đồ án tốt nghiệp nghiên cứu triển khai nokia firewall

98 470 0
đồ án tốt nghiệp nghiên cứu triển khai nokia firewall

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Vũ Hồng Phong NGHIÊN CỨU TRIỂN KHAI NOKIA FIREWALL KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Công Nghệ Thông Tin HÀ NỘI - 2009 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Vũ Hồng Phong NGHIÊN CỨU TRIỂN KHAI NOKIA FIREWALL KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Công Nghệ Thông Tin Cán bộ hướng dẫn: ThS. Đoàn Minh Phương Cán bộ đồng hướng dẫn: ThS. Nguyễn Nam Hải HÀ NỘI - 2009 LỜI CẢM ƠN Lời đầu tiên, em xin gửi lời cảm ơn chân thành tới ThS. Nguyễn Nam Hải và ThS. Đoàn Minh Phương. Hai thầy đã giúp đỡ em lựa chọn đề tài đồng thời trực tiếp hướng dẫn và đưa ra những nhận xét quý giá trong suốt quá trình em thực hiện khóa luận này. Em cũng xin gửi lời cảm ơn tới các thầy trong Trung Tâm Máy Tính – Đại học Công Nghệ - ĐHQGHN đã hết sức tạo điều kiện để em nghiên cứu và hoàn thành khóa luận. Em xin được cảm ơn các thầy, các cô trong trường Đại học Công Nghệ, trong suốt bốn năm qua đã giảng dạy chúng em. Những kiến thức các thầy, các cô cung cấp sẽ là hành trang vững chắc để em tiến bước trong tương lai. Trong quá trình học tập, em đã nhận được rất nhiều sự giúp đỡ, động viên từ các bạn trong lớp K50CA, K50MMT. Em xin được gửi lời cảm ơn tất cả các bạn. Cuối cùng, em xin gửi lời cảm ơn sâu sắc nhất tới bố mẹ và gia đình em. Những người luôn luôn cổ vũ, khích lệ và mang tới cho em những điều tốt đẹp nhất trong cuộc sống. TÓM TẮT NỘI DUNG Phần mở đầu của Khóa luận sẽ đặt ra các vấn đề làm cơ sở cho việc thực hiện Khóa luận. Các vấn đề được đặt ra dựa trên việc khảo sát thực tế hiện trạng hệ thống mạng trường Đại học Công Nghệ (xem chi tiết trong phụ lục B). Tiếp đó, Khóa luận sẽ trình bày giải pháp sử dụng Nokia Check Point để nâng cao khả năng an ninh và hoạt động của hệ thống mạng. Các phần sau của khóa luận sẽ lần lượt trình bày về phương pháp cài đặt, triển khai thiết bị Nokia IP1220. Đầu tiên là tìm hiểu về HĐH IPSO sử dụng trên Nokia IP1220, các bước cài đặt, cấu hình HĐH IPSO. Tiếp đó là phần giới thiệu và cách cài đặt ứng dụng Firewall-1/VPN-1. Sau đó là cách cấu hình tường lửa, thiết lập các chính sách an ninh, cấu hình NAT, Routing , cấu hình mạng riêng ảo VPN tích hợp với máy chủ LDAP. Trước mỗi phần đều có nêu tóm tắt các kiến thức cơ bản được sử dụng. Phần kết luận sẽ nêu lên kết quả triển khai thành công Nokia Check Point trên hệ thống mạng thực tế của trường Đại học Công Nghệ và các phương hướng, bổ sung cần thực hiện trong tương lai. MỤC LỤC BẢNG VIẾT TẮT 7 7 DANH SÁCH HÌNH VẼ 8 DANH SÁCH BẢNG 11 ĐẶT VẤN ĐỀ 12 CHƯƠNG 1. GIỚI THIỆU TỔNG QUAN VỀ NOKIA CHECK POINT VÀ HỆ ĐIỀU HÀNH IPSO 14 1.1. Giải pháp Nokia Check Point 14 1.2. Tổng quan Nokia Check Point [4] 14 1.2.1. Hệ điều hành IPSO 15 1.2.2. Cài đặt HĐH IPSO và cấu hình ban đầu 15 CHƯƠNG 2. CÀI ĐẶT CHECK POINT NGX R62 [6] 23 2.1. Giới thiệu 23 2.2. Cài đặt package 23 2.2.1. Cài đặt gói wrapper 24 2.2.2. Cài đặt SmartConsole NGX R62 25 CHƯƠNG 3. THIẾT LẬP CẤU HÌNH