Mục lục
Lời cảm ơn
Lời nói đầu
Chương 1: Mở đầu
1.1 Lý do chọn đề tài
1.2 Mục tiêu đề tài
1.3 Mục đích
1.4 Nội dung đề tài
Chương 2: Tìm hiểu về Firewall
2.1 Khái niệm tường lửa (Firewall)
2.1.1 Khái niệm Firewall
2.1.2 Đặc điểm của Firewall
2.1.3 Ưu điểm và hạn chế
2.2 Các loại Firewall và cơ chế hoạt động
2.2.1 Bộ lọc gói (Packet Filtering)
2.2.2 Cổng ứng dụng (Application-Level Gateway )
2.2.3 Cổng vòng (Circuit-Level Gateway)
2.3 Những mô hình cơ bản của Firewall
2.3.1 Dual-Homed Host
2.3.2 Kiến trúc Screened Host
2.3.3 Kiến trúc Screened Subnet Host
2.3.4 Sử dụng nhiều Bastion Host
2.3.5 Kiến trúc ghép chung Router trong và Router ngoài
2.4 Hệ thống Proxy
2.4.1 Tác dụng và chức năng
2.4.2 Sự kết nối thông qua Proxy (Proxying)
2.4.3 Các dạng Proxy
Chương 3: Tìm hiểu Smoothwall Express
3.1 Giới thiệu
3.2 Cài đặt SmoothWall Express
3.2.1 Cấu hình yêu cầu
3.2.2 Các bước cài đặt
3.2.3 Truy câp SmoothWall Express
3.3 Quản trị SmoothWall Express
3.3.1 Tổng quan SmoothWall Express
3.3.2 Kiểm soát Network Traffic
3.3.3 Làm việc với VPN
3.3.4 Sử dụng SmoothWall Express Tools
3.3.5 Sử dụng SmoothWall Express Services
3.3.6 Quản lý Sử dụng SmoothWall Express
3.3.7 Thông tin và bản ghi
Chương 4: Thực nghiệm
4.1 Mô tả, yêu cầu
4.2 Các bước cấu hình
4.3 Cấu hình các luật
4.4 Kiểm tra
Chương 5: Kết luận
5.1 Kết quả đạt được
5.2 Ưu điểm, khuyết điểm
5.3 Hướng phát triển
5.4 Khó khăn
Tài liệu tham khảo
73 trang |
Chia sẻ: netpro | Lượt xem: 6280 | Lượt tải: 3
Bạn đang xem trước 20 trang tài liệu Tiểu luận Tìm hiểu và xây dựng hệ thống Firewall mã nguồn mở sử dụng Smoothwall, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
i đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài
Những mô hình Firewall
Dưới đây sẽ đưa ra một số mô hìnhFirewall cơ bản, các kiến trúc khác có thể mở rộng từ kiến trúc này tùy theo cấu trúc kết nối của mạng.
Dual-Homed Host
Hình 3: Sơ đồ kiến trúc Dual–homed Host
Dual–homed Host là hình thức xuất hiện đầu tiên để bảo vệ mạng nội bộ. Dual–homed Host là một máy tính có hai giao tiếp mạng: một nối với mạng cục bộ và một nối với mạng ngoài (Internet).
Hệ điều hành của Dual–homed Host được cấu hình để chức năng chuyển các gói tin (Packet forwarding) giữa hai giao tiếp mạng này không hoạt động. Để làm việc được với một máy trên Internet, người dùng ở mạng cục bộ trước hết phải login vào Dual–homed Host, và từ đó bắt đầu phiên làm việc.
Ưu điểm của Dual–homed Host:
Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt.
Dual–homed Host chỉ yêu cầu cấm khả năng chuyển các gói tin, do vậy, thông thường trên các hệ Unix, chỉ cần cấu hình và dịch lại nhân (Kernel) của hệ điều hành là đủ.
Nhược điểm của Dual–homed Host:
Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng như những hệ phần mềm mới được tung ra thị trường.
Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản thân nó, và khi Dual–homed Host đó bị đột nhập, nó sẽ trở thành đầu cầu lý tưởng để tấn công vào mạng nội bộ.
