NGHIÊN CỨU VÀ ỨNG DỤNG IPCOP FIREWALL TÌM HIỂU ỨNG DỤNG VOICE IP

NGHIÊN CỨU VÀ ỨNG DỤNG IPCOP FIREWALL TÌM HIỂU ỨNG DỤNG VOICE IP

KHOA CÔNG NGHỆ THÔNG TIN

Tel (84-511) 736 949, Fax (84-511) 842 771

Website: itf.ud.edu.vn, E-mail: cntt@edu.ud.vn

BÁO CÁO THỰC TẬP TỐT NGHIỆP NGÀNH CÔNG NGHỆ THÔNG TIN

MÃ NGÀNH : 05115

ĐỀ TÀI : NGHIÊN CỨU VÀ ỨNG DỤNG IPCOP FIREWALL

TÌM HIỂU ỨNG DỤNG VOICE IP

SINH VIÊN : LÊ BÁ LƯỢNG

PHAN THANH HẢI NGUYỄN MINH CHÍ HOÀNG THANH TÙNG NGUYỄN THANH TÙNG

ĐÀ NẴNG, 1/2011

Chúng em xin chân thành cảm ơn trung tâm Trường Tân Group đã tạo điều kiện cho chúng em được thực tập tại trung tâm, được hỗ trợ thiết bị máy móc và các cơ sở vật chất trong suốt thời gian thực tập tại trung tâm.

Và đặc biệt cảm ơn anh Hồ Đắc Biên đã trực tiếp, tận tình giúp đỡ và hướng dẫn chúng em trong suốt thời gian thực tập tại công ty.

Chúng em xin chân thành cảm ơn các anh,chị trong công ty đã nhiệt tình giúp đỡ chúng em hoàn thành đề tài này.

Xin các bạn cùng lớp đã ủng hộ, động viên, giúp đỡ và đóng góp ý kiến Chúng em xin chân thành cảm ơn!

Sinh viên

Lê Bá Lượng Nguyễn Minh Chí Phan Thanh Hải Hoàng Thanh Tùng Nguyễn Thanh Tùng

Chúng em xin cam đoan :

1 Những nội dung trong báo cáo này là do tôi thực hiện dưới sự hướng dẫn trực tiếp của anh Hồ Đắc Biên

2 Mọi tham khảo dùng trong báo cáo này đều được trích dẫn rõ ràng tên tác giả, tên công trình, thời gian, địa điểm công bố.

3 Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, tôi xin chịu hoàn toàn trách nhiệm.

Sinh viên,

Lê Bá Lượng Nguyễn Minh Chí Phan Thanh Hải Hoàng Thanh Tùng Nguyễn Thanh Tùng

TỔNG QUAN ĐỀ TÀI 11

I Đề tài 11

I.1 Tên đề tài 11

I.2 Mục đích và ý nghĩa 11

GIỚI THIỆU CHUNG VỀ TƯỜNG LỬA 12

I Khái niệm và chức năng của firewall 12

I.1 Khái niệm 12

I.2 Chức năng firewall 13

II Cấu trúc, thành phần và cơ chế hoạt động firewall 14

II.1 Cấu trúc 14

II.2 Thành phần và cơ chế hoạt động 14

II.2.1 Thành phần 14

II.2.2 Cơ chế hoạt động 15

III Phân loại, kỹ thuật và hạn chế của firewall 19

III.1 Các loại firewall 19

III.2 Kỹ thuật và hạn chế của firewall 20

III.2.1 Lọc khung (Frame Filtering) 20

III.2.2 Lọc gói (Packet Filtering) 20

III.2.3 Những hạn chế của firewall 21

IV Một số mô hình firewall 21

IV.1 Packet-Filtering Router (Bộ trung chuyển có lọc gói tin) 21

IV.2 Screened Host 23

IV.3 Demilitarized Zone (khu vực phi quân sự hoá - DMZ) hay Screened-subnet Firewall: 24

IV.4 Proxy Server 26

GIỚI THIỆU CHUNG VỀ IPCOP FIREWALL 28

I Giới thiệu và mục đích của Ipcop firewall 28

I.1 Giới thiệu về ipcop firewall 28

I.2 Mục đích của ipcop 28

II Những thành phần và tính năng của ipcop firewall 28

II.1 Các thành phần 28

II.1.1 Giao diện web 28

II.1.2 Giao diện mạng (network interfaces) 29

II.1.3 Ưu điểm của Ipcop firewall 29

II.2 Các tính năng quan trọng của Ipcop firewall 30

II.2.1 Web proxy 30

II.2.2 Dhcp và Dynamic DNS 31

II.2.3 Time server và port Forwarding 32

II.2.4 Traffic Shaping và Vitual Private Network – VPN 34

I.2 Cài đặt 36

II Cài đặt và cấu hình gói urlfilter blockouttraffic 38

II.1 Cài đặt urlfilter 38

II.2 Cài đặt blockouttracffic 41

II.3 Cài đặt hmail 49

II.4 Port Forwarding 53

II.5 Advance Proxy 55

PHẦN 2: NGHIÊN CỨU ỨNG DỤNG VOICE IP 59

TỔNG QUAN ĐỀ TÀI 59

I Đề tài 59

I.1 Tên đề tài 59

I.2 Mục đích và ý nghĩa 59

TỔNG QUAN VỀ VOICE IP 60

I Giới thiệu chung về Voice Ip 60

I.1 Giới thiệu 60

I.2 Các định nghĩa liên quan đến Voice Ip 61

I.3 Các thành phần trong mạng Voice Ip 62

II Các kiểu kết nối sử dụng Voice Ip và thuận lợi của Voice Ip so với PSTN 63

II.1 Các kiểu kết nối sử dụng voice Ip 63

II.1.1 Computer to computer 63

II.1.2 Computer to phone 63

II.1.3 Phone to phone 63

II.2 Những điểm thuận lợi của Voice Ip so với PSTN 63

CÁCH THỨC HOẠT ĐỘNG NHÂN TỐ ẢNH HƯỞNG VÀ CÁC BỘ GIAO THỨC 66

I Voice Ip hoạt động như thế nào 66

I.1 Số hóa tín hiệu analog 66

I.2 Lấy mẫu (Sampling) 68

I.3 Lượng tử hóa (Quantization) 69

I.4 Mã hóa và nén giọng nói 70

I.4.1 Mã hóa (Encoding) 70

I.4.2 Nén giọng nói (Voice compression) 70

II Các nhân tố ảnh hưởng đến chất lượng thoại Voice Ip và các giao thức của Voice Ip (voice ip protocols) 72