TƯỜNG LỬA 26 3.1. Thiết lập cấu hình ban đầu 26 3.2. Chính sách tường lửa mặc định 28 3.3. Thiết lập các luật tường lửa qua SmartDashboard 30 CHƯƠNG 4. THIẾT LẬP CẤU HÌNH NAT 33 4.1. Ẩn giấu đối tượng mạng 33 4.2. Cấu hình luật NAT 34 CHƯƠNG 5. CẤU HÌNH SMARTDEFENSE [3] 36 5.1. Giới thiệu về SmartDefense 36 5.2. Network Security 37 5.2.1. Denial of Service 37 5.2.2. IP and ICMP 37 5.2.3. TCP 38 5.2.4. Fingerprint Scrambling 39 5.2.5. Successive Events 39 5.2.6. Dynamic Ports 39 5.3. Application Intelligence 40 5.3.1. HTTP Worm Catcher 40 5.3.2. Cross-Site Scripting 41 5.3.3. HTTP Protocol Inspection 41 5.3.4. File and Print Sharing Worm Catcher 43 CHƯƠNG 6. THIẾT LẬP CẤU HÌNH VPN 44 6.1. Tổng quan về VPN 44 6.2. Giải pháp VPN Check Point cho truy cập từ xa 44 6.2.1. Cấu hình Office Mode sử dụng IP Pool 44 6.2.2. Truy cập VPN từ xa sử dụng SecuRemote/SecureClient 50 CHƯƠNG 7. CẤU HÌNH VPN TÍCH HỢP LDAP 55 7.1. Giới thiệu sơ lược về LDAP 55 7.2. Cấu hình VPN tích hợp LDAP [6] 57 7.2.1. Cấu hình máy chủ LDAP 57 7.2.2. Cài đặt và cấu hình VPN-1 58 CHƯƠNG 8. TRIỂN KHAI THỰC TẾ 61 8.1. Phân tích và giải pháp 61 8.2. Cài đặt 63 8.2.1. Lắp đặt và cài đặt ban dầu 63 8.2.2. Thiết lập cấu hình 66 8.3. Giám sát và quản lý 81 KẾT LUẬN 87 PHỤ LỤC 88 Phụ lục A. fw1ng.schema 88 Phụ lục B: Hiện trạng mạng VNUNet [3] 91 TÀI LIỆU THAM KHẢO 98 BẢNG VIẾT TẮT BGP Border Gateway Protocol CLISH Command Line Interface Shell DHCP Dynamic Host Configuration Protocol DNS Domain Name System ĐHQGHN Đại Học Quốc Gia Hà Nội FreeBSD Free Berkeley Software Distribution FTP File Transfer Protocol GUI Graphic User Interface HTTP Hypertext Transfer Protocol HTTPS Hypertext Transfer Protocol Secure ICMP Internet Control Message Protocol IGRP Interior Gateway Routing Protocol IP Internet Protocol IPSO IP Security Operating System ISS Internet Security System LDAP Lightweight Directory Access Protocol NAT Network Address Translation OSI Open Systems Interconnection OSPF Open Shortest Path First RIP Routing Information Protocol SNMP Simple Network Management Protocol SSH Secure Shell TCP Tranmission Control Protocol Telnet Telecomunication network VNUNet Vietnam National University Network VPN Virtual Private Network 7 DANH SÁCH HÌNH VẼ Hình 1. Nokia IP1220 Platform 14 Hình 2. SmartDashboard – Security 31 Hình 3. Thực thi cài đặt 31 Hình 4. SmartDashboard – Address Translation 33 Hình 5. Cấu hình luật NAT tự động 34 Hình 6. Các luật NAT 35 Hình 7. Global Properties - NAT 35 Hình 8. Network Quota 38 Hình 9. Dynamic Ports 40 Hình 10. General HTTP Worm Catcher 41 Hình 11. HTTP Protocol Inspection 42 Hình 12. File and Print Sharing 43 Hình 13. Check Point Gateway – General Properties 45 Hình 14. Tạo Network Object 46 Hình 15. Cấu hình Office Mode 47 Hình 16. Tạo User 48 Hình 17. Remote Access Community Properties 49 Hình 18. Remote Access Rule 49 Hình 19. Server Address 51 Hình 20. Authentication Method 51 Hình 21. Connectivity Settings 52 Hình 22. Advanced Settings 52 Hình 23. Validate Site 53 Hình 24. Giao diện kết nối SecureClient 53 Hình 25. Tạo Profile 54 Hình 