Giáo trình Quản trị mạng và thiết bị mạng
Giới thiệu mạng máy tính
1.1. Định nghĩa mạng máy tính và mục đích của việc kết nối mạng
1.1.1. Nhu cầu của việc kết nối mạng máy tính
Việc nối máy tính thành mạng từ lâu đã trở thành một nhu cầu khách
quan vì :
- Có rất nhiều công việc về bản chất là phân tán hoặc về thông tin, hoặc về xử
lý hoặc cả hai đòi hỏi có sự kết hợp truyền thông với xử lý hoặc sử dụng
phương tiện từ xa.
- Chia sẻ các tài nguyên trên mạng cho nhiều người sử dụng tại một thời điểm
(ổ cứng, máy in, ổ CD ROM . . .)
- Nhu cầu liên lạc, trao đổi thông tin nhờ phương tiện máy tính.
- Các ứng dụng phần mềm đòi hòi tại một thời điểm cần có nhiều người sử
dụng, truy cập vào cùng một cơ sở dữ liệu.
1.1.2. Định nghĩa mạng máy tính
Nói một cách ngắn gọn thì mạng máy tính là tập hợp các máy tính độc
lập được kết nối với nhau thông qua các đường truyền vật lý và tuân theo các
quy ước truyền thông nào đó.
Khái niệm máy tính độc lập được hiểu là các máy tính không có máy nào có
khả năng khởi động hoặc đình chỉ một máy khác.
Các đường truyền vật lý được hiểu là các môi trường truyền tín hiệu vật lý (có
thể là hữu tuyến hoặc vô tuyến).
Các quy ước truyền thông chính là cơ sở để các máy tính có thể "nói chuyện"
được với nhau và là một yếu tố quan trọng hàng đầu khi nói về công nghệ
mạng máy tính.
Tóm tắt nội dung tài liệu: Giáo trình Quản trị mạng và thiết bị mạng
---&--- Giáo trình Quản trị mạng và Thiết bị mạng Mục lục 1 LỜI NÓI ĐẦU...............................................................................................................5 PHẦN I: KHÁI QUÁT VỀ CÔNG NGHỆ MẠNG......................................................6 CHƯƠNG 1: TỔNG QUAN VỀ CÔNG NGHỆ MẠNG MÁY TÍNH VÀ MẠNG CỤC BỘ.........................................................................................................................6 MUC 1: MẠNG MÁY TÍNH........................................................................................6 1. GIỚI THIỆU MẠNG MÁY TÍNH............................................................................6 1.1. Định nghĩa mạng máy tính và mục đích của việc kết nối mạng .............................6 1.1.1. Nhu cầu của việc kết nối mạng máy tính.............................................................6 1.1.2. Định nghĩa mạng máy tính...................................................................................6 1.2. Đặc trưng kỹ thuật của mạng máy tính...................................................................7 1.2.1. Đường truyền .......................................................................................................7 1.2.2. Kỹ thuật chuyển mạch .........................................................................................7 1.2.3. Kiến trúc mạng.....................................................................................................7 1.2.4. Hệ điều hành mạng ..............................................................................................8 1.3. Phân loại mạng máy tính.........................................................................................8 1.3.1. Phân loại mạng theo khoảng cách địa lý :............................................................8 1.3.2. Phân loại theo kỹ thuật chuyển mạch: .................................................................8 1.3.3. Phân loại theo kiến trúc mạng sử dụng................................................................9 1.3.4. Phân loại theo hệ điều hàng mạng .......................................................................9 1.4. Các mạng máy tính thông dụng nhất ......................................................................9 1.4.1. Mạng cục bộ.........................................................................................................9 1.4.2. Mạng diện rộng với kết nối LAN to LAN ...........................................................9 1.4.3. Liên mạng INTERNET......................................................................................10 