1. Trang Chủ
  2. Luận Văn Tốt Nghiệp
  3. Công Nghệ Thông Tin

Khóa luận Nghiên cứu triển khai Nokia Firewall

Download
ĐẠI HC QUC GIA HÀ NI  
TRƯỜNG ĐẠI HC CÔNG NGHỆ  
Vũ Hng Phong  
NGHIÊN CU TRIN KHAI NOKIA FIREWALL  
KHOÁ LUN TT NGHIP ĐẠI HC HCHÍNH QUY  
Ngành: Công NghThông Tin  
HÀ NI - 2009  
ĐẠI HC QUC GIA HÀ NI  
TRƯỜNG ĐẠI HC CÔNG NGHỆ  
Vũ Hng Phong  
NGHIÊN CU TRIN KHAI NOKIA FIREWALL  
KHOÁ LUN TT NGHIP ĐẠI HC HCHÍNH QUY  
Ngành: Công NghThông Tin  
Cán bhướng dn: ThS. Đoàn Minh Phương  
Cán bộ đồng hướng dn: ThS. Nguyn Nam Hi  
HÀ NI - 2009  
LI CM ƠN  
Li đầu tiên, em xin gi li cm ơn chân thành ti ThS. Nguyn Nam Hi và  
ThS. Đoàn Minh Phương. Hai thy đã giúp đỡ em la chn đề tài đồng thi trc tiếp  
hướng dn và đưa ra nhng nhn xét quý giá trong sut quá trình em thc hin khóa  
lun này. Em cũng xin gi li cm ơn ti các thy trong Trung Tâm Máy Tính – Đại  
hc Công Ngh- ĐHQGHN đã hết sc to điu kin để em nghiên cu và hoàn thành  
khóa lun.  
Em xin được cm ơn các thy, các cô trong trường Đại hc Công Ngh, trong  
sut bn năm qua đã ging dy chúng em. Nhng kiến thc các thy, các cô cung cp  
slà hành trang vng chc để em tiến bước trong tương lai.  
Trong quá trình hc tp, em đã nhn được rt nhiu sgiúp đỡ, động viên tcác  
bn trong lp K50CA, K50MMT. Em xin được gi li cm ơn tt ccác bn.  
Cui cùng, em xin gi li cm ơn sâu sc nht ti bmvà gia đình em. Nhng  
người luôn luôn cvũ, khích lvà mang ti cho em nhng điu tt đẹp nht trong  
cuc sng.  
TÓM TT NI DUNG  
Phn mở đầu ca Khóa lun sẽ đặt ra các vn đề làm cơ scho vic thc hin  
Khóa lun. Các vn đề được đặt ra da trên vic kho sát thc tế hin trng hthng  
mng trường Đại hc Công Ngh(xem chi tiết trong phlc B).  
Tiếp đó, Khóa lun strình bày gii pháp sdng Nokia Check Point để nâng  
cao khnăng an ninh và hot động ca hthng mng. Các phn sau ca khóa lun sẽ  
ln lượt trình bày vphương pháp cài đặt, trin khai thiết bNokia IP1220. Đầu tiên là  
tìm hiu vHĐH IPSO sdng trên Nokia IP1220, các bước cài đặt, cu hình HĐH  
IPSO. Tiếp đó là phn gii thiu và cách cài đặt ng dng Firewall-1/VPN-1. Sau đó  
là cách cu hình tường la, thiết lp các chính sách an ninh, cu hình NAT, Routing ,  
cu hình mng riêng o VPN tích hp vi máy chLDAP. Trước mi phn đều có nêu  
tóm tt các kiến thc cơ bn được sdng.  
Phn kết lun snêu lên kết qutrin khai thành công Nokia Check Point trên hệ  
thng mng thc tế ca trường Đại hc Công Nghvà các phương hướng, bsung cn  
thc hin trong tương lai.  
