Nó là một bộ định tuyến theo nghĩa nó được kết nối với hai hoặc nhiều mạng vật lý và nó chuyển tiếp các gói từ mạng này sang mạng khác, nhưng nó cũng lọc các gói dữ liệu qua đó.. Bất cứ
Trang 1Firewalls and VPN
Mạng bảo mật và mạng riêng ảo
Mục tiêu
Mục tiêu của phần này là nghiên cứu vai trò của Tường lửa và Mạng riêng
ảo(VPN) trong việc cung cấp bảo mật cho các mạng công cộng được chia sẻ như Internet
Tổng quan
Mạng máy tính là tài nguyên thường được chia sẻ bởi nhiều ứng dụng sử dụng cho nhiều mục đích khác nhau Đôi khi dữ liệu được truyền giữa các quy trình ứng dụng là bảo mật và người dùng ứng dụng muốn người khác không thể đọc được
Tường lửa là một bộ định tuyến được lập trình đặc biệt nằm giữa một trang web và phần còn lại của mạng Nó là một bộ định tuyến theo nghĩa nó được kết nối với hai hoặc nhiều mạng vật lý và nó chuyển tiếp các gói từ mạng này sang mạng khác, nhưng nó cũng lọc các gói dữ liệu qua đó Tường lửa cho phép quản trị viên hệ thống triển khai chính sách bảo mật trong một nơi tập trung Tường lửa dựa trên bộ lọc là loại được triển khai đơn giản và được triển khai rộng rãi nhất Chúng được cấu hình với một bảng các địa chỉ mô tả các gói mà chúng sẽ và sẽ không chuyển tiếp
VPN là ví dụ về việc cung cấp kết nối được kiểm soát trên mạng công cộng như Internet VPN sử dụng khái niệm được gọi là đường hầm IP — liên kết điểm-điểm-điểm
ảo giữa một cặp nút thực sự được phân tách bởi một số lượng mạng tùy ý Liên kết ảo được tạo trong bộ định tuyến ở lối vào đường hầm bằng cách cung cấp liên kết địa chỉ IP của bộ định tuyến ở đầu xa của đường hầm Bất cứ khi nào bộ định tuyến tại lối vào của đường hầm muốn gửi một gói tin qua liên kết ảo này, nó đóng gói gói bên trong một gói
dữ liệu IP Địa chỉ đích trong tiêu đề IP là địa chỉ của bộ định tuyến ở đầu xa của đường hầm, trong khi địa chỉ nguồn là của bộ đóng gói bộ định tuyến
Trong phần này, bạn sẽ thiết lập một mạng nơi máy chủ được truy cập qua Internet bởi khách hàng có đặc quyền khác nhau Bạn sẽ nghiên cứu cách tường lửa và VPN có thể cung cấp bảo mật cho thông tin trong các máy chủ trong khi vẫn duy trì quyền truy cập cho khách hàng với đặc quyền thích hợp
Thủ tục
Tạo một dự án mới:
1 Khởi động OPNET IT Guru Academic Edition ⇒ Chọn New từ File
2 Chọn Project và nhấn OK ⇒ Đặt tên cho dự án <your initials > _VPN, và kịch bản NoFirewall ⇒ Nhấp OK
3 Nhấp vào Quit trên Startup Wizard
4 Để xóa bản đồ nền thế giới, chọn View ⇒ Background ⇒ Set Border Map ⇒ Chọn NONE từ drop-down menu ⇒ Nhấp OK
Tạo và cấu hình mạng
Khởi tạo mạng:
1 Mở hộp thoại Object Palette bằng cách nhấp vào Hãy chắc chắn rằng mục internet_toolbox được chọn từ pull-down menu trên bảng đối tượng
Trang 22 Thêm các đối tượng sau đây, từ bảng màu, vào vùng làm việc của dự án (xem hình bên dưới cho vị trí): Application Config, Profile Config, một ip32_cloud, một
ppp_server, ba ethernet4_slip8_gtwy routers, và hai ppp_wkstn hosts
a Để thêm một đối tượng từ bảng màu, nhấp vào biểu tượng của nó trong bảng đối tượng ⇒ Chuyển chuột vào vùng làm việc và nhấp vào nơi bạn muốn đặt đối tượng ⇒ Nhấp chuột phải để cho biết bạn đã hoàn tất việc tạo các đối tượng thuộc loại này
3 Đổi tên các đối tượng bạn đã thêm và kết nối chúng bằng các liên kết PPP DS1, như được hiển thị bên dưới:
4 Lưu dự án của bạn
Định cấu hình các nút:
1 Nhấp chuột phải vào Applications⇒ Edit Attributes ⇒ Gán Default cho
Application Definitions⇒ Nhấp vào OK
2 Nhấp chuột phải vào Profiles ⇒ Edit Attributes ⇒ Gán Sample Profiles cho Profile Configuration ⇒ Nhấn OK