1.4.4. Mạng INTRANET .............................................................................................10 2. MẠNG CỤC BỘ, KIẾN TRÚC MẠNG CỤC BỘ .................................................10 2.1. Mạng cục bộ..........................................................................................................10 2.2. Kiến trúc mạng cục bộ ..........................................................................................10 2.2.1. Đồ hình mạng (Network Topology) ..................................................................10 2.3. Các phương pháp truy cập đường truyền vật lý....................................................12 3. CHUẨN HOÁ MẠNG MÁY TÍNH........................................................................13 3.1. Vấn đề chuẩn hoá mạng và các tổ chức chuẩn hoá mạng.....................................13 3.2. Mô hình tham chiếu OSI 7 lớp..............................................................................13 3.3. Các chuẩn kết nối thông dụng nhất IEEE 802.X và ISO 8802.X .........................14 MỤC 2: CAC THIẾT BỊ MẠNG THONG DỤNG VA CAC CHUẨN KẾT NỐI VẬT LÝ ...............................................................................................................................15 1.CÁC THIẾT BỊ MẠNG THÔNG DỤNG................................................................15 1.1. Các loại cáp truyền................................................................................................15 1.1.1. Cáp đôi dây xoắn (Twisted pair cable) ..............................................................15 1.1.2. Cáp đồng trục (Coaxial cable) băng tần cơ sở ...................................................15 1.1.3. Cáp đồng trục băng rộng (Broadband Coaxial Cable).......................................16 1.1.4. Cáp quang ..........................................................................................................16 1.2. Các thiết bị ghép nối .............................................................................................17 1.2.1. Card giao tiếp mạng (Network Interface Card - NIC) ....................................17 1.2.2. Bộ chuyển tiếp (REPEATER ) ..........................................................................17 1.2.3. Các bộ tập trung (Concentrator hay HUB) ........................................................17 1.2.4. Switching Hub (hay còn gọi tắt là switch).........................................................17 1.2.5. Modem ...............................................................................................................18 1.2.6. Multiplexor - Demultiplexor..............................................................................18 1.2.7. Router.................................................................................................................18 2. MỘT SỐ KIỂU NỐI MẠNG THÔNG DỤNG VÀ CÁC CHUẨN.........................19 Ebook 4 U ebook.vinagrid.com Mục lục 2 2.1.Các thành phần thông thường trên một mạng cục bộ ............................................18 2.2. Kiểu 10BASE5......................................................................................................19 2.3. Kiểu 10BASE2......................................................................................................19 2.4. Kiểu 10BASE-T....................................................................................................20 2.5. Kiểu 10BASE-F....................................................................................................20 CHƯƠNG 2: GIỚI THIỆU GIAO THỨC TCP/IP......................................................22 1. GIAO THỨC IP........................................................................................................... 1.1. Họ giao thức TCP/IP.............................................................................................21 1.2. Chức năng chính của - Giao