MC LC  
BNG VIT TT ................................................................................................................................................. 7  
DANH SÁCH HÌNH V....................................................................................................................................... 8  
DANH SÁCH BNG........................................................................................................................................... 10  
ĐẶT VN ĐỀ ...................................................................................................................................................... 11  
CHƯƠNG 1. GII THIU TNG QUAN VNOKIA CHECK POINT VÀ HỆ ĐIU HÀNH IPSO...... 13  
1.1. Gii pháp Nokia Check Point.................................................................................................................... 13  
1.2. Tng quan Nokia Check Point................................................................................................................... 13  
1.2.1. Hệ điu hành IPSO............................................................................................................................ 14  
1.2.2. Cài đặt HĐH IPSO và cu hình ban đầu ........................................................................................... 14  
1.2.2.1. Boot Manager............................................................................................................................ 15  
1.2.2.2. Cài đặt IPSO ............................................................................................................................. 16  
1.2.2.3. Cài đặt ban đầu.......................................................................................................................... 19  
CHƯƠNG 2. CÀI ĐẶT CHECK POINT NGX R62 ........................................................................................ 22  
2.1. Gii thiu................................................................................................................................................... 22  
2.2. Cài đặt package......................................................................................................................................... 22  
2.2.1. Cài đặt gói wrapper ........................................................................................................................... 23  
2.2.1.1. Cài đặt vi CLI ......................................................................................................................... 23  
2.2.1.2. Cài đặt vi Nokia Network Voyager......................................................................................... 23  
2.2.2. Cài đặt SmartConsole NGX R62 ...................................................................................................... 24  
CHƯƠNG 3. THIT LP CU HÌNH TƯỜNG LA ................................................................................... 25  
3.1. Thiết lp cu hình ban đầu........................................................................................................................ 25  
3.2. Chính sách tường la mc định ................................................................................................................ 27  
3.3. Thiết lp các lut tường la qua SmartDashboard................................................................................... 29  
CHƯƠNG 4. THIT LP CU HÌNH NAT.................................................................................................... 32  
4.1. n giu đối tượng mng............................................................................................................................ 32  
4.2. Cu hình lut NAT..................................................................................................................................... 33  
CHƯƠNG 5. CU HÌNH SMARTDEFENSE.................................................................................................. 35  
5.1. Gii thiu vSmartDefense....................................................................................................................... 35  
5.2. Network Security ....................................................................................................................................... 36  
5.2.1. Denial of Service............................................................................................................................... 36  
5.2.2. IP and ICMP...................................................................................................................................... 36  
5.2.3. TCP ................................................................................................................................................... 37  
5.2.4. Fingerprint Scrambling ..................................................................................................................... 38  
5.2.5. Successive Events ............................................................................................................................. 38  
5.2.6. Dynamic Ports................................................................................................................................... 38  
5.3. Application Intelligence ............................................................................................................................ 39  
5.3.1. HTTP Worm Catcher ........................................................................................................................ 39  
5.3.2. Cross-Site Scripting .......................................................................................................................... 40  
5.3.3. HTTP Protocol Inspection................................................................................................................. 40  
5.3.4. File and Print Sharing Worm Catcher ............................................................................................... 42  
CHƯƠNG 6. THIT LP CU HÌNH VPN.................................................................................................... 43  
6.1. Tng quan vVPN..................................................................................................................................... 43  
6.2. Gii pháp VPN Check Point cho truy cp txa........................................................................................ 43  
6.2.1. Cu hình Office Mode sdng IP Pool ............................................................................................ 43  
6.2.2. Truy cp VPN txa sdng SecuRemote/SecureClient.................................................................. 49  
CHƯƠNG 7. CU HÌNH VPN TÍCH HP LDAP.......................................................................................... 54  
7.1. Gii thiu sơ lược vLDAP ...................................................................................................................... 54  
