đồ án nhóm hệ điều hành unix linux đề tài tìm hiểu cà vài đặt tường lửa ipcop
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.89 MB, 27 trang )
<span class="text_page_counter">Trang 1</span><div class="page_container" data-page="1">
<b>ĐẠI HỌC DUY TÂNTRƯỜNG KHOA HỌC MÁY TÍNH</b>
<b>KHOA KỸ THUẬT MẠNG MÁY TÍNH & TRUYỀN THƠNG</b>
<b>ĐỒ ÁN NHĨM </b>
<b>HỆ ĐIỀU HÀNH UNIX/LINUX</b>
<i><b>ĐỀ TÀI:</b></i>
<b><Tìm hiểu cà vài đặt tường lửa IPCop></b>
<b>GIẢNG VIÊN HƯỚNG DẪN : ThS. ĐẶNG NGỌC CƯỜNG</b>
</div><span class="text_page_counter">Trang 2</span><div class="page_container" data-page="2"><b>Chương I. Giới thiệu và mục đích của IPCop Firewall...3</b>
1. Giới thiệu về IPCop Firewall...3
c. Ưu điểm của IPCop Firewall...4
2. Các tính năng quan trọng của IPCop Firewall...5
a. Web proxy...5
b. DHCP và Dynamic DNS DHCP:...6
c. Time server và Port Forwarding...8
d. Traffic Shaping và Vitual Private Network - VPN...10
<b>Chương III:CÀI ĐẶT VÀ DEMO ỨNG DỤNG...11</b>
</div><span class="text_page_counter">Trang 3</span><div class="page_container" data-page="3"><b>Chương I. Giới thiệu và mục đích của IPCop Firewall</b>
<b>1. Giới thiệu về IPCop Firewall</b>* IPCop là một phần mềm được cắt ra từ Linux và có khả năng hoạt động như một firewall. Nó có những tính năng cao cấp của firewall, bao gồm VPN sử dụng IPSec.
** Phần mềm mã nguồn mở (Open Soure Software), bản quyền của GNU Grneral Public License (GPL) và được miễn phí khi sử dụng.
<b>2. Mục đích của IPCop</b>
IPCop firewall là một firewall ứng dụng cho doanh nghiệp vừa và nhỏ (Small Office/ Home Office - SOHO).
* IPCop có thể được phát triển như một add-on để một hệ điều hành theo cách mà Shorewall là một ứng dụng được cài đặt trên hệ thống linux hoặc máy chủ ISA trên hệ thống windows.
* Nếu máy chủ của bạn với mục đích chỉ là một tường lửa cho mạng của bạn, bạn cần có một sự hiểu biết đầy đủ và cơ bản về hệ hiều hành Linux để có được những phần mêm cài đặt và nếu muốn hoạt động tốt thì bạn phải cấu hình cả hai hệ điều hành và IPCop. Tuy nhiên, bản thân IPCop là một điều hành riêng bạn không cần thiết phải biết Linux để sử dụng hệ thống trên.
<b>Chương II. Những thành phần và tính năng của IPCop Firewall</b>
<b>1. Các thành phần</b>
<i>a. Giao diện web</i>
Nhiều tưởng lửa phức tạp đối với người dùng. Nó địi hỏi phải có kĩ năng và kinh nghiệm để làm quen. Giao diện máy chủ ISO là một ví dụ điển hình. Giao diện để cấu hình IPCop là giao diện Web, đây là giao diện khá dễ sử dụng và trực quan cho người quản trị.
<i>b. Giao diện mạng</i>
IPCop cung cấp bốn giao diện mạng bao gồm: Green, Blue, Orange, Red. Mỗi giao diện mạng được sử dụng để kết nối đến một mạng riêng biệt.
Green Network Interface
Giao diện mạng này kết nối với mạng cục bộ (mạng bên trong) của bạn. IPCop
</div><span class="text_page_counter">Trang 4</span><div class="page_container" data-page="4">sẽ tự động cho phép tất cả các kết nối từ giao diện mạng này đến tất cả các mạng khác.