Đánh giá về kiến trúc Dual–homed Host:
Để cung cấp dịch vụ cho những người sử dụng internal network có một số giải pháp như sau:
Kết hợp với các Proxy Server cung cấp những Proxy Service
Đăng nhập vào máy dual-homed host bằng account được cấp
Nếu dùng phương pháp cấp account thì rất phiền phức cho người sử dụng vì phải login vào máy khác.
Nếu dùng Proxy Server thì khó cung cấp được nhiều dịch vụ vì khả năng đáp ứng của hệ thống.
Một khuyết điểm cơ bản của hai mô hình trên nữa là khi mà máy dual –homed host bị đột nhập vào. Người tấn công sẽ thấy hết các lưu thông bên trong mạng nội bộ.
Kiến trúc Screened Host
Kiến trúc này kết hợp 2 kỹ thuật đó là Packet Filtering và Proxy Services.
Packet Filtering: Lọc một số loại dịch vụ mà hệ thống muốn cung cấp sử dụng Proxy Server, bắt người sử dụng nếu muốn dùng dịch vụ thì phải kết nối đến Proxy Server mà không được bỏ qua Proxy Server để nối trực tiếp với mạng bên trong/bên ngoài (internal/external network), đồng thời có thể cho phép Bastion Host mở một số kết nối với internal/external host.
Proxy Service: Bastion Host sẽ chứa các Proxy Server để phục vụ một số dịch vụ hệ thống cung cấp cho người sử dụng qua Proxy Server.
Hình 4: Sơ đồ kiến trúc Screened Host
Ưu, khuyết điểm của kiến trúc Screened Host
Kiến trúc screened host hay hơn kiến trúc dual–homed host ở một số điểm cụ thể sau:
Dual–Homed Host: Khó có thể bảo vệ tốt vì máy này cùng lúc cung cấp nhiều dịch vụ, vi phạm qui tắc căn bản là mỗi phần tử hay thành phần nên giữ ít chức năng nếu có thể được (mỗi phần tử nên giữ ít chức năng càng tốt), cũng như tốc độ đáp ứng khó có thể cao vì cùng lúc đảm nhận nhiều chức năng.
Screened Host: Đã tách chức năng lọc các gói IP và các Proxy Server ở hai máy riêng biệt. Packet Filtering chỉ giữ chức năng lọc gói nên có thể kiểm soát, cũng như khó xảy ra lỗi (tuân thủ qui tắc ít chức năng). Proxy Servers được đặt ở máy khác nên khả năng phục vụ (tốc độ đáp ứng) cũng cao.
Cũng tương tự như kiến trúc Dual–Homed Host khi mà Packet Filtering system cũng như Bastion Host chứa các Proxy Server bị đột nhập vào (người tấn công đột nhập được qua các hàng rào này) thì lưu thông của internal network bị người tấn công thấy.
Từ khuyết điểm chính của 2 kiến trúc trên ta có kiến trúc thứ 3 sau đây khắc phục được phần nào khuyết điểm trên.
Kiến trúc Screened Subnet Host
Hình 5: Sơ đồ kiến trúc Screened Subnet Host
Với kiến trúc này, hệ thống này bao gồm hai Packet–Filtering Router và một Bastion Host (hình 5). Kiến trúc này có độ an toàn cao nhất vì nó cung cấp cả mức bảo mật: Network và Application trong khi định nghĩa một mạng perimeter network. Mạng trung gian(DMZ) đóng vai trò như một mạng nhỏ, cô lập đặt giữa Internet và mạng nội bộ. Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, và sự truyền trực tiếp qua mạng DMZ là không thể được.
Với những thông tin đến, Router ngoài(Exterior Router) chống lại những sự tấn công chuẩn (như giả mạo địa chỉ IP), và điều khiển truy nhập tới DMZ. Nó chỉ cho phép hệ thống bên ngoài truy nhập Bastion Host. Router trong (Interior Router) cung cấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ Bastion Host.
Với những thông tin đi, Router trong điều khiển mạng nội bộ truy nhập tới DMZ. Nó chỉ cho phép các hệ thống bên trong truy nhập Bastion. Quy luật Filtering trên Router ngoài yêu cầu sử dụng dịch vụ Proxy bằng cách chỉ cho phép thông tin ra bắt nguồn từ Bastion Host.