7.2. Cu hình VPN tích hp LDAP................................................................................................................... 56  
7.2.1. Cu hình máy chLDAP .................................................................................................................. 56  
7.2.2. Cài đặt và cu hình VPN-1................................................................................................................ 57  
7.2.2.1. Kích hot SmartDirectory trong Global Properties................................................................... 57  
7.2.2.2. To mt host object cho OpenLDAP server ............................................................................. 57  
7.2.2.3. To mt LDAP Account Unit ................................................................................................... 58  
7.2.2.4. To LDAP group....................................................................................................................... 59  
CHƯƠNG 8. TRIN KHAI THC T............................................................................................................ 60  
8.1. Phân tích và gii pháp .............................................................................................................................. 60  
8.2. Cài đặt....................................................................................................................................................... 62  
8.2.1. Lp đặt và cài đặt ban du................................................................................................................. 62  
8.2.2. Thiết lp cu hình.............................................................................................................................. 65  
8.3. Giám sát và qun lý................................................................................................................................... 80  
KT LUN .......................................................................................................................................................... 86  
PHLC............................................................................................................................................................. 87  
Phlc A. fw1ng.schema............................................................................................................................ 87  
Phlc B: Hin trng mng VNUNet......................................................................................................... 90  
TÀI LIU THAM KHO................................................................................................................................... 97  
BNG VIT TT  
BGP  
Border Gateway Protocol  
CLISH  
DHCP  
DNS  
Command Line Interface Shell  
Dynamic Host Configuration Protocol  
Domain Name System  
ĐHQGHN  
FreeBSD  
FTP  
Đại Hc Quc Gia Hà Ni  
Free Berkeley Software Distribution  
File Transfer Protocol  
GUI  
Graphic User Interface  
HTTP  
HTTPS  
ICMP  
IGRP  
IP  
Hypertext Transfer Protocol  
Hypertext Transfer Protocol Secure  
Internet Control Message Protocol  
Interior Gateway Routing Protocol  
Internet Protocol  
IPSO  
ISS  
IP Security Operating System  
Internet Security System  
LDAP  
NAT  
OSI  
OSPF  
RIP  
SNMP  
SSH  
Lightweight Directory Access Protocol  
Network Address Translation  
Open Systems Interconnection  
Open Shortest Path First  
Routing Information Protocol  
Simple Network Management Protocol  
Secure Shell  
TCP  
Tranmission Control Protocol  
Telecomunication network  
Vietnam National University Network  
Virtual Private Network  
Telnet  
VNUNet  
VPN  
7
DANH SÁCH HÌNH VẼ  
Hình 1. Nokia IP1220 Platform.....................................................................................13  
Hình 2. SmartDashboard – Security..............................................................................30  
Hình 3. Thc thi cài đặt.................................................................................................31  
Hình 4. SmartDashboard – Address Translation...........................................................32  
Hình 5. Cu hình lut NAT tự động..............................................................................33  
Hình 6. Các lut NAT....................................................................................................34  
Hình 7. Global Properties - NAT ..................................................................................34  
Hình 8. Network Quota .................................................................................................37  
Hình 9. Dynamic Ports ..................................................................................................39  
Hình 10. General HTTP Worm Catcher........................................................................40  
Hình 11. HTTP Protocol Inspection..............................................................................41  
Hình 12. File and Print Sharing.....................................................................................42  
Hình 13. Check Point Gateway – General Properties ...................................................44  
Hình 14. To Network Object .......................................................................................45  
Hình 15. Cu hình Office Mode....................................................................................46  
Hình 16. To User .........................................................................................................47  
Hình 17. Remote Access Community Properties..........................................................48  
Hình 18. Remote Access Rule.......................................................................................48  
Hình 19. Server Address................................................................................................50  
Hình 20. Authentication Method...................................................................................50  
Hình 21. Connectivity Settings......................................................................................51  
Hình 22. Advanced Settings..........................................................................................51  
Hình 23. Validate Site ...................................................................................................52  
Hình 24. Giao din kết ni SecureClient.......................................................................52  
Hình 25. To Profile......................................................................................................53  
Hình 26. Hot động ca giao thc LDAP .....................................................................54  
Hình 27. Entry ..............................................................................................................54  