thức liên mạng IP(v4) .............................................23 1.3. Địa chỉ IP .............................................................................................................23 1.4. Cấu trúc gói dữ liệu IP ..........................................................................................24 1.5. Phân mảnh và hợp nhất các gói IP........................................................................25 1.6. Định tuyến IP ........................................................................................................25 2. MỘT SỐ GIAO THỨC ĐIỀU KHIỂN ...................................................................26 2.1. Giao thức ICMP....................................................................................................26 2.2. Giao thức ARP và giao thức RARP......................................................................26 3.1. Giao thức TCP ......................................................................................................27 3.1.1 Cấu trúc gói dữ liệu TCP ....................................................................................27 3.1.2 Thiết lập và kết thúc kết nối TCP .......................................................................28 PHẦN II: QUẢN TRỊ MẠNG.....................................................................................30 CHƯƠNG 3: TỔNG QUAN VỀ BỘ ĐỊNH TUYẾN.................................................33 1. LÝ THUYẾT VỀ BỘ ĐỊNH TUYẾN.....................................................................33 1.1. Tổng quan về bộ định tuyến..................................................................................32 1.2. Các chức năng chính của bộ định tuyến, tham chiếu mô hình OSI ......................32 1.3. Cấu hình cơ bản và chức năng của các bộ phận của bộ định tuyến......................34 2. GIỚI THIỆU VỀ BỘ ĐỊNH TUYẾN CISCO.........................................................35 2.1. Giới thiệu bộ định tuyến Cisco .............................................................................35 2.2. Một số tính năng ưu việt của bộ định tuyến Cisco ...............................................36 2.3. Một số bộ định tuyến Cisco thông dụng ...............................................................36 2.4. Các giao tiếp của bộ định tuyến Cisco..................................................................40 2.5. Kiến trúc module của bộ định tuyến Cisco...........................................................41 3. CÁCH SỬ DỤNG LỆNH CẤU HÌNH BỘ ĐỊNH TUYẾN ...................................47 3.1. Giới thiệu giao tiếp dòng lệnh củƒ___<à__c»a bộ định tuyến Cisco.......................................47 3.2. Làm quen với các chế độ cấu hình........................................................................50 3.3. Làm quen với các lệnh cấu hình cơ bản................................................................53 3.4. Cách khắc phục một số lỗi thường gặp.................................................................60 4. CẤU HÌNH BỘ ĐỊNH TUYẾN CISCO.................................................................61 4.1. Cấu hình leased-line..............................................................................................61 4.2. Cấu hình X.25 & Frame Relay .............................................................................65 4.3. Cấu hình Dial-up...................................................................................................80 4.4. Định tuyến tĩnh và động........................................................................................83 5. BỘ CHUYỂN MẠCH LỚP 3..................................................................................89 5.1. Tổng quan và kiến trúc bộ chuyển mạch lớp 3 .....................................................89 5.2. Định tuyến trên bộ chuyển mạch lớp 3 .................................................................91 5.3. Sơ lược về các bộ chuyển mạch lớp 3 