Ưu điểm:
Có ba tầng bảo vệ: Router ngoài, Bastion Host và Router trong.
Router ngoài chỉ quảng bá DMZ Network tới Internet, hệ thống mạng nội bộ là không thể nhìn thấy (invisible). Chỉ có một số hệ thống đã được chọn ra trên DMZ là được biết đến bởi Internet qua routing table và DNS information exchange (Domain Name Server).
Router trong chỉ quảng bá DMZ Network tới mạng nội bộ, các hệ thống trong mạng nội bộ không thể truy nhập trực tiếp vào Internet. Điều nay đảm bảo rằng những user bên trong bắt buộc phải truy nhập Internet qua dịch vụ Proxy.
Đánh giá kiến trúc Screened Subnet Host:
Đối với những hệ thống yêu cầu cung cấp dịch vụ nhanh, an toàn cho nhiều người sử dụng đồng thời cũng như khả năng theo dõi lưu thông của mỗi người sử dụng trong hệ thống và dữ liệu trao đổi giữ các người dùng trong hệ thống cần được bảo vệ thì kiến trúc cơ bản trên phù hợp.
Để tăng độ an toàn trong internal network, kiến trúc screen subnet ở trên sử dụng thêm một mạng DMZ (DMZ hay perimeter network) để che phần nào lưu thông bên trong internal network. Tách biệt internal network với Internet.
Sử dụng 2 Screening Router : Exterior Router và Interior Router.
Áp dụng qui tắc dư thừa có thể bổ sung thêm nhiều mạng trung gian (DMZ hay perimeter network) càng tăng khả năng bảo vệ càng cao.
Ngoài ra, còn có những kiến trúc biến thể khác như: sử dụng nhiều Bastion Host, ghép chung Router trong và Router ngoài, ghép chung Bastion Host và Router ngoài.
Sử dụng nhiều Bastion Host
Do các yêu cầu về tốc độ đáp ứng (performance) và dư thừa (redundancy), cũng như tách biệt các Servers khác nhau.
Sử dụng 1 Bastion Host cung cấp những dịch vụ cho người sử dụng bên trong (internal user), như dịch vụ SNMP Server, Proxy Servers …
Sử dụng một Bastion Host khác dịch vụ cho Internet hoặc những người sử dụng bên ngoài cung cấp (external user) sẽ sử dụng. Như là Anonymous FTP Server mà Server này những người sử dụng bên trong( local users) không truy xuất đến.
Hình 6: Sơ đồ kiến trúc sử dụng 2 Bastion Host
Với cách này thì tốc độ đáp ứng cho những người sử dụng bên trong (local user) một phần nào đó không bị ảnh hưởng (bị làm chậm đi) bởi hoạt động của những người sử dụng bên ngoài (external users).
Cũng có thể sử dụng nhiều Bastion Host mà cung cấp cho 1 dịch vụ nào đó để tăng tốc độ đáp ứng (performance), nhưng việc này cũng khó cân bằng tải giữa các Server trừ khi đoán trước được mức độ sử dụng.
Việc sử dụng kỹ thuật dư thừa để đảm bảo tính sẵn sàng cao của hệ thống, để khi mà một Bastion Host hỏng thì có cái khác thay thế. Nhưng chỉ có một số loại dịch vụ trợ giúp dạng này: DNS Server, SMTP Server, ... có thể dùng nhiều Bastion Host làm DNS Server , SMTP Server. Khi một Bastion Host hỏng hoặc quá tải, những yêu cầu về DNS Server và SNMP sẽ được dùng qua Bastion Host khác như là một fallback system.
Sử dụng nhiều Bastion Host trong trường hợp muốn cung cấp dịch vụ cho nhiều mạng khác nhau, và loại dữ liệu cung cấp cho mỗi mạng cũng khác nhau.
Sử dụng nhiều Bastion Host cho các Server khác nhau để khi mà một Server nào đó bị đột nhập vào hay bị hỏng thì Server khác vẫn hoạt động tốt.
Ví Dụ : Tách HTTP Server và FTP Server trên 2 máy riêng biệt.
Kiến trúc ghép chung Router trong và Router ngoài
Sử dụng kiến trúc này thì cần tăng tốc độ của máy làm Router.
