Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 68 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
68
Dung lượng
2,16 MB
Nội dung
MỞ ĐẦU Với bùng nổ ngày mạnh mẽ mạng Internet, quốc gia, tổ chức, công ty tất người dường xích lại gần Họ đã, muốn hòa nhập vào mạng Internet để thỏa mãn "cơn khát thông tin" nhân loại Internet hệ thống mạng mở nên chịu công từ nhiều phía kể vô tình hữu ý Các nội dung thông tin lưu trữ lưu truyền mạng đối tượng công Nguy mạng bị công người sử dụng truy nhập từ xa Do thông tin xác thực người sử dụng mật khẩu, bí danh phải truyền mạng Những kẻ xâm nhập tìm cách giành thông tin từ xa truy nhập vào hệ thống Càng truy nhập với tư cách người dùng có quyền điều hành cao khả phá hoại lớn Nhiệm vụ bảo mật bảo vệ mà nặng nề khó đoán định trước Do đó, song song với việc phát triển khai thác dịch vụ Internet, cần nghiên cứu giải vấn đề đảm bảo an ninh mạng an ninh tổ chức Nhận yêu cầu cấp bách đó, thời gian làm đồ án tốt nghiệp, em tìm hiểu tường lửa, đặc biệt quan tâm đến giải pháp an toàn mạng hệ thống tường lửa Đồ án “xây dựng chương trình mô Công nghệ tường lửa Static packet filtering” bao gồm nội dung sau: Chương I: Giới thiệu tường lửa Chương II: Thiết kế hệ thống mạng sử dụng công nghệ tường lửa Static packet filtering Chương III: Thiết kế hệ thống mạng sử dụng công nghệ tường lửa Static packet filtering cho Khoa Công Nghệ Thông Tin Trang MỤC LỤC MỤC LỤC CHƯƠNG 1: GIỚI THIỆU VỀ BỨC TƯỜNG LỬA 1.1 Tổng quan tường lửa 1.1.1 Định nghĩa tường lửa(Firewall) 1.1.2 Khả bảo vệ tường lửa 1.2 Khảo sát tổng quan mô hình OSI 1.3 Bức tường lửa mô hình OSI .10 1.4 Các loại tường lửa 11 1.5 Bức tường lửa lọc gói tin 12 1.5.1 Hành động lọc gói tin 12 1.5.2 Thông tin lọc 13 1.5.3 Những ưu điểm tường lửa lọc gói tin 16 1.5.4 Hạn chế tường lửa lọc gói tin .17 1.5.5 Những vấn đề với tường lửa lọc gói tin .19 1.6 Thiết kế tường lửa 25 1.6.1 Phát triển sách an ninh 26 1.6.2 Giải pháp thiết kế đơn giản 26 1.6.3 Sử dụng thiết bị .27 1.6.4 Tạo tầng phòng thủ 28 1.6.4.1 Đối phó với mối đe dọa nội 29 1.6.4.2 DMZ .29 1.6.4.3 Các loại DMZ 32 1.7 Hệ thống Packet Filtering .37 1.7.1 Giới thiệu Packet Filtering 37 1.7.2 Những chức Packet Filtering Router 38 1.7.3 Ưu, nhược điểm hệ thống Packet Filtering 40 1.7.4 Nguyên tắc hoạt động hệ thống Packet Filtering 42 1.7.4.1 Lọc Packet dựa địa (address) 43 1.7.4.2 Lọc Packet dựa số cổng (port) 46 1.8 Giới thiệu công nghệ tường lửa Static packet filtering 47 1.9 Bức tường lửa lọc gói tin tĩnh (Static Packet – Filtering Firewalls) 51 Trang CHƯƠNG 53 THIẾT KẾ MỘT HỆ THỐNG MẠNG SỬ DỤNG CÔNG NGHỆ TƯỜNG LỬA LỌC GÓI TIN TĨNH (STATIC PACKET FILTERING) .53 2.1 Thiết kế hệ thống lọc gói tĩnh định tuyến Cisco 53 2.2 Triển khai Lọc gói tin tĩnh tường lửa cá nhân 55 2.2.1 Đặc điểm: 55 2.2.2 Ưu , nhược điểm giải pháp .59 CHƯƠNG 60 THIẾT KẾ MẠNG AN TOÀN DÙNG CÔNG NGHỆ TƯỜNG LỬA LỌC GÓI TIN TĨNH CHO KHOA CÔNG NGHỆ THÔNG TIN 60 3.1 Khảo sát trạng hệ thống mạng Khoa Công Nghệ Thông