26. Hoạt động của giao thức LDAP 55 8 Hình 27. Entry 55 Hình 28. Kích hoạt Smart Directory 58 Hình 29. LDAP Server Properties 59 Hình 30. Mô hình mạng cũ 61 Hình 31. Mô hình mạng mới 62 Hình 32. Thông tin về hệ điều hành và các gói kích hoạt 64 Hình 33. Cấu hình các cổng của thiết bị 65 Hình 34. Đặt gateway 65 Hình 35. Cấu hình Host Name, SNMP 66 Hình 36. Smartmap 66 Hình 37. General Properties 67 Hình 38. Topology 68 Hình 39. Các luật tường lửa 69 Hình 40. Protection Overview 70 Hình 41. Remote Access 70 Hình 42. Remote Access Community Properties 71 Hình 43. VPN Basic 72 Hình 44. VPN - IKE 72 Hình 45. VPN – IPSEC 73 Hình 46. VPN NAT 73 Hình 47. Tạo Host Node 74 Hình 48. Thẻ General 74 Hình 49. LDAP Server Properties 75 Hình 50. Thẻ Server 75 Hình 51. Thẻ Object Management 76 Hình 52. Hiển thị tài khoản LDAP 76 Hình 53. LDAP Group 77 Hình 54. Luật Remote Access 77 Hình 55. Chọn Visitor Mode 78 9 Hình 56. Màn hình đăng nhập 79 Hình 57. Thiết lập kết nối 79 Hình 58. Xác thực tài khoản 79 Hình 59. Kết nối thành công 80 Hình 60. Kiểm tra địa chỉ 80 Hình 61. Kiểm tra bảng định tuyến 81 Hình 62. SmartView Tracker - Log 82 Hình 63. Record Detail 82 Hình 64. SmartView Tracker – Active 83 Hình 65. SmartView Tracker - Audit 84 Hình 66. SmartView Monitor 85 Hình 67. SmartView Monitor - System 86 Hình 68. SmartView Monitor – Remote User 86 Hình 69. Mô hình logic hệ thống mạng VNUnet…………………………………… 69 Hình 70. Mô hình logic hệ thống mạng CTnet…………………………………… 94 10 [...]... tượng mạng, người dùng và các chính sách Chúng ta sẽ triển khai SmartCenter server và Enforcement module trên thiết bị còn SmartConsole sẽ được triển khai trên các máy chạy HĐH Microsoft Windows Cách triển khai này được gọi là triển khai độc lập Để chạy NGX R62, phải có hệ điều hành Nokia IPSO 3.9, 4.1 hoặc 4.2 ( phiên bản HĐH IPSO có thể xem trong Nokia Network Voyager) Người dùng cũng cần kiểm tra... phát triển ĐHQGHN đạt tầm các đại học tiên tiến trong khu vực châu Á, trong tất cả các phạm vi hoạt động quản lý, nghiên cứu khoa học và đào tạo Để khắc phục các hạn chế của hệ thống mạng hiện tại và đáp ứng mục tiêu phát triển hệ thống mạng VNUnet, đề án phát triển mạng VNUnet đã đưa ra các mục tiêu cần phát triển Hai trong số các mục tiêu đó là: - Có giải pháp quản lý giám sát một cách chuyên nghiệp. .. này, việc nghiên cứu triển khai các công nghệ tiên tiến trên thế giới là một vấn đề vô cùng cần thiết Trong đó công việc quản trị và đảm bảo an toàn, an ninh cho hệ thống mạng VNUnet phải được đặt lên hàng đầu Do đó, khóa luận này có ý nghĩa thực tế rất lớn trong việc phát triển Đại học quốc gia Hà Nội 13 CHƯƠNG 1 GIỚI THIỆU TỔNG QUAN VỀ NOKIA CHECK POINT VÀ HỆ ĐIỀU HÀNH IPSO 1.1 Giải pháp Nokia Check... tại của Trường Kế hoạch chiến lược phát triển của ĐHQGHN là phấn đấu đến năm 2020 trở thành đại học theo định hướng nghiên cứu, đa ngành đa lĩnh vực ngang tầm các đại học tiên tiến trong khu vực Châu Á; một số lĩnh vực và nhiều ngành, chuyên ngành đạt trình độ quốc tế Trong giai đoạn phát triển mới ĐHQGHN đã xác định ưu tiên đầu tư phát triển VNUnet hiện đại, đồng bộ, đi trước