Hình 7: Sơ đồ kiến trúc ghép chung Router trong và Router ngoài
Kiến trúc này gần giống với Screened Host trong trường hợp khi mà exterior/interior Router bị đột nhập vào thì lưu thông trong mạng bên trong sẽ bị lộ ra bên ngoài nhưng tốt hơn Screened Host đó là nó cũng sử dụng thêm một mạng bên ngoài. Mạng bên ngoài sẽ chứa các Server có thể nối ra Internet mà nếu các Server này bị đột nhập thì lưu thông của mạng bên trong cũng không bị lộ ra bên ngoài. Kiến trúc này cũng gần giống với Screened Subnet nhưng mà exterior Router và interior Router được ghép chung nên nó giảm đi số lớp bảo vệ. Nói chung, kiến trúc ghép chung interior Router và exterior Router ở trung gian giữa hai kiến trúc này.
Hệ thống Proxy
Proxy cung cấp cho người sử dụng truy xuất Internet với những host đơn. Những Proxy Server phục vụ những nghi thức đặc biệt hoặc một tập những nghi thức thực thi trên dual–homed host hoặc Bastion Host. Những chương trình Client của người sử dụng sẽ qua trung gian Proxy Server thay thế Server thật sự mà người sử dụng cần giao tiếp.
Proxy Server xác định những yêu cầu từ Client và quyết định đáp ứng hay không đáp ứng, nếu yêu cầu được đáp ứng, Proxy Server sẽ kết nối đến Server thật thay cho Client và tiếp tục chuyển tiếp những yêu cầu từ Client đến Server, cũng như chuyển tiếp những đáp ứng của Server trở lại Client. Vì vậy Proxy Server giống như cầu nối trung gian giữa Server thật và Client
Tác dụng và chức năng
Để đáp ứng được những nhu cầu của người sử dụng khi cần truy xuất đến những ứng dụng được cung cấp bởi Internet nhưng vẫn đảm bảo được an toàn cho hệ thống cục bộ, trong hầu hết những phương pháp được đưa ra để giải quyết điều này là cung cấp một host đơn truy xuất đến Internet cho tất cả người sử dụng. Tuy nhiên, phương pháp này không phải là phương pháp giải quyết thỏa mãn nhất bởi vì như vậy nó sẽ tạo cho người sử dụng cảm thấy không thoải mái. Khi truy xuất đến Internet thì họ không thể thực hiện những công việc đó một cách trực tiếp, phải log in vào dual–homed host, thực hiện tất cả những công việc ở đây, và sau đó bằng phương pháp nào đó chuyển đổi những kết quả đạt được của công việc trở lại workstation sở hữu.
Điều này trở nên rất tồi tệ ở những hệ thống với nhiều hệ điều hành khác nhau (Ví dụ trong trường hợp nếu hệ thống là Macintosh nhưng riêng dual–homed host là hệ thống Unix).
Khi dual homed host được thiết kế trên mô hình không có Proxy, điều đó sẽ khiến cho người sử dụng thêm bực bội và đáng chú ý hơn là làm giảm đi những tiện ích mà Internet cung cấp, tồi tệ hơn là chúng thường không cung cấp an toàn một cách đầy đủ, khi một máy gồm nhiều người sử dụng tất nhiên độ an toàn của nó sẽ giảm, đặc biệt khi họ cố gắng nắm bắt với vạn vật bên ngoài.
Proxy System giúp người sử dụng thoải mái hơn và an toàn cho dual–homed host, thay thế những yêu cầu của người sử dụng bằng cách gián tiếp thông qua dual–homed host. Hệ thống Proxy cho phép tất cả những tương tác nằm dưới một hình thức nào đó. Người sử dụng có cảm giác trực tiếp làm việc với Server trên Internet mà họ thật sự muốn truy xuất.
Hình 8 : Kết nối sử dụng Application–Level Gateway
Proxy Application chính là chương trình trên application–level gateway Firewall hành động trên hình thức chuyển đổi những yêu cầu người sử dụng thông qua Firewall, tiến trình này được thực hiện trình tự như sau:
Thành lập một kết nối đến Proxy application trên Firewall.
Proxy Application thu nhập thông tin về việc kết nối và yêu cầu của người sử dụng.