Tin 60 3.2 Đánh giá hiệu năng, nguy an toàn hệ thống 61 3.2.1 Hiệu hệ thống 61 3.2.2 Nguy an toàn hệ thống 61 3.3 Thiết kế hệ thống mạng Khoa với công nghệ tường lửa static packet filtering 62 3.3.1 Sơ đồ thiết kế 62 3.3.2 Cấp phát địa .64 3.3.3 Cấu hình mô hệ thống bảo vệ công nghệ tường lửa Static packet filtering 65 KẾT LUẬN 67 TÀI LIỆU THAM KHẢO .68 Trang CHƯƠNG 1: GIỚI THIỆU VỀ BỨC TƯỜNG LỬA Trong chương bao gồm tường lửa mục đích chúng Như bạn thấy, có nhiều định nghĩa nhiều loại tường lửa; điều làm cho khó khăn để đặt định nghĩa xác cho chúng để đặt chúng vào thể loại cụ thể Một điều làm thảo luận tường lửa làm để hoạt động Tôi thảo luận số nguyên tắc tổng quát thiết kế sản phẩm việc sử dụng tường lửa để bảo vệ sở hạ tầng mạng bạn Các chủ đề thảo luận chương này: • Tổng quan tường lửa • Kiểm soát lưu thông tài liệu tham khảo mô hình OSI • Chuyên mục tường lửa 1.1 Tổng quan tường lửa Công nghệ tường lửa có thay đổi đáng kể từ tham gia vào thị trường đầu năm 1990 Những tường lửa có thiết bị lọc gói tin đơn giản Trải qua ngày, tường lửa trở nên phức tạp nhiều tính lọc, thêm vào khả lọc trạng thái, mạng riêng ảo (VPNs), hệ thống phát đột nhập(ID), định tuyến đa chiều từ xa, kết nối xác thực, dịch vụ giao thức cấu hình host động (DHCP), nhiều thứ khác Một xu ảnh hưởng lớn, bên cạnh việc nhà cung cấp cạnh tranh, bùng nổ việc sử dụng mạng Internet vào đến cuối năm 1990 Sự phát triển lớn mang lại nhiều dịch vụ có lợi cho cá nhân công ty, mang đến cho thân chúng vấn đề, bao gồm hacking, break-ins, loại hoạt động không ưa Do vấn đề việc cần phải bảo vệ tài sản công ty, tường lửa trở thành công nghệ cho doanh nghiệp, không công ty, mà doanh nghiệp nhỏ máy tính cá nhân có truy cập mạng Internet Như bạn thấy chương này, nhiều thành phần tạo thành giải pháp tường lửa(trong tự nhiên), thiết bị lọc phần quan trọng giải pháp Thông thường, tường lửa coi tầng phòng thủ bạn việc bảo vệ bảo vệ tài sản công ty hay cá nhân Tuy nhiên, giải pháp tường Trang lửa hoàn chỉnh bao gồm nhiều thành phần sử dụng để bảo vệ vành đai mạng bạn, mà sở hạ tầng mạng nội bạn 1.1.1 Định nghĩa tường lửa(Firewall) Con người sử dụng nhiều mô tả xác định tường lửa Đầu tiên phải sử dụng không nói mạng lưới an ninh, với việc kiểm soát hoạt động cháy thực tế Một tường lửa phương pháp xây dựng tường để chữa cháy thực tế phá vỡ ra, kiểm soát cách dễ dàng vòng phần tòa nhà thay lây lan đến phận khác Tất nhiên, nói chuyện an ninh mạng, thuật ngữ firewall có nhiều nghĩa khác nhau, thực chất nguồn gốc tiến hành dựa trên: Nó sử dụng để bảo vệ mạng bạn từ người cố tình làm hại ngăn chặn hành động trái phép họ điểm xác định ranh giới Về bản, tường lửa thiết bị hệ thống kiểm soát lưu lượng giao thông vùng khác mạng bạn Một vài thông báo quan việc đinh nghĩa này: Các định nghĩa bao gồm nhiều thiết bị Trong đơn giản, thiết kế mạng lưới nhỏ, chẳng hạn văn phòng nhỏ / môi trường nhà (SOHO), điều thường thực với thiết bị mạng Ví dụ, sử dụng định tuyến không dây