3 Nhấp chuột phải vào Server ⇒ Edit Attributes ⇒ Gán All cho Application: Supported Services ⇒ Nhấp vào OK
4 Nhấp chuột phải vào Sales A ⇒ Select Similar Nodes (thực hiện trên cả Sales A
và Sales B được chọn)
i Nhấp chuột phải vào Sale A ⇒ Edit Attributes ⇒ tích vào ô Apply Changes to Selected Objects
ii Chọn Application: Supported Profiles ⇒ chuyển row thành 1 ⇒ Trong none 0 ⇒ Profile Name = Sales Person (đây là một trong "mẫu hồ sơ" chúng tôi đã định cấu hình trong nút Cấu hình)
iii Nhấp vào OK
5 Lưu dự án của bạn
Chọn Số liệu thống kê
1 Nhấp chuột phải vào bất kỳ đâu trong vùng làm việc của dự án và chọn Choose Individual Statistics từ trình đơn bật lên
Trang 32 Trong hộp thoại Choose Results dialog, hãy kiểm tra các thống kê sau:
i Global Statistics ⇒ DB Query ⇒ Response Time (sec)
ii Global Statistics ⇒ HTTP ⇒ Page Response Time (seconds)
3 Nhấp OK
4 Nhấp chuột phải vào Sale A và chọn Choose Individual Statistics từ trình đơn bật lên
5 Trong hộp thoại Chọn kết quả, kiểm tra các thống kê sau:
i Client DB ⇒ Traffic Received (byte / giây)
ii Client Http ⇒ Traffic Received (byte / giây)
6 Nhấp OK
7 Nhấp chuột phải vào Sale B và chọn Choose Individual Statistics từ trình đơn bật lên
8 Trong hộp thoại Chọn kết quả, kiểm tra các thống kê sau:
i Client DB ⇒ Traffic Received (byte / giây)
ii Client Http ⇒ Traffic Received (byte / giây)
9 Nhấp OK và sau đó lưu dự án của bạn
Kịch bản tường lửa
Trong mạng chúng tôi vừa tạo, hồ sơ Sales cho phép cả trang sales truy cập các ứng dụng như Truy cập Cơ sở dữ liệu, Email và Duyệt web từ máy chủ (kiểm tra Cấu hình Cấu hình của nút Cấu hình) Giả sử rằng chúng ta cần phải bảo vệ cơ sở dữ liệu trong máy chủ từ truy cập bên ngoài, bao gồm cả nhân viên bán hàng Một cách để làm
đó là thay thế Router C bằng một tường lửa như sau:
1 Chọn Duplicate Scenario từ menu Scenarios và đặt tên là Firewall ⇒ Nhấp vào OK
2 Trong kịch bản mới, nhấn chuột phải vào Router C ⇒ Edit Attributes
3 Gán ethernet2_slip8_firewall cho thuộc tính mô hình
4 Mở rộng Proxy Server Information ⇒ Mở row 1, dành cho ứng dụng Cơ sở dữ liệu, phân cấp ⇒ Chọn No cho Proxy Server Information như hình:
Trang 45 Nhấp OK và sau đó lưu dự án của bạn.
Cấu hình Tường lửa của chúng tôi không cho phép lưu lượng truy cập liên quan đến cơ sở dữ liệu đi qua tường lửa (nó lọc các gói đó ra) Bằng cách này, các cơ sở dữ liệu trong máy chủ được bảo vệ khỏi truy cập từ bên ngoài Kịch bản tường lửa của bạn
sẽ trông giống như sau :
Kịch bản Firewall_VPN
Trong kịch bản tường lửa, chúng tôi đã bảo vệ cơ sở dữ liệu trong máy chủ khỏi truy cập bên ngoài “bất kỳ” bằng bộ định tuyến tường lửa Giả sử rằng chúng tôi muốn cho phép những người trong trang web Bán hàng A có quyền truy cập vào cơ sở dữ liệu trong máy chủ Vì tường lửa lọc tất cả lưu lượng truy cập liên quan đến cơ sở dữ liệu bất
Trang 5kể nguồn lưu lượng truy cập là gì, chúng ta cần xem xét giải pháp VPN Một đường hầm
ảo có thể được sử dụng bởi Sales A để gửi các yêu cầu cơ sở dữ liệu đến máy chủ Tường lửa sẽ không lọc lưu lượng được tạo bởi Sales A vì các gói IP trong đường hầm sẽ được đóng gói bên trong một gói dữ liệu IP
1 Trong khi bạn đang ở trong Firewall, hãy chọn Duplicate Scenario từ Scenarios
và đặt tên cho nó là Firewall_VPN ⇒ Nhấp OK
2 Hủy bỏ liên kết giữa Router C và Server
3 Mở hộp thoại Object Palette bằng cách nhấp vào Đảm bảo rằng đã mở palette là một trong số đó gọi là internet_toolbox
i Thêm vào vùng làm việc của dự án một ethernet4_slip8_gtwy và một IP VPN Config (xem hình bên dưới để biết vị trí)
