mà Shorewall là một ứng dụng được cài đặt trên hệ thống linux hoặc máy chủISA trên hệ thống windows

* Nếu máy chủ của bạn với mục đích chỉ là một tường lửa cho mạng của bạn,bạn cần có một sự hiểu biết đầy đủ và cơ bản về hệ hiều hành Linux để có đượcnhững phần mêm cài đặt và nếu muốn hoạt động tốt thì bạn phải cấu hình cả hai

hệ điều hành và IPCop Tuy nhiên, bản thân IPCop là một điều hành riêng bạnkhông cần thiết phải biết Linux để sử dụng hệ thống trên

Chương II Những thành phần và tính năng của IPCop Firewall

1 Các thành phần

a Giao diện web

Nhiều tưởng lửa phức tạp đối với người dùng Nó đòi hỏi phải có kĩ năng vàkinh nghiệm để làm quen Giao diện máy chủ ISO là một ví dụ điển hình Giaodiện để cấu hình IPCop là giao diện Web, đây là giao diện khá dễ sử dụng vàtrực quan cho người quản trị

b Giao diện mạng

IPCop cung cấp bốn giao diện mạng bao gồm: Green, Blue, Orange, Red Mỗigiao diện mạng được sử dụng để kết nối đến một mạng riêng biệt

Green Network Interface

Giao diện mạng này kết nối với mạng cục bộ (mạng bên trong) của bạn IPCop

sẽ tự động cho phép tất cả các kết nối từ giao diện mạng này đến tất cả các mạngkhác.

Red Network Interface

Giao diện mạng Red đại diện cho mạng ngoài Internet Mục đích của mạng Rednày nhằm bảo vệ các nguy cơ đối với mạng Green, Blue và Orange Các phânđoạn Red có thể là một mạng Ethernet giao diện tĩnh hoặc sử dụng DHCP, nó cóthể là một USB ADSL modem, một card ISDN hoặc có thể là một dial-up,anolog

modem kết nối với điện thoại chuyển mạch công cộng

Orange Network Interface

Giao diện mạng Orange được thiết kế như một mạng DMZ (demilitized zone).DMZ mạng ý nghĩa như một phân đoạn mạng giữa mạng nội bộ và một mạngbên ngoài Trong khu vực DMZ thường đặt các máy chủ dịch vụ như Web,Mail,

Blue Network Interface

Mạng Blue được thêm vào IPCop phiên bản 1.4 Mạng này được kết nối với cácthiết bị không dây và bảo vệ các thiết bị này

c Ưu điểm của IPCop Firewall

* Dễ quản lý và giám sát

Các nhà phát triển IPCop đã xây dựng một hệ thống giúp cho việc nâng cấp hệthống đơn giản hơn Điều này được thực hiện hoàn toàn trên giao diện Web Tuynhiên, nếu người dùng không muốn đăng nhập vào Linux Console thì việc thayđổi này có thể thực hiện đơn giản bằng các sử dụng phím và màn hình được gắnliền với máy tính hoặc sử dụng SSH từ một máy tính trên mạng nội bộ (Giaodiện Green) Mặc định SSH bị tắt, vì vậy muốn sử

dụng phải bật nó lên Với những trạng thái được cung cấp trên giao diện Web,chúng ta có thể biết hệ thống đang làm việc như thế nào Chúng ta có thể nhìn

Quản trị từ xa thông qua Web hoặc SSH

2 Các tính năng quan trọng của IPCop Firewall

a Web proxy

IPCop được dùng như một proxy cũng như tường lửa Bạn có thể dễ dàng quản

lý bộ nhớ cache và cấu hình proxy trên giao diện Green Tất cả những gì bạnlàm là kích vào các ô trong giao diện để cấu hình proxy trên IPCop

Các dịch vụ proxy cho phép người dùng truy cập các dịch vụ internet, với dịch

vụ này người dùng luôn nghĩ mình đang tương tác trực tiếp với internetTuynhiên, khi Client muốn truy xuất đến các dịch vụ internet thì phải quaproxyProxy có nhiệm vụ xác định các yêu cầu của người dùng rồi quyết định cóđáp ứng hay không Nếu có đáp ứng thì proxy sẽ kết nối với Server thật thay choClient và tiếp tục chuyển tiếp các yêu cầu đến chi client cũng như đáp ứngnhững yêu cầu của Server đến client Vì vậy, proxy giống như trung gian giữaServer và Client

b DHCP và Dynamic DNS DHCP:

IPCop được cung cấp thêm tính năng cấp phát IP động tương tự trên WindowsServer của Microsoft

Dynamic DNS

Dynamic DNS là phương thức ánh xạ tên miền tới địa chỉ IP có tần suất thay đổicao (do không phải mọi máy đều sử dụng IP tĩnh) Dịch vụ DNS động (DynamicDNS) cung cấp một chương trình đặc biệt chạy trên máy tính của người sử dụng

dịch vụ Dynamic DNS gọi là Dynamic DNS Client.

