Tiểu luận Tìm hiểu và xây dựng hệ thống Firewall mã nguồn mở sử dụng Smoothwall

i đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài Những mô hình Firewall Dưới đây sẽ đưa ra một số mô hìnhFirewall cơ bản, các kiến trúc khác có thể mở rộng từ kiến trúc này tùy theo cấu trúc kết nối của mạng. Dual-Homed Host Hình 3: Sơ đồ kiến trúc Dual–homed Host Dual–homed Host là hình thức xuất hiện đầu tiên để bảo vệ mạng nội bộ. Dual–homed Host là một máy tính có hai giao tiếp mạng: một nối với mạng cục bộ và một nối với mạng ngoài (Internet). Hệ điều hành của Dual–homed Host được cấu hình để chức năng chuyển các gói tin (Packet forwarding) giữa hai giao tiếp mạng này không hoạt động. Để làm việc được với một máy trên Internet, người dùng ở mạng cục bộ trước hết phải login vào Dual–homed Host, và từ đó bắt đầu phiên làm việc. Ưu điểm của Dual–homed Host: Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt. Dual–homed Host chỉ yêu cầu cấm khả năng chuyển các gói tin, do vậy, thông thường trên các hệ Unix, chỉ cần cấu hình và dịch lại nhân (Kernel) của hệ điều hành là đủ. Nhược điểm của Dual–homed Host: Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng như những hệ phần mềm mới được tung ra thị trường. Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản thân nó, và khi Dual–homed Host đó bị đột nhập, nó sẽ trở thành đầu cầu lý tưởng để tấn công vào mạng nội bộ. Đánh giá về kiến trúc Dual–homed Host: Để cung cấp dịch vụ cho những người sử dụng internal network có một số giải pháp như sau: Kết hợp với các Proxy Server cung cấp những Proxy Service Đăng nhập vào máy dual-homed host bằng account được cấp Nếu dùng phương pháp cấp account thì rất phiền phức cho người sử dụng vì phải login vào máy khác. Nếu dùng Proxy Server thì khó cung cấp được nhiều dịch vụ vì khả năng đáp ứng của hệ thống. Một khuyết điểm cơ bản của hai mô hình trên nữa là khi mà máy dual –homed host bị đột nhập vào. Người tấn công sẽ thấy hết các lưu thông bên trong mạng nội bộ. Kiến trúc Screened Host Kiến trúc này kết hợp 2 kỹ thuật đó là Packet Filtering và Proxy Services. Packet Filtering: Lọc một số loại dịch vụ mà hệ thống muốn cung cấp sử dụng Proxy Server, bắt người sử dụng nếu muốn dùng dịch vụ thì phải kết nối đến Proxy Server mà không được bỏ qua Proxy Server để nối trực tiếp với mạng bên trong/bên ngoài (internal/external network), đồng thời có thể cho phép Bastion Host mở một số kết nối với internal/external host. Proxy Service: Bastion Host sẽ chứa các Proxy Server để phục vụ một số dịch vụ hệ thống cung cấp cho người sử dụng qua Proxy Server. Hình 4: Sơ đồ kiến trúc Screened Host Ưu, khuyết điểm của kiến trúc Screened Host Kiến trúc screened host hay hơn kiến trúc dual–homed host ở một số điểm cụ thể sau: Dual–Homed Host: Khó có thể bảo vệ tốt vì máy này cùng lúc cung cấp nhiều dịch vụ, vi phạm qui tắc căn bản là mỗi phần tử hay thành phần nên giữ ít chức năng nếu có thể được (mỗi phần tử nên giữ ít chức năng càng tốt), cũng như tốc độ đáp ứng khó có thể cao vì cùng lúc đảm nhận nhiều chức năng. Screened Host: Đã tách chức năng lọc các gói IP và các Proxy Server ở hai máy riêng biệt. Packet Filtering chỉ giữ chức năng lọc gói nên có thể kiểm soát, cũng như khó xảy ra lỗi (tuân thủ qui tắc ít chức năng). Proxy Servers được đặt ở máy khác nên khả năng phục vụ (tốc độ đáp ứng) cũng cao. Cũng tương tự như kiến trúc Dual–Homed Host khi mà Packet Filtering system cũng như Bastion Host chứa các Proxy Server bị đột nhập vào (người tấn công đột nhập được qua các hàng rào này) thì lưu thông của internal network bị người tấn công thấy. Từ khuyết điểm chính của 2 kiến trúc trên ta có kiến trúc thứ 3 sau đây khắc phục được phần nào khuyết điểm trên. Kiến trúc Screened Subnet Host Hình 5: Sơ đồ kiến trúc Screened Subnet Host Với kiến trúc này, hệ thống này bao gồm hai Packet–Filtering Router và một Bastion Host (hình 5). Kiến trúc này có độ an toàn cao nhất vì nó cung cấp cả mức bảo mật: Network và Application trong khi định nghĩa một mạng perimeter network. Mạng trung gian(DMZ) đóng vai trò như một mạng nhỏ, cô lập đặt giữa Internet và mạng nội bộ. Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, và sự truyền trực tiếp qua mạng DMZ là không thể được. Với những thông tin đến, Router ngoài(Exterior Router) chống lại những sự tấn công chuẩn (như giả mạo địa chỉ IP), và điều khiển truy nhập tới DMZ. Nó chỉ cho phép hệ thống bên ngoài truy nhập Bastion Host. Router trong (Interior Router) cung cấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ Bastion Host. Với những thông tin đi, Router trong điều khiển mạng nội bộ truy nhập tới DMZ. Nó chỉ cho phép các hệ thống bên trong truy nhập Bastion. Quy luật Filtering trên Router ngoài yêu cầu sử dụng dịch vụ Proxy bằng cách chỉ cho phép thông tin ra bắt nguồn từ Bastion Host. Ưu điểm: Có ba tầng bảo vệ: Router ngoài, Bastion Host và Router trong. Router ngoài chỉ quảng bá DMZ Network tới Internet, hệ thống mạng nội bộ là không thể nhìn thấy (invisible). Chỉ có một số hệ thống đã được chọn ra trên DMZ là được biết đến bởi Internet qua routing table và DNS information exchange (Domain Name Server). Router trong chỉ quảng bá DMZ Network tới mạng nội bộ, các hệ thống trong mạng nội bộ không thể truy nhập trực tiếp vào Internet. Điều nay đảm bảo rằng những user bên trong bắt buộc phải truy nhập Internet qua dịch vụ Proxy. Đánh giá kiến trúc Screened Subnet Host: Đối với những hệ thống yêu cầu cung cấp dịch vụ nhanh, an toàn cho nhiều người sử dụng đồng thời cũng như khả năng theo dõi lưu thông của mỗi người sử dụng trong hệ thống và dữ liệu trao đổi giữ các người dùng trong hệ thống cần được bảo vệ thì kiến trúc cơ bản trên phù hợp. Để tăng độ an toàn trong internal network, kiến trúc screen subnet ở trên sử dụng thêm một mạng DMZ (DMZ hay perimeter network) để che phần nào lưu thông bên trong internal network. Tách biệt internal network với Internet. Sử dụng 2 Screening Router : Exterior Router và Interior Router. Áp dụng qui tắc dư thừa có thể bổ sung thêm nhiều mạng trung gian (DMZ hay perimeter network) càng tăng khả năng bảo vệ càng cao. Ngoài ra, còn có những kiến trúc biến thể khác như: sử dụng nhiều Bastion Host, ghép chung Router trong và Router ngoài, ghép chung Bastion Host và Router ngoài. Sử dụng nhiều Bastion Host Do các yêu cầu về tốc độ đáp ứng (performance) và dư thừa (redundancy), cũng như tách biệt các Servers khác nhau. Sử dụng 1 Bastion Host cung cấp những dịch vụ cho người sử dụng bên trong (internal user), như dịch vụ SNMP Server, Proxy Servers … Sử dụng một Bastion Host khác dịch vụ cho Internet hoặc những người sử dụng bên ngoài cung cấp (external user) sẽ sử dụng. Như là Anonymous FTP Server mà Server này những người sử dụng bên trong( local users) không truy xuất đến. Hình 6: Sơ đồ kiến trúc sử dụng 2 Bastion Host Với cách này thì tốc độ đáp ứng cho những người sử dụng bên trong (local user) một phần nào đó không bị ảnh hưởng (bị làm chậm đi) bởi