II.1 Các nhân tố ảnh hưởng đến chất lượng thoại Voice Ip 72

II.1.1 Sự trễ: 72

II.1.2 Sự biến thiên độ trễ (Jitter) 72

II.1.3 Mất gói 72

II.2 Các giao thức của Voice Ip (Voice Ip Protocols): 73

II.2.1 Bộ giao thức H.323 73

II.2.2 Bộ giao thức SIP 74

II.2.3 Mgcp và Megaco/H.248 75

III Tính bảo mật và hướng khắc phục 76

III.1 Tính bảo mật của Voice Ip 76

III.2 Hướng khắc phục và biện pháp giải quyết 77

CÀI ĐẶT DEMO ỨNG DỤNG VOICE IP 79

I Cài đặt và cấu hình Trixbox 79

I.1 Tải bản cài đặt và ghi đĩa 79

I.1.1 Ghi ra CD 79

I.1.2 Chuẩn bị cài đặt 81

I.2 Cài đặt Trixbox CE 2.6 CE 81

II Cài đặt và cấu hình A2billing 84

KẾT LUẬN 92

MỤC LỤC HÌNH ẢNH

Hình 1 Mô hình tường lửa đơn giản 2

Hình 2 Lọc gói tin 5

Hình 3 Cổng mạch 8

Hình 4 Packet- filtering Router 12

Hình 5 Single- Homed Bastion Host 13

Hình 6 Dual- Homed Bastion Host 14

Hình 7 Mô hình Screened-Subnet Firewall 15

Hình 8 Mô hình 1 Proxy đơn giản 16

Hình 9 Giao diện Web 20

Hình 10 Dich vụ web proxy 20

Hình 11 Dịch vụ DHCP 21

Hình 12 Dịch vụ DNS 22

Hình 13 Dịch vụ Time Server 22

Hình 14 Dịch vụ Port Forwarding 23

Hình 15 Thêm một luật mới 24

Hình 16 Dịch vụ VPN 24

Hình 17 Mô hình cài đặt 25

Hình 18 Đặt địa chỉ IP cho card mạng Green 26

Hình 19 Chọn 3 mạng cần dùng green+orange+red 26

Hình 20 Đặt địa chỉ Ip cho card mạng Orange 27

Hình 21 Đặt địa chỉ Ip cho card mạng Red 27

Hình 22 Cài đặt cấu hình chung cho cả 3 card green, orange, red 28

Hình 23 Cài đặt gói urlfilter 28

Hình 24 Cài đặt urlfilter thành công và web proxy được mở 29

Hình 25 Client nối ipcop qua card mạng green qua địa chỉ http://192.168.3.1/81 29 Hình 26 Vào dịch vụ web proxy enable on green và nhấn nút save 30