Hình 28. Kích hot Smart Directory..............................................................................57  
Hình 29. LDAP Server Properties.................................................................................58  
Hình 30. Mô hình mng cũ............................................................................................60  
Hình 31. Mô hình mng mi .........................................................................................61  
Hình 32. Thông tin vhệ điu hành và các gói kích hot.............................................63  
Hình 33. Cu hình các cng ca thiết b........................................................................64  
Hình 34. Đặt gateway....................................................................................................64  
Hình 35. Cu hình Host Name, SNMP .........................................................................65  
Hình 36. Smartmap........................................................................................................65  
Hình 37. General Properties ..........................................................................................66  
Hình 38. Topology.........................................................................................................67  
Hình 39. Các lut tường la ..........................................................................................68  
Hình 40. Protection Overview.......................................................................................69  
Hình 41. Remote Access ...............................................................................................69  
8
Hình 42. Remote Access Community Properties..........................................................70  
Hình 43. VPN Basic ......................................................................................................71  
Hình 44. VPN - IKE ......................................................................................................71  
Hình 45. VPN – IPSEC .................................................................................................72  
Hình 46. VPN NAT.......................................................................................................72  
Hình 47. To Host Node................................................................................................73  
Hình 48. ThGeneral ....................................................................................................73  
Hình 49. LDAP Server Properties.................................................................................74  
Hình 50. ThServer ......................................................................................................74  
Hình 51. ThObject Management ................................................................................75  
Hình 52. Hin thtài khon LDAP................................................................................75  
Hình 53. LDAP Group ..................................................................................................76  
Hình 54. Lut Remote Access.......................................................................................76  
Hình 55. Chn Visitor Mode.........................................................................................77  
Hình 56. Màn hình đăng nhp.......................................................................................78  
Hình 57. Thiết lp kết ni..............................................................................................78  
Hình 58. Xác thc tài khon..........................................................................................78  
Hình 59. Kết ni thành công..........................................................................................79  
Hình 60. Kim tra địa ch..............................................................................................79  
Hình 61. Kim tra bng định tuyến ...............................................................................80  
Hình 62. SmartView Tracker - Log...............................................................................81  
Hình 63. Record Detail..................................................................................................81  
Hình 64. SmartView Tracker – Active..........................................................................82  
Hình 65. SmartView Tracker - Audit............................................................................83  
Hình 66. SmartView Monitor........................................................................................84  
Hình 67. SmartView Monitor - System.........................................................................85  
Hình 68. SmartView Monitor – Remote User...............................................................85  
Hình 69. Mô hình logic hthng mng VNUnet……………………………………..69  
Hình 70. Mô hình logic hthng mng CTnet……………………………………......94  
9
DANH SÁCH BNG  
Bng 1. Các tham biến ca Boot Manager....................................................................15  
Bng 2. Các blc mc định.........................................................................................28  
10  
ĐẶT VN ĐỀ  
ĐHQGHN là mt tchc đại hc quy mô trung bình bao gm nhiu đơn vthành  
viên và trc thuc, vi nhiu campus phân btrên din tích khá rng trong ni thành  
thủ đô Hà Ni.  
Trong quá kh, VNUnet được xây dng theo hướng tp hp các mng LAN sn  
có ca các đơn vthành viên và trc thuc nên cơ shtng truyn thông thuc quyn  
qun lý ca VNUnet chbao gm các đường cáp kết ni từ đim trung tâm ti E3, 144  
Xuân Thuỷ đến các đim tp trung ca các LAN thành viên (theo chun Ethernet  
100/1000 Mbps), các đường kết ni ra môi trường bên ngoài và các thiết bghép ni  
tp trung. Hthng LAN trong mi đơn vthuc quyn qun lý ca chính đơn vị đó.  
Sự ổn định, an toàn, an ninh ca VNunet chu nh hưởng trc tiếp tcác mng  
thành viên. Hiu qukhai thác cài tài nguyên, dch vca VNUnet cũng được xác  
định tchính nhng người dùng cui trong các mng thành viên.  
Hthng mng hin ti mi chchyếu cung cp tm thi các đường truyn theo  
mô hình mng phng, không phân cp, không có các gii pháp đảm bo an ninh và  
qun trvà chcó thcung cp mt sdch vmng hiu quhn chế, không thể đáp  
ng nhu cu nghiên cu, đào to hin ti ca Trường.  
Kế hoch chiến lược phát trin ca ĐHQGHN là phn đấu đến năm 2020 trở  
thành đại hc theo định hướng nghiên cu, đa ngành đa lĩnh vc ngang tm các đại  
hc tiên tiến trong khu vc Châu Á; mt slĩnh vc và nhiu ngành, chuyên ngành đạt  
trình độ quc tế.  
Trong giai đon phát trin mi ĐHQGHN đã xác định ưu tiên đầu tư phát trin  
VNUnet hin đại, đồng b, đi trước mt bước, vi vai trò là mt trong nhng công cụ  
htrcông nghcao, phc vmc tiêu phát trin ĐHQGHN đạt tm các đại hc tiên  
tiến trong khu vc châu Á, trong tt ccác phm vi hot động qun lý, nghiên cu  
khoa hc và đào to.  