Linksys nhà để bảo vệ mạng nhà Trong mạng doanh nghiệp, hệ thống tường lửa bao gồm nhiều thành phần, chẳng hạn tường lửa vành đai, tường lửa trạng thái, VPNs, giải pháp ID, thứ khác Nhiều người cho tường lửa sử dụng để bảo vệ tài sản từ bên đe dọa, chẳng hạn từ mạng Internet, nơi mà giao thức sử dụng TCP / IP Tuy nhiên, hầu hết mạng lưới độc hại mối đe dọa công xảy ra, đầy đủ hấp dẫn, mà nằm bên mạng lưới bạn, nhiều trường hợp, chúng xuất phát từ vài nhân viên riêng công ty Nhiều nghiên cứu phát thấy 60 – 70% công từ mạng nội bộ, bên Có nhiều tài liệu giao thức mạng nội bộ, chẳng hạn TCP / IP, IPX, AppleTalk, SNA, NetBIOS, giao thức khác Một giải pháp tường lửa phải có khả đối phó với hai, không nội bên bên đe dọa, có nhiều giao thức Trang LƯU Ý Tôi muốn khảo sát giải pháp tường lửa hệ thống tường lửa hệ thống thường sử dụng nhiều hơn, có công nghệ hay nhiều thiết bị để thực giải pháp tường lửa bạn Hệ thống tường lửa sử dụng để kiểm soát quyền truy cập vào nguồn tài nguyên Một hệ thống tường lửa chứa hệ thống máy, giải pháp bạn liên quan đến nhiều thiết bị khác Chọn hệ thống tường lửa quan trọng việc phát triển mạng lưới an toàn 1.1.2 Khả bảo vệ tường lửa Hệ thống tường lửa thực nhiều chức cung cấp nhiều giải pháp Tuy nhiên, mục đích để kiểm soát quyền truy cập vào nguồn tài nguyên Bạn sử dụng nhiều phương pháp để thực nhiệm vụ Ví dụ, bạn bảo đảm hoạt động cho tất máy chủ máy tính cá nhân với hệ thống tường lửa tất chúng cập nhật ngày, việc bị vô hiệu hoá dịch vụ không cần thiết, sử dụng hình thức xác thực mạnh mẽ cho phép truy cập sử dụng nguồn tài nguyên, có phần mềm bảo mật cài đặt chúng, hiển thị Hình 1-1 Trong ví dụ này, phần mềm tường lửa cài đặt máy PC máy phục vụ tập tin, cấu hình phép số loại lưu lượng truy cập để vào rời khỏi máy tính Điều làm việc văn phòng nhỏ với thao tác mà bảo đảm Trong ví dụ này, thiết bị cần chia sẻ tập tin in ấn, truy cập mạng Internet tốt nhất, việc thiết lập sách bảo mật thiết bị đơn giản Trang Hình 1-1 Bảo vệ cho thiết bị mạng Trong mạng lưới với hàng chục ngàn thiết bị, điều trở thành vấn đề khó giải quyết: "rất khó khăn để quản lý tất thiết bị để đảm bảo chúng bảo đảm Bên cạnh việc dịch vụ cung cấp in tập tin chia sẻ các, bạn muốn thực mức độ khác truy cập mạng Internet cho nhóm khác người sử dụng, bạn cần phải bảo vệ số nguồn liệu nội dựa thành viên nhóm người sử dụng, bạn cho phép số loại lưu lượng truy cập từ mạng Internet vào mạng nội bạn Một phương pháp tiếp cận nhiều mở rộng để tập trung giải pháp bảo mật bạn, hiển thị Hình 1-2 Tôi sử dụng ví dụ Hình 1-1, thay sử dụng giải pháp tường lửa mỗi thiết bị nội bộ, đặt định tuyến vành đai Trong ví dụ này, giải pháp tường lửa thực thiết bị, trở nên dễ dàng nhiều việc sách quản lý an ninh việc triển khai thực hệ thống mạng Với thiết bị, dễ dàng để hạn chế lưu lượng truy cập vào khỏi mạng: Bạn thiết lập sách thay lần tất thiết bị nội Điều làm giảm tổng chi phí giải pháp Trang Hình 1-2 Bảo vệ tất thiết bị mạng Đây để nói bạn cần