hoạt động của những người sử dụng bên ngoài (external users). Cũng có thể sử dụng nhiều Bastion Host mà cung cấp cho 1 dịch vụ nào đó để tăng tốc độ đáp ứng (performance), nhưng việc này cũng khó cân bằng tải giữa các Server trừ khi đoán trước được mức độ sử dụng. Việc sử dụng kỹ thuật dư thừa để đảm bảo tính sẵn sàng cao của hệ thống, để khi mà một Bastion Host hỏng thì có cái khác thay thế. Nhưng chỉ có một số loại dịch vụ trợ giúp dạng này: DNS Server, SMTP Server, ... có thể dùng nhiều Bastion Host làm DNS Server , SMTP Server. Khi một Bastion Host hỏng hoặc quá tải, những yêu cầu về DNS Server và SNMP sẽ được dùng qua Bastion Host khác như là một fallback system. Sử dụng nhiều Bastion Host trong trường hợp muốn cung cấp dịch vụ cho nhiều mạng khác nhau, và loại dữ liệu cung cấp cho mỗi mạng cũng khác nhau. Sử dụng nhiều Bastion Host cho các Server khác nhau để khi mà một Server nào đó bị đột nhập vào hay bị hỏng thì Server khác vẫn hoạt động tốt. Ví Dụ : Tách HTTP Server và FTP Server trên 2 máy riêng biệt. Kiến trúc ghép chung Router trong và Router ngoài Sử dụng kiến trúc này thì cần tăng tốc độ của máy làm Router. Hình 7: Sơ đồ kiến trúc ghép chung Router trong và Router ngoài Kiến trúc này gần giống với Screened Host trong trường hợp khi mà exterior/interior Router bị đột nhập vào thì lưu thông trong mạng bên trong sẽ bị lộ ra bên ngoài nhưng tốt hơn Screened Host đó là nó cũng sử dụng thêm một mạng bên ngoài. Mạng bên ngoài sẽ chứa các Server có thể nối ra Internet mà nếu các Server này bị đột nhập thì lưu thông của mạng bên trong cũng không bị lộ ra bên ngoài. Kiến trúc này cũng gần giống với Screened Subnet nhưng mà exterior Router và interior Router được ghép chung nên nó giảm đi số lớp bảo vệ. Nói chung, kiến trúc ghép chung interior Router và exterior Router ở trung gian giữa hai kiến trúc này. Hệ thống Proxy Proxy cung cấp cho người sử dụng truy xuất Internet với những host đơn. Những Proxy Server phục vụ những nghi thức đặc biệt hoặc một tập những nghi thức thực thi trên dual–homed host hoặc Bastion Host. Những chương trình Client của người sử dụng sẽ qua trung gian Proxy Server thay thế Server thật sự mà người sử dụng cần giao tiếp. Proxy Server xác định những yêu cầu từ Client và quyết định đáp ứng hay không đáp ứng, nếu yêu cầu được đáp ứng, Proxy Server sẽ kết nối đến Server thật thay cho Client và tiếp tục chuyển tiếp những yêu cầu từ Client đến Server, cũng như chuyển tiếp những đáp ứng của Server trở lại Client. Vì vậy Proxy Server giống như cầu nối trung gian giữa Server thật và Client Tác dụng và chức năng Để đáp ứng được những nhu cầu của người sử dụng khi cần truy xuất đến những ứng dụng được cung cấp bởi Internet nhưng vẫn đảm bảo được an toàn cho hệ thống cục bộ, trong hầu hết những phương pháp được đưa ra để giải quyết điều này là cung cấp một host đơn truy xuất đến Internet cho tất cả người sử dụng. Tuy nhiên, phương pháp này không phải là phương pháp giải quyết thỏa mãn nhất bởi vì như vậy nó sẽ tạo cho người sử dụng cảm thấy không thoải mái. Khi truy xuất đến Internet thì họ không thể thực hiện những công việc đó một cách trực tiếp, phải log in vào dual–homed host, thực hiện tất cả những công việc ở đây, và sau đó bằng phương pháp nào đó chuyển đổi những kết quả đạt được của công việc trở lại workstation sở hữu. Điều này trở nên rất tồi tệ ở những hệ thống với nhiều hệ điều hành khác nhau (Ví dụ trong trường hợp nếu hệ thống là Macintosh nhưng riêng dual–homed host