Firewalls and VPN Mạng bảo mật mạng riêng ảo Mục tiêu Mục tiêu phần nghiên cứu vai trò Tường lửa Mạng riêng ảo(VPN) việc cung cấp bảo mật cho mạng công cộng chia sẻ Internet Tổng quan Mạng máy tính tài nguyên thường chia sẻ nhiều ứng dụng sử dụng cho nhiều mục đích khác Đơi liệu truyền quy trình ứng dụng bảo mật người dùng ứng dụng muốn người khác đọc Tường lửa định tuyến lập trình đặc biệt nằm trang web phần lại mạng Nó định tuyến theo nghĩa kết nối với hai nhiều mạng vật lý chuyển tiếp gói từ mạng sang mạng khác, lọc gói liệu qua Tường lửa cho phép quản trị viên hệ thống triển khai sách bảo mật nơi tập trung Tường lửa dựa lọc loại triển khai đơn giản triển khai rộng rãi Chúng cấu hình với bảng địa mơ tả gói mà chúng khơng chuyển tiếp VPN ví dụ việc cung cấp kết nối kiểm sốt mạng cơng cộng Internet VPN sử dụng khái niệm gọi đường hầm IP — liên kết điểm-điểm-điểm ảo cặp nút thực phân tách số lượng mạng tùy ý Liên kết ảo tạo định tuyến lối vào đường hầm cách cung cấp liên kết địa IP định tuyến đầu xa đường hầm Bất định tuyến lối vào đường hầm muốn gửi gói tin qua liên kết ảo này, đóng gói gói bên gói liệu IP Địa đích tiêu đề IP địa định tuyến đầu xa đường hầm, địa nguồn đóng gói định tuyến Trong phần này, bạn thiết lập mạng nơi máy chủ truy cập qua Internet khách hàng có đặc quyền khác Bạn nghiên cứu cách tường lửa VPN cung cấp bảo mật cho thông tin máy chủ trì quyền truy cập cho khách hàng với đặc quyền thích hợp Thủ tục Tạo dự án mới: Khởi động OPNET IT Guru Academic Edition ⇒ Chọn New từ File Chọn Project nhấn OK ⇒ Đặt tên cho dự án _VPN, kịch NoFirewall ⇒ Nhấp OK Nhấp vào Quit Startup Wizard Để xóa đồ giới, chọn View ⇒ Background ⇒ Set Border Map ⇒ Chọn NONE từ drop-down menu ⇒ Nhấp OK Tạo cấu hình mạng Khởi tạo mạng: Mở hộp thoại Object Palette cách nhấp vào Hãy chắn mục internet_toolbox chọn từ pull-down menu bảng đối tượng 2 Thêm đối tượng sau đây, từ bảng màu, vào vùng làm việc dự án (xem hình bên cho vị trí): Application Config, Profile Config, ip32_cloud, ppp_server, ba ethernet4_slip8_gtwy routers, hai ppp_wkstn hosts a Để thêm đối tượng từ bảng màu, nhấp vào biểu tượng bảng đối tượng ⇒ Chuyển chuột vào vùng làm việc nhấp vào nơi bạn muốn đặt đối tượng ⇒ Nhấp chuột phải biết bạn hoàn tất việc tạo đối tượng thuộc loại Đổi tên đối tượng bạn thêm kết nối chúng liên kết PPP DS1, hiển thị bên dưới: Lưu dự án bạn Định cấu hình nút: Nhấp chuột phải vào Applications⇒ Edit Attributes ⇒ Gán Default cho Application Definitions⇒ Nhấp vào OK Nhấp chuột phải vào Profiles ⇒ Edit Attributes ⇒ Gán Sample Profiles cho Profile Configuration ⇒ Nhấn OK Nhấp chuột phải vào Server ⇒ Edit Attributes ⇒ Gán All cho Application: Supported Services ⇒ Nhấp vào OK Nhấp chuột phải