Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 140 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
140
Dung lượng
4,58 MB
Nội dung
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƢỜNG ĐẠI HỌC NHA TRANG KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN TỐT NGHIỆP GVHD: Thạc sỹ Ngô Văn Công Sinh viên: Nguyễn Thị Luyến Lớp: 50 TH 1 MSSV: 50130815 Đề tài: TÌM HIỂU CÂN BẰNG TẢI VÀ XÂY DỰNG MÔ HÌNH CÂN BẰNG TẢI TRÊN FIREWALL PFSENSE Nha Trang, tháng 6 năm 2012 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƢỜNG ĐẠI HỌC NHA TRANG KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN TỐT NGHIỆP GVHD: Thạc sỹ Ngô Văn Công Sinh viên: Nguyễn Thị Luyến Lớp: 50 TH 1 MSSV: 50130815 Đề tài: TÌM HIỂU CÂN BẰNG TẢI VÀ XÂY DỰNG MÔ HÌNH CÂN BẰNG TẢI TRÊN FIREWALL PFSENSE Nha Trang, tháng 6 năm 2012 LỜI MỞ ĐẦU Mỗi ngày có hàng ngàn người truy cập vào trang web của doang nghiệp, tổ chức, hàng triệu thuê bao sử dụng điện thoại và các dịch vụ gia tăng của nhà cung cấp, hàng nghìn tỷ đồng giao dịch giữa các ngân hàng. Điều gì sẽ xảy nếu các dịch vụ đó hoạt động kém cỏi, ì ạch hay trong một giờ tất cả những hoạt động đó bị ngừng lại? Doanh nghiệp sẽ mất đi cả trăm khách hàng, đối tác tiềm năng, nhà cung cấp bị phàn nàn, các hoạt động giao dịch, kinh doanh của khách hàng bị ảnh hưởng, hàng nghìn nhà đầu tư bị mất chi phí, cơ hội. Đó không chỉ là thiệt hại về kinh tế mà còn về uy tín, hình ảnh, sức cạnh tranh. Nguyên nhân gây ra tình trạng trên có thể do hạ tầng mạng, phần cứng, phần mềm hiệu năng thấp, cũng có thể do hệ thống bị tấn công, hệ thống không được sử dụng tối ưu, không có cơ chế tăng tốc. Đối với lỗi gây đình trệ hệ thống, phần lớn do hệ thống nội bộ trong các doang nghiệp, tổ chức có lỗi, chẳng hạn như đường mạng bị đứt, thiết bị bị hỏng, mất điện cục bộ, ứng dụng bị lỗi, máy chủ bị lỗi hay bị tấn công và có thể xảy ra ở bất cứ hệ thống nào, bất cứ lúc nào. Để tránh tình trạng trên, các doanh nghiệp đều đã và đang đầu tư hệ thống hạ tầng một cách bài bản nhằm đạt hiệu năng cao. Đó là việc trang bị các máy chủ ứng dụng mạnh, có dự phòng. Tuy nhiên, nếu tại mỗi thời điểm mỗi chức năng chi có một server hoạt động hoặc không có giải pháp chuyên dụng để cân bằng tải cho các server thì không thể đáp ứng được nhu cầu của hệ thống ứng dụng đồ sộ, đòi hỏi hoạt động liên tục như các trang web thương mại điện tử, các ứng dụng nhiều người dùng, các hoạt động tiền tệ, tài chính, các cửa ngõ giao tiếp với khách hàng của ngân hàng, chứng khoán, nhà cung cấp dịch vụ. Do đó, cần phải có nhiều server cùng đồng thời cung cấp một dịch vụ cho hệ thống, cung cấp hiệu năng và tính sẳn sàng cao hơn, tính tin cậy cao hơn. Làm sao để các server đó có thể phối hợp với nhau hiệu quả, đảm bảo tính sẳn sàng, liên tục, an toàn. Đó là lý do ra đời của các giải pháp cân bằng tải. Hiện nay, để cân bằng tải cho hệ thống mạng của doanh nghiệp thì chúng ta có nhiều giải pháp như sử dụng Router Cisco, dùng tường lửa của Microsoft như ISA…. Tuy nhiên những thành phần kể trên tương đối tốn kém. Vì vậy đối với người dùng không muốn tốn tiền