một bước, với vai trò... hiện các lệnh sau (ở giao diện dòng lệnh CLI) pint[admin]# clish NokiaIP1220:9> set net-access telnet yes NokiaIP1220:10> save confg NokiaIP1220:11> quit Cũng có thể kích hoạt dịch vụ Telnet dễ dàng bằng cách sử dụng giao diện web Nokia Network Voyager 22 CHƯƠNG 2 CÀI ĐẶT CHECK POINT NGX R62 [6] 2.1 Giới thiệu Sau khi cài đặt IPSO cho Nokia IP1220, thiết bị đã có một nền tảng để chạy tường lửa, VPN... dụng thì Nokia IP1220 là một sự bổ sung rất chính xác và hợp lý 1.2 Tổng quan Nokia Check Point [4] Hệ điều hành dùng trong các sản phẩm Nokia IP có tên gọi là IPSO 14 1.2.1.Hệ điều hành IPSO Hệ điều hành IPSO là lõi của nền tảng Nokia IP Security Nó là một hệ điều hành bảo mật và thu gọn dựa trên nền tảng UNIX có thể chạy hiệu quả trên các thiết bị phần cứng nhỏ hơn IPSO ban đầu là một nhánh của hệ... QUAN VỀ NOKIA CHECK POINT VÀ HỆ ĐIỀU HÀNH IPSO 1.1 Giải pháp Nokia Check Point Hình 1 Nokia IP1220 Platform Nokia IP1220 là một trong một loạt sản phẩm Nokia IP, dòng thiết bị phần cứng chuyên cung cấp các giải pháp mạnh mẽ và chuyên dụng về tường lửa/VPN cũng như tích hợp được rất nhiều tính năng được kỳ vọng khác Nokia IP1220 giống như một tấm lá chắn bảo vệ hệ thống mạng bên trong, ngăn chặn các... viên Hiệu quả khai thác cài tài nguyên, dịch vụ của VNUnet cũng được xác định từ chính những người dùng cuối trong các mạng thành viên Hệ thống mạng hiện tại mới chỉ chủ yếu cung cấp tạm thời các đường truyền theo mô hình mạng phẳng, không phân cấp, không có các giải pháp đảm bảo an ninh và quản trị và chỉ có thể cung cấp một số dịch vụ mạng hiệu quả hạn chế, không thể đáp ứng nhu cầu nghiên cứu, đào tạo... hình IPSO trực tiếp từ CLI, nhưng giống như hầu hết các hệ điều hành mạng khác, người dùng cũng được cung cấp một lựa chọn khác đó là cấu hình qua giao diện web Nokia Network Voyager cho phép cấu hình thiết bị Nokia IP qua trình duyệt web Nokia Network Voyager có thể dùng để cài đặt và theo dõi trong suốt quá trình hoạt động của thiết bị Để thiết lập cấu hình cho IPSO, người dùng có thể truy cập trực... cho tài khoản admin dùng để xác thực khi truy cập vào chế độ CLI hoặc vào giao diện web Nokia Network Voyager Please enter password for user admin: notpassword Please re-enter password for confrmation: notpassword 20 Sau khi cấu hình xong hostname và mật khẩu admin cho thiết bị, người dùng được hỏi là có muốn sử dụng Nokia Network Voyager để cấu hình cho thiết bị hay chỉ sử dụng giao diện dòng lệnh CLI . Phong NGHIÊN CỨU TRIỂN KHAI NOKIA FIREWALL KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Công Nghệ Thông Tin HÀ NỘI - 2009 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Vũ Hồng Phong NGHIÊN CỨU. NGHỆ Vũ Hồng Phong NGHIÊN CỨU TRIỂN KHAI NOKIA FIREWALL KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Công Nghệ Thông Tin Cán bộ hướng dẫn: ThS. Đoàn Minh Phương Cán bộ đồng hướng dẫn: ThS. Nguyễn. không thể đáp ứng nhu cầu nghiên cứu, đào tạo hiện tại của Trường. Kế hoạch chiến lược phát triển của ĐHQGHN là phấn đấu đến năm 2020 trở thành đại học theo định hướng nghiên cứu, đa ngành đa lĩnh