là hệ thống Unix). Khi dual homed host được thiết kế trên mô hình không có Proxy, điều đó sẽ khiến cho người sử dụng thêm bực bội và đáng chú ý hơn là làm giảm đi những tiện ích mà Internet cung cấp, tồi tệ hơn là chúng thường không cung cấp an toàn một cách đầy đủ, khi một máy gồm nhiều người sử dụng tất nhiên độ an toàn của nó sẽ giảm, đặc biệt khi họ cố gắng nắm bắt với vạn vật bên ngoài. Proxy System giúp người sử dụng thoải mái hơn và an toàn cho dual–homed host, thay thế những yêu cầu của người sử dụng bằng cách gián tiếp thông qua dual–homed host. Hệ thống Proxy cho phép tất cả những tương tác nằm dưới một hình thức nào đó. Người sử dụng có cảm giác trực tiếp làm việc với Server trên Internet mà họ thật sự muốn truy xuất. Hình 8 : Kết nối sử dụng Application–Level Gateway Proxy Application chính là chương trình trên application–level gateway Firewall hành động trên hình thức chuyển đổi những yêu cầu người sử dụng thông qua Firewall, tiến trình này được thực hiện trình tự như sau: Thành lập một kết nối đến Proxy application trên Firewall. Proxy Application thu nhập thông tin về việc kết nối và yêu cầu của người sử dụng. Sử dụng thông tin để xác định yêu cầu có được chấp nhận không, nếu chấp nhận, Proxy sẽ tạo sự kết nối khác từ Firewall đến máy đích. Sau đó thực hiện sự giao tiếp trung gian, truyền dữ liệu qua lại giữa Client và Server. Proxy System giải quyết được rủi ro trên hệ thống bởi tránh người sử dụng log in vào hệ thống và ép buộc thông qua phần mềm điều khiển. Kết nối thông qua Proxy (Proxying) Proxying được thực hiện khác nhau với từng dịch vụ, có một vài dịch vụ dễ dàng cài đặt hoặc tự động, nhưng vài dịch vụ lại rất khó khăn. Tuy nhiên hầu hết các dịch vụ đều yêu cầu những phần mềm Proxy Server và Client tương ứng. Hình 9: Kết nối giữa người dùng (Client) với Server qua Proxy Các dạng Proxy Dạng kết nối trực tiếp Phương pháp đầu tiên được sử dụng trong kỹ thuật Proxy là cho người sử dụng kết nối trực tiếp đến Firewall Proxy, sử dụng địa chỉ của Firewall và số cổng của Proxy, sau đó Proxy hỏi người sử dụng cho địa chỉ của host hướng đến, đó là một phương pháp brute force sử dụng bởi Firewall một cách dễ dàng, và đó cũng là một vài nguyên nhân tại sao nó là phương pháp ít thích hợp. Trước tiên, yêu cầu người sử dụng biết địa chỉ của Firewall, kế tiếp nó yêu cầu người sử dụng nhập vào hai địa chỉ cho mỗi sự kết nối: Địa chỉ của Firewall và địa chỉ của đích hướng đến. Cuối cùng nó ngăn cản những ứng dụng hoặc những nguyên bản trên máy tính của người sử dụng điều đó tạo ra sự kết nối cho người sử dụng, bởi vì chúng sẽ không biết như thế nào điều khiển những yêu cầu đặc biệt cho sự truyền thông với Proxy. Dạng thay đổi Client Phương Phương pháp kế tiếp sử dụng Proxy setup phải thêm vào những ứng dụng tại máy tính của người sử dụng. Người sử dụng thực thi những ứng dụng đặc biệt đó với việc tạo ra sự kết nối thông qua Firewall. Người sử dụng với ứng dụng đó hành động chỉ như những ứng dụng không sửa đổi. Người sử dụng cho địa chỉ của host đích hướng tới. Những ứng dụng thêm vào biết được địa chỉ Firewall từ file config cục bộ, set up sự kết nối đến ứng dụng Proxy trên Firewall, và truyền cho nó địa chỉ cung cấp bởi người sử dụng. Phương pháp này rất có hiệu quả và có khả năng che dấu người sử dụng, tuy nhiên, cần có một ứng dụng Client thêm vào cho mỗi dịch vụ mạng là một đặc tính trở ngại. Proxy vô hình Một số phương pháp phát triển gần đây cho phép truy xuất đến Proxy, trong vài hệ thống Firewall được biết như Proxy vô hình. Trong mô hình này, không cần phải có những ứng dụng thêm vào với người sử dụng và không phải kết nối trực tiếp đến Firewall hoặc biết rằng Firewall có tồn tại. Sử dụng sự điều khiển đường đi cơ bản, tất cả sự kết nối đến mạng bên ngoài được chỉ đường thông qua Firewall. Như những Packet nhập vào Firewall, tự động chúng được đổi hướng đến ứng dụng Proxy đang chờ. Theo hướng này, Firewall thực hiện rất tốt trong việc giả như host đích. Khi kết nối được tạo ra Firewall Proxy, Client nghĩ rằng nó được kết nối với Server thật. Nếu được phép Proxy sau đó tạo kết nối thứ hai đến Server thật. CHƯƠNG 3: TÌM HIỂU SMOOTHWALL Giới thiệu SmoothWall Express là một tường lửa mã nguồn mở hoạt động trên các bản phân phối của hệ điều hành GNU/Linux. SmoothWall được cấu hình thông qua Web và không đòi hỏi người sử dụng phải biết về Linux để cài đặt và sử dụng SmoothWall Express cho phép bạn dễ dàng xây dựng một bức tường lửa kết nối bảo mật một mạng máy tính đến Internet Hình 1: Mô hình mạng sử dụng Smoothwall Cài đặt SmoothWall Express Cấu hình yêu cầu Cấu hình tối thiểu đề nghị để cài đặt SmoothWall Express: Phần cứng Thông tin Vi xử lý Intel Pentium 200 Ram 128 Mb Đĩa cứng 2Gb còn trống, hỗ trợ IDE và SCSI Card mạng Hỗ trợ card mạng NIC Keyboard, CD-ROM, Monitor Chỉ cần khi cài đặt Các bước cài đặt Lưu ý trước khi cài đặt Không cài đặt SmoothWall trên máy chính hay là máy trạm duy nhất vì tất cả dữ liệu trên máy trạm sẽ bị mất. Trước khi cài đặt cần bảo chắc rằng tất cả dữ liệu đã được sao lưu Các bước cài đặt Tải bản cài đặt về từ website và gi ra đĩa CD để cài đặt Bỏ đĩa CD vào máy cần cài đặt tường lửa và reboot máy tính. Vào chế độ boot CD để tiến hành cài đặt. Các màn hình thông báo xuất hiện, Nhấn Enter để tiếp tục. Một hộp thoại vế chính sách bảo mật xuất hiện Hình 2: Hộp thoại về chích sách bảo mật Chọn chích sách phù hợp với yêu cầu của mạng rồi OK Một menu cấu hình mạng xuất hiện Hình 3: Menu cấu hình mạng Chọn Network configuration type rồi OK Hình 4: Hộp thoại cấu hình mạng GREEN: tương ứng với mạng LAN RED: tương ứng với mạng Internet ORANGE: tương ứng với vùng DMZ PURPLE: tương ứng với mạng Wireless Chọn mạng phù hợp với yêu cầu rồi OK Sau khi cấu hình thông tin cho các card mạng, các hợp thoại về password xuất hiện Đặt password cho root và admin. Kết thúc quá trình cài đặt Truy cập SmoothWall Sử dụng một trình duyệt Internet bất kỳ từ máy trạm truy cập vào địa chỉ của Smoothwall, ví dụ: https://10.0.0.1:441 nhập vào username và password mà bạn đã cài đặt. Trang chủ mặt định xuất hiện Hình 5: Trang chủ mặc định của Smoothwall Quản trị SmoothWall Express Tổng quan Một thanh điều hướng được hiển thị ở đầu mỗi trang nó chứa liên kết đến các trang SmoothWall Express Hình 6: Thanh điều hướng Control Pages Descriptions home Trang chủ About Pages Descriptions Status Thông tin trạng thái advanced Hiển thị thông tin bộ nhớ, đĩa cứng sử dụng, phần cứng traffic graphs Hiển thị trạng thái lưu thông mạng bandwidth bars Hiển thị thời gian sử dụng băng thông traffic monitor Hiển thị thời gian sử dụng băng thông gần đầy my smoothwall Hiển thị thông tin phát triển của SmoothWall, cho phép tùy chọn và đăng ký SmoothWall Services Cho phép cấu hình và kích hoạt các dịch vụ: web proxy, im proxy, pop3 proxy, dhcp, sip proxy… Networking Pages Descriptions incoming Đặt các luật để kiểm soát truy cập của các máy từ Internet vào mạng nội bộ outgoing Tại đây có thể đặt các quy tắc