nhưng lại muốn có một tường lửa bảo vệ hệ thống mạng bên trong (mạng nội bộ) khi mà chúng ta giao tiếp vối hệ thống mạng bên ngoài (Internet) thì PFSENSE là một giải pháp tiết kiệm và hiệu quả tương đối tốt nhất đối với người dùng. Firewall pfSense sẽ giải quyết các vấn đề bảo mật cho doanh nghiệp vừa và nhỏ. Sau bài giới thiệu Trong luận văn này sẽ hiểu rõ hơn về các tính năng của pfsense cũng như các điểm mạnh và yếu của pfsense với các phần mềm khác. Luận văn bao gồm năm chương: Chương 1: Tìm hiểu tổng quan về firewall. Chương 2: Lý thuyết cân bằng tải. Chương 3: Tìm hiểu pfsense. Chương 4: Xây dựng mô hình. Chương 5: Triển khai và đánh giá hệ thống. LỜI CẢM ƠN Trong thời gian thực hiện đồ án vừa qua, em đã rút ra được rất nhiều kinh nghiệm thực tế mà khi ngồi trên ghế nhà trường không thể có được. Để hoàn thành bài thực tập này ngoài sự nỗ lực của bản thân, em còn nhận được sự giúp đỡ và động viên của nhiều người. Đầu tiên em xin gửi lời cảm ơn đến quý thầy cô trong khoa Công nghệ thông tin đã trang bị cho em những kiến thức vô cùng quý giá trong suốt quá trình học. Đặc biệt là nhờ sự chỉ bảo hướng dẫn và góp ý tận tình của thầy Ngô Văn Công trong quá trình thực hiện đồ án này. Bên cạnh đó, em gửi lời cảm ơn đến gia đình, bạn bè, những người đã luôn động viên, cổ vũ tinh thần và luôn tạo những điều kiện thuận lợi để em hoàn thành đề tài này. Trong quá trình thực hiện đồ án và làm báo cáo, do còn thiếu nhiều kinh nghiệm thực tế nên không tránh khỏi những sai sót. Em mong các thầy cô chỉ bảo thêm giúp em hoàn thành và xây dựng đồ án thành một ứng dụng thực tế. Em xin chân thành cảm ơn! Nha Trang, ngày 20 tháng 6 năm 2012 Sinh viên thực tập Nguyễn Thị Luyến LỜI NHẬN XÉT CỦA GIẢNG VIÊN HƢỚNG DẪN LỜI NHẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN MỤC LỤC Chƣơng 1: Tổng quan firewall 1 I. Khái quát về firewall 1 1. Khái niệm firewall 1 2. Chức năng 1 2.1 Quản lý và điều khiển luồng dữ liệu trên mạng 2 2.2 Chuyển đổi địa chỉ mạng (NAT) 2 2.3 Xác thực quyền truy cập 4 2.4 Hoạt động như một thiết bị trung gian 4 2.5 Bảo vệ tài nguyên 5 2.6 Ghi nhận và báo cáo các sự kiện 6 3. Hạn chế 6 II. Phân loại firewall 7 1. Phân loại theo các sản phầm firewall 8 1.1 Firewall phần mềm (Software firewalls) 8 1.2 Firewall phần cứng (Appliance firewalls) 9 1.3 Firewall tích hợp (Intergrated firewalls) 10 2. Phân loại theo các công nghệ firewall 10 3. Firewall mã nguồn mở và firewall mã nguồn đóng 14 III. Các thành phần của firewall 14 1. Bộ lọc gói tin(Packet filleting route) 14 2. Cổng ứng dụng( Application level gateway hay proxy server) 16 3. Cổng mạch (Circuite level gateway). 