phải sử dụng cần hai giải pháp Tuy nhiên, bắt đầu làm cho bạn suy nghĩ vấn đề thiết kế loại truy cập mà bạn cần tới địa Bạn phải cân an ninh, tính năng, chi phí thiết kế bạn Ví dụ, bạn cần phải quan tâm mối đe dọa đến nguồn lực nội bộ, đó, số nội nguồn tài nguyên quan trọng bạn thực giải pháp tường lửa Tôi thảo luận vấn đề thiết kế nhiều chiều sâu "sắp xếp thành phần" phần Kiểm tra, kiểm soát lưu lượng khảo sát mô hình OSI Trước bắt đầu thảo luận chuyên mục tường lửa chức chúng, cần số bao bọc hoạt động tường lửa: tường lửa đối phó với lưu lượng truy cập Một nơi tốt để bắt đầu để xem xét kết nối hệ thống mở (OSI) tham khảo mô hình phát triển theo tiêu chuẩn Tổ chức Quốc tế (theo tiêu chuẩn ISO) Tiêu chuẩn ISO tiêu chuẩn người mà xác định tiêu chuẩn thuộc vào khả làm được, bao gồm tiêu chuẩn mạng Sử dụng mô hình tham chiếu OSI giúp bạn hiểu trình lưu thông tường lửa Nhiều chuyên mục khác giải pháp tường lửa xuất hiện; với chức khác Điều đặc biệt với tường lửa cho lọc lưu lượng truy cập Trang 1.2 Khảo sát tổng quan mô hình OSI ISO phát triển mô hình OSI mô tả để giao tiếp với thiết bị liên lạc với Mô hình phát triển để giúp đỡ người hướng dẫn việc xử lý thông tin liên lạc, đơn giản hóa việc xử lý cố công việc, thành phần liên quan đến vi phạm vào modular cấu trúc, dễ dàng phát triển việc triển khai thực nhiệm vụ cho nhà cung cấp Các tài liệu khảo sát mô hình OSI chia trình giao tiếp thành tầng, hiển thị Hình 1-3 Nó xác định trình chung diễn người dùng ngồi loại bàn phím nhập thông tin, làm để vận chuyển toàn mạng xử lý thiết bị đích Hình 1-3 Mô hình OSI Bảng 1-1 cho thấy tầng mô tả chúng Khi nói giao thức mô hình tham chiếu OSI, tất giao thức sử dụng ngày hôm có bảy lớp Các tài liệu khảo sát mô hình OSI rằng: tổng quát mô hình sử dụng để mô tả tương tác tầng Ví dụ, TCP / IP, chức tầng ứng dụng, tầng trình diễn, tầng phiên nhóm lại vào tầng chung, gọi tầng ứng dụng Các tầng giao vận, tầng mạng, tầng liên kết liệu tầng vật lý sử dụng để xử lý máy móc việc truyền tải liệu thiết bị Trang Table 1-1 Mô hình OSI Tầng Tên Mô tả Ứng dụng xử lý lệnh trực tuyến giao diện đồ họa người dùng(GUI hay CLI) mà cá nhân sử dụng để tương tác với thiết bị mạng Trình diễn cách xác định loại liệu nào, chẳng hạn văn bản, hình ảnh, âm thanh, phim ảnh, trình bày cá nhân người giám sát Phiên Cài đặt lên, theo dõi, giám sát, chỗ hỏng thiết bị kết nối mạng Giao vận Cung cấp cách đáng tin cậy hay không tin cậy chế phân phối cho kết nối, tùy chọn kiểm soát dòng chảy tốt Mạng định nghĩa kiến trúc logic cho mạng lưới thông qua việc sử dụng lược đồ địa hợp lý, chẳng hạn IP IPX Liên kết định nghĩa thiết bị cụ thể loại liệu phương tiện, chẳng hạn Ethernet, giao tiếp với nhau, địa phần cứng, chẳng hạn địa MAC Vật lý xác định đặc điểm vật lý đặc tính sử dụng để truyền liệu phương tiên truyền tin vật lý, phương tiện truyền thông, ví dụ đồng, chất xơ, không khí 1.3 Bức tường lửa mô hình OSI Như hiển thị Hình 1-4, hệ thống tường lửa hoạt động năm bảy