Để khc phc các hn chế ca hthng mng hin ti và đáp ng mc tiêu phát  
trin hthng mng VNUnet, đề án phát trin mng VNUnet đã đưa ra các mc tiêu  
cn phát trin. Hai trong scác mc tiêu đó là:  
- Có gii pháp qun lý giám sát mt cách chuyên nghip để mng hot động  
thông sut, n định, hiu qu.  
11  
- Có gii pháp đảm bo an toàn, an ninh chng thâm nhp, phá hoi, chng  
truy cp trái phép.  
Để hoàn thành nhng mc tiêu đã đề ra này, vic nghiên cu trin khai các công  
nghtiên tiến trên thế gii là mt vn đề vô cùng cn thiết. Trong đó công vic qun  
trđảm bo an toàn, an ninh cho hthng mng VNUnet phi được đặt lên hàng  
đầu. Do đó, khóa lun này có ý nghĩa thc tế rt ln trong vic phát trin Đại hc quc  
gia Hà Ni.  
12  
CHƯƠNG 1. GII THIU TNG QUAN VNOKIA CHECK  
POINT VÀ HỆ ĐIU HÀNH IPSO  
1.1. Gii pháp Nokia Check Point  
Hình 1. Nokia IP1220 Platform  
Nokia IP1220 là mt trong mt lot sn phm Nokia IP, dòng thiết bphn cng  
chuyên cung cp các gii pháp mnh mvà chuyên dng vtường la/VPN cũng như  
tích hp được rt nhiu tính năng được kvng khác.  
Nokia IP1220 ging như mt tm lá chn bo vhthng mng bên trong, ngăn  
chn các lưu thông bt hp pháp vào bên trong mng, kim soát tt ccác gói tin đi  
qua, thiết lp các chính sách phù hp vi yêu cu đối vi tt ccác đối tượng cbên  
trong và bên ngoài mng. Thiết bsẽ đóng vai trò lp rào cn ban đầu vng chc cho  
các hthng quan trng như hthng Server, Data Center... Ngoài ra nó còn có thể  
đóng vai trò ca mt VPN gateway, cung cp gii pháp mng riêng o cho mng, có  
khnăng tích hp vi các hthng cung cp dch vthư mc để qun lý các tài khon  
người dùng. Trong bi cnh hthng mng hin ti ca trường Đại hc Công Nghệ  
chưa có mt thiết btường la và VPN thc schuyên dng thì Nokia IP1220 là mt  
sbsung rt chính xác và hp lý.  
1.2. Tng quan Nokia Check Point [4]  
Hệ điu hành dùng trong các sn phm Nokia IP có tên gi là IPSO.  
13  
1.2.1.Hệ điu hành IPSO  
Hệ điu hành IPSO là lõi ca nn tng Nokia IP Security. Nó là mt hệ điu hành  
bo mt và thu gn da trên nn tng UNIX có thchy hiu qutrên các thiết bphn  
cng nhhơn. IPSO ban đầu là mt nhánh ca hệ điu hành FreeBSD 2.2.6 và đã  
được thay đổi đáng kqua nhiu năm nên có thxem nó như mt hhàng xa ca  
FreeBSD. Và dn dn, nó trthành hệ điu hành thích ng vi các ng dng như bộ  
sn phm Check Point VPN-1/Firewall-1 và phn mm ISS RealSecure Network  
Intrusion Detection Sensor.  
Nhiu câu lnh UNIX vn hot động bình thường trong giao din dòng lnh  
(CLI) ca IPSO. Tuy nhiên chcó rt ít các thao tác qun trsdng blnh UNIX  
chun. Thay vào đó, IPSO cung cp hai tin ích biên son dòng lnh mnh mlà ipsctl  
và Command Line Interface Shell (CLISH). Lnh ipsctl được sdng như mt công  
cxlý sc, còn CLISH được dùng để cu hình tt ccác thiết lp cho HĐH IPSO.  
Mc dù có thcu hình IPSO trc tiếp tCLI, nhưng ging như hu hết các hệ  
điu hành mng khác, người dùng cũng được cung cp mt la chn khác đó là cu  
hình qua giao din web. Nokia Network Voyager cho phép cu hình thiết bNokia IP  
qua trình duyt web. Nokia Network Voyager có thdùng để cài đặt và theo dõi trong  
sut quá trình hot động ca thiết b.  