Sử dụng thông tin để xác định yêu cầu có được chấp nhận không, nếu chấp nhận, Proxy sẽ tạo sự kết nối khác từ Firewall đến máy đích.
Sau đó thực hiện sự giao tiếp trung gian, truyền dữ liệu qua lại giữa Client và Server.
Proxy System giải quyết được rủi ro trên hệ thống bởi tránh người sử dụng log in vào hệ thống và ép buộc thông qua phần mềm điều khiển.
Kết nối thông qua Proxy (Proxying)
Proxying được thực hiện khác nhau với từng dịch vụ, có một vài dịch vụ dễ dàng cài đặt hoặc tự động, nhưng vài dịch vụ lại rất khó khăn. Tuy nhiên hầu hết các dịch vụ đều yêu cầu những phần mềm Proxy Server và Client tương ứng.
Hình 9: Kết nối giữa người dùng (Client) với Server qua Proxy
Các dạng Proxy
Dạng kết nối trực tiếp
Phương pháp đầu tiên được sử dụng trong kỹ thuật Proxy là cho người sử dụng kết nối trực tiếp đến Firewall Proxy, sử dụng địa chỉ của Firewall và số cổng của Proxy, sau đó Proxy hỏi người sử dụng cho địa chỉ của host hướng đến, đó là một phương pháp brute force sử dụng bởi Firewall một cách dễ dàng, và đó cũng là một vài nguyên nhân tại sao nó là phương pháp ít thích hợp.
Trước tiên, yêu cầu người sử dụng biết địa chỉ của Firewall, kế tiếp nó yêu cầu người sử dụng nhập vào hai địa chỉ cho mỗi sự kết nối: Địa chỉ của Firewall và địa chỉ của đích hướng đến. Cuối cùng nó ngăn cản những ứng dụng hoặc những nguyên bản trên máy tính của người sử dụng điều đó tạo ra sự kết nối cho người sử dụng, bởi vì chúng sẽ không biết như thế nào điều khiển những yêu cầu đặc biệt cho sự truyền thông với Proxy.
Dạng thay đổi Client
Phương Phương pháp kế tiếp sử dụng Proxy setup phải thêm vào những ứng dụng tại máy tính của người sử dụng. Người sử dụng thực thi những ứng dụng đặc biệt đó với việc tạo ra sự kết nối thông qua Firewall. Người sử dụng với ứng dụng đó hành động chỉ như những ứng dụng không sửa đổi. Người sử dụng cho địa chỉ của host đích hướng tới. Những ứng dụng thêm vào biết được địa chỉ Firewall từ file config cục bộ, set up sự kết nối đến ứng dụng Proxy trên Firewall, và truyền cho nó địa chỉ cung cấp bởi người sử dụng. Phương pháp này rất có hiệu quả và có khả năng che dấu người sử dụng, tuy nhiên, cần có một ứng dụng Client thêm vào cho mỗi dịch vụ mạng là một đặc tính trở ngại.
Proxy vô hình
Một số phương pháp phát triển gần đây cho phép truy xuất đến Proxy, trong vài hệ thống Firewall được biết như Proxy vô hình. Trong mô hình này, không cần phải có những ứng dụng thêm vào với người sử dụng và không phải kết nối trực tiếp đến Firewall hoặc biết rằng Firewall có tồn tại. Sử dụng sự điều khiển đường đi cơ bản, tất cả sự kết nối đến mạng bên ngoài được chỉ đường thông qua Firewall. Như những Packet nhập vào Firewall, tự động chúng được đổi hướng đến ứng dụng Proxy đang chờ. Theo hướng này, Firewall thực hiện rất tốt trong việc giả như host đích. Khi kết nối được tạo ra Firewall Proxy, Client nghĩ rằng nó được kết nối với Server thật. Nếu được phép Proxy sau đó tạo kết nối thứ hai đến Server thật.
CHƯƠNG 3: TÌM HIỂU SMOOTHWALL
Giới thiệu
SmoothWall Express là một tường lửa mã nguồn mở hoạt động trên các bản phân phối của hệ điều hành GNU/Linux. SmoothWall được cấu hình thông qua Web và không đòi hỏi người sử dụng phải biết về Linux để cài đặt và sử dụng
SmoothWall Express cho phép bạn dễ dàng xây dựng một bức tường lửa kết nối bảo mật một mạng máy tính đến Internet
Hình 1: Mô hình mạng sử dụng Smoothwall
Cài đặt SmoothWall Express
Cấu hình yêu cầu
Cấu hình tối thiểu đề nghị để cài đặt SmoothWall Express:
Phần cứng
Thông tin
Vi xử lý
Intel Pentium 200
Ram
128 Mb
Đĩa cứng
2Gb còn trống, hỗ trợ IDE và SCSI
Card mạng
Hỗ trợ card mạng NIC
Keyboard, CD-ROM, Monitor
Chỉ cần khi cài đặt
Các bước cài đặt
Lưu ý trước khi cài đặt
Không cài đặt SmoothWall trên máy chính hay là máy trạm duy nhất vì tất cả dữ liệu trên máy trạm sẽ bị mất. Trước khi cài đặt cần bảo chắc rằng tất cả dữ liệu đã được sao lưu
Các bước cài đặt
Tải bản cài đặt về từ website và gi ra đĩa CD để cài đặt
Bỏ đĩa CD vào máy cần cài đặt tường lửa và reboot máy tính. Vào chế độ boot CD để tiến hành cài đặt.
Các màn hình thông báo xuất hiện, Nhấn Enter để tiếp tục.
Một hộp thoại vế chính sách bảo mật xuất hiện
Hình 2: Hộp thoại về chích sách bảo mật
Chọn chích sách phù hợp với yêu cầu của mạng rồi OK
Một menu cấu hình mạng xuất hiện
Hình 3: Menu cấu hình mạng
Chọn Network configuration type rồi OK
Hình 4: Hộp thoại cấu hình mạng
GREEN: tương ứng với mạng LAN
RED: tương ứng với mạng Internet
ORANGE: tương ứng với vùng DMZ
PURPLE: tương ứng với mạng Wireless
Chọn mạng phù hợp với yêu cầu rồi OK
Sau khi cấu hình thông tin cho các card mạng, các hợp thoại về password xuất hiện
Đặt password cho root và admin. Kết thúc quá trình cài đặt
Truy cập SmoothWall
Sử dụng một trình duyệt Internet bất kỳ từ máy trạm truy cập vào địa chỉ của Smoothwall, ví dụ: https://10.0.0.1:441 nhập vào username và password mà bạn đã cài đặt. Trang chủ mặt định xuất hiện
Hình 5: Trang chủ mặc định của Smoothwall
Quản trị SmoothWall Express
Tổng quan
Một thanh điều hướng được hiển thị ở đầu mỗi trang nó chứa liên kết đến các trang SmoothWall Express
Hình 6: Thanh điều hướng
Control
Pages
Descriptions
home
Trang chủ
About
Pages
Descriptions
Status
Thông tin trạng thái
advanced
Hiển thị thông tin bộ nhớ, đĩa cứng sử dụng, phần cứng
traffic graphs
Hiển thị trạng thái lưu thông mạng
bandwidth bars
Hiển thị thời gian sử dụng băng thông
traffic monitor
Hiển thị thời gian sử dụng băng thông gần đầy
my smoothwall
Hiển thị thông tin phát triển của SmoothWall, cho phép tùy chọn và đăng ký SmoothWall
Services
Cho phép cấu hình và kích hoạt các dịch vụ: web proxy, im proxy, pop3 proxy, dhcp, sip proxy…
Networking
Pages
Descriptions
incoming
Đặt các luật để kiểm soát truy cập của các máy từ Internet vào mạng nội bộ
outgoing
Tại đây có thể đặt các quy tắc để kiểm soát truy cập của các máy client ra Internet
internal
Tạo các luật để mạng Orange và Purple có thể giao tiếp với mạng Green
external access
Thiết lập các kết nối từ máy bên ngoài đến SmoothWall
ip block
Khóa một địa chỉ IP hay một mạng
timed access
Cấu hình thời gian cho phép máy Client truy cập mạng bên ngoài
qos
Tại đây có thể ưu tiên các loại lưu thông đặc biệt
advanced
Tại đây có thể năng cao tính năng mạng
ppp settings
Cấu hình các kết nối đến modem, ADSL and ISDN