Red Network Interface
Giao diện mạng Red đại diện cho mạng ngồi Internet. Mục đích của mạng Red này nhằm bảo vệ các nguy cơ đối với mạng Green, Blue và Orange. Các phân đoạn Red có thể là một mạng Ethernet giao diện tĩnh hoặc sử dụng DHCP, nó có thể là một USB ADSL modem, một card ISDN hoặc có thể là một dial-up, anolog
modem kết nối với điện thoại chuyển mạch công cộng. Orange Network Interface
Giao diện mạng Orange được thiết kế như một mạng DMZ (demilitized zone). DMZ mạng ý nghĩa như một phân đoạn mạng giữa mạng nội bộ và một mạng bên ngoài. Trong khu vực DMZ thường đặt các máy chủ dịch vụ như Web, Mail,
Blue Network Interface
Mạng Blue được thêm vào IPCop phiên bản 1.4. Mạng này được kết nối với các thiết bị không dây và bảo vệ các thiết bị này.
<i>c. Ưu điểm của IPCop Firewall</i>
* Dễ quản lý và giám sát
Các nhà phát triển IPCop đã xây dựng một hệ thống giúp cho việc nâng cấp hệ thống đơn giản hơn. Điều này được thực hiện hoàn toàn trên giao diện Web. Tuy nhiên, nếu người dùng khơng muốn đăng nhập vào Linux Console thì việc thay đổi này có thể thực hiện đơn giản bằng các sử dụng phím và màn hình được gắn liền với máy tính hoặc sử dụng SSH từ một máy tính trên mạng nội bộ (Giao diện Green). Mặc định SSH bị tắt, vì vậy muốn sử
dụng phải bật nó lên. Với những trạng thái được cung cấp trên giao diện Web, chúng ta có thể biết hệ thống đang làm việc như thế nào. Chúng ta có thể nhìn
</div><span class="text_page_counter">Trang 5</span><div class="page_container" data-page="5">Quản trị từ xa thơng qua Web hoặc SSH
<b>2. Các tính năng quan trọng của IPCop Firewall</b>
<i>a. Web proxy</i>
IPCop được dùng như một proxy cũng như tường lửa. Bạn có thể dễ dàng quản lý bộ nhớ cache và cấu hình proxy trên giao diện Green. Tất cả những gì bạn làm là kích vào các ô trong giao diện để cấu hình proxy trên IPCop.
</div><span class="text_page_counter">Trang 6</span><div class="page_container" data-page="6">Các dịch vụ proxy cho phép người dùng truy cập các dịch vụ internet, với dịch vụ này người dùng ln nghĩ mình đang tương tác trực tiếp với internetTuy nhiên, khi Client muốn truy xuất đến các dịch vụ internet thì phải qua proxyProxy có nhiệm vụ xác định các yêu cầu của người dùng rồi quyết định có đáp ứng hay khơng. Nếu có đáp ứng thì proxy sẽ kết nối với Server thật thay cho Client và tiếp tục chuyển tiếp các yêu cầu đến chi client cũng như đáp ứng những yêu cầu của Server đến client. Vì vậy, proxy giống như trung gian giữa Server và Client.
<i>b. DHCP và Dynamic DNS DHCP:</i>
IPCop được cung cấp thêm tính năng cấp phát IP động tương tự trên Windows Server của Microsoft
</div><span class="text_page_counter">Trang 7</span><div class="page_container" data-page="7">Dynamic DNS
Dynamic DNS là phương thức ánh xạ tên miền tới địa chỉ IP có tần suất thay đổi cao (do khơng phải mọi máy đều sử dụng IP tĩnh). Dịch vụ DNS động (Dynamic DNS) cung cấp một chương trình đặc biệt chạy trên máy tính của người sử dụng
<b>dịch vụ Dynamic DNS gọi là Dynamic DNS Client.</b>
Chương trình này giám sát sự thay đổi địa chỉ IP tại host và liên hệ với hệ thống DNS mỗi khi địa chỉ IP của host (vốn được cung cấp bởi ISP bằng phương pháp
</div><span class="text_page_counter">Trang 8</span><div class="page_container" data-page="8">động) thay đổi và sau đó update thông tin vào CSDL DNS về sự thay đổi địa chỉ đó. Bằng các này, cho dù máy chủ có thường xuyên bị thay đổi địa chỉ thì tên miền vẫn được hệ thống máy chủ DNS trò về đúng địa chỉ cấp IP mới đó.