Hình 27 Chặn 3 trang web không cho vào internet 30

Hình 28 Các trang web khác vào được mạng 30

Hình 29 Trang http://24h.com.vn đã bị chặn 31

Hình 30 Trang web http://baodatviet.vn cũng bị chặn 31

Hình 31 Cài đặt gói blockouttracffic 31

Hình 32 Quá trình cài đặt 32

Hình 33 Chọn dịnh vụ mặc định SMTP(25) 32

Hình 34 Add dịch vụ smtps 33

Hình 35 Add dịch vụ pop3(110) 33

Hình 36 Add dịch vụ pop3s(995) 34

Hình 37 Tạo ra Rule mới 34

Hình 38 Cài đặt mạng Green ra ngoài bằng các dịch vụ như hình vẻ 35

Hình 39 Bật Rule 35

Hình 40 Lưu lại cấu hình new rule 36

Hình 41 Enable blockouttracffic 36

Hình 42 Server mạng orange vẫn vô được internet 37

Hình 43 Client mạng vẫn vô bình thường(client mạng green) 38

Hình 44 Bên phía server(orange) không vào được mạng 38

Hình 45 Bên phía client vẫn vào được mạng bình thường(mạng green) 39

Hình 46 Giao diện sau khi cài hmail 39

Hình 47 Tạo user u1 39

Hình 48 Tạo user u2 40

Hình 49 Outlook express 40

Hình 50 Incoming mail server với tên u1@groupone.vn 41

Hình 51 Incoming mail server với tên u2@groupone.vn 41

Hình 52 u1 gửi mail cho u2 42

Hình 53 U2 nhận được mail của u1 42

Hình 54 Vào tab Port Forwarding 43

Hình 55 Thêm port 25 43

Hình 56 Thêm port 110 43

Hình 57 Gửi mail ra mạng ngoài 44

Hình 58 Client nhận được email 44

Hình 59 Mạng ngoài nhận và xem email thành công 44

Hình 60 Giao diện cấu hình advance proxy 45

Hình 61 Cấu hình không hạn giới hạn đối với ip 192.168.3.3 45

Hình 62 Cấu hình chặn ip 192.168.3.10 truy cập internet 46

Hình 63 Cấu hình giới hạn download cho toàn mạng 46

Hình 64 Ip 192.168.3.3 không bị hạn chế 47

Hình 65 Cấu hình địa chỉ IP của xp 47

Hình 66 Địa chỉ ip 192.168.3.10 bị cấm 48

Hình 67 Các địa khác vẫn truy cập internet bình thường 48

Hình 68 Các mạng không thể download quá 5MB 48

Hình 69 Mô hình chung về Voice Ip 51

Hình 70 Chuyển mạch gói trong voice IP 54

Hình 71 Sự khác nhau giữa PS và CS 55

Hình 72 Lấy mẫu 58

Hình 73 Lượng tử hóa 59

Hình 74 Packetizing voice 61

Hình 75 Cấu trúc của H.323 64

Hình 76 Ví dụ giao thức SIP 65

Hình 77 CD Burner XP 69

Hình 78 Chọn file ISO 70

Hình 79 Ghi file ISO 70

Hình 80 Màn hình cài đặt Trixbox đầu tiên 71

Hình 81 Lựa chọn ngôn ngữ 72

Hình 82 Chọn múi giờ 72

Hình 83 Nhập mật khẩu root 73

Hình 84 Dấu nhắc console 73

Hình 85 Cài đặt các gói phụ thuộc 74

Hình 86 Đặt địa chỉ IP 74

Hình 87 Cài đặt Mysql server 75

Hình 88 Tải file a2billing 75

Hình 89 Login vào giao diện admin 75

Hình 90 Tạo User 76

Hình 91 Reload trixbox 76

Hình 92 Kết quả gọi cụ bộ 77

Hình 93 Cài đặt phpmyadmin 77

Hình 94 Tạo database 78

Hình 95 Chỉnh sửa file a2billing.conf 78

Hình 96 Tạo nội dung cho database a2b 78

Hình 97 Chỉnh sửa asterisk manager 79

Hình 98 Cấu hình Dialplan 79

Hình 99 Tạo tác vụ cron 80

Hình 100 Login vào giao diện của a2billing 80

Hình 101 Các tính năng của a2billing 81

MỞ ĐẦU

1 Đôi nét về TTG Training Center

TTG Training Center:

Tiền thân là công ty DTSCorp có trụ sở chính tại Tp.HCM, thành lập vào năm

2005, hoạt động trong lĩnh vực tư vấn giải pháp CNTT, thiết kế và thi công các hệ thống mạng, an ninh mạng, các ứng dụng CNTT cho các doanh nghiệp

Tháng 5 năm 2006 hợp tác với công ty TNHH VSIC Informatics - công ty 100% vốn nước ngoài - đầu tư và thành lập chi nhánh công ty TNHH VSIC

Informatics tại Đà Nẵng, hoạt động chuyên về lĩnh vực đào tạo CNTT

Tháng 01 năm 2008: Mua lại toàn bộ chi nhánh công ty TNHH VSIC

Informatics tại Đà Nẵng, tăng vốn điều lệ và đổi tên thành TTG Training Center

Từ thời điểm có mặt tại Đà Nẵng năm 2006 VSIC Informatics (nay là TTG Training Center) đã từng bước khẳng định và dần trở thành một trong những Trung tâm đào tạo Công nghệ mạng máy tính hàng đầu tại Đà Nẵng nói riêng và các tỉnh miền Trung nói chung

Để giữ vững vị thế hàng đầu trong đào tạo Công nghệ mạng máy tính, TTG Training Center tiếp tục những nỗ lực để duy trì chất lượng đào tạo ưu việt cùng với những dịch vụ hỗ trợ học viên tốt nhất

TTG Training Center hiện là nhà cung cấp hàng đầu về dịch vụ đào tạo trong lĩnh lực công nghệ thông tin và truyền thông tại Việt Nam:

 Giảng viên đẳng cấp Quốc tế, nhiệt tình, tận tâm và kinh nghiệm thực tiễn

 Thiết bị đầy đủ, hiện đại của chính hãng

 Chương trình, giáo trình luôn được cập nhật Version mới nhất

 Thực hành ngoài giờ trên thiết bị và không giới hạn thời gian

 Tham gia miến phí các Hội thảo chuyên đề hàng tuần để bổ sung thêm kiến thức thực tiễn

Trụ sở TRUONG TAN Group Training Center

 Cơ sở 1: 134 Lê Duẩn, Quận Hải Châu, Thành phố Đà Nẵng

 Cơ sở 2: 75 Nguyễn Khuyến, Quận Thanh Khê, Thành phố Đà Nẵng

Điện thoại: (0511) 3867768 - Fax: (0511) 3867767 - Email: info@ttgtc.com

2 Yêu cầu đề tài

Ngày nay, với nhu cầu trao đổi thông tin thông qua mạng Internet mang lại mộttốc độ và lợi ích vô cùng to lớn nó còn tiềm ẩn lớn mối nguy hại cho an toàn thông tinnội bộ và vấn đề quản lí truy cập Chính vì vậy ta cần có phương pháp để giải quyết vấn đề này và tường lửa là một giải pháp tối ưu cho vấn đề này

Để hệ hoạt động an toàn ipcop firewall là một lựa chọn tối ưu vì ipcop firewall

là một phần mềm miễn phí và yêu cầu cài đặt đơn giản

Ngoài ra việc ứng dụng Internet vào thực tiễn cùng là một vấn đề đang rất phổ biến hiện nay, và một trong những ứng dụng đó là Voice ip nó giúp cho chúng ta gọi điện thoại với giá thành rẻ hơn bình thường rất nhiều

Công việc cần thực hiện:

 Xây dựng mô hình mô hình sử dụng ipcop firewall

 Cấu hình ipcop firewall trong hệ thống mô hình đó

 Xây dựng Demo thành công và sử dụng các tính năng nổi bật của Ipcopfirewall

 Giả lập hệ thống gọi điện thoại sử dụng Voice ip

 Cấu hình tổng đài PBx

3 Công việc được giao

Định kì đến công ty thực tập theo lịch sắp xếp của công ty và giảng viên hướngdẫn

Tham gia các hoạt động của công ty, tham gia xây dựng forum của công ty tại địa chỉ: http://ttgtc.com/forum/forum.php

Sử dụng hệ thống thiết bị của công ty để mô phỏng và thực hiện đề tài Tuân thủ các yêu cầu và nội quy công ty đưa ra

Báo cáo tiền độ định kỳ với giáo viên hướng dẫn đề tài

Phân công công việc

url-filter, tổng hợp báo cáo

blockoutraffic, demo trixbox

IPCOP FIREWALLCHƯƠNG MỞ ĐẦU

TỔNG QUAN ĐỀ TÀI

Nghiên cứu ứng dụng Ipcop Firewall

 Tìm hiểu chung về tường lửa (firewall) và các chức năng của nó

 Các mục đích của firewall

 Tìm hiểu các khối mô hình của firewall

 Giới thiệu về Ipcop firewall và các tính năng của nó

 Các Addon thêm vào

 Xây dựng được mô hình demo về ipcop firewall

 Cài đặt và cấu hình các tính năng nổi bật của Ipcop firewall

GIỚI THIỆU CHUNG VỀ TƯỜNG LỬA

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng đểngăn chặn, hạn chế hỏa hoạn Trong công nghệ thông tin, Firewall là một kỹ thuậtđược tích hợp vào hệ thống mạng để chống sự truy nhập trái phép nhằm bảo vệ cácnguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống.Cũng có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin tưởng khỏi các mạngkhông tin tưởng

Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công

ty, tổ chức, ngành hay một quốc gia và Internet Vai trò chính là bảo mật thông tin,ngăn chặn sự truy nhập không mong muốn từ bên ngoài và cấm truy nhập từ bên trongtới một số địa chỉ nhất định trên Internet

Hình 1 Mô hình tường lửa đơn giản

Một cách vắn tắt, firewall là hệ thống ngăn chặn việc truy nhập trái phép từ bênngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra Firewall thựchiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu địnhtrước

Firewall có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai

Firewall cứng : Là những firewall được tích hợp trên Router hoặc trên các thiết

bị chuyên dụng

o Hoạt tính cao hơn so firewall mềm

o Tốc độ xử lý nhanh hơn

o Bảo mật cao hơn

o Chi phí đắt hơn so firewall mềm

 Firewall mềm : Là những Firewall được cài đặt trên Server.

o Hoạt tính không cao bằng firewall cứng

o Tốc độ xử lý chậm, phụ thuộc hệ điều hành

o Tiện lợi, có thể cài đặt dễ dàng trên các máy server

o Đa dạng , chi phí thấp hơn so firewall cứng

Chức năng chính của Firewall là kiểm soát luồng thông tin giữa Intranet (mạngbên trong) và Internet Thiết lập cơ chế điều khiển dòng thông tin giữa Intranet vàmạng Internet

Cụ thể là :

o Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet)

o Cho phép hoặc cấm những dịch vụ từ ngoài truy nhập vào trong (từ Internetvào Intranet)

o Theo dõi luồng dữ liệu mạng giữa Internet và Intranet

o Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập

o Kiểm soát người sử dụng và việc truy nhập của người sử dụng Kiểm soát nộidung thông tin lưu chuyển trên mạng

Một firewall khảo sát tất cả các luồng lưu lượng giữa hai mạng để xem nó cóđạt chuẩn hay không Nếu nó đạt, nó được định tuyến giữa các mạng, ngược lại nó bịhủy Một bộ lọc firewall lọc cả lưu lượng ra lẫn lưu lượng vào Nó cũng có thể quản

lý việc truy cập từ bên ngoài vào nguồn tài nguyên mạng bên trong Nó có thể được

sử dụng để ghi lại tất cả các cố gắng để vào mạng riêng và đưa ra cảnh báo nhanhchóng khi kẻ thù hoặc kẻ không được phân quyền đột nhập

Firewall có thể lọc các gói dựa vào địa chỉ nguồn, địa chỉ đích và số cổng củachúng Điều này còn được gọi là lọc địa chỉ Firewall cũng có thể lọc các loại đặc biệtcủa lưu lượng mạng Điều này được gọi là lọc giao thức bởi vì việc ra quyết định chochuyển tiếp hoặc từ chối lưu lượng phụ thuộc vào giao thức được sử dụng, ví dụHTTP, FTP hoặc Telnet Firewall cũng có thể lọc luồng lưu lượng thông qua thuộctính và trạng thái của gói

II Cấu trúc, thành phần và cơ chế hoạt động firewall II.1 Cấu trúc

II.2 Thành phần và cơ chế hoạt động

II.2.1 Thành phần

Firewall chuẩn gồm một hay nhiều các thành phần sau đây :

 Bộ lọc packet (packet- filtering router)

 Cổng ứng dụng (application-level gateway hay proxy server)

 Cổng mạch (circuite level gateway)

II.2.2 Cơ chế hoạt động

a Bộ lọc packet

Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việctheo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nóichính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP,NFS …) thành các gói dữ liệu (data packets) rồi gán cho các gói này những địa chỉ cóthể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rấtnhiều đến các packet và những con số địa chỉ của chúng

Hình 2 Lọc gói tin

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểm tratoàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số cácluật lệ của lọc packet hay không Các luật lệ lọc packet này là dựa trên các thông tin ởđầu mỗi packet (header), dùng để cho phép truyền các packet đó ở trên mạng Baogồm:

• Địa chỉ IP nơi xuất phát (Source)

• Địa chỉ IP nơi nhận ( Destination)

• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …)

• Cổng TCP/UDP nơi xuất phát

• Cổng TCP/UDP nơi nhận

• Dạng thông báo ICMP

• Giao diện packet đến

• Giao diện packet đi

Nếu packet thỏa các luật lệ đã được thiết lập trước của Firewall thì packet đóđược chuyển qua, nếu không thỏa thì sẽ bị loại bỏ Việc kiểm soát các cổng làm choFirewall có khả năng chỉ cho phép một số loại kết nối nhất định được phép mới vàođược hệ thống mạng cục bộ

 Ưu điểm

o Đa số các hệ thống Firewall đều sử dụng bộ lọc packet Một trong

những ưu điểm của phương pháp dùng bộ lọc packet là đảm bảo thông qua của lưulượng mạng

o Bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì

vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả

Hạn chế

Việc định nghĩa các chế độ lọc packet là một việc khá phức tạp, nó đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet

header và các giá trị cụ thể mà họ có thể nhận trên mỗi trường Khi đòi hỏi vể sự lọc

càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và điềukhiển

b Cổng ứng dụng

Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát cácloại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng Cơ chế hoạt độngcủa nó dựa trên cách thức gọi là Proxy service (dịch vụ uỷ quyền) Proxy service làcác bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng Nếu người quản trịmạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽkhông được cung cấp và do đó không thể chuyển thông tin qua firewall Ngoài ra,proxy code (mã uỷ nhiệm) có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm

trong ứng dụng mà người quản trị mạng cho là chấp nhận được trong khi từ chốinhững đặc điểm khác.