nterfaces
Ở đây cấu hình IP, DNS, gateway cho các card NIC
VPN
Pages
Descriptions
control
Quản lý các kết nối VPN
connections
Cho phép tạo, chỉnh sửa và quản lý các kết nối VPN
Logs
Hiện thị các nhật ký thông tin về: system, web proxy, firewall, ids, email…
Tools
Pages
Descriptions
ip information
Cho phép tra cứu trên địa chỉ IP hay tên miền
ip tools
Cho phép chạy ping và tracerouter để chuẩn đoán mạng
shell
Cho phép kết nối đến Smoothwall sử dụng một Java SSH applet
Maintenance
Pages
Descriptions
modem
Áp dụng các cài đặt cụ thể cho modem PSTN hay ISDNTA
Speedtouch usb firmware
Tại đây có thể upload firmware để kích hoạt SmoothWall sử dụng the Alcatel/Thomson Speedtouch Home USB ADSL modem
passwords
Đây là nơi quản lý các mật khẩu
backup
Tại đây có thể sao lưu cài đặt của bạn
preferences
Cấu hình Smoothwall sử dụng giao diện
shutdown
Bạn có thể shutdown hay reboot máy Firewall
Kiểm soát lưu lượng mạng
Port Forwarding Incoming Traffic
SmoothWall Express, mặc định khóa tất cả các traffic đến từ red interface. Các traffic muốn được chấp nhận thì phải cấu hình các luật
Để tạo một luật trong Smoothwall ta vào Networking > incoming
Hình 7: Trang cấu hình incoming
Các cấu hình cài đặt
Setting
Descriptions
Protocol
Chọn UDP hay TCP
External source IP (or network)
Xác định IP hoặc mạng bên ngoài có thể truy cập đến IP đích
Hoặc để trống cho phép tất cả các truy cập
Source port or
range
Chọn port của IP nguồn trong menu, hoặc hoặc chọn User defined
Port
Nếu chọn User defined, thì nhập vào một port nguồn
Destination IP
Xác định địa chỉ IP đích nơi các traffic được chuyển đến
Destination port
Chọn port của IP đích trong menu, hoặc chọn User defined
Port
Nếu chọn User defined, thì nhập vào một port đích
Comment
Viết ghi chú cho luật
Enabled
Chọn để kích hoạt luật
Chọn Add để luật có hiệu lực ngay lập tức, Luật sẽ được thêm vào bên dưới
Controlling Outgoing Traffic
Cấu hình cho phép hay cấm hoặc giới hạn việc truy cập Internet trên mỗi vùng mạng nội bộ
Để tạo một luật truy cập Internet vào Networking > outgoing
Hình 8: Trang cấu hình outgoing
Các cấu hình cài đặt
Setting
Descriptions
Traffic originating …
Chọn một trong hai
Blocked with exceptions
Allowed with exceptions
Chọn Save để lưu
Interface
Chọn vùng mạng muốn cấu hình: GREEN, PURPLE
Application or service(s)
Chọn một chương trình hay dịch vụ hay User defined
Port
Enter port nếu chọn User defined
Comment
Viết ghi chú cho luật
Enabled
Chọn để kích hoạt luật
Chọn Add để luật có hiệu lực ngay lập tức, Luật sẽ được thêm vào bên dưới
Controlling Internal Traffic
Cấu hình cho phép các host trong mạng orange, mạng purple và mạng green có thể liên lạc với nhau
Để cấu hình lưu thông nội bộ vào Networking > internal
Hình 9: Cấu hình luu thông mạng nội bộ
Các cấu hình cài đặt
Setting
Descriptions
Source IP
Địa chỉ IP của máy chủ trong DMZ(mạng cam) có nhu cầu giao tiếp với mạng LAN(mạng xanh)
Protocol
Chọn UDP hay TCP
Destination IP
Địa chỉ IP đích cúa mạng LAN(mạng xanh)
Application or
service(s)
Chọn trong menu thả xuống một chương trình hay một dịch vụ
Destination port
Xác định port của mạng đích
Comment
Viết ghi chú
Enabled
Chọn để kích hoạt luật
Chọn Add để luật có hiệu lực ngay lập tức, Luật sẽ được thêm vào bên dưới
Managing Access to Services