vào Sales A ⇒ Select Similar Nodes (thực Sales A Sales B chọn) i Nhấp chuột phải vào Sale A ⇒ Edit Attributes ⇒ tích vào Apply Changes to Selected Objects ii Chọn Application: Supported Profiles ⇒ chuyển row thành ⇒ Trong none ⇒ Profile Name = Sales Person (đây "mẫu hồ sơ" định cấu hình nút Cấu hình) iii Nhấp vào OK Lưu dự án bạn Chọn Số liệu thống kê Nhấp chuột phải vào đâu vùng làm việc dự án chọn Choose Individual Statistics từ trình đơn bật lên 2 Trong hộp thoại Choose Results dialog, kiểm tra thống kê sau: i Global Statistics ⇒ DB Query ⇒ Response Time (sec) ii Global Statistics ⇒ HTTP ⇒ Page Response Time (seconds) Nhấp OK Nhấp chuột phải vào Sale A chọn Choose Individual Statistics từ trình đơn bật lên Trong hộp thoại Chọn kết quả, kiểm tra thống kê sau: i Client DB ⇒ Traffic Received (byte / giây) ii Client Http ⇒ Traffic Received (byte / giây) Nhấp OK Nhấp chuột phải vào Sale B chọn Choose Individual Statistics từ trình đơn bật lên Trong hộp thoại Chọn kết quả, kiểm tra thống kê sau: i Client DB ⇒ Traffic Received (byte / giây) ii Client Http ⇒ Traffic Received (byte / giây) Nhấp OK sau lưu dự án bạn Kịch tường lửa Trong mạng vừa tạo, hồ sơ Sales cho phép trang sales truy cập ứng dụng Truy cập Cơ sở liệu, Email Duyệt web từ máy chủ (kiểm tra Cấu hình Cấu hình nút Cấu hình) Giả sử cần phải bảo vệ sở liệu máy chủ từ truy cập bên ngoài, bao gồm nhân viên bán hàng Một cách để làm thay Router C tường lửa sau: Chọn Duplicate Scenario từ menu Scenarios đặt tên Firewall ⇒ Nhấp vào OK Trong kịch mới, nhấn chuột phải vào Router C ⇒ Edit Attributes Gán ethernet2_slip8_firewall cho thuộc tính mơ hình Mở rộng Proxy Server Information ⇒ Mở row 1, dành cho ứng dụng Cơ sở liệu, phân cấp ⇒ Chọn No cho Proxy Server Information hình: Nhấp OK sau lưu dự án bạn Cấu hình Tường lửa không cho phép lưu lượng truy cập liên quan đến sở liệu qua tường lửa (nó lọc gói ra) Bằng cách này, sở liệu máy chủ bảo vệ khỏi truy cập từ bên Kịch tường lửa bạn trông giống sau : Kịch Firewall_VPN Trong kịch tường lửa, bảo vệ sở liệu máy chủ khỏi truy cập bên “bất kỳ” định tuyến tường lửa Giả sử muốn cho phép người trang web Bán hàng A có quyền truy cập vào sở liệu máy chủ Vì tường lửa lọc tất lưu lượng truy cập liên quan đến sở liệu nguồn lưu lượng truy cập gì, cần xem xét giải pháp VPN Một đường hầm ảo sử dụng Sales A để gửi yêu cầu sở liệu đến máy chủ Tường lửa không lọc lưu lượng tạo Sales A gói IP đường hầm đóng gói bên gói liệu IP Trong bạn Firewall, chọn Duplicate Scenario từ Scenarios đặt tên cho Firewall_VPN ⇒ Nhấp OK Hủy bỏ liên kết Router C Server Mở hộp thoại Object Palette cách nhấp vào Đảm bảo mở palette số gọi internet_toolbox i Thêm vào vùng làm việc dự án ethernet4_slip8_gtwy