Tìm hiểu Firewalls VPN LỚP 57MTT GVHD: Nguyễn Hồng Giang Danh sách nhóm: Đinh Hữu Hồng Nguyễn Thị Thu Cúc Mục tiêu phần nghiên cứu vai trò Tường lửa Mục tiêu Mạng riêng ảo(VPN) việc cung cấp bảo mật cho mạng công cộng chia sẻ Internet Tổng quan VPN ví dụ việc cung cấp kết nối kiểm sốt mạng cơng Tường lửa định tuyến lập trình đặc biệt nằm cộng Mạng máy tính tài nguyên thường trang web phần lại mạng Nó định tuyến theo Internet VPN sử dụng khái niệm gọi đường hầm IP — liên kết chia sẻ nhiều ứng dụng sử nghĩa kết nối với hai nhiều mạng vật lý chuyển điểm-điểm-điểm ảo cặp nút thực phân tách số dụng cho nhiều mục đích khác tiếp gói từ mạng sang mạng khác, lọc gói lượng mạng tùy ý Liên kết ảo tạo định tuyến lối vào Đôi liệu truyền liệu qua Tường lửa cho phép quản trị viên hệ thống triển khai đường hầm cách cung cấp liên kết địa IP định tuyến quy trình ứng dụng bảo mật sách bảo mật nơi tập trung Tường lửa dựa đầu xa đường hầm Bất định tuyến lối vào người dùng ứng dụng muốn người lọc loại triển khai đơn giản triển khai rộng rãi đường hầm muốn gửi gói tin qua liên kết ảo này, đóng gói gói khác khơng thể đọc Chúng cấu hình với bảng địa mơ tả gói mà chúng bên gói liệu IP Địa đích tiêu đề IP địa không chuyển tiếp định tuyến đầu xa đường hầm, địa nguồn đóng gói định tuyến Tạo dự án Khởi động OPNET IT Guru Academic Chọn Project nhấn OK ⇒ Đặt tên Edition ⇒ Chọn New từ thực đơn File cho dự án _VPN, kịch NoFirewall ⇒ Nhấp OK Nhấp vào Quit Startup Wizard Để xóa đồ giới, chọn View ⇒ Background ⇒ Set Border Map ⇒ Chọn NONE từ drop-down menu ⇒ Nhấp OK Tạo cấu hình mạng Khởi tạo mạng Thêm đối tượng sau đây, từ bảng màu, vào vùng làm việc Mở hộp thoại Object dự án (xem hình bên cho vị trí): Application Config, Palette cách Profile Config, ip32_cloud, ppp_server, ba Đổi tên đối ethernet4_slip8_gtwy routers, hai ppp_wkstn hosts Để thêm tượng bạn Lưu chắn mục đối tượng từ bảng màu, nhấp vào biểu tượng thêm kết nối dự án internet_toolbox bảng đối tượng ⇒ Chuyển chuột vào vùng làm việc nhấp vào chúng chọn từ pull- nơi bạn muốn đặt đối tượng ⇒ Rightclick biết bạn liên kết PPP bạn down menu hoàn tất việc tạo đối tượng thuộc loại DS1 nhấp vào Hãy bảng đối tượng Cấu hình nút Nhấp chuột phải vào Applications⇒ Edit Attributes ⇒ Gán Default cho Application Definitions ⇒ Nhấp vào OK Nhấp chuột phải vào Profiles ⇒ Edit Attributes ⇒ Gán Sample Profiles cho Profile Configuration ⇒ Nhấn OK Nhấp chuột phải vào Server ⇒ Edit Attributes ⇒ Gán All cho Application: Supported Services ⇒ Nhấp vào OK Nhấp chuột phải vào Sales A ⇒ Select Similar Nodes (thực Sales A Sales B chọn) i Nhấp chuột phải vào Sale A ⇒ Edit Attributes ⇒ tích vào ô Apply Changes to Selected Objects ii Chọn Application: Supported Profiles ⇒ chuyển row thành ⇒ Trong none ⇒ Profile Name = Sales Person (đây "mẫu hồ sơ" chúng tơi định cấu hình nút Cấu hình) iii Nhấp vào OK Lưu dự án bạn Chọn Số liệu thống kê Nhấp chuột phải vào đâu vùng làm việc dự án chọn Choose Individual Statistics từ trình đơn bật lên Trong hộp thoại Choose Results dialog, kiểm tra thống kê sau: i Global Statistics ⇒ DB Query ⇒ Response Time (sec) ii Global Statistics ⇒ HTTP ⇒ Page Response Time (seconds) Nhấp OK Nhấp chuột phải vào Sale A chọn Choose Individual Statistics từ trình đơn bật lên Trong hộp thoại Chọn kết quả, kiểm tra thống kê sau: i Client DB ⇒ Traffic Received (byte / giây) ii Client Http ⇒ Traffic Received (byte / giây) Nhấp OK Nhấp chuột phải vào Sale B chọn Choose Individual Statistics từ trình đơn bật lên Trong hộp thoại Chọn kết quả, kiểm tra thống kê sau: i Client DB ⇒ Traffic Received (byte / giây) ii