để kiểm soát truy cập của các máy client ra Internet internal Tạo các luật để mạng Orange và Purple có thể giao tiếp với mạng Green external access Thiết lập các kết nối từ máy bên ngoài đến SmoothWall ip block Khóa một địa chỉ IP hay một mạng timed access Cấu hình thời gian cho phép máy Client truy cập mạng bên ngoài qos Tại đây có thể ưu tiên các loại lưu thông đặc biệt advanced Tại đây có thể năng cao tính năng mạng ppp settings Cấu hình các kết nối đến modem, ADSL and ISDN nterfaces Ở đây cấu hình IP, DNS, gateway cho các card NIC VPN Pages Descriptions control Quản lý các kết nối VPN connections Cho phép tạo, chỉnh sửa và quản lý các kết nối VPN Logs Hiện thị các nhật ký thông tin về: system, web proxy, firewall, ids, email… Tools Pages Descriptions ip information Cho phép tra cứu trên địa chỉ IP hay tên miền ip tools Cho phép chạy ping và tracerouter để chuẩn đoán mạng shell Cho phép kết nối đến Smoothwall sử dụng một Java SSH applet Maintenance Pages Descriptions modem Áp dụng các cài đặt cụ thể cho modem PSTN hay ISDNTA Speedtouch usb firmware Tại đây có thể upload firmware để kích hoạt SmoothWall sử dụng the Alcatel/Thomson Speedtouch Home USB ADSL modem passwords Đây là nơi quản lý các mật khẩu backup Tại đây có thể sao lưu cài đặt của bạn preferences Cấu hình Smoothwall sử dụng giao diện shutdown Bạn có thể shutdown hay reboot máy Firewall Kiểm soát lưu lượng mạng Port Forwarding Incoming Traffic SmoothWall Express, mặc định khóa tất cả các traffic đến từ red interface. Các traffic muốn được chấp nhận thì phải cấu hình các luật Để tạo một luật trong Smoothwall ta vào Networking > incoming Hình 7: Trang cấu hình incoming Các cấu hình cài đặt Setting Descriptions Protocol Chọn UDP hay TCP External source IP (or network) Xác định IP hoặc mạng bên ngoài có thể truy cập đến IP đích Hoặc để trống cho phép tất cả các truy cập Source port or range Chọn port của IP nguồn trong menu, hoặc hoặc chọn User defined Port Nếu chọn User defined, thì nhập vào một port nguồn Destination IP Xác định địa chỉ IP đích nơi các traffic được chuyển đến Destination port Chọn port của IP đích trong menu, hoặc chọn User defined Port Nếu chọn User defined, thì nhập vào một port đích Comment Viết ghi chú cho luật Enabled Chọn để kích hoạt luật Chọn Add để luật có hiệu lực ngay lập tức, Luật sẽ được thêm vào bên dưới Controlling Outgoing Traffic Cấu hình cho phép hay cấm hoặc giới hạn việc truy cập Internet trên mỗi vùng mạng nội bộ Để tạo một luật truy cập Internet vào Networking > outgoing Hình 8: Trang cấu hình outgoing Các cấu hình cài đặt Setting Descriptions Traffic originating … Chọn một trong hai Blocked with exceptions Allowed with exceptions Chọn Save để lưu Interface Chọn vùng mạng muốn cấu hình: GREEN, PURPLE Application or service(s) Chọn một chương trình hay dịch vụ hay User defined Port Enter port nếu chọn User defined Comment Viết ghi chú cho luật Enabled Chọn để kích hoạt luật Chọn Add để luật có hiệu lực ngay lập tức, Luật sẽ được thêm vào bên dưới Controlling Internal Traffic Cấu hình cho phép các host trong mạng orange, mạng purple và mạng green có thể liên lạc với nhau Để cấu hình lưu thông nội bộ vào Networking > internal Hình 9: Cấu hình luu thông mạng nội bộ Các cấu hình cài đặt Setting Descriptions Source IP Địa chỉ IP của máy chủ trong DMZ(mạng cam) có nhu cầu giao tiếp với mạng LAN(mạng xanh) Protocol Chọn UDP hay TCP Destination IP Địa chỉ IP đích cúa mạng LAN(mạng xanh) Application or service(s) Chọn trong menu thả xuống một chương trình hay một dịch vụ Destination port Xác định port của mạng đích Comment Viết ghi chú Enabled Chọn để kích hoạt luật Chọn Add để luật có hiệu lực ngay lập tức, Luật sẽ được thêm vào bên dưới Managing Access to Services Cấu hình để thiết lập một danh sách cho phép quản trị SmoothWall từ các máy tính bên ngoài thông qua địa chỉ IP hay potr trên mạng đỏ Để quản lý truy cập dịch vụ Networking > external access Hình 10: Trang cấu hình external access Các cấu hình cài đặt Setting Descriptions Protocol Chọn UDP hay TCP External source IP (or network) Nhập địa chỉ IP hay network của mạng bên ngoài được phép truy cập dịch vụ admin chạy trên SmoothWall Express Destination port Nhập port được chấp nhận, tất cả các port khác sẽ bị khóa(HTTPS: 441, SSH: 222) Comment Nhập mô tả Enabled Chọn để kích hoạt luật Chọn Add để luật có hiệu lực ngay lập tức, Luật sẽ được thêm vào bên dưới Selectively Blocking IPs Addresses Cấu hình để chặn bất kỳ một IP truy cập vào SmoothWall Để chặn địa chỉ IP vào Networking > ip block Hình 11: Trang cấu hình khóa địa chỉ IP Các cấu hình cài đặt Setting Descriptions Source IP or network Nhập một địa chỉ IP hoặc mạng muốn chặn Drop packet Chọn để hủy gói tin Reject packet Trong chế độ này một một thông báo ICMP từ chối kết nối sẽ được gửi đến các IP nguồn Log Chọn để ghi vào nhật ký Comment Nhập mô tả Enabled Chọn để kích hoạt luật Chọn Add để luật có hiệu lực ngay lập tức, Luật sẽ được thêm vào bên dưới Configuring Timed Access to the Internet SmoothWall Express có thể cho phép hoặc không cho phép truy cập Internet tại những thời điểm nhất định trong ngày, cho một nhóm máy Client Để cấu hình thời gian truy cập Internet vào Networking > timed access Hình 12: Trang cấu hình thời gian truy cập Internet Các cấu hình cài đặt Setting Descriptions Enabled Chọn để kích hoạt cài đặt Mode Chọn từ drop menu Allow at specified times -- chấp nhận Reject at specified times -- khóa From – To Chọn khoảng thời gian việc truy cập được chấp nhận hay khóa Machines Nhập vào địa chỉ IP hay network với netmask trên một dòng, ví dụ 10.0.0.253/24 Chọn Save để lưu Managing Quality of Service for Traffic Cấu hình để đảm bảo chất lượng lưu thông của các dịch vụ bằng cách ưu tiên Để quản lý qos Networking > qos Hình 13: Trang cấu hình qos Các cấu hình cài đặt Setting Descriptions Enable traffic shaping Chọn để kích hoạt qos Internal upload or download Chọn tốc độ upload và dowload cho mạng nội bộ External upload speed Chọn tốc upload cho mạng bên ngoài Download speed Chọn tốc độ dowload Headroom Chọn từ menu thả xuống Traffic that does not match below gets treated as Chọn xử lý các luồng dữ liệu không được liệt kê trong vùng lựa chọn luật Rule selection Chấp nhận những ưu tiên mặc định cho các dịch vụ và giao thức được liệt kê, hoặc điều chỉnh phù hợp với yêu cầu Chon Save để lưu Configuring Advanced Network Options Cấu hình để quản lý các gói tin ICMP và các tùy chọn mạng khác Để cấu hình vào Networking > advanced Hình 14: Trang cấu hình advanced Các cấu hình cài đặt Setting Descriptions Block ICMP ping Khóa ping đến Smoothwall từ Internet hoặc mạng LAN Enable SYN cookies Chọn kích hoạt SYS cookies là một cơ chế bảo vệ chống lại tấn công SYN Flood và tránh tấn công kiểu từ chối dịch vụ(DOS) Block and ignore IGMP packets Chọn để chặn các tin nhắn multi-cast Enable UPnP (Universal Plug and Play) support Chọn để hỗ trơ UpnP Clients Action to perform on bad external