thông dụng của Cisco...............................92 6. BÀI TẬP THỰC HÀNH SỬ DỤNG BỘ ĐỊNH TUYẾN CISCO..........................95 Bài 1: Thực hành nhận diện thiết bị, đấu nối thiết bị...................................................94 Bài 2: Thực hành các lệnh cơ bản................................................................................94 Bài 3: Cấu hình bộ định tuyến với mô hình đấu nối leased-line..................................94 Bài 4: Cấu hình bộ định tuyến với Dial-up..................................................................94 Ebook 4 U ebook.vinagrid.com Mục lục 3 Thiết bị phòng lab ........................................................................................................95 CHƯƠNG 4: Hệ THỐNG TÊN MIỀN DNS ..............................................................96 1. GIỚI THIỆU............................................................................................................96 1.1. Lịch sử hình thành của DNS.................................................................................96 1.2. Mục đích của hệ thống DNS.................................................................................96 2. DNS SERVER VÀ CẤU TRÚC CƠ SỞ DỮ LIỆU TÊN MIỀN............................98 2.1.Cấu trúc cơ sở dữ liệu ............................................................................................98 2.2. Phân loại DNS server và đồng bộ dư liệu giữa các DNS server.........................101 3. HOẠT ĐỘNG CỦA HỆ THỐNG DNS ................................................................105 4. BÀI TẬP THỰC HÀNH .......................................................................................109 Bài 1: Cài đặt DNS Server cho Window 2000 ..........................................................109 Bài 2: Cài đặt, cấu hình DNS cho Linux ...................................................................118 CHƯƠNG 5: DỊCH VỤ TRUY CẬP TỪ XA VÀ DỊCH VỤ PROXY....................128 MỤC 1: DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS)...............................128 1. CÁC KHÁI NIỆM VÀ CÁC GIAO THỨC..........................................................128 1.1. Tổng quan về dịch vụ truy cập từ xa...................................................................128 1.2. Kết nối truy cập từ xa và các giao thức sử dụng trong truy cập từ xa ................129 1.3. Modem và các phương thức kết nối vật lý..........................................................133 2. AN TOÀN TRONG TRUY CẬP TỪ XA.............................................................135 2.1. Các phương thức xác thực kết nối ......................................................................135 2.2. Các phương thức mã hóa dữ liệu ........................................................................137 3. TRIỂN KHAI DỊCH VỤ TRUY CẬP TỪ XA .....................................................138 3.1. Kết nối gọi vào và kết nối gọi ra.........................................................................138 3.2. Kết nối sử dụng đa luồng (Multilink) .................................................................139 3.3. Các chính sách thiết lập cho dịch vụ truy nhập từ xa .........................................140 3.4. Sử dụng dịch vụ gán địa chỉ động DHCP cho truy cập từ xa .............................141 3.5. Sử dụng RadiusServer để xác thực kết nối cho truy cập từ xa. ..........................142 3.6. Mạng riêng ảo và kết nối dùng dịch vụ truy cập từ xa .......................................144 3.7. Sử dụng Network and Dial-up Connection.........................................................145 3.8. Một số vấn đề xử lý sự cố trong truy cập từ xa ..................................................146 4. BÀI TẬP THỰC HÀNH .......................................................................................147 Bài 1: Thiết lập dialup networking để tạo ra kết nối Internet. truy cập Internet và giới thiệu các dịch vụ cơ bản.............................................................................................147 Bài 2: Cài đặt và cấu hình dịch vụ truy cập từ xa cho phép người dùng từ xa truy cập vào mạng trên hệ điều hành Windows 2000 server. ..................................................148 Bài 3: Cấu hình VPN server và thiết lập VPN Client, kiểm tra kết nối từ VPN Client tới VPN server ...........................................................................................................151 MỤC 2 : DỊCH VỤ PROXY - GIẢI PHÁP CHO VIỆC KẾT NỐI MẠNG DÙNG RIÊNG RA INTERNET ............................................................................................152 1. CÁC KHÁI NIỆM....................................................................... ... ng thường hoạt động theo nguyên tắc router hay còn được gọi là router, có nghĩa là tạo ra các luật cho phép quyền truy nhập mạng dựa trên mức mạng. Mô hình này hoạt động theo nguyên tắc lọc gói tin (packet filtering). Ở kiểu hoạt động này các gói tin đều được kiểm tra địa chỉ nguồn nơi chúng xuất phát. Sau khi địa chỉ IP nguồn được xác định thì nó được kiểm tra với các luật đã được đặt ra trên router. Ví dụ người quản trị firewall quyết định rằng không cho phép bất kỳ một gói tin nào xuất phát từ mạng microsoft.com được kết nối với mạng trong thì các gói tin xuất phát từ mạng này sẽ không bao giờ đến được mạng trong. Các firewall hoạt động ở lớp mạng (tương tự như một router) thường cho phép tốc độ xử lý nhanh bởi nó chỉ kiểm tra địa chỉ IP nguồn mà không có một lệnh thực sự nào trên router, nó không cần một khoảng thời gian nào để xác định xem là địa chỉ sai hay bị cấm. Nhưng điều này bị trả giá bởi tính tin cậy của nó. Kiểu firewall này sử dụng địa chỉ IP nguồn làm chỉ thị, điểu này tạo ra một lỗ hổng là nếu một gói tin mang địa chỉ nguồn là địa chỉ giả thì như vậy nó sẽ có được một số mức truy nhập vào mạng trong của bạn. Tuy nhiên có nhiều biện pháp kỹ thuật có thể được áp dụng cho việc lọc gói tin nhằm khắc phục yếu điểm này. Ví dụ như đối với các công nghệ packet filtering phức tạp thì không chỉ có trường địa chỉ IP được kiểm tra bởi router mà còn có các trường khác nữa được kiểm tra với các luật được tạo ra trên Ebook 4 U ebook.vinagrid.com Chương 6 - Bảo mật hệ thống và Firewall 211 firewall, các thông tin khác này có thể là thời gian truy nhập, giao thức sử dụng, port ... Firewall kiểu Packet Filtering có thể được phân thành 2 loại: a) Packet filtering firewall: hoạt động tại lớp mạng của mô hình OSI hay lớp IP trong mô hình giao thức TCP/IP. Hình 6.11: Packet filtering firewall b) Circuit level gateway: hoạt động tại lớp phiên (session) của mô hình OSI hay lớp TCP trong mô hình giao thức TCP/IP. Hình 6.12: Circuit level gateway Ebook 4 U ebook.vinagrid.com Chương 6 - Bảo mật hệ thống và Firewall 212 2.1.4.2. Application-proxy firewall Kiểu firewall này hoạt động dựa trên phần mềm. Khi một kết nối từ một người dùng nào đó đến mạng sử dụng firewall kiểu này thì kết nối đó sẽ bị chặn lại, sau đó firewall sẽ kiểm tra các trường có liên quan của gói tin yêu cầu kết nối. Nếu việc kiểm tra thành công, có nghĩa là các trường thông tin đáp ứng được các luật đã đặt ra trên firewall thì firewall sẽ tạo một cái cầu kết nối giữa hai node với nhau. Ưu điểm của kiểu firewall loại này là không có chức năng chuyển tiếp các gói tin IP, hơn nữa ta có thể điểu khiển một cách chi tiết hơn các kết nối thông qua firewall. Đồng thời nó còn đưa ra nhiều công cụ cho phép ghi lại các quá trình kết nối. Tất nhiên điều này phải trả giá bởi tốc độ xử lý, bởi vì tất cả các kết nối cũng như các gói tin chuyển qua firewall đều được kiểm tra kỹ lưỡng với các luật trên firewall và rồi nếu được chấp nhận sẽ được chuyển tiếp tới node đích. Sự chuyển tiếp các gói tin IP xảy ra khi một máy chủ nhận được một yêu cầu từ mạng ngoài rồi chuyển chúng vào mạng trong. Điều này tạo ra một lỗ hổng cho các kẻ phá hoại (hacker) xâm nhập từ mạng ngoài vào mạng trong. Nhược điểm của kiểu