18 IV. Các kiến trúc firewall cơ bản 19 1. Kiến trúc Dual – Homed Host(Máy chủ trung gian) 21 2. Kiến trúc Screend Host 22 3. Kiến trúc Screened Subnet 24 V. Lựa chọn giải pháp firewall 26 Chƣơng 2: Lý thuyết cân bằng tải 27 I. Khái niệm cân bằng tải 27 1. Cân bằng tải chiều ra - Outbound Load-balancing 27 2. Cân bằng tải chiều vào - Load-balancing Inbound 28 3. Cân bằng tải cho server - Server Loadbacing 29 II. Các tính năng cân bằng tải 30 III. Các giải pháp cân bằng tải 32 1. Cân bằng tải bằng phần mềm cài trên máy chủ 32 2. Cân bằng tải nhờ proxy 32 3. Cân bằng tải nhờ thiết bị chia kết nối 33 IV. Một số kịch bản cân bằng tải 34 1. Kịch bản Active - Standby (hoạt động - chờ) 34 2. Kịch bản Active – Active 35 3. VRRP 36 4. xxRP 37 5. Cáp Fail – Over 37 6. Stateful Fail – Over (Fail – Over có trạng thái) 38 Chƣơng 3: Tổng quan về pfsense 39 I. Giới thiệu pfsense 39 II. Cài đặt và cấu hình 41 1. Yêu cầu phần cứng 41 2. Cài đặt pfsense 41 3. Thiết lập card mạng cho máy pfsense 44 4. Đặt IP và thiết lập DHCP cấp phát vào bên trong mạng LAN 45 5. Cấu hình Pfsense qua giao diện web – WebGUI 46 6. Cài đặt Packages 51 7. Backup and Recovery 53 III. Một số dịch vụ và ứng dụng của Pfsense 54 1. Một số tính năng của Pfsense firewall 54 1.1 Pfsense Aliases 54 1.2 Network Address Translation(NAT) 55 1.3 Pfsense rules 56 1.4 Pfsense schedules 57 1.5 Traffic Shapers 58 1.6 Virtual IPs 62 2. Một số dịch vụ của Pfsense 63 2.1 Captive Portal 63 2.2 DHCP Server 67 2.3 Load Balancer 67 3. VPN trên Pfsense 71 3.1 VPN PPTP 71 3.2 Open VPN 74 Chƣơng 4: Xây dựng mô hình 79 I. Xây dựng mô hình cân bằng tải cho các farm server 79 1. Mô hình thực tế 79 2. Mô hình Lab 80 II. Xây dựng mô hình cân bằng tải đường WAN 81 1. Mô hình thực tế 81 2. Mô hình Lab 82 III. Xây dựng mô hình cân bằng tải firewall 83 Chƣơng 5: Triển khai và đánh giá hệ thống 85 I. Triển khai mô hình cân bằng tải cho các farm server 85 1. Cài đặt server Apache 85 2. Triển khai mô hình 88 3. Kiểm tra, đánh giá 91 II. Triển khai mô hình cân bằng tải đường WAN 93 1. Cấu hình Routing and remote access trên server 2003 93 2. Cài đặt, cấu hình pfsense 99 3. Cấu hình cân bằng tải đường WAN trên máy pfsense 102 [...]... nhận việc yêu cầu thay cho client và nhận trả lời từ server trên internet và trả lời lại cho người dùng bên trong Hình 1-7 Proxy firewalls GVHD: Ngô Văn Công Page 12 Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense Stateful firewalls: Được kết hợp với các firewall khác như NAT firewall, circuit-level firewall, proxy firewall thành một hệ thống firewall, nó không những kiểm tra... 76 Hình 3-64 Thông tin cấu hinh server certificate 76 Hình 3-65 Cấu hình Tunneling network 77 Hình 3-66 Thêm rule cho OpenVPN server 77 Hình 3-67 Kết quả sau khi cấu hình 77 Hình 3-68 OpenVPN client đã được cài đặt 78 Hình 4-1 Mô hình cân bằng tải server thực tế 79 Hình 4-2 Mô hình cân bằng tải webserver trong bài LAB 80 Hình 4-3 Mô hình cân bằng. .. Ngô Văn Công Page 4 Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense bị trung gian đứng ra thay mặt user bên trong để thực hiện kết nối ra bên ngoài là cần thiết để đảm bảo an toàn Firewall được cấu hình để thực hiện chức năng này và firewall được ví như một proxy trung gian Hình 1-3 Proxy Firewall Proxy server thay thế kết nối trực tiếp giữa client và server với dịch vụ... Cisco PIX, NetScreen firewall, SonicWall Appliaces, WatchGuard Fireboxes, Nokia firewall GVHD: Ngô Văn Công Page 9 Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense Ƣu điểm: Lợi ích điển hình khi sử