Để thiết lp cu hình cho IPSO, người dùng có thtruy cp trc tiếp ti thiết bị  
qua cng Console. Ngoài ra, người dùng có thtruy cp txa ti thiết bbng cách sử  
dng Telnet, FTP, SSH hoc HTTP/HTTPS.  
1.2.2.Cài đặt HĐH IPSO và cu hình ban đầu  
Kết ni ti cng Console ca thiết b. Có thsdng mt sphn mm terminal  
emulator như HyperTerminal, SecureCRT… Thiết lp cu hình cho terminal emulator  
như sau:  
Bits/second (BPS): 9600  
Data bits: 8  
Parity: None  
Stop bits: 1  
Flow control: None  
Terminal emulation: Auto, VT100, hoc VT102  
14  
1.2.2.1.Boot Manager  
Chương trình Boot Manager chy khi hthng khi động, trước khi nhân IPSO  
được đưa vào bnh. Boot Manager được đặt trong đĩa cng hoc bnhflash tùy  
theo tng phiên bn ca thiết b. Nếu không bngt, Boot Manager skhi động hệ  
thng vi nhân mc định, còn nếu bngt thì giao din dòng lnh sẽ được hin th. Chế  
độ này thường dùng cho mc đích qun tr: bo trì hthng hoc cài đặt li các hệ điu  
hành.  
Để khi động chương trình Boot Manager trước hết phi khi động thiết b. Sau  
khi hoàn thành quá trình kim tra bnh, thiết bshin thra hai la chn, mt là  
Boot Manager (1 Bootmgr) và hai là IPSO (2 IPSO). La chn 2 để bt đầu khi động  
vào hệ điu hành IPSO. Để vào chế độ Boot Manager sdng la chn 1.  
1 Bootmgr  
2 IPSO  
Default: 1  
Starting bootmgr  
Loading boot manager..  
Boot manager loaded.  
Entering autoboot mode.  
Type any character to enter command mode.  
BOOTMGR[1]>  
Bng dưới đây lit kê các tham biến ca Boot Manager mà người dùng có thể  
định nghĩa.  
Bng 1. Các tham biến ca Boot Manager  
Tên  
Ý nghĩa  
Giá trmc định  
tham biến  
autoboot  
boot-device  
boot-file  
boot-flags  
-x  
Đợi quá trình bootwait hay không  
Nơi np file boot  
Đường dn ti image ca nhân  
Cờ để truyn ti nhân  
Không nhn đĩa flash làm wd0  
Vào bsa li nhân ngay khi khi động  
Chế độ đơn người dùng. Có thyêu cu mt  
khu admin nếu đánh du “insecure” trong  
/etc/ttys  
Có  
Wd0  
/image/current/kernel  
-x  
N/A  
N/A  
-d  
-s  
N/A  
-v  
Chế độ hin thchi tiết  
N/A  
Thi gian đợi truy cp boot manager trước khi  
vào hệ điu hành  
bootwait  
5 giây  
15  
Chú ý: Nếu chn No cho tùy chn autoboot, thiết bskhông hin thmenu nhc truy  
cp vào Boot Manager trong khi khi động. Trong trường hp đó, cn vào lnh boot từ  
kết ni console và khi động thiết b.  
Các lnh sdng trong chế độ Boot Manager:  
- printenv: in tt ccác biến và giá trca nó lên màn hình.  
- showalias: hin thtt ccác alias trong bnh.  
- sysinfo: hin thCPU, bnhvà thông tin thiết b.  
- ls: hin thni dung ca mt thư mc đưa ra bi đường dn trên thiết b. Ví  
d: ls wdo /image/current hin thni dung ca thư mc hot động hin ti.  
- setenv: sdng để thiết lp biến môi trường. Cú pháp là setenv tên giá tr. Ví  
d: setenv bootwait 10.  
- unsetenv: ngược li ca setenv.  
- set-default: gán giá trmc định cho tt ccác biến môi trường.  
- setalias: thiết lp các alias, cú pháp là setalias <Tên thiết b>.  
- showalias: hin thdanh sách các alias hin ti đã định nghĩa.  
- unsetalias: hy balias.  
- halt: tm dng hthng, đây là cách an toàn nht để tt thiết bNokia.  
- help: hin thtrgiúp cho các lnh trong Boot Manager.  
