Nó là một bộ định tuyến theo nghĩa nó được kết nối với hai hoặc nhiều mạng vật lý và nó chuyển tiếp các gói từ mạng này sang mạng khác, nhưng nó cũng lọc các gói dữ liệu qua đó.. Liên k
Trang 1Tìm hiểu về Firewalls và VPN
LỚP 57MTT
GVHD: Nguyễn Hồng Giang
Trang 2Danh sách nhóm:
1 Đinh Hữu Hoàng
2 Nguyễn Thị Thu Cúc
Trang 3Mục tiêu của phần này là nghiên cứu vai trò của Tường lửa và Mạng riêng ảo(VPN) trong việc cung cấp bảo mật cho các
mạng công cộng được chia sẻ như Internet.
Mục tiêu của phần này là nghiên cứu vai trò của Tường lửa và Mạng riêng ảo(VPN) trong việc cung cấp bảo mật cho các
mạng công cộng được chia sẻ như Internet.
Mục tiêu
Trang 4Tổng quan
Mạng máy tính là tài nguyên thường
được chia sẻ bởi nhiều ứng dụng sử
dụng cho nhiều mục đích khác nhau
Đôi khi dữ liệu được truyền giữa các
quy trình ứng dụng là bảo mật và
người dùng ứng dụng muốn người
khác không thể đọc được.
Tường lửa là một bộ định tuyến được lập trình đặc biệt nằm giữa một trang web và phần còn lại của mạng Nó là một bộ định tuyến theo nghĩa nó được kết nối với hai hoặc nhiều mạng vật lý và nó chuyển tiếp các gói từ mạng này sang mạng khác, nhưng nó cũng lọc các gói
dữ liệu qua đó Tường lửa cho phép quản trị viên hệ thống triển khai chính sách bảo mật trong một nơi tập trung Tường lửa dựa trên bộ lọc là loại được triển khai đơn giản và được triển khai rộng rãi nhất
Chúng được cấu hình với một bảng các địa chỉ mô tả các gói mà chúng
sẽ và sẽ không chuyển tiếp.
VPN là ví dụ về việc cung cấp kết nối được kiểm soát trên mạng công cộng như
Internet VPN sử dụng khái niệm được gọi là đường hầm IP — liên kết điểm-điểm-điểm ảo giữa một cặp nút thực sự được phân tách bởi một số lượng mạng tùy ý Liên kết ảo được tạo trong bộ định tuyến ở lối vào đường hầm bằng cách cung cấp liên kết địa chỉ IP của bộ định tuyến ở đầu xa của đường hầm Bất cứ khi nào bộ định tuyến tại lối vào của đường hầm muốn gửi một gói tin qua liên kết ảo này, nó đóng gói gói bên trong một gói dữ liệu IP Địa chỉ đích trong tiêu đề IP là địa chỉ của
bộ định tuyến ở đầu xa của đường hầm, trong khi địa chỉ nguồn là của
bộ đóng gói bộ định tuyến.
Trang 5Tạo một dự án mới
Khởi động OPNET IT Guru Academic
Edition Chọn New từ thực đơn File ⇒
Chọn Project và nhấn OK Đặt tên ⇒ cho dự án <your initials > _VPN, và kịch bản NoFirewall Nhấp OK ⇒
Nhấp vào Quit trên Startup Wizard.
Để xóa bản đồ nền thế giới, chọn View Background Set ⇒ ⇒ Border Map Chọn NONE từ ⇒ drop-down menu Nhấp OK ⇒
Trang 6Mở hộp thoại Object
Palette bằng cách
nhấp vào Hãy
chắc chắn rằng mục
internet_toolbox
được chọn từ
pull-down menu trên
bảng đối tượng.