firewall hoạt động dựa trên ứng dụng là phải tạo cho mỗi dịch vụ trên mạng một trình ứng dụng uỷ quyền (proxy) trên firewall ví dụ như phải tạo một trình ftp proxy dịch vụ ftp, tạo trình http proxy cho dịch vụ http... Như vậy ta có thể thấy rằng trong kiểu giao thức client-server như dịch vụ telnet làm ví dụ thì cần phải thực hiện hai bước để cho hai máy ngoài mạng và trong mạng có thể kết nối được với nhau. Khi sử dụng firewall kiểu này các máy client (máy yêu cầu dịch vụ) có thể bị thay đổi. Ví dụ như đối với dịch vụ telnet thì các máy client có thể thực hiện theo hai phương thức: một là bạn telnet vào firewall trước sau đó mới thực hiện việc telnet vào máy ở mạng khác; cách thứ hai là bạn có thể telnet thẳng tới đích tuỳ theo các luật trên firewall có cho phép hay không mà việc telnet của bạn sẽ được thực hiện. Lúc này firewall là hoàn toàn trong suốt, nó đóng vai trò như một cầu nối tới đích của bạn. Firewall kiểu Application-proxy có thể được phân thành 2 loại: a) Application level gateway: tính năng tương tự như loại circuit-level gateway nhưng lại hoạt động ở lớp ứng dụng trong mô hình giao thức TCP/IP. Ebook 4 U ebook.vinagrid.com Chương 6 - Bảo mật hệ thống và Firewall 213 Hình 6.13: Application level gateway b) Stateful multilayer inspection firewall: đây là loại kết hợp được các tính năng của các loại firewall trên: lọc các gói tại lớp mạng và kiểm tra nội dung các gói tại lớp ứng dụng. Firewall loại này cho phép các kết nối trực tiếp giữa các client và các host nên giảm được các lỗi xảy ra do tính chất "không trong suốt" của firewall kiểu Application gateway. Stateful multilayer inspection firewall cung cấp các tính năng bảo mật cao và lại trong suốt đối với các end users. Ebook 4 U ebook.vinagrid.com Chương 6 - Bảo mật hệ thống và Firewall 214 Hình 6.14: Stateful multilayer inspection firewall 2.2. Một số phần mềm Firewall thông dụng 2.2.1. Packet filtering Kiểu lọc gói tin này có thể đựơc thực hiện mà không cần tạo một firewall hoàn chỉnh, có rất nhiều các công cụ trợ giúp cho việc lọc gói tin trên Internet (kể cả phải mua hay được miễn phí). Sau đây ta có thể liệt kê một số tiện ích như vậy 2.2.1.1. TCP_Wrappers TCP_Wrappers là một chương trình được viết bởi Wietse Venema. Chương trình hoạt động bằng cách thay thế các chương trình thường trú của hệ thống và ghi lại tất cả các yêu cầu kết nối, thời gian yêu cầu, và địa chỉ nguồn. Chương trình này cũng có khả năng ngăn chặn các địa chỉ IP hay các mạng không được phép kết nối. 2.2.1.2. NetGate NetGate được đưa ra bởi Smallwork là một hệ thống dựa trên các luật về lọc gói tin. Nó được viết ra để sử dụng trên các hệ thống Sun Sparc OS 4.1.x. Tương tự như các kiểu packet filtering khác, NetGate kiểm tra tất cả các gói tin nó nhận được và so sánh với các luật đã được tạo ra. 2.2.1.3. Internet Packet Filter Phần mềm này hoàn toàn miễn phí, được viết bởi Darren Reed. Đây là một chương trình khá tiện lợi, nó có khả năng ngăn chặn được việc tấn công bằng địa chỉ IP giả. Một số ưu điểm của chương trình là nó không chỉ có khả Ebook 4 U ebook.vinagrid.com Chương 6 - Bảo mật hệ thống và Firewall 215 năng huỷ bỏ các gói tin TCP không đúng hoặc chưa hoàn thiện mà còn không gửi lại bản tin ICMP lỗi. Chương trình này cho phép bạn có thể kiểm tra thử các luật bạn ra trước khi sử dụng chúng. 2.2.2. Application-proxy firewall 2.2.2.1. TIS FWTK TIS FWTK (Trusted information Systems Firewall Tool Kit) là một phần mềm đầu tiên đầy đủ tính năng của firewall và đặc trưng cho kiểu firewall hoạt động theo phương thức ứng dụng. Những phiên bản đầu tiên của phần mềm này là miễn phí và bao gồm nhiều thành phần riêng rẽ. Mỗi thành phần phục vụ cho một kiểu dịch vụ trên mạng. Các thành phần chủ yếu bao gồm: Telnet, FTP, rlogin, sendmail và http. Phần mềm này là một hệ thống toàn diện, tuy nhiên nó không có khả năng bảo vệ mạng ngay sau khi cài đặt vì việc cài đặt và cấu hình không phải là dễ dàng. Khi cấu hình phần mềm này bạn phải thực sự hiểu