Một cổng ứng dụng thường được coi như là một pháo đài chủ (bastion host), bởi

vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài Những biện phápđảm bảo an ninh của một bastion host là :

- Bastion host luôn chạy các version (phiên bản) an toàn của các phần mềm hệthống (Operating system) Các version an toàn này được thiết kế chuyên cho mục đíchchống lại sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợpfirewall

- Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặttrên bastion host, đơn giản chỉ vì nếu một dịch vụ được cài đặt, nó không thể bị tấncông

Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS,FTP, SMTP và xác thực user là được cài đặt trên bastion host

- Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như userpassword hay smart card

- Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một số các máy chủnhất định Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉđúng với một số máy chủ trên toàn hệ thống

- Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thôngqua nó, mỗi sự kết nối, khoảng thời gian kết nối Nhật ký này rất có ích trong việc tìmtheo dấu vết hay ngăn chặn kẻ phá hoại

- Mỗi proxy đều độc lập với các proxies khác trên bastion host Điều này chophép dễ dàng trong quá trình cài đặt một proxy mới, hay tháo gỡ một proxy đang cóvấn để

Ưu điểm:

- Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trênmạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào cóthể truy nhập được bởi các dịch vụ

- Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nàocho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là cácdịch vụ ấy bị khoá.

- Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt và nó có nhật ký ghichép lại thông tin về truy nhập hệ thống

- Luật lệ filtering (lọc) cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn

so với bộ lọc packet

Hạn chế:

Yêu cầu các users thực hiện các thao tác chỉnh sửa phần mềm đã cài đặt trênmáy client cho truy nhập vào các dịch vụ proxy Ví dụ, Telnet truy nhập qua cổng ứngdụng đòi hỏi hai bước đê nối với máy chủ chứ không phải là một bước Tuy nhiên,cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trongsuốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trênlệnh Telnet

c Cổng mạch

Cổng mạch là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứngdụng Cổng mạch đơn giản chỉ chuyển tiếp các kết nối TCP mà không thực hiện bất

kỳ một hành động xử lý hay lọc packet nào

Hình 3 minh hoạ một hành động sử dụng nối telnet qua cổng mạch Cổng mạchđơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm tra,lọc hay điều khiển các thủ tục Telnet Cổng mạch làm việc như một sợi dây, sao chépcác byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outsideconnection) Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall nên nó chedấu thông tin về mạng nội bộ

Hình 3 Cổng mạch

Cổng mạch thường được sử dụng cho những kết nối ra ngoài, nơi mà các quảntrị mạng thật sự tin tưởng những người dùng bên trong Ưu điểm lớn nhất là mộtbastion host có thể được cấu hình như là một hỗn hợp cung cấp Cổng ứng dụng chonhững kết nối đến và cổng mạch cho các kết nối đi Điều này làm cho hệ thống bứctường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truynhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo

vệ mạng nội bộ từ những sự tấn công bên ngoài

III Phân loại, kỹ thuật và hạn chế của firewall

III.1 Các loại firewall

Có ba loại tường lửa cơ bản tùy theo:

 Truyền thông được thực hiện giữa một nút đơn và mạng, hay giữa một số mạng

 Truyền thông được chặn tại tầng mạng, hay tại tầng ứng dụng

 Tường lửa có theo dõi trạng thái của truyền thông hay không

Phân loại theo phạm vi của các truyền trông được lọc, có các loại sau:

 Tường lửa cá nhân, một ứng dụng phần mềm với chức năng thông thường là lọc dữ liệu ra vào một máy tính đơn

 Tường lửa mạng, thường chạy trên một thiết bị mạng hay máy tính chuyên dụng đặt tại ranh giới của hai hay nhiều mạng hoặc các khu phi quân sự (mạng con

trung gian nằm giữa mạng nội bộ và mạng bên ngoài) Một tường lửa thuộc loại này lọc tất cả giao thông dữ liệu vào hoặc ra các mạng được kết nối qua nó.

Loại tường lửa mạng tương ứng với ý nghĩa truyền thống của thuật ngữ "tường lửa" trong ngành mạng máy tính

Khi phân loại theo các tầng giao thức nơi giao thông dữ liệu có thể bị chặn, có

ba loại tường lửa chính:

 Tường lửa tầng mạng Ví dụ iptables

 Tường lửa tầng ứng dụng Ví dụ TCP Wrappers

 Tường lửa ứng dụng Ví dụ: hạn chế các dịch vụ ftp bằng việc định cấu hình tại tệp /etc/ftpaccess

Các loại tường lửa tầng mạng và tường lửa tầng ứng dụng thường trùm lên nhau, mặc dù tường lửa cá nhân không phục vụ mạng, nhưng một số hệ thống đơn đã cài đặt chung cả hai

Cuối cùng, nếu phân loại theo tiêu chí rằng tường lửa theo dõi trạng thái của các kết nối mạng hay chỉ quan tâm đến từng gói tin một cách riêng rẽ, có hai loại tường lửa:

 Tường lửa có trạng thái (Stateful firewall)

 Tường lửa phi trạng thái (Stateless firewall)

III.2 Kỹ thuật và hạn chế của firewall

III.2.1 Lọc khung (Frame Filtering)

Hoạt động trong hai tầng của mô hình OSI, có thể lọc, kiểm tra được mức bit vànội dung của khung tin Trong tầng này các khung dữ liệu không tin cậy sẽ bị từ chốingay trước khi vào mạng

III.2.2 Lọc gói (Packet Filtering)

Kiểu Firewall chung nhất là kiểu dựa trên tầng mạng của mô hình OSI Lọc góicho phép hay từ chối gói tin mà nó nhận được Nó kiểm tra toàn bộ đoạn dữ liệu đểquyết định xem đoạn dữ liệu đó có thoả mãn một trong số các quy định của lọc Packethay không Các quy tắc lọc packet dựa vào các thông tin trong Packet header

Nếu quy tắc lọc packet được thoả mãn thì gói tin được chuyển qua Firewall Nếukhông sẽ bị bỏ đi Như vậy Firewall có thể ngăn cản các kết nối vào hệ thống hoặckhoá việc truy nhập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép

Một số Firewall hoạt động ở tầng mạng thường cho phép tốc độ xử lý nhanh vìchỉ kiểm tra địa chỉ IP nguồn mà không thực hiện lệnh trên router, không xác định địachỉ sai hay bị cấm Nó sử dụng địa chỉ IP nguồn làm chỉ thị, nếu một gói tin mang địachỉ nguồn là địa chỉ giả thì nó sẽ chiếm được quyền truy nhập vào hệ thống Tuynhiên có nhiều biện pháp kỹ thuật có thể được áp dụng cho việc lọc gói tin nhằm khắcphục nhược điểm trên, ngoài trường địa chỉ IP được kiểm tra còn có các thông tinkhác được kiểm tra với quy tắc được tạo ra trên Firewall, các thông tin này có thể làthời gian truy nhập, giao thức sử dụng, cổng.