ii Từ Object Palette, sử dụng hai liên kết PPP DS1 để kết nối router mới với
Router C(tường lửa) và Server, như hình dưới đây
iii Đóng hộp thoại Object Palette
4 Đổi tên đối tượng IP VPN Config thành VPN
5 Đổi tên router mới thành Router D như sau:
Định cấu hình VPN
Nhấp chuột phải vào nút VPN ⇒ Edit Attributes
i Mở VPN Configuration ⇒ chuyển Row 1 ⇒ Mở Row 0 ⇒ Chỉnh sửa giá trị của Tunnel Source Name và ghi xuống Router A ⇒ Chỉnh sửa giá trị của Tunnel Destination Name và ghi xuống Router D
ii Mở Remote Client List ⇒ chuyển Row 1 ⇒ Mở Row 0 ⇒ Chỉnh sửa giá trị của Client Node Name và ghi xuống Sales A
iii Nhấp vào OK và sau đó lưu dự án của bạn
Trang 6Chạy mô phỏng
Để chạy mô phỏng cho ba kịch bản cùng một lúc:
1 Vào menu Scenarios ⇒ Chọn Manage Scenarios
2 Thay đổi các giá trị trong cột Results<collect> (hoặc <recollect>) cho ba dòng Giữ giá trị mặc định của Sim Duration (1 hour)
So sánh với hình sau:
3 Nhấn OK để chạy ba mô phỏng Tùy thuộc vào tốc độ bộ xử lý của bạn, quá trình này có thể mất vài phút để hoàn thành
4 Sau khi hoàn thành ba mô phỏng, một mô phỏng cho mỗi kịch bản, hãy nhấp vào Close ⇒ Lưu dự án của bạn
Xem kết quả
Để xem và phân tích kết quả:
1 Chọn Compare Results từ menu Results
2 Mở Sales A ⇒ Mở rộng phân cấp Client DB ⇒ Chọn Traffic Received
Trang 73 Thay đổi trình đơn thả xuống ở phần giữa phía dưới của hộp thoại Compare Results từ As Is đến time_average như hình sau:
4 Nhấn Show và biểu đồ kết quả sẽ giống với biểu đồ sau:
5 Tạo biểu đồ tương tự như biểu đồ trước, nhưng đối Sales B:
Trang 86 Tạo hai biểu đồ tương tự như các biểu đồ trước để mô tả Lưu lượng truy cập đã nhận bởi Client Http cho Sales A và Sales B
Trang 9Lưu ý: Kết quả có thể thay đổi đôi chút do vị trí nút khác nhau.
Đọc thêm
- Tác động của khả năng liên kết Internet lên hiệu suất ứng dụng: Từ Menu giao thức, chọn Phương pháp ⇒ Lập kế hoạch dung lượng
- Mạng riêng ảo: IETF RFC số 2685 (www.ietf.org/rfc.html)
Câu hỏi
1) Từ các đồ thị thu được, giải thích hiệu quả của tường lửa, cũng như
cấu hình VPN, trên lưu lượng cơ sở dữ liệu theo yêu cầu của Sales A và Sales B
2 So sánh các biểu đồ hiển thị lưu lượng HTTP đã nhận với các biểu đồ hiển thị lưu lượng truy cập cơ sở dữ liệu nhận được
3) Tạo và phân tích (các) biểu đồ hiển thị ảnh hưởng của tường lửa, cũng như VPN được định cấu hình, về thời gian phản hồi (độ trễ) của các trang HTTP và truy vấn
cơ sở dữ liệu
4) Trong kịch bản Firewall_VPN, chúng tôi đã cấu hình nút VPN sao cho không
có lưu lượng nào từ Bán hàng A bị chặn bởi tường lửa Tạo một bản sao của kịch bản Firewall_VPN và đặt tên cho kịch bản mới là Q4_DB_Web Trong trường hợp
Q4_DB_Web, chúng tôi muốn định cấu hình mạng để:
a Các cơ sở dữ liệu trong máy chủ chỉ có thể được truy cập bởi những người trong trang bán hàng A
b Các trang web trong máy chủ chỉ có thể được truy cập bởi những người trong trang web Bán hàng B
Báo cáo của bạn bao gồm sơ đồ cấu hình mạng mới với bất kỳ thay đổi nào bạn đã thực hiện cho các thuộc tính của các nút hiện có hoặc được thêm vào Tạo ra các đồ thị cần thiết để cho thấy rằng mạng mới đáp ứng các yêu cầu trên
Trang 10Báo cáo thí nghiệm
Chuẩn bị một báo cáo theo các hướng dẫn được giải thích trong Lab 0 Báo cáo phải bao gồm câu trả lời cho các câu hỏi trên cũng như các biểu đồ bạn đã tạo từ kịch bản
mô phỏng Thảo luận các kết quả bạn thu được và so sánh các kết quả này với sự mong chờ của bạn Đề cập đến bất kỳ sự bất thường hoặc hành vi không giải thích được