Thêm các đối tượng sau đây, từ bảng màu, vào vùng làm việc của dự án (xem hình bên dưới cho vị trí): Application Config, Profile Config, một ip32_cloud, một ppp_server, ba ethernet4_slip8_gtwy routers, và hai ppp_wkstn hosts Để thêm một đối tượng từ bảng màu, nhấp vào biểu tượng của nó trong bảng đối tượng Chuyển chuột vào vùng làm việc và nhấp vào ⇒ nơi bạn muốn đặt đối tượng Rightclick để cho biết bạn đã ⇒ hoàn tất việc tạo các đối tượng thuộc loại này
Đổi tên các đối tượng bạn đã thêm và kết nối chúng bằng các liên kết PPP DS1
Lưu
dự án của bạn
Tạo và cấu hình mạng
Khởi tạo mạng
Trang 7Cấu hình các nút
1 Nhấp chuột phải vào Applications Edit Attributes Gán Default cho Application Definitions Nhấp vào OK ⇒ ⇒ ⇒
2 Nhấp chuột phải vào Profiles Edit Attributes Gán Sample Profiles cho Profile Configuration Nhấn OK ⇒ ⇒ ⇒
3 Nhấp chuột phải vào Server Edit Attributes Gán All cho Application: Supported Services Nhấp vào OK ⇒ ⇒ ⇒
4 Nhấp chuột phải vào Sales A Select Similar Nodes (thực hiện trên cả Sales A và Sales B được chọn) ⇒
i Nhấp chuột phải vào Sale A Edit Attributes tích vào ô Apply Changes to Selected Objects ⇒ ⇒
ii Chọn Application: Supported Profiles chuyển row thành 1 Trong none 0 Profile Name = Sales Person (đây là một trong "mẫu hồ sơ" chúng tôi đã định cấu hình trong nút Cấu hình) ⇒ ⇒ ⇒
iii Nhấp vào OK.
5 Lưu dự án của bạn.
Trang 81 Nhấp chuột phải vào bất kỳ đâu trong vùng làm việc của dự án và chọn Choose Individual Statistics từ trình đơn bật lên.
2 Trong hộp thoại Choose Results dialog, hãy kiểm tra các thống kê sau:
i Global Statistics DB Query Response Time (sec) ⇒ ⇒
ii Global Statistics HTTP Page Response Time (seconds) ⇒ ⇒
3 Nhấp OK.
4 Nhấp chuột phải vào Sale A và chọn Choose Individual Statistics từ trình đơn bật lên.
5 Trong hộp thoại Chọn kết quả, kiểm tra các thống kê sau:
i Client DB Traffic Received (byte / giây) ⇒
ii Client Http Traffic Received (byte / giây) ⇒
6 Nhấp OK.
7 Nhấp chuột phải vào Sale B và chọn Choose Individual Statistics từ trình đơn bật lên.
8 Trong hộp thoại Chọn kết quả, kiểm tra các thống kê sau:
i Client DB Traffic Received (byte / giây) ⇒
ii Client Http Traffic Received (byte / giây) ⇒
9 Nhấp OK và sau đó lưu dự án của bạn.
Chọn Số liệu thống kê
Trang 9Kịch bản tường lửa
Trong mạng chúng tôi vừa tạo, hồ sơ Sales cho phép cả trang sales truy cập các ứng dụng như Truy cập
Cơ sở dữ liệu, Email và Duyệt web từ máy chủ (kiểm tra Cấu hình Cấu hình của nút Cấu hình) Giả sử rằng chúng ta cần phải bảo vệ cơ sở dữ liệu trong máy chủ từ truy cập bên ngoài, bao gồm cả sales Một cách để làm đó là thay thế Router C bằng một tường lửa như sau:
1 Chọn Duplicate Scenario từ menu Scenarios và đặt tên là Firewall Nhấp vào OK ⇒
2 Trong kịch bản mới, nhấn chuột phải vào Router C Edit Attributes ⇒
3 Gán ethernet2_slip8_firewall cho thuộc tính mô hình.
4 Proxy Server Information Mở row 1, dành cho ứng dụng Cơ sở dữ liệu, phân cấp Chọn ⇒ ⇒
No cho Proxy Server Information như hình.