tầng mô hình mạng OSI Tuy nhiên, hầu hết hệ thống tường lửa hoạt động có bốn tầng: liên kết liệu, mạng, giao vận, và, tầng ứng dụng Cơ dựa đơn giản hay phức tạp ảnh hưởng tường lửa giải pháp, số lượng tầng bảo hộ thay đổi Ví dụ, tiêu Trang 10 - Khi bạn kiểm tra sách an ninh mạng hiển thị Hình 10 - 8, bạn thấy ACL 101 cho phép tất người dùng từ bên bên dịch vụ Internet - Trong trường hợp này, tất kết nối gửi thư chấp nhận Bộ định tuyến chúng tôi, định cấu hình, kiểm tra gói đến từ Internet (chính sách an ninh ACL 102) Như bạn nhìn thấy, ACL 101 cho phép hệ thống tên miền (DNS), thư tín, dịch vụ FTP, trả lại lưu lượng yêu cầu truy cập từ bên trong, ACL 102 từ chối quyền truy cập vào tất dịch vụ khác Mô định tuyến phần mềm Packet tracer Hiển thị hình kết thu Hình 2-2: Mô Static Packet Filtering Using a Cisco Router Kết cấu hình định tuyến ACL sau: Cấu hình Router định tuyến với thiết bị mạng: Router(config)#interface Serial0/0 Router(config-if)#clock rate 64000 Router(config-if)#exit Router(config)#exit Router# Trang 54 Cấu hình định tuyến cho router lọc gói tin đến máy server có địa 192.168.0.50 máy server khác kết nối Router(config)#access-list 99 deny 192.168.0.50 0.0.255.0 Router(config)#access-list 99 permit any Router(config)#interface f0/0 Router(config-if)#ip access-group 99 in 2.2 Triển khai Lọc gói tin tĩnh tường lửa cá nhân Khi tiến hành triển khai lọc gói tin tường lửa cá nhân, thường có danh sách luật sử dụng để kiểm tra xử lý gói Đầu tiên, tập luật ngõ vào, xử lý lưu thông đến card giao tiếp mạng + Nếu gói cho phép luật ngõ vào, gói định tuyến cần thiết + Nếu gói dự định cho host khác, gói so sánh dựa vào luật giai đoạn chuyển tiếp + Nếu gói chuyển qua bước này, chuyển đến mắc xích ngõ cho trình ước lượng dựa vào luật trước truyền 2.2.1 Đặc điểm: Tường lửa lọc gói tin tĩnh kiểm tra gói dựa vào tập luật Nếu luật cho phép kiểu gói chuyển qua, ngược lại gói bị hủy không chấp nhận tùy theo đặc tả luật Một lọc gói tin phải thiết lập luật cho kiểu kết nối Trong lọc gói tin tĩnh, ta phải bảo đảm cho phép lưu thông vào kiểu lưu thông phép Tường lửa lọc gói tin hoạt động tầng mô hình OSI Chức thiết kế để cung cấp điều khiển truy cập mạng dựa vào số thông tin chứa gói mạng Các thông tin gồm có: - IP nguồn gói: địa tầng hệ thống máy tính hay thiết bị mạng mà từ gói xuất phát - IP đích gói: địa tầng hệ thống máy tính mà gói có ý định gửi tới Trang 55 - Kiểu lưu thông: giao thức mạng xác định sử dụng để truyền thông hệ thống nguồn hệ thống đích Các tường lửa lọc gói tin thường triển khai theo kiến trúc mạng TCP/IP; nhiên, chúng triển khai theo kiến trúc mạng có dựa địa tầng Các tường lửa lọc gói tin router lọc lưu thông mạng dựa vào đặc trưng đó, ví dụ giao thức tầng gói ICMP Hình 2-3: Mô tả lọc gói tin tĩnh tường lửa cá nhân thiết bị định tuyến Cisco Các tường lửa lọc gói tin tĩnh mạnh chính: tốc độ khả linh hoạt Vì tường lửa lọc gói tin thường không kiểm tra liệu bên tầng mô hình OSI, nên hoạt động nhanh Trang 