Firewall kiểu Packet Filtering có hai loại :

a Packet filtering Firewall : Hoạt động tại tầng mạng của mô hình OSI hay tầng

IP trong mô hình TCP/IP Kiểu Firewall này không quản lý được các giao dịch trênmạng

b Circuit level gateway : Hoạt động tại tầng phiên của mô hình OSI hay tầngTCP trong mô hình TCP/IP Là loại Firewall xử lý bảo mật giao dịch giữa hệ thống vàngười dùng cuối (VD: kiêmt tra ID, mật khẩu) loại Firewall cho phép lưu vết trạngthái của người truy nhập

III.2.3 Những hạn chế của firewall

 Firewall không đủ thông minh như con người để có thể đọc hiểu từng loạithông tin và phân tích nội dung tốt hay xấu của nó Firewall chỉ có thể ngăn chặn sựxâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ cácthông số địa chỉ

 Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công nàykhông “đi qua” nó Một cách cụ thể : firewall không thể chống lại một cuộc tấn công

từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bắt hợp pháp lênđĩa mềm

 Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu Khi cómột số chương trình được chuyền theo thư điện tử, vượt qua firewall vào trongmạng được bảo vệ và bắt đầu hoạt động ở đây

Ví dụ với các virus máy tính, firewall không thể làm nhiệm vụ rà quét virustrên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các

virus mới và do có rất nhiều cách để mã hoá dữ liệu thoát khỏi khả năng kiểm soátcủa firewall.

Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi

IV Một số mô hình firewall

IV.1 Packet-Filtering Router (Bộ trung chuyển có lọc gói tin)

Hệ thống Internet firewall phổ biến nhất chỉ bao gồm một packet-filtering routerđặt giữa mạng nội bộ và Internet Một packe-filtering router có hai chức năng :chuyển tiếp truyền thông giữa hai mạng và sử dụng các quy luật về lọc gói để chophép hay từ chối truyền thông

Hình 4 Packet- filtering Router

Căn bản, các quy luật lọc được định nghĩa sao cho các host trên mạng nộ bộđược quyền truy nhập trực tiếp tới Internet, trong khi các host trên Internet chỉ có một

số giới hạn các truy nhập vào các máy tính trên mạng nội bộ Tư tưởng của mô hìnhcấu trúc firewall này là tất cả những gì không được chỉ ra ràng thì có nghĩa là bị từchối

 Ưu điểm:

o Giá thành thấp, cấu hình đơn giản

o Trong suốt đối với user

 Hạn chế:

o Dễ bị tấn công vào các bộ lọc mà cấu hình được đặt không hoàn hảohoặc bị tấn công ngầm dưới những dịch vụ đã được phép.

o Do cac packet được trao đổi trực tiếp giữa hai mạng thông qua router,nguy cơ bị tấn công quyết định bởi số lượng các host và dịch vụ được phép Điều đódẫn đến mỗi một host được phép truy nhập trực tiếp vào Internet cần phải được cungcấp một hệ thống xác thực phức tạp và thường xuyên kiểm tra bởi người quản trịmạng xem có dấu hiệu của sự tấn công nào không

o Nếu một packet-filtering router do một sự cố nào đó ngừng hoạt động ,tất cả hệ thống trên mạng nội bộ có thể bị tấn công

IV.2 Screened Host

Hệ thống bao gồm một packet-filtering router và một bastion host (pháo đàichủ) Hệ thống này cung cấp độ bảo mật cao hơn hệ thống trên, vì nó thực hiện cả bảomật ở tầng network và ở tầng ứng dụng Đồng thời kẻ tấn công phải phá vỡ cả haitầng bảo mật để tấn công vào mạng nội bộ

Hình 5 Single- Homed Bastion Host

Trong hệ thống này, bastion host được cấu hình ở trong mạng nội bộ Quy luậtfiltering router được định nghĩa sao cho tất cả các hệ thống ở bên ngoài chỉ có thể truynhập bastion host Việc truyền thông tới tất cả các hệ thống bên trong đều bị khoá, bởi

vì các hệ thống nội bộ và bastion host ở trên cùng một mạng, chính sách bảo mật củamột tố chức sẽ quyết định xem các hệ thống nội bộ được phép truy nhập trực tiếp vàobastion Internet hay là chúng phải sử dụng dịch vụ proxy trên bastion host Việc bắt

buộc những user nội bộ được thực hiện bằng cách đặt cấu hình bộ lọc của router saocho chỉ chấp nhận những truyền thông nội bộ xuất phát từ bastion host.

 Ưu điểm :

Máy chủ cung cấp các thông tin công cộng qua dịch vụ Web và FTP có thể đặttrên packet-filtering router và bastion Trong trường hợp yêu cầu độ an toàn cao nhất,bastion host có thể chạy các dịch vụ proxy yêu cầu tất cả các user cả trong và ngoàitruy nhập qua bastion host trước khi nối với máy chủ Trường hợp không yêu cầu độ

an toàn cao thì các máy nội bộ có thể nối thẳng với máy chủ

Nếu cần độ bảo mật cao hơn nữa thì có thể dùng hệ thống firewall dual-home(hai chiều) bastion host Một hệ thống bastion host nh vậy có 2 giao diện mạng(network interface), nhng khi đó khả năng truyền thông trực tiếp giữa hai giao diện đóqua dịch vụ proxy là bị cấm

IV.3 Demilitarized Zone (khu vực phi quân sự hoá - DMZ) hay

Screened-subnet Firewall:

Hệ thống bao gồm hai packet-filtering router và một bastion host Hệ thống có

độ an toàn cao nhất vì nó cung cấp cả mức bảo mật network và application, trong khiđịnh nghĩa một mạng “phi quân sự” Mạng DMZ đóng vai trò như một mạng nội bộ

Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và mạng nội bộchỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ và sự truyềntrực tiếp qua mạng DMZ là không thể được

