Đang tải... (xem toàn văn)
báo cáo Internet gateway với firewall open sources
MỤC LỤC Internet Gateway với Firewall Open Sources Trang 1 CHƯƠNG 1. TỔNG QUAN 1.1. Tổng quan tường lửa !"#$%!& '&( ) *+"& ,#!-#! .&/001234& & +5,+6$#)124 ".!7! )*+ &#!8/005*+!#$#19 ! & (':-;&<& *+"6& ($#(=')*+ >?@9A1@BC$#$#D4( E',)!=& +F+)*+"D4 .+F+G & H+ $I1 #$++J=)( )*+".! )*+ +++. K.8$-!#$#$-"&E J=',&#!':-4&"L '"L)&%DE1MH+ C"&%J3.+ N5*+>/OPAC$1@Q J==<&#)5)&& 'RS).+F+&!<&#: &Q1 2!&#.!"6!T :U • $V0$$%1 • !'%U+N)"'%+#1 Internet Gateway với Firewall Open Sources 2 • )&WHS1 • 9X.1 D#+Y#++$*W1ZG #4TC$*& *+!# C"&T)!Y.!4$%H. +$%4:.1[$.C .SB +TG&$W +#$%H1 @4$.!C$U>P+0A\0]0"@^900" ?++^900P0_`)0/+01@34T &!$L$Q += TC!#++')H1 1.1.1. Stac packet-ltering rewall \0^a0( )*+$Q 0'0Y41";&(7 ':.-G/\E"/\&;"W'%1 '!)H+CN:'R )4N&%& 4&8$-)$- !-"'b&'c'$%8G4!1 P+0a0& N0I&." !&#IG+d>G+`!AYSeP/12434& $%&%)=N0#01 Internet Gateway với Firewall Open Sources 3 Hình 1: Packet-filter trong mô hình OSI 1.1.2. Applicaon-level rewal `#IG+f'6& (+N)1\N) #$#);F+48#! &#!gF+)&E7&W&%D E&%D&;&$T!-=! Y.1G+f'7( !':-'%/00'R&)=*', 1`#+N)00&*+'%L' #)&Ch"!&5)47+5;4',1 i48$-&W)"B& & &N&%;4+F+4)&! #$#)1 9!)I&HY!SX4 &&+& &&N&%G +F+&!#$#1G+L'& N0 L"B!&#!G+L'>G+jA YSeP/1 Hình 2: Tường lửa lớp ứng dụng 1.1.3. Circuit-level rewall Internet Gateway với Firewall Open Sources 4 @^00'R&I!+-., 'R*)1@B!&#!G+\->G+kAYSeP/1 Pe@iP>Pe@i0P@\V/\A'!^00 & +'H1^006& $& +N)".':-"L+# 'Y !1@B+F+=8.)+ 4':-C4& I&>&%DEV&;" .+EV&;A1^003& N0 LYSC!&#.G G+L' Hình 3: Circuit-level firewall 1.1.4. Stateful inspecon rewall !&!=$. !1lQE&%D&;"' L'"E.".,4! 4GYR#01!4 H+#+!)*+#'R! m)T"Y�'nJ=': !&#+F+1! !&#CGLf'"& N0 Internet Gateway với Firewall Open Sources 5 L$"!&#IG+`!G+o* >G+dpAYSeP/1 Hình 4:Stateful inspection firewall 1.2. Các mô hình triển khai tường lửa @4$'!B& U#G+" G+"$G+>6& (TG+A1iB #G+& .#0&/00>=, R!A1`S#G+, ;J=#HC$"B) :& C$*.1 iBG+'#4$0q 0_0I-"+F+*+-#RO`r= sN0&+G!$-1O`r& '&= ,.)Y'R$-4 )*+1 `#B$G+YT!, !#$#/00J$I1`X 4)K(-=C&!)T)*+$H +.!',!)1`!R & #RO`r19G+!L4 #G+!)+Q+; Internet Gateway với Firewall Open Sources 6 J+L!+0)-Y)Y!RO`r>;'U '$0"q0$00tA1`!L$=$^0'4X !#$#1iB)H")-L&# +L!+CGB6!1 Hình 5: Mô hình tường lửa một lớp Hình 6: Two-tier Hình 7: Three-tier 1.3. Tổng quan pfSense \_P00#':EI':-T&T ]00lPO& '#=#$%&% )1@l00Pu*+': vvqJwvvp1)-!&wvvp"+=+ H&T4J<EY(C;.G ++; ++L>$%'xp`ly?`A1 \_P00G:+0&<X #<T +L& :&44+G8#&# '<EIG1@RGLJ !7"5G'R-+_P00& #&E '#<'+8z1\_P00 )-HS+LH+-+R +; + Internet Gateway với Firewall Open Sources 7 $%; +QJ;&# HS*1 \-$+_P00!& $.w1{"*++ ;JX !/\x1 1.4. Một số phương pháp triển khai thực tế ZG;J!"+_P00& 'T &;-:1oH+CG ,$%R!"X ,;JC$5 Z\2"lo\"|00"5$Q"}Pt @LJ& '$EU • UG;JN4@\V/\!7" -+_P00& 'R#Q( ,. +++&#+5R! D&%1 • $%&%)!|?2V9?2U&46# 0"+_P00X LJ&%) \\s"lo\t+R +'+G H+&-0RL J1!9?2"+_P00X L~vw1{+F+5-•*4! &%+5R!