Cấu hình để thiết lập một danh sách cho phép quản trị SmoothWall từ các máy tính bên ngoài thông qua địa chỉ IP hay potr trên mạng đỏ
Để quản lý truy cập dịch vụ Networking > external access
Hình 10: Trang cấu hình external access
Các cấu hình cài đặt
Setting
Descriptions
Protocol
Chọn UDP hay TCP
External source IP
(or network)
Nhập địa chỉ IP hay network của mạng bên ngoài được phép truy cập dịch vụ admin chạy trên SmoothWall Express
Destination port
Nhập port được chấp nhận, tất cả các port khác sẽ bị khóa(HTTPS: 441, SSH: 222)
Comment
Nhập mô tả
Enabled
Chọn để kích hoạt luật
Chọn Add để luật có hiệu lực ngay lập tức, Luật sẽ được thêm vào bên dưới
Selectively Blocking IPs Addresses
Cấu hình để chặn bất kỳ một IP truy cập vào SmoothWall
Để chặn địa chỉ IP vào Networking > ip block
Hình 11: Trang cấu hình khóa địa chỉ IP
Các cấu hình cài đặt
Setting
Descriptions
Source IP or
network
Nhập một địa chỉ IP hoặc mạng muốn chặn
Drop packet
Chọn để hủy gói tin
Reject packet
Trong chế độ này một một thông báo ICMP từ chối kết nối sẽ được gửi đến các IP nguồn
Log
Chọn để ghi vào nhật ký
Comment
Nhập mô tả
Enabled
Chọn để kích hoạt luật
Chọn Add để luật có hiệu lực ngay lập tức, Luật sẽ được thêm vào bên dưới
Configuring Timed Access to the Internet
SmoothWall Express có thể cho phép hoặc không cho phép truy cập Internet tại những thời điểm nhất định trong ngày, cho một nhóm máy Client
Để cấu hình thời gian truy cập Internet vào Networking > timed access
Hình 12: Trang cấu hình thời gian truy cập Internet
Các cấu hình cài đặt
Setting
Descriptions
Enabled
Chọn để kích hoạt cài đặt
Mode
Chọn từ drop menu
Allow at specified times -- chấp nhận
Reject at specified times -- khóa
From – To
Chọn khoảng thời gian việc truy cập được chấp nhận hay khóa
Machines
Nhập vào địa chỉ IP hay network với netmask trên một dòng, ví dụ 10.0.0.253/24
Chọn Save để lưu
Managing Quality of Service for Traffic
Cấu hình để đảm bảo chất lượng lưu thông của các dịch vụ bằng cách ưu tiên
Để quản lý qos Networking > qos
Hình 13: Trang cấu hình qos
Các cấu hình cài đặt
Setting
Descriptions
Enable traffic shaping
Chọn để kích hoạt qos
Internal upload or
download
Chọn tốc độ upload và dowload cho mạng nội bộ
External upload speed
Chọn tốc upload cho mạng bên ngoài
Download speed
Chọn tốc độ dowload
Headroom
Chọn từ menu thả xuống
Traffic that does not match below gets treated as
Chọn xử lý các luồng dữ liệu không được liệt kê trong vùng lựa chọn luật
Rule selection
Chấp nhận những ưu tiên mặc định cho các dịch vụ và giao thức được liệt kê, hoặc điều chỉnh phù hợp với yêu cầu
Chon Save để lưu
Configuring Advanced Network Options
Cấu hình để quản lý các gói tin ICMP và các tùy chọn mạng khác
Để cấu hình vào Networking > advanced
Hình 14: Trang cấu hình advanced
Các cấu hình cài đặt
Setting
Descriptions
Block ICMP ping
Khóa ping đến Smoothwall từ Internet hoặc mạng LAN
Enable SYN cookies
Chọn kích hoạt SYS cookies là một cơ chế bảo vệ chống lại tấn công SYN Flood và tránh tấn công kiểu từ chối dịch vụ(DOS)
Block and ignore IGMP packets
Chọn để chặn các tin nhắn multi-cast
Enable UPnP (Universal Plug and Play) support
Chọn để hỗ trơ UpnP Clients
Action to perform on bad external
Các file đính kèm theo tài liệu này:
- Tìm hiểu và xây dựng hệ thống Firewall mã nguồn mở sử dụng Smoothwall.docx