Với những thông tin đến, router ngoài chống lại những sự tấn công chuẩn (nhưgiả mạo địa chỉ IP) và điều khiển truy nhập tới DMZ Hệ thống chỉ cho phép bênngoài truy nhập vào bastion host Router trong cung cấp sự bảo vệ thứ hai bằng cáchđiều khiển DMZ truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ bastionhost

Với những thông tin đi, router trong điều khiển mạng nội bộ truy nhập tới DMZ

Nó chỉ cho phép các hệ thống bên trong truy nhập bastion host và có thể cảinformation server Quy luật filtering trên router ngoài yêu cầu sử dụng dịch vụ proxybằng cách chỉ cho phép thông tin ra bắt nguồn từ bastion host

 Ưu điểm:

Kẻ tấn công cần phá vỡ 3 tầng bảo vệ : router ngoài, bastion host và routertrong

Bởi vì router ngoài chỉ quảng cáo DMZ network tới Internet, hệ thống mạng nội

bộ là không thể nhìn thấy, chỉ có một số hệ thống đã được chọn ra trên DMZ là đượcbiết đến bởi Internet qua routing table và DNS information exchange (Domain NameServer)

Bởi vì ruoter trong chỉ quảng cáo DMZ network tới mạng nội bộ, các hệ thốngtrong mạng nội bộ không thể truy nhập trực tiếp vào Internet Điều này đảm bảo rằngnhững uer bên trong bắt buộc phải truy nhập Internet qua dịch vụ proxy

The Internet

router Bªn trong

Information server

Bastion host

DMZ

Hình 7 Mô hình Screened-Subnet Firewall

IV.4 Proxy Server

Chúng ta sẽ xây dựng Firewall theo kiến trúc application-level gateway (cổngvào mức ứng dụng), theo đó một bộ chương trình proxy (uỷ quyền) được đặt ởgateway cách một mạng bên trong tới Internet

Bộ chương trình proxy được phát triển dựa trên bộ công cụ xây dựng InternetFirewall TIS (Trusted Information System - Hệ thống thông tin tin cậy), bao gồm một

bộ các chương trình và đặt lại cấu hình hệ thống để nhằm mục đích xây dựng mộtFirewall Bộ chương trình được thiết kế để chạy trên hệ Unix sử dụng TCP/IP vớigiao diện socket Berkeley

Hình 8 Mô hình 1 Proxy đơn giản

Bộ chương trình proxy được thiết kế cho một số cấu hình firewall, theo các dạng

cơ bản: dual-home gateway, screened host gateway và screened subnet gateway.Thành phần bastion host trong firewall đóng vai trò như một người chuyển tiếpthông tin, ghi nhật ký truyền thông và cung cấp các dịch vụ, đòi hỏi độ an toàn cao.Proxy server giống như một vệ sĩ bảo vệ khỏi những rắc rối trên internet MộtProxy server thường nằm bên trong tường lửa, giữa trình duyệt web và server thật,làm chức năng tạm giữ những yêu cầu Internet của các máy khách để chúng khônggiao tiếp trực tiếp Internet Người dùng sẽ không truy cập được những trang webkhông cho phép (bị công ty cấm ).Ví dụ : Không muốn nhân viên mua bán cổ phiếutrong giờ làm việc thì admin có thể dùng Proxy server để khóa việc truy cập vào cácsite tài chính trong một số giờ

Mọi yêu cầu của máy khách phải qua Proxy server, nếu địa chỉ IP có trên proxy,nghĩa là Web site này được lưu trữ cục bộ, thì trang này sẽ đươc truy cập mà khôngcần phải kết nối Internet, nếu không có trên Proxy server và trang này không bị cấmyêu cầu sẽ được chuyển đến server thật và ra Internet Proxy server lưu trữ cục bộ cáctrang Web thường truy cập nhất trong bộ đệm dẫn đến giảm chi phí mà tốc độ hiển thịtrang Web nhanh

Proxy server bảo vệ mạng nội bộ khỏi bị xác định bởi bên ngoài bằng cách manglại cho mạng hai định danh : một cho nội bộ, một cho bên ngoài Điều này tạo ra một

“bí danh” đối với thế giới bên ngoài gây khó khăn đối với nếu người dùng “tự tung tựtác” hay các tay bẻ khóa muốn xâm nhập trực tiếp máy nào đó.

Proxy server làm cho việc sử dụng băng thông hiệu quả

CHƯƠNG 2

GIỚI THIỆU CHUNG VỀ IPCOP FIREWALL

- IPCop là một phần được cắt ra từ Linux và có khả năng hoạt động nhưmột firewall Nó có những tính năng cao cấp của firewall, bao gồm VPNs sử dụngIPSec

- Phần mềm mã nguồn mở (Open Source Software), bản quyền của GNUGeneral Public License (GPL) và được miễn phí khi sử dụng

- IPcop firewall là một firewall ứng dụng cho doanh nghiệp vừa và nhỏ(Small Office/ Home Office – SOHO)

- IPCop có thể được phát triển như một add-on để một hệ điều hành theocách mà Shorewall là một ứng dụng được cài trên hệ thống linux hoặc máy chủ ISAtrên hệ thống windows

- Nếu máy chủ của bạn với mục đích chỉ là một tường lửa cho mạng củabạn, bạn cần có một sự hiểu biết đầy đủ cơ bản về hệ điều hành Linux để có đượcnhững phần mềm cài đặt và nếu muốn hoạt động tốt thì bạn phải cấu hình cả hai hệđiều hành và IPCop Tuy nhiên bản thân IPCop là một hệ điều hành riêng nên bạnkhông cần thiết phải biết Linux để sử dụng hệt thống

II Những thành phần và tính năng của ipcop firewall II.1 Các thành phần

II.1.1 Giao diện web

Nhiều tường lửa phức tạp đối với người dùng Nó đòi hỏi số lượng đáng kểtrong việc đào tạo và kinh nghiệm để làm quen với nó Giao diện máy chủ ISA là một

ví dụ điển hình Giao diện để cấu hình ipcop là giao diện chạy bằng web, đây là giaodiện khá dễ sử dụng và trực quan cho người quản trị

CHèn hình (giao diện của ipcop)

II.1.2 Giao diện mạng (network interfaces)