#$#1\_P004 X $Jdo$+=NCkvv1vvv4 V5)"S*)+_P004')# $%qG+d>)-4-'!A1 • |00?0\1 • `)YZ\2VO2PVOM@\VP€0U+_P00& ; +-<EI)O2P >+UVV)'1A"+'+>+UVVqqq1+'+1VA Q+G6)YO2P=)Y €0>*+4+5;A1 Internet Gateway với Firewall Open Sources 8 1.5. Các nền tảng phần cứng hỗ trợ 90@OU5-%.4'+_P00$Q I&#<E+_P00':+-@O= uPl1)-"+C++)& )' '#.;J7&E% )*+: 1 @&=$%4B);>+0$0''00AU &5)+C++& )'1\_P00& &=-$%);7X &)&Y;J &<; +1)-"5-%B+_P00 X I&#TT&T>`^$A"S *)$&Q$%,>MOO"PPOA4$%N4 KS&=1 ; +>0$0''0'AU+_P00& &=-h@]4& '$%+L; +1)-'! T,"-'-HS '$#Gy?`.&,$* S*1 Internet Gateway với Firewall Open Sources 9 CHƯƠNG 2. TRIỂN KHAI HỆ THỐNG PFSENSE TRONG MÔI TRƯỜNG MẠNG DOANH NGHIỆP 2.1. Sơ đồ triển khai cơ bản Hình 8: Sơ đồ hệ thống {•w1{x~1v1v Vwp Z20v >?$'A \5R !. /00 {jw1{x1{v1v Vwp Z20~>M^ )A \5R&= )Y q0$1 ! {v1v1v1vVwp Z20{>M^ )A \5R !#$#1 2.2. Cài đặt pfSense :@O&=\_00!q0$0qqq1+_00112 'R4'q'+-$&=+R +G :!Oq'1M!+_P00&<X T Internet Gateway với Firewall Open Sources 10 [...]... Upload/Download Internet Gateway với Firewall Open Sources 25 Hình 41: Cấu hình QoS dịch vụ VoIP Asterisk Hình 42: Cấu hình QoS dịch vụ P2P Internet Gateway với Firewall Open Sources 26 Hình 43: Cấu hình QoS dịch vụ Game (layer 7) Hình 44: Cấu hình QoS dịch vụ mạng khác Quản trị viên hệ thống cần tinh chỉnh độ ưu tiên các dịch vụ mạng tại phần này nhằm đảm bảo vẫn có thể kết nối đến các máy chủ Internet Gateway với. .. DNS tại phía người dùng Hình 16: Cung cấp Default gateway Sau khi cấu hình hoàn thành, tại phía client thực hiện yêu cầu server cấp IP và kiểm tra đường truyền Internet Gateway với Firewall Open Sources 13 Hình 17: Client đã được cấp IP từ pfSense Hình 18: Kiểm tra kết nối mạng LAN Hình 19: Kiểm tra kết nối Internet Internet Gateway với Firewall Open Sources 14 Hình 20: Trạng thái cấp phát IP tại pfSense... kết nối Internet Để thực hiện phần cấu hình này, truy cập System > Routing > chọn thẻ Gateways Trong phần này pfSense đã tự động tạo các Gateway mặc định cho hệ thống, ta có thể tùy chỉnh lại các gateway này cho phù hợp với hệ thống mà ta đang quản lý Chuyển sang thẻ Groups để tạo nhóm các Gateways Internet Gateway với Firewall Open Sources 35 Hình 58: Cấu hình nhóm các gateway Hình 59: Nhóm các gateway. .. tại menu Services > Proxy filter Hình 51: Bật tính năng filter Internet Gateway với Firewall Open Sources 30 Hình 52: Bật tính năng ghi log Hình 53: Cho phép SquidGuard cập nhật các mẫu website từ máy chủ www.shallalist.de Sau khi Save, chuyển sang thẻ Blacklist thực hiện download và cập nhập các rule Internet Gateway với Firewall Open Sources 31 Hình 54: Tiến trình cập nhật blacklists Tại thẻ Common... được cài đặt Truy cập Service > Proxy server: General Settings Internet Gateway với Firewall Open Sources 28 Hình 47: Chỉ định phân vùng mạng Squid thực hiện Cache Hình 48: Tinh chỉnh dung lượng dữ liệu cho phép cache Hình 49: Tinh chỉnh dung lượng Cache cho phép Maximum object size = 1024 x 1024 = 1048576 kB Internet Gateway với Firewall Open Sources 29 Hình 50: Bảng thống kê Squid log (package lightsquid)... truy cập máy chủ web trong vùng DMZ Hình 26: NAT Webserver1 - DMZ Internet Gateway với Firewall Open Sources 17 Hình 27: Truy cập máy chủ web từ Public IP 2.4.2.2 Reflection 1:1 Cấu hình NAT reflection 1:1 được dùng ánh xạ 1 địa chỉ IP public thành 1 IP private Hình 28: Cấu hình NAT Reflection 1:1 Internet Gateway với Firewall Open Sources 18 2.4.2.3 Outbound Khi sử dụng cấu hình mặc định trong mục NAT... public với mục đích cho phép các máy tính trong mạng nội bộ có thể kết nối Internet Inbound NAT dùng chuyển đổi IP từ bên ngoài vào các máy tính nội bộ Internet Gateway với Firewall Open Sources 16 2.4.2.1 Port Forward Tại menu tường lửa > NAT > chọn thẻ Port Forward, thực hiện tạo mới một rule NAT cho phép các máy tính từ Internet truy cập máy chủ web trong vùng DMZ Hình 26: NAT Webserver1 - DMZ Internet. .. đặt với mục đích cải thiện chất lượng của máy chủ pfSense 2.8.1 Cân bằng tải multi-WAN Internet Gateway với Firewall Open Sources 34 Hình 57: Sơ đồ mạng có 2 kết nối WAN Vùng mạng IP/SUBNET VMware NIC WAN 1 192.168.0.0/2 4 VmNet0 (Auto bridging) WAN 2 192.168.116.0 /24 VmNet8 (NAT) Internal (LAN) 10.0.0.0/24 VmNet1 (Hostonly) Mô tả Phân vùng mạng kết nối Internet (ISP 1) Phân vùng mạng kết nối Internet. .. Sau khi đã đăng nhập thành công, pfSense sẽ yêu cầu cấu hình một số thông tin cơ bản phù hợp với hệ thống mạng sử dụng Internet Gateway với Firewall Open Sources 11 Hình 10: Cấu hình thông tin IP Tại mục cấu hình IP cho card mạng kết nối với hệ thống WAN, quản trị viên cần cấu hình chính xác thông tin kết nối với hệ thống WAN do nhà cung cấp dịch vụ (ISP) đã cung cấp PfSense hỗ trợ các dạng cấu hình... sách mạng dựa trên mô hình TCP/IP Theo cấu hình mặc định của pfSense, các rule cho phép các vùng mạng kết nối với nhau, tuy nhiên việc này không thường gặp trong thực tế do các yêu Internet Gateway với Firewall Open Sources 19 cầu bảo mật, nhân viên quản trị mạng cần tùy biến các rule cho phù hợp với các chính sách truy cập mạng của doanh nghiệp Hình 30: Rule mặc định được cấu hình tại card WAN Chú ý: . N0 Internet Gateway với Firewall Open Sources 5 L$"!&#IG+`!G+o* >G+dpAYSeP/1 Hình 4:Stateful inspection firewall 1.2 16: Cung cấp Default gateway PHS"!+;0:)-00 H+/&)T1 Internet Gateway với Firewall Open Sources 13 Hình 17:. IP từ pfSense Hình 18: Kiểm tra kết nối mạng LAN Hình 19: Kiểm tra kết nối Internet Internet Gateway với Firewall Open Sources 14 Hình 20: Trạng thái cấp phát IP tại pfSense 2.4. Cấu hình tường