mình đang làm gì bởi có thể với các luật bạn tạo ra thì mạng của bạn không thể được kết nối với bất kỳ mạng nào khác thậm chí ngay cả những mạng quen thuộc. Điểm đặc trưng nhất của phần mềm này là nó có sẵn nhiều tiện ích giúp bạn điều khiển được truy nhập đối với toàn mạng, một phần mạng hay thậm chí chỉ riêng một địa chỉ. 2.2.2.2. Raptor Raptor là phần mềm firewall cung cấp đầy đủ các tính năng của một firewall chuyên nghiệp với hai giao diện quản lý, một trên hệ đều hành Unix (RCU) và một trên hệ điều hành Windows (RMC). Raptor có thể được cấu hình để bảo vệ mạng theo bốn phương thức: Standard Proxies, Generic Service Passer, Virtual Private Network tunnels và Raptor Mobile. Tuy việc cấu hình cho Raptor khá phức tạp với việc tạo các route, định nghĩa các entity, user và group, thiết lập các authorization rule ... nhưng bù lại ta có thể sử dụng được rất nhiều tính năng ưu việt do Raptor cung cấp đề tuỳ biến các mức bảo vệ đối với mạng của mình. 2.3. Thực hành cài đặt và cấu hình firewall Check Point v4.0 for Windows 2.3.1. Yêu cầu phần cứng: - Cấu hình tối thiểu đối với máy cài GUI Client Hệ điều hành Windows 95, Windows NT, X/Motif Dung lượng đĩa trống 20 Mbytes Bộ nhớ 16 Mbytes Card mạng Các loại card được hệ điều hành hỗ trợ Thiết bị khác CD-ROM Ebook 4 U ebook.vinagrid.com Chương 6 - Bảo mật hệ thống và Firewall 216 - Cấu hình tối thiểu đối với máy cài Management Server Hệ điều hành Windows NT (Intel x86 và Pentium) Dung lượng đĩa trống 20 Mbytes Bộ nhớ tối thiểu 16MB, nên dùng 24MB Card mạng Các loại card được hệ điều hành hỗ trợ Thiết bị khác CD-ROM - Cấu hình tối thiểu đối với máy cài Modul Firewall Hệ điều hành Windows NT (Intel x86 và Pentium) Dung lượng đĩa trống 20 Mbytes Bộ nhớ 16 Mbytes Card mạng Tối thiểu phải có 3 card mạng thuộc các loại card được hệ điều hành hỗ trợ. Thiết bị khác CD-ROM 2.3.2. Các bước chuẩn bị trước khi cài đặt - Thắt chặt an ninh cho máy chủ cài firewall và các module của firewall như GUI Client và Management Server (tắt các dịch vụ không cần thiết, update các patch sửa lỗi của hệ điều hành ...). - Kiểm tra các kết nối mạng trên các giao diện mạng, đảm bảo từ máy chủ cài Module Firewall có thể ping được các IP trên các giao diện mạng (sử dụng lệnh ifconfig , ping ...). - Kiểm tra bảng Routing (sử dụng lệnh netstat -rn ...). - Kiểm tra dịch vụ DNS (sử dụng lệnh nslookup). - Lập sơ đồ mạng thử nghiệm, đối với máy chủ có 3 giao diện mạng có thể lập sơ đồ như sau: Ebook 4 U ebook.vinagrid.com Chương 6 - Bảo mật hệ thống và Firewall 217 Hình 6.15: Sơ đồ mạng thử nghiệm đối với máy chủ có 3 giao diện mạng 2.3.3. Tiến hành cài đặt Login dưới quyền Administrator và cài đặt hệ thống Firewall Checkpoint trên các máy theo trình tự sau: - Cài đặt GUI Client và Management Server. - Cài đặt Module Firewall. 2.3.3.1. Cài đặt GUI Client và Management Server Đưa đĩa CD Checkpoint và chạy lệnh setup trong thư mục Windows, chọn Account Management Client và FireWall-1 User Interface trong cửa sổ Select Components: Ebook 4 U ebook.vinagrid.com Chương 6 - Bảo mật hệ thống và Firewall 218 Chọn Next, màn hình sẽ hiện ra như sau: Chọn Next rồi chọn thư mục cài đặt trong cửa sổ Choose Destination Location: Ebook 4 U ebook.vinagrid.com Chương 6 - Bảo mật hệ thống và Firewall 219 Chọn Next rồi chọn các thành phần trong cửa sổ Select Components: Chọn Next để bắt đầu quá trình cài đặt. Sau khi cài xong GUI Client, màn hình sẽ tự động hiện ra phần cài đặt Account Management Client With Encryption Installation: Ebook 4 U ebook.vinagrid.com Chương 6 - Bảo mật hệ thống và Firewall 220 Chọn Next rồi chọn thư mục cài đặt trong cửa sổ Choose Destination Location: Chọn Next rồi chọn Folder trong cửa sổ Select Program Folder: Ebook 4 U ebook.vinagrid.com Chương 6 - Bảo mật hệ thống và Firewall 221 Chọn Next để bắt đầu quá trình cài đặt 2.3.3.2. Cài đặt Module Firewall: Chọn FireWall-1 trong cửa sổ Select Components ban đầu: Chọn Next, màn hình sẽ hiện ra như sau: Ebook 4 U