dụng firewall cứng là hiệu suất tổng thể tốt hơn firewall mềm, tính bảo mật được nâng cao, tổng chi phí thấp hơn so với firewall mềm Trong nhiều trường hợp firewall cứng cung cấp... Công Page 3 Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense Hình 1-2 Ví dụ về firewall NAT 2.3 Xác thực quyền truy cập Firewall có thể xác thực quyền truy cập bằng nhiều cơ cấu xác thực khác nhau Thứ nhất, firewall có thể yêu cầu username và password của người dùng khi người dùng truy cập (thường được biết đến như là extended authentication hoặc xauth) Sau khi firewall xác... không cần cấu hình IP cũng như thay đổi IP của các thiết bị được nó bảo vệ Virtual firewalls: Bao gồm nhiều logical firewall hoạt động trên một thiết bị thật Một trong những ứng dụng của nó hiện nay là dùng trong việc quản lý các máy ảo trong vmware hay hyper-v GVHD: Ngô Văn Công Page 13 Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense 3 Firewall mã nguồn mở và firewall mã... qua firewall, gói tin được chỉnh sửa sao cho nó xuất phát từ circuit-level firewall, điều này giúp che dấu thông tin của mạng được bảo vệ GVHD: Ngô Văn Công Page 11 Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense Hình 1-6 Circuit-level firewalls Proxy firewalls: Hoạt động tại lớp ứng dụng của mô hình OSI, nó đóng vai trò như người trung gian giữa hai thiết bị đầu cuối Khi... Page 8 Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense Ƣu điểm: Một ưu điểm nổi trội của firewall mềm là việc thay đổi và nâng cấp thiết bị phần cứng là tương đối dễ dàng và nhanh chóng So với Firewall phần cứng, Firewall phần mềm cho phép linh động hơn, nhất là khi cần đặt lại các thiết lập cho phù hợp hơn với nhu cầu riêng của từng công ty Chúng có thể hoạt động tốt trên. .. các công nghệ firewall Dựa vào công nghệ sử dụng trong firewall người ta chia firewall thành các loại như sau: GVHD: Ngô Văn Công Page 10 Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense Personal firewalls: được thiết kế để bảo vệ một host duy nhất, thường được tích hợp sẵn trong các laptop, desktop… Packet filters: là thiết bị được thiết kế để lọc gói tin dựa trên những đặc... 5-63 Trạng thái CARP primary firewall khi tắt primary firewall 121 Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense Chƣơng 1: I Tổng quan firewall Khái quát về firewall 1 Khái niệm firewall Firewall là một hệ thống hay một hệ thống kết hợp trong đó có thiết lập một đường biên giữa hai hay nhiều mạng Firewall cài đặt các luật về bảo mật để phân cách giữa mạng với các kết . bằng tải cho các farm server 79 1. Mô hình thực tế 79 2. Mô hình Lab 80 II. Xây dựng mô hình cân bằng tải đường WAN 81 1. Mô hình thực tế 81 2. Mô hình Lab 82 III. Xây dựng mô hình cân bằng. tải server thực tế 79 Hình 4-2 Mô hình cân bằng tải webserver trong bài LAB 80 Hình 4-3 Mô hình cân bằng tải đường WAN thực tế 81 Hình 4-4 Mô hình LAB cân bằng tải đường WAN 82 Hình 4-5 Mô. firewall hoạt động 120 Hình 5-63 Trạng thái CARP primary firewall khi tắt primary firewall 121 Tìm hiểu cân bằng tải và xây dựng mô hình cân bằng tải trên firewall pfsense GVHD: Ngô Văn