Chương trình này giám sát sự thay đổi địa chỉ IP tại host và liên hệ với hệ thốngDNS mỗi khi địa chỉ IP của host (vốn được cung cấp bởi ISP bằng phương pháp

động) thay đổi và sau đó update thông tin vào CSDL DNS về sự thay đổi địa chỉ

đó Bằng các này, cho dù máy chủ có thường xuyên bị thay đổi địa chỉ thì tênmiền vẫn được hệ thống máy chủ DNS trò về đúng địa chỉ cấp IP mới đó

c Time server và Port Forwarding

Time server

IPCop cung cấp dịch vụ Network Time Protocol dùng để đồng bộ các host trênInternet

Port Forwarding

Đây là chức năng khá phổ biến trong tường lửa từ doanh nghiệp vừa và nhỏ đếnnhững doanh nghiệp lớn Có hai thuận lợi trong IPCopThứ nhất là chúng takhông có hạn chế số lượng chuyển tiếp Thứ hai, nó rất dễ cài đặtĐối với nhữngthiết bị của doanh nghiệp vừa và nhỏ không chỉ chúng ta bị hạn chế về số lượngcồng mà còn tìm thấy những cấu hình phức tạp xung quanh nó

Trong mô hình trên, IPCop kết nối với Client trên 2 cổng 25 (Mail) và 80 (Web)nhưng kết nối đến cổng 25 và 80 đã được chuyển tiếp đến các dịch vụ tương ứng

d Traffic Shaping và Vitual Private Network - VPN

Trafic Shaping

Thiết lập mức ưu tiên về tốc đô theo port, hỗ trợ cả 2 giao thức là TCP và UDP.Giúp quản lý hiệu quả băng thông Internet theo nhu cầu sử dụng của từng nhómứng dụng VPN (Vitual Private Network - Mạng riêng ảo)

Tính năng này cho phép bạn tham gia nhiều mạng hơn trên internet với một liênkết riêng

Chương III:CÀI ĐẶT VÀ DEMO ỨNG DỤNG

1.Mô hình

2.Cài đặt.

Cấu hình IP cho giao diện Green- mạng LAN

Menu cài đặt các thành phần chính của IPCOP

Ở lựa chọn Network configuration type tùy vào mục đích chúng ta lựa chọn các giao diện phù hợp, ở đây tôi chọn GREEN + ORANGE + RED GREEN tương ứng với mạng LAN, RED là mạng WAN, ORANGE là phân vùng “Phi quân sự” thường được kết nối với hệ thống máy chủ Web, Mail

Ở lựa chọn Driver and card asignmets, nhấn OK để HDH tự động nhận card mạng

Lựa chọn Address settings , chon RED để cài đặt card RED , lựa chọn DHCP để máy nhận IP động được cấp từ ISP

Cài đặt mạng GREE , IP này được dùng cho các máy chủ web, mail trong một vùng riêng, nhằm đảm bảo an toàn

Ở lựa chọn Network configuration type tùy vào mục đích chúng ta lựa chọn các giao diện phù hợp, ở đây tôi chọn GREEN + ORANGE + RED GREEN tương ứng với mạng LAN, RED là mạng WAN, ORANGE là phân vùng “Phi quân sự” thường được kết nối với hệ thống máy chủ Web, Mail,

Sau khi đăng nhập thành công, chúng ta có thể xem thông tin các dịch vụ, tình trạng bộ

nó, RAM, CPU, và có thể cấu hình các dịch vụ bằng giao diện Web

1.Cài đặt URL Fiter

Đầu tiên chúng ta cần download bộ cài URLFiter Tiếp theo sử dụng phần mềm WinSCP để copy bộ cài URLFiter sang Firewall server để cài đặt

Tiếp theo ta tiến hành giải nén với lệnh:

ar zxvf ipcop-urlfiter-1.9.3.tar.gz

d ipcop-urlfiter-1.9.3 – Vào thư mục chứa ipcop-urlfiter-1.9.3

/install để tiến hành cài đặt

Sau khi cài đặt xong, chúng ta qua máy Client và tiến hành F5 lại trình duyệt, sẽ xuất hiện

Tùy chọn URL Filter trong mục Services

Ở mục blacklist là danh sánh các trang web bị chặn

Chúng ta vào Services => Proxy và Enable tính năng URLFilter Trang web không bị chặn

Add dịch vụ pop3(110)

Add dịch vụ pop3s (995)

Add rules mới

Cài đặt mạng Green ra ngoài các dịch vụ

Tiến hành bật Rules và lưu lại cấu hình rules

Enable blocktraffic

Khi chưa enable rules

Kết quả sau khi bật rules

3.Port Forwarding

Vào giao diện IPCop từ Client và vào Port forwading Thêm rules mới như hình

Thêm rules nữa với port 110

4.Advance Proxy

Advance Proxy là dạng proxy chuẩn của IPCop, nó cung cấp đầy đủ các tính năng của một proxy

Để cài Advance proxy chúng ta tải gói advanceproxy.tar.gz Sau đó tiến hành giải nén

và cài đặt bằng các lệnh tương tự như Url Filtering

Sau khi cài đặt thành công, ta sẽ vào từ Services -> Advance Proxy

Cấu hình Advance Proxy

Unrestricted IP addresses: Không hạn chế đối với IP 172.16.1.3

Banned IP addresses: Chặn IP 172.16.1.20 truy nhập Internet

Cấu hình giới hạn tốc độ download/upload file cho toàn hệ thống mạng

Với IP 172.16.1.3 không bị cấm

Với IP 172.16.1.20 bị cấm

BẢNG PHÂN CÔNG NHIỆM VỤ

STT Tên nhiệm vụ Thành viên thực hiện Thời gian thực

hiện

Trạng thái hoàn thành

5 Cao Hoàn Tuấn 1/12->7/12 0% Không làm

Nhóm trưởng chấm điểm cho các thành viên nhóm:

STT MSSV Họ và tên SV Vai trò Tỉ lệ đóng góp

1 2721210047 Nguyễn Xuân Tiến Nhóm trưởng 30%

4 2721123641

7

Lý Gia Bảo Thành viên 20%

1 Nguyễn Xuân Tiến 2721210047

TÀI LIỆU THAM KHẢO