Phần mở đầu của Khóa luận sẽ đặt ra các vấn đềlàm cơsởcho việc thực hiện
Khóa luận. Các vấn đề được đặt ra dựa trên việc khảo sát thực tếhiện trạng hệthống
mạng trường Đại học Công Nghệ(xem chi tiết trong phụlục B).
Tiếp đó, Khóa luận sẽtrình bày giải pháp sửdụng Nokia Check Point đểnâng
cao khảnăng an ninh và hoạt động của hệthống mạng. Các phần sau của khóa luận sẽ
lần lượt trình bày vềphương pháp cài đặt, triển khai thiết bịNokia IP1220. Đầu tiên là
tìm hiểu vềHĐH IPSO sửdụng trên Nokia IP1220, các bước cài đặt, cấu hình HĐH
IPSO. Tiếp đó là phần giới thiệu và cách cài đặt ứng dụng Firewall-1/VPN-1. Sau đó
là cách cấu hình tường lửa, thiết lập các chính sách an ninh, cấu hình NAT, Routing ,
cấu hình mạng riêng ảo VPN tích hợp với máy chủLDAP. Trước mỗi phần đều có nêu
tóm tắt các kiến thức cơbản được sửdụng.
Phần kết luận sẽnêu lên kết quảtriển khai thành công Nokia Check Point trên hệ
thống mạng thực tếcủa trường Đại học Công Nghệvà các phương hướng, bổsung cần
thực hiện trong tương lai.
97 trang |
Chia sẻ: nhungnt | Lượt xem: 2329 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Đề tài Nghiên cứu triển khai nokia firewall, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Vũ Hồng Phong
NGHIÊN CỨU TRIỂN KHAI NOKIA FIREWALL
KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành: Công Nghệ Thông Tin
HÀ NỘI - 2009
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Vũ Hồng Phong
NGHIÊN CỨU TRIỂN KHAI NOKIA FIREWALL
KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành: Công Nghệ Thông Tin
Cán bộ hướng dẫn: ThS. Đoàn Minh Phương
Cán bộ đồng hướng dẫn: ThS. Nguyễn Nam Hải
HÀ NỘI - 2009
LỜI CẢM ƠN
Lời đầu tiên, em xin gửi lời cảm ơn chân thành tới ThS. Nguyễn Nam Hải và
ThS. Đoàn Minh Phương. Hai thầy đã giúp đỡ em lựa chọn đề tài đồng thời trực tiếp
hướng dẫn và đưa ra những nhận xét quý giá trong suốt quá trình em thực hiện khóa
luận này. Em cũng xin gửi lời cảm ơn tới các thầy trong Trung Tâm Máy Tính – Đại
học Công Nghệ - ĐHQGHN đã hết sức tạo điều kiện để em nghiên cứu và hoàn thành
khóa luận.
Em xin được cảm ơn các thầy, các cô trong trường Đại học Công Nghệ, trong
suốt bốn năm qua đã giảng dạy chúng em. Những kiến thức các thầy, các cô cung cấp
sẽ là hành trang vững chắc để em tiến bước trong tương lai.
Trong quá trình học tập, em đã nhận được rất nhiều sự giúp đỡ, động viên từ các
bạn trong lớp K50CA, K50MMT. Em xin được gửi lời cảm ơn tất cả các bạn.
Cuối cùng, em xin gửi lời cảm ơn sâu sắc nhất tới bố mẹ và gia đình em. Những
người luôn luôn cổ vũ, khích lệ và mang tới cho em những điều tốt đẹp nhất trong
cuộc sống.
TÓM TẮT NỘI DUNG
Phần mở đầu của Khóa luận sẽ đặt ra các vấn đề làm cơ sở cho việc thực hiện
Khóa luận. Các vấn đề được đặt ra dựa trên việc khảo sát thực tế hiện trạng hệ thống
mạng trường Đại học Công Nghệ (xem chi tiết trong phụ lục B).
Tiếp đó, Khóa luận sẽ trình bày giải pháp sử dụng Nokia Check Point để nâng
cao khả năng an ninh và hoạt động của hệ thống mạng. Các phần sau của khóa luận sẽ
lần lượt trình bày về phương pháp cài đặt, triển khai thiết bị Nokia IP1220. Đầu tiên là
tìm hiểu về HĐH IPSO sử dụng trên Nokia IP1220, các bước cài đặt, cấu hình HĐH
IPSO. Tiếp đó là phần giới thiệu và cách cài đặt ứng dụng Firewall-1/VPN-1. Sau đó
là cách cấu hình tường lửa, thiết lập các chính sách an ninh, cấu hình NAT, Routing ,
cấu hình mạng riêng ảo VPN tích hợp với máy chủ LDAP. Trước mỗi phần đều có nêu
tóm tắt các kiến thức cơ bản được sử dụng.
Phần kết luận sẽ nêu lên kết quả triển khai thành công Nokia Check Point trên hệ
thống mạng thực tế của trường Đại học Công Nghệ và các phương hướng, bổ sung cần
thực hiện trong tương lai.
MỤC LỤC
BẢNG VIẾT TẮT ................................................................................................................................................. 7
DANH SÁCH HÌNH VẼ ....................................................................................................................................... 8
DANH SÁCH BẢNG........................................................................................................................................... 10
ĐẶT VẤN ĐỀ ...................................................................................................................................................... 11
CHƯƠNG 1. GIỚI THIỆU TỔNG QUAN VỀ NOKIA CHECK POINT VÀ HỆ ĐIỀU HÀNH IPSO...... 13
1.1. Giải pháp Nokia Check Point.................................................................................................................... 13
1.2. Tổng quan Nokia Check Point................................................................................................................... 13
1.2.1. Hệ điều hành IPSO............................................................................................................................ 14
1.2.2. Cài đặt HĐH IPSO và cấu hình ban đầu ........................................................................................... 14
1.2.2.1. Boot Manager............................................................................................................................ 15
1.2.2.2. Cài đặt IPSO ............................................................................................................................. 16
1.2.2.3. Cài đặt ban đầu.......................................................................................................................... 19
CHƯƠNG 2. CÀI ĐẶT CHECK POINT NGX R62 ........................................................................................ 22
2.1. Giới thiệu................................................................................................................................................... 22
2.2. Cài đặt package......................................................................................................................................... 22
2.2.1. Cài đặt gói wrapper ........................................................................................................................... 23
2.2.1.1. Cài đặt với CLI ......................................................................................................................... 23
2.2.1.2. Cài đặt với Nokia Network Voyager......................................................................................... 23
2.2.2. Cài đặt SmartConsole NGX R62 ...................................................................................................... 24
CHƯƠNG 3. THIẾT LẬP CẤU HÌNH TƯỜNG LỬA ................................................................................... 25
3.1. Thiết lập cấu hình ban đầu........................................................................................................................ 25
3.2. Chính sách tường lửa mặc định ................................................................................................................ 27
3.3. Thiết lập các luật tường lửa qua SmartDashboard................................................................................... 29
CHƯƠNG 4. THIẾT LẬP CẤU HÌNH NAT.................................................................................................... 32
4.1. Ẩn giấu đối tượng mạng............................................................................................................................ 32
4.2. Cấu hình luật NAT..................................................................................................................................... 33
CHƯƠNG 5. CẤU HÌNH SMARTDEFENSE.................................................................................................. 35
5.1. Giới thiệu về SmartDefense....................................................................................................................... 35
5.2. Network Security ....................................................................................................................................... 36
5.2.1. Denial of Service............................................................................................................................... 36
5.2.2. IP and ICMP...................................................................................................................................... 36
5.2.3. TCP ................................................................................................................................................... 37
5.2.4. Fingerprint Scrambling ..................................................................................................................... 38
5.2.5. Successive Events ............................................................................................................................. 38
5.2.6. Dynamic Ports................................................................................................................................... 38
5.3. Application Intelligence ............................................................................................................................ 39
5.3.1. HTTP Worm Catcher ........................................................................................................................ 39
5.3.2. Cross-Site Scripting .......................................................................................................................... 40
5.3.3. HTTP Protocol Inspection................................................................................................................. 40
5.3.4. File and Print Sharing Worm Catcher ............................................................................................... 42
CHƯƠNG 6. THIẾT LẬP CẤU HÌNH VPN.................................................................................................... 43
6.1. Tổng quan về VPN..................................................................................................................................... 43
6.2. Giải pháp VPN Check Point cho truy cập từ xa........................................................................................ 43
6.2.1. Cấu hình Office Mode sử dụng IP Pool ............................................................................................ 43
6.2.2. Truy cập VPN từ xa sử dụng SecuRemote/SecureClient .................................................................. 49
CHƯƠNG 7. CẤU HÌNH VPN TÍCH HỢP LDAP.......................................................................................... 54
7.1. Giới thiệu sơ lược về LDAP ...................................................................................................................... 54
7.2. Cấu hình VPN tích hợp LDAP................................................................................................................... 56
7.2.1. Cấu hình máy chủ LDAP .................................................................................................................. 56
7.2.2. Cài đặt và cấu hình VPN-1................................................................................................................ 57
7.2.2.1. Kích hoạt SmartDirectory trong Global Properties ................................................................... 57
7.2.2.2. Tạo một host object cho OpenLDAP server ............................................................................. 57
7.2.2.3. Tạo một LDAP Account Unit ................................................................................................... 58
7.2.2.4. Tạo LDAP group....................................................................................................................... 59
CHƯƠNG 8. TRIỂN KHAI THỰC TẾ ............................................................................................................ 60
8.1. Phân tích và giải pháp .............................................................................................................................. 60
8.2. Cài đặt....................................................................................................................................................... 62
8.2.1. Lắp đặt và cài đặt ban dầu................................................................................................................. 62
8.2.2. Thiết lập cấu hình.............................................................................................................................. 65
8.3. Giám sát và quản lý................................................................................................................................... 80
KẾT LUẬN .......................................................................................................................................................... 86
PHỤ LỤC............................................................................................................................................................. 87
Phụ lục A. fw1ng.schema............................................................................................................................ 87
Phụ lục B: Hiện trạng mạng VNUNet......................................................................................................... 90
TÀI LIỆU THAM KHẢO................................................................................................................................... 97
7
BẢNG VIẾT TẮT
BGP Border Gateway Protocol
CLISH Command Line Interface Shell
DHCP Dynamic Host Configuration Protocol
DNS Domain Name System
ĐHQGHN Đại Học Quốc Gia Hà Nội
FreeBSD Free Berkeley Software Distribution
FTP File Transfer Protocol
GUI Graphic User Interface
HTTP Hypertext Transfer Protocol
HTTPS Hypertext Transfer Protocol Secure
ICMP Internet Control Message Protocol
IGRP Interior Gateway Routing Protocol
IP Internet Protocol
IPSO IP Security Operating System
ISS Internet Security System
LDAP Lightweight Directory Access Protocol
NAT Network Address Translation
OSI Open Systems Interconnection
OSPF Open Shortest Path First
RIP Routing Information Protocol
SNMP Simple Network Management Protocol
SSH Secure Shell
TCP Tranmission Control Protocol
Telnet Telecomunication network
VNUNet Vietnam National University Network
VPN Virtual Private Network
8
DANH SÁCH HÌNH VẼ
Hình 1. Nokia IP1220 Platform.....................................................................................13
Hình 2. SmartDashboard – Security..............................................................................30
Hình 3. Thực thi cài đặt .................................................................................................31
Hình 4. SmartDashboard – Address Translation...........................................................32
Hình 5. Cấu hình luật NAT tự động ..............................................................................33
Hình 6. Các luật NAT....................................................................................................34
Hình 7. Global Properties - NAT ..................................................................................34
Hình 8. Network Quota .................................................................................................37
Hình 9. Dynamic Ports ..................................................................................................39
Hình 10. General HTTP Worm Catcher........................................................................40
Hình 11. HTTP Protocol Inspection..............................................................................41
Hình 12. File and Print Sharing.....................................................................................42
Hình 13. Check Point Gateway – General Properties ...................................................44
Hình 14. Tạo Network Object .......................................................................................45
Hình 15. Cấu hình Office Mode ....................................................................................46
Hình 16. Tạo User .........................................................................................................47
Hình 17. Remote Access Community Properties ..........................................................48
Hình 18. Remote Access Rule.......................................................................................48
Hình 19. Server Address................................................................................................50
Hình 20. Authentication Method...................................................................................50
Hình 21. Connectivity Settings......................................................................................51
Hình 22. Advanced Settings ..........................................................................................51
Hình 23. Validate Site ...................................................................................................52
Hình 24. Giao diện kết nối SecureClient.......................................................................52
Hình 25. Tạo Profile ......................................................................................................53
Hình 26. Hoạt động của giao thức LDAP .....................................................................54
Hình 27. Entry ..............................................................................................................54
Hình 28. Kích hoạt Smart Directory..............................................................................57
Hình 29. LDAP Server Properties .................................................................................58
Hình 30. Mô hình mạng cũ............................................................................................60
Hình 31. Mô hình mạng mới .........................................................................................61
Hình 32. Thông tin về hệ điều hành và các gói kích hoạt .............................................63
Hình 33. Cấu hình các cổng của thiết bị........................................................................64
Hình 34. Đặt gateway ....................................................................................................64
Hình 35. Cấu hình Host Name, SNMP .........................................................................65
Hình 36. Smartmap........................................................................................................65
Hình 37. General Properties ..........................................................................................66
Hình 38. Topology.........................................................................................................67
Hình 39. Các luật tường lửa ..........................................................................................68
Hình 40. Protection Overview.......................................................................................69
Hình 41. Remote Access ...............................................................................................69
9
Hình 42. Remote Access Community Properties ..........................................................70
Hình 43. VPN Basic ......................................................................................................71
Hình 44. VPN - IKE ......................................................................................................71
Hình 45. VPN – IPSEC .................................................................................................72
Hình 46. VPN NAT.......................................................................................................72
Hình 47. Tạo Host Node................................................................................................73
Hình 48. Thẻ General ....................................................................................................73
Hình 49. LDAP Server Properties .................................................................................74
Hình 50. Thẻ Server ......................................................................................................74
Hình 51. Thẻ Object Management ................................................................................75
Hình 52. Hiển thị tài khoản LDAP................................................................................75
Hình 53. LDAP Group ..................................................................................................76
Hình 54. Luật Remote Access .......................................................................................76
Hình 55. Chọn Visitor Mode .........................................................................................77
Hình 56. Màn hình đăng nhập .................................................................................