<i>c. Time server và Port Forwarding</i>
Time server
IPCop cung cấp dịch vụ Network Time Protocol dùng để đồng bộ các host trên Internet
</div><span class="text_page_counter">Trang 9</span><div class="page_container" data-page="9">Port Forwarding
Đây là chức năng khá phổ biến trong tường lửa từ doanh nghiệp vừa và nhỏ đến những doanh nghiệp lớn. Có hai thuận lợi trong IPCopThứ nhất là chúng ta khơng có hạn chế số lượng chuyển tiếp. Thứ hai, nó rất dễ cài đặtĐối với những thiết bị của doanh nghiệp vừa và nhỏ không chỉ chúng ta bị hạn chế về số lượng cồng mà cịn tìm thấy những cấu hình phức tạp xung quanh nó.
</div><span class="text_page_counter">Trang 10</span><div class="page_container" data-page="10">Trong mơ hình trên, IPCop kết nối với Client trên 2 cổng 25 (Mail) và 80 (Web) nhưng kết nối đến cổng 25 và 80 đã được chuyển tiếp đến các dịch vụ tương ứng
<i>d. Traffic Shaping và Vitual Private Network - VPN</i>
Trafic Shaping
Thiết lập mức ưu tiên về tốc đô theo port, hỗ trợ cả 2 giao thức là TCP và UDP. Giúp quản lý hiệu quả băng thông Internet theo nhu cầu sử dụng của từng nhóm ứng dụng. VPN (Vitual Private Network - Mạng riêng ảo)
Tính năng này cho phép bạn tham gia nhiều mạng hơn trên internet với một liên kết riêng
</div><span class="text_page_counter">Trang 11</span><div class="page_container" data-page="11"><b>Chương III:CÀI ĐẶT VÀ DEMO ỨNG DỤNG</b>
<b>1.Mơ hình</b><b>2.Cài đặt.</b>
Cấu hình IP cho giao diện Green- mạng LAN.
</div><span class="text_page_counter">Trang 12</span><div class="page_container" data-page="12">Menu cài đặt các thành phần chính của IPCOP
Ở lựa chọn Network configuration type tùy vào mục đích chúng ta lựa chọn các giao diện phù hợp, ở đây tôi chọn GREEN + ORANGE + RED. GREEN tương ứng với mạng LAN, RED là mạng WAN, ORANGE là phân vùng “Phi quân sự” thường được kết nối với hệ thống máy chủ Web, Mail
</div><span class="text_page_counter">Trang 13</span><div class="page_container" data-page="13">Ở lựa chọn Driver and card asignmets, nhấn OK để HDH tự động nhận card mạng
Lựa chọn Address settings , chon RED để cài đặt card RED , lựa chọn DHCP để máy nhận IP động được cấp từ ISP.
Cài đặt mạng GREE , IP này được dùng cho các máy chủ web, mail trong một vùng riêng, nhằm đảm bảo an toàn.