56 Mô định tuyến phần mềm packet tracer Cấu hình Router định tuyến với thiết bị mạng: Router(config)#interface Serial0/0 Router(config-if)#clock rate 64000 Router(config-if)#exit Router(config)#exit Router# Thực bảng quy tắc lọc gói tin sau: Static Packet Filtering Rules Allow internal: any Any: 80 tcp Allow internal: any Any: 53 udp Allow internal: any Mailserver:25 tcp Allow any: 80 Internal:1024-65535 Allow any:53 Internal:1024-65535 Allow mailserver: 25 Internal: 1024-65535 Deny any:any Any: any any Bảng 2-1: Quy tắc lọc gói tin (Stactic packet filtering) Allow internal: any -> any:80 tcp Router(config)#access-list 101 permit tcp 10.1.1.0 255.0.0.0 10.1.1.1 255.0.0.0 eq 80 Router(config)#access-list 101 permit tcp 10.1.1.0 255.0.0.0 10.1.1.3 255.0.0.0 eq 80 Trang 57 Router(config)#access-list 101 permit tcp 10.1.1.0 255.0.0.0 10.1.1.2 255.0.0.0 eq 80 Router(config)# Hoặc: Router(config)#access-list 101 permit tcp 10.1.1.0 255.0.0.0 any eq 80 Router(config)# Allow internal: any -> any:53 udp Router(config)#access-list 101 permit udp 10.1.1.0 255.0.0.0 any eq 53 Router(config)# Allow internal: any -> mailserver: 25 tcp Router(config)#access-list 101 permit tcp 10.1.1.0 255.0.0.0 any eq 25 Router(config)# Allow any: 80-> Internal:1024-65535 Router(config)#access-list 101 permit tcp any eq 80 any range 1024 65535 Router(config)# Allow any: 53-> Internal:1024-65535 Router(config)#access-list 101 permit udp any eq 53 any range 1024 65535 Router(config)# Allow mailserver: 25-> Internal:1024-65535 Router(config)#access-list 101 permit tcp any eq 25 any range 1024 65535 Router(config)# Deny any:any-> Any: any any Router(config)#access-list 101 deny ip any any Router(config)# Trang 58 2.2.2 Ưu , nhược điểm giải pháp Ưu điểm: - Bộ lọc gói tĩnh tốn thời gian cho việc xử lý gói làm việc lớp mạng mô hình OSI - Lọc gói tin tĩnh suốt người sử dụng - Lọc gói tin tĩnh linh hoạt – cho phép nhiều mức điều khiển người sử dụng Nhược điểm: - Các tập luật phức tạp – gói ta cần thiết lặp luật phép lưu thông trả - Không chống giả mạo địa - Không chống công từ chối dịch vụ Trang 59 CHƯƠNG THIẾT KẾ MẠNG AN TOÀN DÙNG CÔNG NGHỆ TƯỜNG LỬA LỌC GÓI TIN TĨNH CHO KHOA CÔNG NGHỆ THÔNG TIN 3.1 Khảo sát trạng hệ thống mạng Khoa Công Nghệ Thông Tin Qua trình khảo sát hệ thống mạng máy tính khoa, mô tả hệ thống mạng máy tính khoa chưa có thiết bị an ninh sau: Hình 3-1: Khảo sát trạng hệ thống mạng Khoa Công Nghệ Thông Tin Đường truyền hệ thống Đường truyền Internet: Hệ thống có đường truyền Internet, đường leased-line đường ADSL Đường leased-line: băng thông 192kbps Đường ADSL: tốc độ 2Mbps Đường truyền nội ( mạng LAN ): Hệ thống mạng LAN nối tòa nhà khoa với nhau, loại cáp sử dụng : Cáp UTP 25pair Cáp STP 4pair Cáp UTP 4pair Trang 60 Các dịch vụ cung cấp Hiện hệ thống mạng cung cấp dịch vụ mail, web cho toàn hệ thống mạng nội khoa (chỉ có server Web, Mail Proxy hoạt động ) Các thiết bị - Router Cisco 2620XM - Modem ADSL - Switch Catalyst 2950 - Switch planet FNSW – 1601 - Compaq ML530: Server cung cấp dịch vụ mail - Compaq ML: Server cung cấp dịch vụ web - Modem leased line 3.2 Đánh giá hiệu năng, nguy an toàn hệ thống 3.2.1 Hiệu hệ thống Hệ thống mạng sử dụng chủ yếu Fast Hub, thiết bị khả phân chia miền đụng độ - máy gửi lên gửi toàn máy mạng Do vậy, lưu lượng chủ yếu hệ thống mạng lưu lượng vô ích Điều làm giảm hiệu đáng kể hệ thống mạng - cho dù mạng họat động bình thường Trong tương lai, hệ thống mạng mở rộng nữa, nguy hệ thống mạng bị tê liệt điều xảy 3.2.2 Nguy an toàn hệ thống Nguy bị mát liệu Hiện nay, hệ thống mạng tại, nguy bị mát liệu lớn Nguy đến từ hai hướng: bên Internet nội hệ thống mạng khoa Nguy mát thông tin từ Internet: Mạng khoa kết nối đến Internet, thiết bị chương trình bảo mật Trang 61 bảo vệ hệ thống khỏi nguy xâm nhập từ bên vào Những hacker sử dụng virus dạng trojan để truy cập vào hệ thống ăn cắp phá hoại thông tin Nguy mát thông tin từ bên hệ thống: Với switch tại, người hệ thống mạng dễ dàng dùng chương trình nghe (sniffer) để lấy cắp thông tin truyền mạng, nguy mát thông tin từ hệ thống nguy ngày cao hệ thống mạng Bị công Các hệ thống có kết nối Internet thường hay bị công tin tặc Phương thức công thường gặp SYN Defender hay FloodAttack (tấn công ngập lụt), Ping of Death, IP Spoofing(giả mạo IP)… Hậu tất yếu vụ công server bị tê liệt, không khả xử lý yêu cầu khác Nguy công xảy từ bên mạng, máy tính mạng bị nhiễm virus có khả công mạng chạy chương trình công mạng làm cho hệ thống mạng hoàn toàn tê liệt, truy cập Internet 3.3 Thiết kế hệ thống mạng Khoa với công nghệ tường lửa static packet filtering 3.3.1 Sơ đồ thiết kế Mô hình hệ thống mạng thiết kế mô sau: Trang 62 Hình 3-2 : Sơ đồ thiết kế hệ thống mạng an toàn để sử dụng hệ thống tường lửa - Sử dụng bảo vệ hệ thống máy tính mạng Khoa tường lửa theo cách cấu hình thiết bị định tuyến ACLs nhằm chia hệ thống mạng thành vùng có mức độ ưu tiên khác nhau: Outside: vùng Internet, có mức độ ưu tiên bảo mật thấp DMZ: vùng đặt máy chủ, máy chủ có khả truy cập vùng Outside Inside: mạng nội khoa, vùng có mức độ ưu tiên bảo vệ cao nhất, máy vùng inside có khả truy cập outside DMZ - Sử dụng switch Cisco để chia mạng LAN ảo - VLAN : Các tầng quản lý thiết kế thành LAN ảo Mục đích hạn chế broadcast thông tin lên toàn mạng làm tắc nghẽn đường truyền, mặt khác giúp dễ dàng quản lý, áp dụng sách khác phòng ban nhanh chóng khắc phục cố xảy Trang 63 3.3.2 Cấp phát địa Sau chia VLAN, có sơ đồ VLAN sau: Thông tin VLAN VLAN_ID Tên VLAN VLAN1 VLAN2 VLAN3 VLAN4 VLAN5 VLAN6 Ghi Không dùng Tầng Tầng Tầng Tầng Tầng Thông tin địa IP - Vùng server STT Vùng Inside Local IP Outside Local IP DMZ 11.16.105.151 203.162.247.141 Dịch vụ Email, DNS Web DMZ 11.16.105.150 203.162.247.140 Proxy DMZ 11.16.105.152 - Vùng Outside Router Cisco 2620XM Interface Ethernet 1/0 IP Address 203.165.247.137 Subnet 255.255.255.0 Chú thích Switch - Vùng Inside VLAN ID Tên VLAN Dải địa IP Gateway VLAN1 10.3.1.10 – 10.3.1.254 