ebook.vinagrid.com Chương 6 - Bảo mật hệ thống và Firewall 222 Chọn Next rồi chọn thư mục cài đặt trong cửa sổ Choose Destination Location: Chọn Next rồi chọn FireWall-1 FireWall Module trong cửa sổ Selecting Product Type: Ebook 4 U ebook.vinagrid.com Chương 6 - Bảo mật hệ thống và Firewall 223 Chọn Next rồi tùy theo phiên bản Checkpoint đăng ký để chọn số license phù hợp: Chọn Next để bắt đầu quá trình cài đặt. Sau khi cài xong, màn hình cài đặt license sẽ hiện lên như sau: Ebook 4 U ebook.vinagrid.com Chương 6 - Bảo mật hệ thống và Firewall 224 Chọn Add rồi nhập license vào cửa sổ sau : Chọn hostname của Management Server: Ebook 4 U ebook.vinagrid.com Chương 6 - Bảo mật hệ thống và Firewall 225 Chọn chế độ IP Forwarding: Ebook 4 U ebook.vinagrid.com Chương 6 - Bảo mật hệ thống và Firewall 226 Đặt các tham số cho SMTP Security Server: Ebook 4 U ebook.vinagrid.com Chương 6 - Bảo mật hệ thống và Firewall 227 Chọn Finish để kết thúc quá trình cài đặt rồi Restart lại máy. Sau khi restart lại máy, login vào màn hình console của CheckPoint với user và password đã tạo để thiết lập cấu hình cho firewall: Ebook 4 U ebook.vinagrid.com Chương 6 - Bảo mật hệ thống và Firewall 228 2.3.4. Thiết lập cấu hình Sau khi login vào màn hình điều khiển của CheckPoint, ta bắt đầu tiến hành quá trình thiết lập cấu hình cho firewall theo các bước sau: - Định nghĩa cho các giao tiếp (Interface) thuộc mạng trong (Inside network) và mạng ngoài (Outside network) của máy chủ cài CheckPoint. - Tạo các Network thuộc mạng trong: Theo mô hình thử nghiệm ở đây là mạng 192.168.7.0 và 192.168.1.0. - Nhóm các Inside network thành một group để tiện quản lý. - Thiết lập các luật để cho phép hoặc cấm các truy nhập từ trong ra ngoài và từ ngoài vào trong. Các luật này gồm các thành phần cơ bản sau: + Số thứ tự: biểu thị mức độ ưu tiên của luật. Luật nào có số thứ tự càng nhỏ thì mức độ ưu tiên càng lớn. + Nguồn (SOURCE) + Đích (DESTINATION) + Giao tiếp (IF VIA) + Dịch vụ (SERVICE): các dịch vụ được cho phép/cấm + Hành động (ACTION): cho phép/cấm + Ngoài ra còn có các tham số khác như TRACK, INSTALL ON, TIME Sau đây là một ví dụ về thiết lập luật cho firewall CheckPoint: Ebook 4 U ebook.vinagrid.com Tài liệu tham khảo 229 TÀI LIỆU THAM KHẢO 1. Interconnecting Cisco Network Devices - Steve McQuerry, 03/2000 2. Building Scalable Cisco Internetworks - Catherine Paquet, 01/2003 3. Routing TCP/IP Volume I - Jeff Doyle, 09/1998 4. Cisco Internetworking Basic - Cisco Press, 07/2001 5. Cisco WEB site - Technologies 6. Microsoft Windows 2000 advanced server - Microsoft Press, 1985- 1999 7. DNS and BIND, 3trd Edition - Paul Albitz and Cricket Liu, 09/1998 8. Internet System Consortium WEB site 9. Remote Access Study Guide - Robert Padjen, Todd Lammle, Wade Edwards, 9/2002 10. Building Cisco Remote Access Networks - Catherine Paquet, 08/1999. 11. Complete Book of Remote Access:Connectivity and Security , Victor Kasacavage (Editor), Weikai Yan, 12/2002 12. Designing & Implementing Microsoft Proxy Server- David Wolfe, Sams Net Publishing. 13. ISA Server 2000 Administration Study Guide- William Heldman (Sybex-MCSE). 14. Configuring ISA server for an Enterprise-Microsoft Training and Certification, 02/2001 15. Designing & Implementting Microsoft Windows2000 Network Infrastructure, Microsoft Training and Certification, 05/2000 16. Firewalls and Internet Security: Repelling the Wily Hacker, Steven M. Bellovin, 01/2003 17. Inside Network Perimeter Security, Karen Fredericks and Lenny Zeltser and Scott Winters, 01/2002 18. CCSP Cisco Secure PIX Firewall Advanced Exam Certification Guide, Greg Bastien and Christian Degu, 01/2003 19. Building Internet Firewalls, Elizabeth D. Zwicky & Simon Cooper, 01/2000 20. Firewalls: A Complete Guide, Marcus Goncalves, 01/1999 21. Configuring ISA server for an Enterprise-Microsoft Training and Certification, 02/2001 Ebook 4 U ebook.vinagrid.com __
File đính kèm:
- giao_trinh_quan_tri_mang_va_thiet_bi_mang.doc