IPCop cung cấp bốn giao diện mạng bao gồm : Green, blue, orange,red Mỗigiao diện mạng được sử dụng để kết nối đến một mạng riêng biệt

- Green network interface

Giao diện mạng này kết nối với mạng cục bộ ( mạng bên trong) của bạn IPCop sẽ tựđộng cho phép tất cả các kết nối từ giao diện mạng này đến tất cả các mạng khác

- Red network interface

Giao diện mạng red đại diện cho mạng ngoài internet Mục đích của mạng rednày nhằm bảo vệ các nguy cơ đối với mạng Green, Blue và Orange

Các phân đoạn Red có thể là một mạng Ethernet giao diện tĩnh hoặc sử dụngDHCP, nó có thể là một USB ADSL modem, một card ISDN, hoặc có thể là một dial-

up, analog modem kết nối với điện thoại chuyển mạch công cộng

- Orange Network Interface

Giao diện mạng Orange được thiết kế như một mạng DMZ (demiliatized zone).DMZ mang ý nghĩa như một phân đoạn mạng giữa mạng nội bộ và một mạng bênngoài Trong khu vực DMZ thường đặt các máy chủ chạy các dịch vụ như webserver , mail server …

- Blue Network Interface

Mạng blue được thêm vào IPCop phiên bản 1.4 Mạng này được thiết kế để kếtnối với các thiết bị không dây và bảo vệ các thiết bị này

II.1.3 Ưu điểm của Ipcop firewall

- Dễ quản lý và giám sát

Các nhà phát triển IPCop đã xây dựng một hệ thống giúp cho việc nâng cấp hệthống đơn giản hơn Điều này được thực hiện hoàn toàn từ giao diện web Tuy nhiên,nếu người dung không muốn đăng nhập vào Linux Console thì việc thay đổi này cóthể thực hiện đơn giản bằng cách sử dụng phím và màn hình được gắn liền với máytính hoặc sử dụng SSH từ một máy tính trên mạng nội bộ ( giao diện Green) Mặcđịnh SSH bị tắt, vì vậy muốn sử dụng thì bật nó lên

Với những trạng thái được cung cấp trên giao diện web, chúng ta có thể biếtchính xác hệ thống đang làm việc như thế nào Chúng ta có thể nhìn thấy những dịch

vụ đang chạy trên tường lửa, bộ nhớ, và tình trạng sử dụng ổ đĩa cũng như lưu lượngđang ra vào interface

- Hoàn toàn miễn phí, yêu cầu thiết bị cấu hình thấp, có thể chạy trên thẻ nhớCompact Flash

- Cài đặt dễ dàng và nhanh chóng hổ trợ giao diện đa ngôn ngữ (có tiếng Việt)

- Quản trị từ xa qua Web GUI hoặc SSH Tunnel

Hình 9 Giao diện Web

II.2 Các tính năng quan trọng của Ipcop firewall

II.2.1 Web proxy

IPCop được dung như một proxy cũng như tường lửa Bạn có thể dễ dàng quản lý bộ nhớ cache và cấu hình proxy trên giao diện Green Tất cả những gì bạn làm là kích vào các ô trong giao diện để cấu hình proxy trên IPCop

Hình 10 Dich vụ web proxy

Các dịch vụ proxy cho phép người dung truy cập các dịch vụ internet, với dịch vụ nàyngười dùng luôn nghĩ mình đang tương tác trực tiếp với các dịch vụ internet Tuy nhiên khi Client muốn truy xuất đến các dịch vụ trên internet thì phải qua proxy, proxy có nhiệm vụ xác định các yêu cầu của người dùng rồi quyết định có đáp ứng hay không Nếu có đáp ứng thì proxy server sẽ kết nối với server thật thay cho client

và tiếp tục chuyển tiếp các yêu cầu đến cho client cũng như đáp ứng những yêu cầu của server đến client Vì vậy proxy server giống như cầu nối trung gian giữa server vàclient

Chương trình này giám sát sự thay đổi địa chỉ IP tại host và liên hệ với hệ thống DNS mỗi khi địa chỉ IP của host (vốn được cung cấp bởi ISP bằng phương phápđộng) thay đổi và sau đó update thông tin vào cơ sở dữ liệu DNS về sự thay đổi địa chỉ đó Bằng cách này, cho dù máy chủ có thường xuyên bị thay đổi địa chỉ thì tên miền vẫn được hệ thống máy chủ DNS trỏ về đúng địa chỉ được cấp IP mới đó

Hình 13 Dịch vụ Time Server

- Port Forwarding

Đây là chức năng khá phổ biến trong tường lửa từ doanh nghiệp vừa và nhỏ đến những doanh nghiệp lớn Có hai thuận lợi trong IPCop Thứ nhất, chúng ta không

có bất kỳ hạn chế về số lượng chuyển tiếp chúng ta có thể thêm vào Thứ hai, nó rất

dễ cài đặt Đối với những thiết bị của doanh nghiệp vừa và nhỏ không chỉ chúng ta bị hạn chế về số lượng cổng mà còn tìm thấy những cấu hình phức tạp xung quanh nó

Hình 14 Dịch vụ Port Forwarding

Trong hình trên, IPCop kết nối với client trên 2 cổng 25 (mail) và 80 (web), nhưng kết nối đến cổng 25 và 80 đã được chuyển tiếp đến các dịch vụ tương ứng.

Hình 15 Thêm một luật mới

II.2.4 Traffic Shaping và Vitual Private Network – VPN

- Traffic Shaping

Thiết lập mức ưu tiên về tốc độ theo port, hỗ trợ cả 2 giao thức là TCP và UDP

dụng của từng nhóm ứng dụng

Ví dụ: ưu tiên tốc độ FTP ở mức cao, tốc độ duyệt web ở mức trung bình…

- Mạng riêng ảo (Vitual Private Network – VPN)

Tính năng này cho phép bạn tham gia nhiều mạng hơn trên internet với một liên kết riêng

Hình 16 Dịch vụ VPN

I.2 Cài đặt

Hình 18 Đặt địa chỉ IP cho card mạng Green

Hình 19 Chọn 3 mạng cần dùng green+orange+red

Hình 20 Đặt địa chỉ Ip cho card mạng Orange

Hình 21 Đặt địa chỉ Ip cho card mạng Red