10.3.1.1 VLAN2 10.3.2.10 – 10.3.2.254 10.3.2.1 VLAN3 10.3.3.10 – 10.3.3.254 10.3.3.1 VLAN4 10.3.4.10 – 10.3.4.254 10.3.4.1 VLAN5 10.3.5.10 – 10.3.5.254 10.3.5.1 VLAN6 10.3.6.10 – 10.3.6.254 10.3.6.1 Trang 64 3.3.3 Cấu hình mô hệ thống bảo vệ công nghệ tường lửa Static packet filtering Mô packet tracer sau: Bảng 3-3: Mô cấu hình tường lửa lọc gói tin tĩnh Cấu hình Router định tuyến với thiết bị mạng: Router(config)#interface Serial0/0 Router(config-if)#clock rate 64000 Router(config-if)#exit Router(config)#exit Router# Thực bảng quy tắc lọc gói tin theo Bảng 2-1: Quy tắc lọc gói tin (Stactic packet filtering) Allow internal: any -> any:80 tcp Router(config-if)#access-list 101 permit tcp 10.3.1.0 255.0.0.0 any eq 80 Router(config)# Allow internal: any -> any:53 udp Trang 65 Router(config)#access-list 101 permit udp 10.3.1.0 255.0.0.0 any eq 53 Router(config)# Allow internal: any -> mailserver: 25 tcp Router(config)#access-list 101 permit tcp 10.3.1.0 255.0.0.0 any eq 25 Router(config)# Allow any: 80-> Internal:1024-65535 Router(config)#access-list 101 permit tcp any eq 80 any range 1024 65535 Router(config)# Allow any: 53-> Internal:1024-65535 Router(config)#access-list 101 permit udp any eq 53 any range 1024 65535 Router(config)# Allow mailserver: 25-> Internal:1024-65535 Router(config)#access-list 101 permit tcp any eq 25 any range 1024 65535 Router(config)# Deny any:any-> Any: any any Router(config)#access-list 101 deny ip any any Router(config)# Trang 66 KẾT LUẬN Bức tường lửa vấn đề quan tâm nhiều, thời đại mà Internet trở thành công cụ đắc lực cho tổ chức, quan, doanh nghiệp Nghiên cứu tường lửa đảm bảo an toàn cho hệ thống mạng đề tài có tính chất thực tế Đồng thời mảng kiến thức rộng tương đối mẻ sinh viên Đồ án “xây dựng chương trình mô Công nghệ tường lửa Static packet filtering” đề tài nghiên cứu, tìm hiểu hệ thống tường lửa công nghệ lọc gói tin hệ thống tường lửa Nhưng thời gian có hạn kiến thức thâm nhập thực tế non yếu, chưa có điều kiện thực hành thiết bị thật nên khuôn khổ đồ án này, em trình bày phần kiến thức tường lửa công nghệ tường lửa lọc gói tin tĩnh Đồ án không tránh khỏi thiếu sót, em mong nhận góp ý bảo nhiệt tình từ phía thầy cô bạn để nâng cao khả chuyên môn hoàn thiện kiến thức Em xin chân thành cám ơn thầy giáo Lê Tuấn Anh tận tình hướng dẫn, giúp đỡ em hoàn thành đồ án Thái Nguyên, tháng năm 2009 Trang 67 TÀI LIỆU THAM KHẢO [1] Part I: Security Overview and Firewalls – sách Cisco Router Firewall Security By Richard A.Deal, Publisher : Cisco Press , Pub Date August 10,2004 [2] http://www.cisco.com [3] Introducing Firewall Technologies; What Is a Firewall? Evolution of Firewall Technologies; Static Packet Filtering Firewalls; Static Packet Filtering sách Sucuring Cisco Network Devices [4] Chapter 10: Using Cisco IOS Firewalls to Defend the Network sách CCNA Security Official Exam Certification Guide By Michael Watkins Kevin Wallace , CCIE No, 7945, First Printing June 2008 Trang 68