Client Http ⇒ Traffic Received (byte / giây) Nhấp OK sau lưu dự án bạn Kịch tường lửa Trong mạng vừa tạo, hồ sơ Sales cho phép trang sales truy cập ứng dụng Truy cập Cơ sở liệu, Email Duyệt web từ máy chủ (kiểm tra Cấu hình Cấu hình nút Cấu hình) Giả sử cần phải bảo vệ sở liệu máy chủ từ truy cập bên ngoài, bao gồm sales Một cách để làm thay Router C tường lửa sau: Chọn Duplicate Scenario từ menu Scenarios đặt tên Firewall ⇒ Nhấp vào OK Trong kịch mới, nhấn chuột phải vào Router C ⇒ Edit Attributes Gán ethernet2_slip8_firewall cho thuộc tính mơ hình Proxy Server Information ⇒ Mở row 1, dành cho ứng dụng Cơ sở liệu, phân cấp ⇒ Chọn No cho Proxy Server Information hình Nhấp OK sau lưu dự án bạn => Cấu hình Tường lửa không cho phép lưu lượng truy cập liên quan đến sở liệu qua tường lửa (nó lọc gói ra) Bằng cách này, sở liệu máy chủ bảo vệ khỏi truy cập từ bên Trong kịch tường lửa, bảo vệ sở liệu máy chủ khỏi truy cập bên “bất kỳ” định tuyến tường lửa Giả sử muốn cho phép người trang web Sales A có quyền truy cập vào sở liệu máy chủ Vì tường lửa Kịch Firewall_VPN lọc tất lưu lượng truy cập liên quan đến sở liệu nguồn lưu lượng truy cập gì, cần xem xét giải pháp VPN Một đường hầm ảo sử dụng Sales A để gửi yêu cầu sở liệu đến máy chủ Tường lửa không lọc lưu lượng tạo Sales A gói IP đường hầm đóng gói bên gói liệu IP Trong bạn Firewall, chọn Duplicate Scenario từ Scenarios đặt tên cho Firewall_VPN ⇒ Nhấp OK Hủy bỏ liên kết Router C Server Mở hộp thoại Object Palette cách nhấp vào Đảm bảo mở palette số gọi internet_toolbox i Thêm vào vùng làm việc dự án ethernet4_slip8_gtwy IP VPN Config (xem hình bên để biết vị trí) ii Từ Object Palette, sử dụng hai liên kết PPP DS1 để kết nối router với Router C (tường lửa) Server iii Đóng hộp thoại Object Palette Đổi tên đối tượng IP VPN Config thành VPN Đổi tên router thành Router D Cấu hình VPN Nhấp chuột phải vào nút VPN ⇒Edit Attributes i Mở VPN Configuration ⇒ chuyển Row ⇒ Mở Row ⇒ Chỉnh sửa giá trị Tunnel Source Name ghi xuống Router A ⇒ Chỉnh sửa giá trị Tunnel Destination Name ghi xuống Router D ii Mở Remote Client List ⇒ chuyển Row ⇒ Mở Row ⇒ Chỉnh sửa giá trị Client Node Name ghi xuống Sales A iii Nhấp vào OK sau lưu dự án bạn Chạy mô Vào menu Scenarios ⇒ Chọn Manage Scenarios Để chạy mô cho ba kịch lúc Thay đổi giá trị cột Kết Sau hồn thành ba mơ phỏng, thành (hoặc mô cho kịch bản, nhấp ) cho ba kịch Giữ giá vào Close ⇒ Lưu dự án bạn trị mặc định Sim Duration (1 giờ) Nhấn OK để chạy ba mô Tùy thuộc vào tốc độ xử lý bạn, q trình vài phút để hoàn thành Xem kết Chọn Compare Results từ menu Results Mở Sales A ⇒ Mở rộng phân cấp Client DB ⇒ Chọn Traffic Received Thay đổi trình đơn thả xuống phần phía hộp thoại Compare Results từ As Is đến time_average Nhấn Show biểu đồ kết giống với biểu đồ sau: Tạo biểu đồ tương tự biểu đồ trước, Sales B: Tạo hai biểu đồ tương tự biểu đồ trước để mô tả Lưu lượng truy cập nhận Client Http cho Sales A Sales B Lưu ý: Kết thay đổi đơi chút vị trí nút khác ... thoại Object Palette Đổi tên đối tượng IP VPN Config thành VPN Đổi tên router thành Router D Cấu hình VPN Nhấp chuột phải vào nút VPN ⇒Edit Attributes i Mở VPN Configuration ⇒ chuyển Row ⇒ Mở Row... sở liệu máy chủ Vì tường lửa Kịch Firewall _VPN lọc tất lưu lượng truy cập liên quan đến sở liệu nguồn lưu lượng truy cập gì, cần xem xét giải pháp VPN Một đường hầm ảo sử dụng Sales A để gửi... Firewall _VPN ⇒ Nhấp OK Hủy bỏ liên kết Router C Server Mở hộp thoại Object Palette cách nhấp vào Đảm bảo mở palette số gọi internet_toolbox i Thêm vào vùng làm việc dự án ethernet4_slip8_gtwy IP VPN