</div><span class="text_page_counter">Trang 14</span><div class="page_container" data-page="14">Ở lựa chọn Network configuration type tùy vào mục đích chúng ta lựa chọn các giao diện phù hợp, ở đây tôi chọn GREEN + ORANGE + RED. GREEN tương ứng với mạng LAN, RED là mạng WAN, ORANGE là phân vùng “Phi quân sự” thường được kết nối với hệ thống máy chủ Web, Mail,
</div><span class="text_page_counter">Trang 15</span><div class="page_container" data-page="15">Sau khi đăng nhập thành cơng, chúng ta có thể xem thơng tin các dịch vụ, tình trạng bộ nó, RAM, CPU, ... và có thể cấu hình các dịch vụ bằng giao diện Web
</div><span class="text_page_counter">Trang 16</span><div class="page_container" data-page="16"><i>1.Cài đặt URL Fiter</i>
Đầu tiên chúng ta cần download bộ cài URLFiter. Tiếp theo sử dụng phần mềm WinSCP để copy bộ cài URLFiter sang Firewall server để cài đặt
Tiếp theo ta tiến hành giải nén với lệnh: ar zxvf ipcop-urlfiter-1.9.3.tar.gz
d ipcop-urlfiter-1.9.3 – Vào thư mục chứa ipcop-urlfiter-1.9.3
<b>/install để tiến hành cài đặt. </b>
Sau khi cài đặt xong, chúng ta qua máy Client và tiến hành F5 lại trình duyệt, sẽ xuất hiện
Tùy chọn URL Filter trong mục Services. Ở mục blacklist là danh sánh các trang web bị chặn
</div><span class="text_page_counter">Trang 17</span><div class="page_container" data-page="17">Chúng ta vào Services => Proxy và Enable tính năng URLFilter. Trang web khơng bị chặn
</div><span class="text_page_counter">Trang 19</span><div class="page_container" data-page="19">Add dịch vụ pop3(110)
Add dịch vụ pop3s (995)
Add rules mới
Cài đặt mạng Green ra ngoài các dịch vụ
</div><span class="text_page_counter">Trang 20</span><div class="page_container" data-page="20">Tiến hành bật Rules và lưu lại cấu hình rules. Enable blocktraffic
Khi chưa enable rules
Kết quả sau khi bật rules
</div><span class="text_page_counter">Trang 21</span><div class="page_container" data-page="21"><i>3.Port Forwarding</i>
Vào giao diện IPCop từ Client và vào Port forwading. Thêm rules mới như hình
Thêm rules nữa với port 110
<i>4.Advance Proxy</i>
Advance Proxy là dạng proxy chuẩn của IPCop, nó cung cấp đầy đủ các tính năng của một proxy.
Để cài Advance proxy chúng ta tải gói advanceproxy.tar.gz. Sau đó tiến hành giải nén và cài đặt bằng các lệnh tương tự như Url Filtering.
Sau khi cài đặt thành công, ta sẽ vào từ Services -> Advance Proxy
</div><span class="text_page_counter">Trang 22</span><div class="page_container" data-page="22">Cấu hình Advance Proxy
Unrestricted IP addresses: Khơng hạn chế đối với IP 172.16.1.3. Banned IP addresses: Chặn IP 172.16.1.20 truy nhập Internet Cấu hình giới hạn tốc độ download/upload file cho toàn hệ thống mạng
Với IP 172.16.1.3 không bị cấm
</div><span class="text_page_counter">Trang 23</span><div class="page_container" data-page="23">Với IP 172.16.1.20 bị cấm
</div><span class="text_page_counter">Trang 24</span><div class="page_container" data-page="24"><b>BẢNG PHÂN CÔNG NHIỆM VỤ</b>
<b>STTTên nhiệm vụ Thành viên thực hiệnThời gian thực</b>
<b>5Cao Hồn Tuấn1/12->7/120%Khơng làm</b>
<b>Nhóm trưởng chấm điểm cho các thành viên nhóm:</b>
<b>STT MSSVHọ và tên SVVai trịTỉ lệ đóng góp12721210047Nguyễn Xn TiếnNhóm trưởng30%</b>
</div><span class="text_page_counter">Trang 25</span><div class="page_container" data-page="25"><b>427211236417</b>
<b>Lý Gia BảoThành viên20%</b>
</div><span class="text_page_counter">Trang 26</span><div class="page_container" data-page="26"><small>1</small> <b>Nguyễn Xuân Tiến</b>