IP VPN Config (xem hình bên để biết vị trí) ii Từ Object Palette, sử dụng hai liên kết PPP DS1 để kết nối router với Router C(tường lửa) Server, hình iii Đóng hộp thoại Object Palette Đổi tên đối tượng IP VPN Config thành VPN Đổi tên router thành Router D sau: Định cấu hình VPN Nhấp chuột phải vào nút VPN ⇒ Edit Attributes i Mở VPN Configuration ⇒ chuyển Row ⇒ Mở Row ⇒ Chỉnh sửa giá trị Tunnel Source Name ghi xuống Router A ⇒ Chỉnh sửa giá trị Tunnel Destination Name ghi xuống Router D ii Mở Remote Client List ⇒ chuyển Row ⇒ Mở Row ⇒ Chỉnh sửa giá trị Client Node Name ghi xuống Sales A iii Nhấp vào OK sau lưu dự án bạn Chạy mô Để chạy mô cho ba kịch lúc: Vào menu Scenarios ⇒ Chọn Manage Scenarios Thay đổi giá trị cột Results (hoặc ) cho ba dòng Giữ giá trị mặc định Sim Duration (1 hour) So sánh với hình sau: Nhấn OK để chạy ba mô Tùy thuộc vào tốc độ xử lý bạn, q trình vài phút để hồn thành Sau hồn thành ba mơ phỏng, mô cho kịch bản, nhấp vào Close ⇒ Lưu dự án bạn Xem kết Để xem phân tích kết quả: Chọn Compare Results từ menu Results Mở Sales A ⇒ Mở rộng phân cấp Client DB ⇒ Chọn Traffic Received 3 Thay đổi trình đơn thả xuống phần phía hộp thoại Compare Results từ As Is đến time_average hình sau: Nhấn Show biểu đồ kết giống với biểu đồ sau: Tạo biểu đồ tương tự biểu đồ trước, đối Sales B: Tạo hai biểu đồ tương tự biểu đồ trước để mô tả Lưu lượng truy cập nhận Client Http cho Sales A Sales B Lưu ý: Kết thay đổi đơi chút vị trí nút khác Đọc thêm - Tác động khả liên kết Internet lên hiệu suất ứng dụng: Từ Menu giao thức, chọn Phương pháp ⇒ Lập kế hoạch dung lượng - Mạng riêng ảo: IETF RFC số 2685 (www.ietf.org/rfc.html) Câu hỏi 1) Từ đồ thị thu được, giải thích hiệu tường lửa, cấu hình VPN, lưu lượng sở liệu theo yêu cầu Sales A Sales B So sánh biểu đồ hiển thị lưu lượng HTTP nhận với biểu đồ hiển thị lưu lượng truy cập sở liệu nhận 3) Tạo phân tích (các) biểu đồ hiển thị ảnh hưởng tường lửa, VPN định cấu hình, thời gian phản hồi (độ trễ) trang HTTP truy vấn sở liệu 4) Trong kịch Firewall_VPN, cấu hình nút VPN cho khơng có lưu lượng từ Bán hàng A bị chặn tường lửa Tạo kịch Firewall_VPN đặt tên cho kịch Q4_DB_Web Trong trường hợp Q4_DB_Web, chúng tơi muốn định cấu hình mạng để: a Các sở liệu máy chủ truy cập người trang bán hàng A b Các trang web máy chủ truy cập người trang web Bán hàng B Báo cáo bạn bao gồm sơ đồ cấu hình mạng với thay đổi bạn thực cho thuộc tính nút có thêm vào Tạo đồ thị cần thiết thấy mạng đáp ứng yêu cầu Báo cáo thí nghiệm Chuẩn bị báo cáo theo hướng dẫn giải thích Lab Báo cáo phải bao gồm câu trả lời cho câu hỏi biểu đồ bạn tạo từ kịch mô Thảo luận kết bạn thu so sánh kết với mong chờ bạn Đề cập đến bất thường hành vi khơng giải thích