5 Nhấp OK và sau đó lưu dự án của bạn.
=> Cấu hình Tường lửa của chúng tôi không cho phép lưu lượng truy cập liên quan đến cơ sở dữ liệu đi qua tường lửa (nó lọc các gói đó ra) Bằng cách này, các cơ sở dữ liệu trong máy chủ được bảo vệ khỏi truy cập từ bên ngoài
Trang 10Kịch bản Firewall_VPN
Trong kịch bản tường lửa, chúng tôi đã bảo vệ cơ sở dữ liệu trong máy chủ khỏi truy cập bên ngoài “bất kỳ” bằng bộ định tuyến tường lửa Giả sử rằng chúng tôi muốn cho phép những người trong trang web Sales A có quyền truy cập vào cơ sở dữ liệu trong máy chủ Vì tường lửa lọc tất cả lưu lượng truy cập liên quan đến cơ sở dữ liệu bất kể nguồn lưu lượng truy cập là gì, chúng ta cần xem xét giải pháp VPN Một đường hầm ảo có thể được sử dụng bởi Sales A để gửi các yêu cầu cơ sở dữ liệu đến máy chủ Tường lửa sẽ không lọc lưu lượng được tạo bởi Sales A vì các gói IP trong đường hầm sẽ được đóng gói bên trong một gói dữ liệu IP.
1 Trong khi bạn đang ở trong Firewall, hãy chọn Duplicate Scenario từ Scenarios và đặt tên cho nó là Firewall_VPN Nhấp OK ⇒
2 Hủy bỏ liên kết giữa Router C và Server.
3 Mở hộp thoại Object Palette bằng cách nhấp vào Đảm bảo rằng đã mở palette là một trong số đó gọi là internet_toolbox.
i Thêm vào vùng làm việc của dự án một ethernet4_slip8_gtwy và một IP VPN Config (xem hình bên dưới để biết vị trí).
ii Từ Object Palette, sử dụng hai liên kết PPP DS1 để kết nối router mới với Router C (tường lửa) và Server.
iii Đóng hộp thoại Object Palette.
4 Đổi tên đối tượng IP VPN Config thành VPN.
5 Đổi tên router mới thành Router D.
Trang 11Cấu hình VPN
Nhấp chuột phải vào nút VPN Edit Attributes ⇒
i Mở VPN Configuration chuyển Row 1 Mở Row 0 Chỉnh sửa giá trị của ⇒ ⇒ ⇒ Tunnel Source Name và ghi xuống Router A Chỉnh sửa giá trị của Tunnel Destination ⇒ Name và ghi xuống Router D
ii Mở Remote Client List chuyển Row 1 Mở Row 0 Chỉnh sửa giá trị của ⇒ ⇒ ⇒ Client Node Name và ghi xuống Sales A.
iii Nhấp vào OK và sau đó lưu dự án của bạn.
Trang 12Vào menu Scenarios ⇒ Chọn Manage Scenarios
Thay đổi các giá trị trong cột Kết quả thành <collect> (hoặc
<recollect>) cho ba kịch bản Giữ giá trị mặc định của Sim Duration (1
giờ).
Nhấn OK để chạy ba mô phỏng Tùy thuộc vào tốc độ bộ xử lý của bạn, quá trình này có thể mất vài phút để hoàn thành
Sau khi hoàn thành ba mô phỏng, một
mô phỏng cho mỗi kịch bản, hãy nhấp vào Close Lưu dự án của bạn ⇒ Chạy mô phỏng
Để chạy mô phỏng cho ba kịch bản cùng một lúc
Trang 13Xem kết quả
1 Chọn Compare Results từ menu Results.
2 Mở Sales A Mở rộng phân cấp Client DB Chọn Traffic Received ⇒ ⇒
3 Thay đổi trình đơn thả xuống ở phần giữa phía dưới của hộp thoại
Compare Results từ As Is đến time_average
4 Nhấn Show và biểu đồ kết quả sẽ giống với biểu đồ sau:
Trang 145 Tạo biểu đồ tương tự như biểu đồ trước, nhưng đối với Sales B:
6 Tạo hai biểu đồ tương tự như các biểu đồ trước để mô tả Lưu lượng truy
cập đã nhận bởi Client Http cho Sales A và Sales B.
Lưu ý: Kết quả có thể thay đổi đôi chút do vị trí nút khác nhau.