Ngày đăng: 22/08/2014, 16:21

Từ khóa liên quan

Mục lục

  • CHƯƠNG 1. GIỚI THIỆU TỔNG QUAN VỀ NOKIA CHECK POINT VÀ HỆ ĐIỀU HÀNH IPSO

    • 1.1. Giải pháp Nokia Check Point

    • 1.2. Tổng quan Nokia Check Point [4]

      • 1.2.1. Hệ điều hành IPSO

      • 1.2.2. Cài đặt HĐH IPSO và cấu hình ban đầu

        • 1.2.2.1. Boot Manager

        • 1.2.2.2. Cài đặt IPSO

        • 1.2.2.3. Cài đặt ban đầu

  • CHƯƠNG 2. CÀI ĐẶT CHECK POINT NGX R62 [6]

    • 2.1. Giới thiệu

    • 2.2. Cài đặt package

      • 2.2.1. Cài đặt gói wrapper

        • 2.2.1.1. Cài đặt với CLI

        • 2.2.1.2. Cài đặt với Nokia Network Voyager

      • 2.2.2. Cài đặt SmartConsole NGX R62

  • CHƯƠNG 3. THIẾT LẬP CẤU HÌNH TƯỜNG LỬA

    • 3.1. Thiết lập cấu hình ban đầu

    • 3.2. Chính sách tường lửa mặc định

    • 3.3. Thiết lập các luật tường lửa qua SmartDashboard

  • CHƯƠNG 4. THIẾT LẬP CẤU HÌNH NAT

    • 4.1. Ẩn giấu đối tượng mạng

    • 4.2. Cấu hình luật NAT

  • CHƯƠNG 5. CẤU HÌNH SMARTDEFENSE [3]

    • 5.1. Giới thiệu về SmartDefense

    • 5.2. Network Security

      • 5.2.1. Denial of Service

      • 5.2.2. IP and ICMP

      • 5.2.3. TCP

      • 5.2.4. Fingerprint Scrambling

      • 5.2.5. Successive Events

      • 5.2.6. Dynamic Ports

    • 5.3. Application Intelligence

      • 5.3.1. HTTP Worm Catcher

      • 5.3.2. Cross-Site Scripting

      • 5.3.3. HTTP Protocol Inspection

      • 5.3.4. File and Print Sharing Worm Catcher

  • CHƯƠNG 6. THIẾT LẬP CẤU HÌNH VPN

    • 6.1. Tổng quan về VPN

    • 6.2. Giải pháp VPN Check Point cho truy cập từ xa

      • 6.2.1. Cấu hình Office Mode sử dụng IP Pool

      • 6.2.2. Truy cập VPN từ xa sử dụng SecuRemote/SecureClient

  • CHƯƠNG 7. CẤU HÌNH VPN TÍCH HỢP LDAP

    • 7.1. Giới thiệu sơ lược về LDAP

    • 7.2. Cấu hình VPN tích hợp LDAP [6]

      • 7.2.1. Cấu hình máy chủ LDAP

      • 7.2.2. Cài đặt và cấu hình VPN-1

        • 7.2.2.1. Kích hoạt SmartDirectory trong Global Properties

        • 7.2.2.2. Tạo một host object cho OpenLDAP server

        • 7.2.2.3. Tạo một LDAP Account Unit

        • 7.2.2.4. Tạo LDAP group

  • CHƯƠNG 8. TRIỂN KHAI THỰC TẾ

    • 8.1. Phân tích và giải pháp

    • 8.2. Cài đặt

      • 8.2.1. Lắp đặt và cài đặt ban dầu

      • 8.2.2. Thiết lập cấu hình

    • 8.3. Giám sát và quản lý

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan