Siêu thị PDFTải ngay đi em, trời tối mất

Thư viện tri thức trực tuyến

Kho tài liệu với 50,000+ tài liệu học thuật

Trang chủ

Đăng nhập

Đăng ký

Mới

Đăng ký tài khoản mới

AI Tư vấn

Mới

Trợ lý thông minh tìm tài liệu

Liên hệ fanpage

Hỗ trợ tìm tài liệu

Lưu trang

Liên hệ fanpage

tìm hiểu và cài đặt hệ thống firewall kết hợp với proxy để bảo vệ hệ thống mạng bên trong

PREMIUM

Số trang

127

Kích thước

1.6 MB

Định dạng

PDF

Lượt xem

1318

tìm hiểu và cài đặt hệ thống firewall kết hợp với proxy để bảo vệ hệ thống mạng bên trong

Nội dung xem thử

Mô tả chi tiết

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƢỜNG ĐẠI HỌC NHA TRANG

KHOA CÔNG NGHỆ THÔNG TIN



NGUYỄN VĂN ĐƢỜNG

TÌM HIỂU VÀ CÀI ĐẶT HỆ THỐNG

FIREWALL KẾT HỢP VỚI PROXY ĐỂ

BẢO VỆ HỆ THỐNG MẠNG

BÊN TRONG

LUẬN VĂN TỐT NGHIỆP

GIÁO VIÊN HƢỚNG DẪN

Th.S NGÔ VĂN CÔNG

Nha Trang, 12/2009

Click to buy NOW!

PDF-XChange Viewer

www.docu-track.co m

Click to buy NOW!

PDF-XChange Viewer

www.docu-track.co m

GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường

Trang 1

LỜI MỞ ĐẦU

Song song với việc xây dựng nền tảng về công nghệ thông tin, cũng như phát

triển các ứng dụng máy tính trong sản xuất, kinh doanh, khoa học, giáo dục, xã

hội,... thì việc bảo về những thành quả đó là một điều không thể thiếu. Sử dụng các

bức tường lửa (Firewall) để bảo vệ mạng nội bộ (Intranet), tránh sự tấn công từ bên

ngoài là một giải pháp hữu hiệu, đảm bảo được các yếu tố:

 An toàn cho sự hoạt động của toàn bộ hệ thống mạng

 Bảo mật cao trên nhiều phương diện

 Khả năng kiểm soát cao

 Đảm bảo tốc độ nhanh

 Mềm dẻo và dễ sử dụng

 Trong suốt với người sử dụng

Ngày nay, Internet, một kho tàng thông tin khổng lồ, phục vụ hữu hiệu trong sản

xuất kinh doanh. Internet đang ngày càng trở nên quan trọng. Nó mang lại rất nhiều

tiện ích cho mọi người. Internet vừa là nguồn tài nguyên khổng lồ, vừa là nơi chia

sẽ thông tin. Việc sử dụng Internet dần đã trở thành một nhu cầu của mọi người.

Nhu cầu chia sẽ thông tin của con người thông qua Internet ngày càng cao. Tuy

nhiên, Internet là một nơi công cộng, mọi người đều có quyền tham gia đóng góp

nhưng đồng thời đó cũng là nơi để trở mà bất kỳ người nào cũng có thể trở thành

đối tượng cho nhiều người khác tấn công với các mục đích khác nhau. Internet

mang lại nhiều lợi ích nhưng cũng đồng thời cũng mang lại nhiều nguy cơ tiềm ẩn.

Cùng với sự phát triển không ngừng của Internet và các dịch vụ trên Internet, số

lượng các vụ tấn công trên Internet cũng tăng theo cấp số nhân. Trong khi các

phương tiện thông tin đại chúng ngày càng nhắc nhiều đến Internet với những khả

năng truy nhập thông tin dường như đến vô tận của nó, thì các tài liệu chuyên môn

bắt đầu đề cập nhiều đến vấn đề bảo đảm và an toàn dữ liệu cho các máy tính được

kết nối vào mạng Internet.

Click to buy NOW!

PDF-XChange Viewer

www.docu-track.co m

Click to buy NOW!

PDF-XChange Viewer

www.docu-track.co m

GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường

Trang 2

Không chỉ số lượng các cuộc tấn công tăng lên nhanh chóng, mà các phương

pháp tấn công cũng liên tục được hoàn thiện. Điều đó cũng là một phần lý do các

nhân viên quản trị hệ thống được kết nối với Internet ngày càng đề cao cảnh giác.

Theo CERT, những cuộc tấn công thời kỳ 1988-1989 chủ yếu đoán tên người người

dùng, mật khẩu (UserID-password) hoặc sử dụng một số lỗi của các chương trình và

hệ điều hành (security hole) làm vô hiệu hệ thống bảo vệ, tuy nhiên các cuộc tấn

công vào thời gian gần đây bao gồm cả các thao tác như giả mạo địa chỉ IP, theo dõi

thông tin truyền qua mạng, tấn công từ chối dịch vụ, chiếm các phiên làm việc từ xa

(telnet hoặc rlogin). Cứ như vậy, phương thức tấn công ngày càng tinh vi và nguy

hiểm.

Vì vậy, mọi người dùng, cơ quan tổ chức, đều có nhu cầu bảo vệ thông tin của

mình trước khi tham gia vào Internet. Nhu cầu bảo vệ thông tin trên Internet có thể

chia thành ba loại gồm:

 Bảo vệ dữ liệu.

 Bảo vệ các tài nguyên sử dụng trên mạng.

 Bảo vệ danh tiếng của cơ quan.

Để tổ chức một hệ thống mạng có khả năng bảo mật cao, một công ty, tổ chức

có thể phải đầu tư một khoảng tài chính khá lớn. Tuy nhiên, với sự phát triển ngày

càng mạnh mẽ của phần mềm nguồn mở, đặt biệt là hệ điều hành nguồn mở đã giúp

các công ty, tổ chức tiết kiệm được một khoảng tài chính lớn. Hơn thế nữa, ngày

nay, các phát hành hệ điều hành dựa trên nhân Linux đã có rất nhiều. Người dùng

có thể hoàn toàn sử dụng hệ điều hành nguồn mở thay cho hệ điều hành thương mại

đắt tiền. Không những thế, hệ điều hành nguồn mở có khả năng bảo mật cao, và

được xem là miễn nhiễm với virus.

Cùng với sự ra đời của hệ điều hành Ubuntu. Một phát hành của Linux được

xem là sẽ thay thế cho Window trong những năm tiếp theo, công ty, tổ chức, doanh

nghiệp có thể tiết kiệm được tài chính và đầu tư vào hệ thống hạ tầng mạng, cũng

như tăng cường khả năng bảo mật hệ thống mạng của mình.

Click to buy NOW!

PDF-XChange Viewer

www.docu-track.co m

Click to buy NOW!

PDF-XChange Viewer

www.docu-track.co m

GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường

Trang 3

Khóa luận này với mục tiêu tìm hiểu hệ điều hành nguồn mở Ubuntu Linux,

Firewall iptables, một Firewall được tích match sẵn trong nhân của Linux, Proxy

Squid, một web cache proxy, và các phần mềm nguồn mở khác nhằm thay thế cho

hệ điều hành mạng Window Server và các máy trạm hệ điều hành Window vốn rất

được sử dụng thông dụng hiện nay.

Click to buy NOW!

PDF-XChange Viewer

www.docu-track.co m

Click to buy NOW!

PDF-XChange Viewer

www.docu-track.co m

GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường

Trang 4

LỜI CẢM ƠN

Trước hết tôi xin bày tỏ lòng cảm ơn đến quý thầy cô thuộc khoa Công nghệ

thông tin, trường Đại Học Nha Trang đã tận tình dạy dỗ và truyền đạt cho tôi nhiều

kiến thức quý báu trong suốt hơn bốn năm qua.

Xin tỏ lòng biết ơn xâu sắc đến thầy Ngô Văn Công, người đã trực tiếp gợi ý,

hướng dẫn và tận tình truyền đạt nhiều kinh nghiệm để tôi có thể thực hiện và hoàn

thành đề tài này.

Xin tỏ lòng biết ơn đến thầy xxxx Dương thuộc bộ môn xxx và thầy Nguyễn

Tấn Tài đã hết lòng giúp đỡ để tôi có thể thử nghiệm được mô hình trong mạng thực

của trường.

Con cũng xin gửi tất cả lòng biết ơn sâu sắc đến cha mẹ, cùng toàn thể gia đình,

những người nuôi dạy con trưởng thành như ngày hôm nay, đồng thời cũng giúp đỡ,

chăm sóc con trong suốt quá trình thực hiện đề tài.

Cuối cùng, tôi xin cảm ơn đến bạn bè, quý thầy cô, quý anh chị trong công ty

OdysseyVN Nha Trang đã động viên và chỉ bảo nhiệt tình để tôi có thể hoàn thành

tốt đề tài này

Nha Trang, 12/2009

Sinh viên thực hiện

Nguyễn Văn Đường

Click to buy NOW!

PDF-XChange Viewer

www.docu-track.co m

Click to buy NOW!

PDF-XChange Viewer

www.docu-track.co m

GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường

Trang 5

NHẬN XÉT CỦA GIÁO VIÊN HƢỚNG DẪN

....................................................................................................................................

Click to buy NOW!

PDF-XChange Viewer

www.docu-track.co m

Click to buy NOW!

PDF-XChange Viewer

www.docu-track.co m

GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường

Trang 6

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN

....................................................................................................................................

Click to buy NOW!

PDF-XChange Viewer

www.docu-track.co m

Click to buy NOW!

PDF-XChange Viewer

www.docu-track.co m

GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường

Trang 7

MỤC LỤC

Chương 1: Giới thiệu về Firewall ........................................................................17

1.1. Firewall là gì? ..............................................................................................17

1.2. Chức năng chính ..........................................................................................17

1.2.1. Bộ lọc gói tin ....................................................................................18

1.2.1.1. Ưu điểm ..............................................................................19

1.2.1.2. Nhược điểm.........................................................................20

1.2.2. Bộ lọc gói tin có trạng thái ...............................................................20

1.2.2.1. Ưu điểm ..............................................................................21

1.2.2.2. Nhược điểm.........................................................................22

1.2.3. Firewall default policy......................................................................22

1.2.3.1. Lựa chọn chính sách mặc định ...........................................22

1.2.3.2. Rejecting so với Denying....................................................24

1.3. Perimeter Networks .....................................................................................25

1.3.1. Bastion host ......................................................................................26

1.3.2. Three-legged configuration ..............................................................27

1.3.3. Back to Back.....................................................................................28

Chương 2: Linux Firewall iptables ......................................................................30

2.1. Giới thiệu iptables........................................................................................30

2.2. Tính năng trong iptables..............................................................................30

2.2.1. Bảng filter .........................................................................................30

2.2.2. Bảng mangle .....................................................................................32

2.2.3. Bảng nat ............................................................................................32

2.3. Tính năng NAT............................................................................................33

2.4. Tính năng Mangle ........................................................................................34

2.5. Cú pháp lệnh iptables...................................................................................36

2.5.1. Những lệnh thao tác bảng filter ........................................................37

Click to buy NOW!

PDF-XChange Viewer

www.docu-track.co m

Click to buy NOW!

PDF-XChange Viewer

www.docu-track.co m

GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường

Trang 8

2.5.1.1. Những thao tác tác động đến chain.....................................37

2.5.1.2. Những thao tác tác động đến luật .......................................38

2.5.1.3. Bảng thao tác match cơ bản................................................39

2.5.1.4. Những thao tác match với tcp filter....................................40

2.5.1.5. Những thao tác match với udp filter...................................40

2.5.1.6. Những thao tác match với icmp filter.................................40

2.5.2. Target của bảng filter........................................................................40

2.5.3. Bổ trợ match trong bảng filter ..........................................................42

2.5.3.1. Bổ trợ match multiport filter...............................................42

2.5.3.2. Bổ trợ match limit filter......................................................43

2.5.3.3. Bổ trợ match dstlimit filter .................................................44

2.5.3.4. Bổ trợ match state filter ......................................................45

2.5.3.5. Match mở rộng mac filter ...................................................47

2.5.3.6. Match mở rộng owner filter................................................48

2.5.3.7. Match mở rộng mark filter..................................................48

2.5.3.8. Match mở rộng tos filter .....................................................49

2.5.3.9. Match mở rộng addrtype filter............................................49

2.5.3.10. Match mở rộng iprange filter ............................................50

2.5.3.11. Match mở rộng length filter ..............................................50

2.5.4. Những lệnh thao tác bảng nat ...........................................................50

2.5.4.1. Target SNAT.......................................................................50

2.5.4.2. Target MASQUERADE .....................................................51

2.5.4.3. Target DNAT......................................................................52

2.5.4.4. Target REDIRECT .............................................................52

2.5.4.5. Target BALANCE ..............................................................53

2.5.5. Những lệnh thao tác bảng mangle ....................................................53

2.6. Xây dựng firewall iptables...........................................................................54

2.6.1. Định nghĩa các biến đại diện ............................................................54

2.6.2. Cho phép sự hỗ trợ của nhân ............................................................54

Click to buy NOW!

PDF-XChange Viewer

www.docu-track.co m

Click to buy NOW!

PDF-XChange Viewer

www.docu-track.co m

GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường

Trang 9

2.6.3. Xóa luật hiện tại................................................................................55

2.6.4. Đặt lại chính sách mặc định và ngắt Firewall...................................56

2.6.5. Cho phép interface loopback ............................................................56

2.6.6. Xác định lựa chọn chính sách mặc định ...........................................56

2.6.7. Kiểm tra nhanh tính match lệ của gói tin..........................................57

2.6.8. Sử dụng kết nối có trạng thái để giảm xét luật .................................57

2.6.9. Ngăn giả mạo địa chỉ ........................................................................58

2.7. Cho phép một số dịch vụ mạng cơ bản........................................................59

2.7.1. Dịch vụ phân giải tên miền...............................................................59

2.7.1.1. Cho phép người dùng phân giải địa chỉ..............................60

2.7.1.2. Cho phép làm một DNS server trung chuyển.....................61

2.7.2. Cho phép một số dịch vụ TCP thông dụng.......................................62

2.7.2.1. Email...................................................................................62

2.7.2.2. Telnet ..................................................................................63

2.7.2.3. SSH .....................................................................................64

2.7.2.4. FTP......................................................................................64

2.7.2.5. Web.....................................................................................65

2.7.3. Lọc chặn một số thông điệp ICMP...................................................66

2.8. Logging........................................................................................................67

2.9. Tối ưu Firewall ............................................................................................67

2.9.1. Tổ chức luật ......................................................................................67

2.9.2. Sử dụng module trạng thái................................................................69

2.9.3. Sử dụng chain tự định nghĩa .............................................................69

2.10.Một số cấu hình đối với Perimeter Network................................................70

2.11.Ánh xạ địa chỉ ..............................................................................................71

Chương 3: SQUID Proxy.....................................................................................73

3.1. Biên dịch và cài đặt chương trình ................................................................73

3.1.1. Configure Script................................................................................73

3.1.2. make Install.......................................................................................73

Click to buy NOW!

PDF-XChange Viewer

www.docu-track.co m

Click to buy NOW!

PDF-XChange Viewer

www.docu-track.co m

GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường

Trang 10

3.1.3. Cài đặt Squid từ một Repository ......................................................73

3.2. Những lưu ý trước khi khởi động ................................................................74

3.2.1. Những tham số tùy chọn khi khởi động ...........................................74

3.2.2. Khởi tạo cache ..................................................................................75

3.3. Chạy thử chương trình .................................................................................75

3.4. Access Control trong Squid .........................................................................76

3.4.1. Access Control Elements cơ sở ........................................................77

3.4.1.1. Địa chỉ IP ............................................................................77

3.4.1.2. Tên miền .............................................................................78

3.4.1.3. Tên người dùng...................................................................79

3.4.1.4. Biểu thức chính quy (regular expression)...........................80

3.4.1.5. Số hiệu cổng TCP ...............................................................80

3.4.1.6. Số hiệu của hệ thống tự trị..................................................80

3.4.2. Phương thức (method)......................................................................81

3.4.3. Giao thức (proto) ..............................................................................81

3.4.4. Thời gian (time)................................................................................81

3.4.5. Xác thực (ident) ................................................................................83

3.4.6. Số lương kết nối tối đa (maxconn) ...................................................83

3.4.7. Trình duyệt (browser).......................................................................84

3.4.8. Nội dung trong request (req_mine_type)..........................................84

3.4.9. Nội dung trong response (rep_mine_type) .......................................84

3.4.10.External ACL....................................................................................85

3.4.11.Luật kiểm soát truy cập.....................................................................86

3.4.12.Phương thức match luật trong Squid ................................................87

3.4.13.Một số tình huống sử dụng Squid.....................................................89

3.5. Những vấn đề cơ bản về đĩa cache ..............................................................90

3.5.1. Chỉ thị cache_dir...............................................................................90

3.5.2. Chỉ thị cache_swap_low và cache_swap_high.................................92

3.5.3. Chỉ thị minimum_object_size và maximum_object_size.................92

Click to buy NOW!

PDF-XChange Viewer

www.docu-track.co m

Click to buy NOW!

PDF-XChange Viewer

www.docu-track.co m

GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường

Trang 11

3.5.4. Chỉ thị store_dir_select_algorithm ...................................................92

3.5.5. Chỉ thị cache_replacement_policy....................................................92

3.5.6. Chỉ thị refresh_pattern ......................................................................93

3.6. Interception Caching....................................................................................94

3.6.1. Vì sao, khi nào dùng interception caching .......................................94

3.6.2. Cấu hình interception caching cho Squid .........................................96

3.7. Sử dụng nhiều proxy....................................................................................96

3.7.1. Xác định các proxy hàng xóm ..........................................................97

3.7.2. Giới hạn truy cập đến hàng xóm.......................................................97

3.7.3. Giao thức ICP ...................................................................................99

3.7.3.1. ICP server............................................................................99

3.7.3.2. ICP client ............................................................................99

3.8. Bộ điều hướng............................................................................................100

3.9. Chứng thực.................................................................................................101

3.9.1. Chứng thực bằng HTTP Basic........................................................101

3.9.2. Chứng thực bằng HTTP Digest ......................................................102

3.9.3. Chứng thực bằng NTLM ................................................................103

3.9.4. External ACLs ................................................................................104

3.9.4.1. ip_user...............................................................................104

3.9.4.2. ldap_group ........................................................................105

3.9.4.3. unix_group ........................................................................105

3.9.4.4. winbind_group ..................................................................105

3.10.Log .............................................................................................................105

3.10.1.Tập tin cache.log.............................................................................106

3.10.2.Tập tin access.log............................................................................106

3.10.3.Tập tin store.log ..............................................................................108

Chương 4: Mô hình thử nghiệm ........................................................................109

4.1. Môi trường thử nghiệm..............................................................................109

4.2. Mô hình thử nghiệm...................................................................................109

Click to buy NOW!

PDF-XChange Viewer

www.docu-track.co m

Click to buy NOW!

PDF-XChange Viewer

www.docu-track.co m

Tài liệu tương tự (6)

Xem tất cả

PREMIUM

17094 lượt xem

Tìm hiểu và đánh giá tình hình tổ chức sự kiện theo mô hình B2B của Công ty giải pháp kinh doanh S&H

Xem chi tiết

PREMIUM

22533 lượt xem

Tìm hiểu và đề xuất một số giải pháp nâng cao hiệu quả hoạt động giao nhận hàng hóa xuất khẩu tại công ty DGS Logistics

Xem chi tiết

PREMIUM

12432 lượt xem

Tìm hiểu và đánh giá hoạt động xúc tiến thương mại cho các doanh nghiệp Hàn Quốc của Công ty TNHH Giải pháp kinh doanh S&H

Xem chi tiết

Tải ngay đi em, còn do dự, trời tối mất!

Thư viện tri thức trực tuyến

tìm hiểu và cài đặt hệ thống firewall kết hợp với proxy để bảo vệ hệ thống mạng bên trong

Nội dung xem thử

Mô tả chi tiết

Tài liệu tương tự (6)

Tìm hiểu và xây dựng dịch vụ thương mại điện tử

Tìm hiểu và xây dựng công cụ phát hiện tấn công mạng dựa trên công nghệ SIEM

Tìm hiểu và phân tích hoạt động Seo của công ty Hesman thương hiệu Shopdunk

Tìm hiểu và đánh giá tình hình tổ chức sự kiện theo mô hình B2B của Công ty giải pháp kinh doanh S&H

Tìm hiểu và đề xuất một số giải pháp nâng cao hiệu quả hoạt động giao nhận hàng hóa xuất khẩu tại công ty DGS Logistics

Tìm hiểu và đánh giá hoạt động xúc tiến thương mại cho các doanh nghiệp Hàn Quốc của Công ty TNHH Giải pháp kinh doanh S&H