- boot: khi động hthng bng tay. Cho phép chỉ định khi động tthiết bị  
nào, vi mt image nhân cth, sdng các cnhân. Lnh này được sdng  
để khôi phc li hthng khi bli.  
- install: chy tiến trình cài đặt.  
- passwd:thiết lp mt khu cài đặt (khi chy lnh install).  
1.2.2.2.Cài đặt IPSO  
Các bước cu hình gm:  
- Khi động thiết bvà vào chế độ Boot Manager  
- Khi động tiến trình cài đặt  
- La chn các câu trli khi được hi  
- Khi động li thiết bkhi vic cài đặt ban đầu hoàn tt  
16  
- Tiếp tc vi cu hình ban đầu ca thiết bị  
Khi động thiết bị để vào chế độ Boot Manager bng cách sdng tùy chn 1  
(như hướng dn trong phn Boot Manager).  
Để khi động tiến trình cài đặt, ti du nhc BOOTMGR[1]> gõ lnh install  
BOOTMGR[1]> install  
Mt cnh báo hin ra cho biết người dùng sphi nhp các thông tin như địa chỉ  
IP máy khách, netmask, sserial hthng… trong sut quá trình cài đặt và nếu tiếp  
tc cài đặt tt ccác tp và dliu tn ti trên đĩa sbxóa. Để tiếp tc, nhp vào la  
chn y.  
################### IPSO Full Installation ####################  
You will need to supply the following information:  
Client IP address/netmask, FTP server IP address and flename,  
system serial number, and other license information.  
This process will DESTROY any existing fles and data on your disk.  
#################################################################  
Continue? (y/n) [n] y  
Bước tiếp theo là nhp sserial ca thiết b. Sserial thường được ghi phía  
sau ca thiết b.  
Motherboard serial number is NONE.  
The chassis serial number can be found on a  
sticker on the back of the unit with the letters  
S/N in front of the serial number.  
Please enter the serial number: 12345678  
Please answer the following licensing questions.  
Người dùng được hi là có sdng các giao thc định tuyến IRGP và BGP  
không. Để sdng các giao thc này cn phi mua licence. Vic la chn hay không  
là tùy thuc vào tng yêu cu cth.  
Will this node be using IGRP ? [y] n  
Will this node be using BGP ? [y] n  
Để cài đặt, thiết bphi ti image ca IPSO tmt máy chFPT. Tùy vào cu  
hình ca máy chFPT người dùng có thchn cài đặt tmt máy chanonymous  
FTP, hoc tmt máy chFPT yêu cu username và password. Tiếp đó người dùng  
phi nhp địa chip cho thiết bNokia IP, địa chIP ca máy chFTP, và nhp default  
gateway cho thiết bị  
1. Install from anonymous FTP server.  
17  
2. Install from FTP server with user and password.  
Choose an installation method (1-2): 1  
Enter IP address of this client (10.3.2.5/24): 192.168.200.10/24  
Enter IP address of FTP server (0.0.0.0): 192.168.200.50  
Enter IP address of the default gateway (0.0.0.0): 192.168.200.1  
Sau đó, chn cng và nhp địa chip, subnet mask cho cng sdng để kết ni  
vi máy chFTP.  
Choose an interface from the following list:  
1) eth1  
2) eth2  
3) eth3  
4) eth4  
Enter a number [1-4]: 4  
Choose interface speed from the following list:  
1) 10 Mbit/sec  
2) 100 Mbit/sec  
Enter a number [1-2]: 2  
Chn chế độ duplex cho cng.  
Half or full duplex? [h/f] [h] f  
Sau khi cu hình cng xong, người dùng phi cung cp đường dn và tên ca gói  
cài đặt IPSO trên máy chFTP. Nhp kí t/ nếu gói nm ti thư mc gc.  
Enter path to ipso image on FTP server [/]: /  
Enter ipso image flename on FTP server [ipso.tgz]: ipso.tgz  
Hthng shi người dùng có mun nhn thêm các gói khác trên máy chFTP  
không, và la chn cách thc nhn các gói. Nếu chcn cài đặt IPSO thì sdng la  
chn 3.  
1. Retrieve all valid packages, with no further prompting.  
2. Retrieve packages one-by-one, prompting for each.  
3. Retrieve no packages.  
Enter choice [1-3] [1]: 3  
Cui cùng màn hình shin thcác cu hình va mi thc hin để người dùng  
kim tra và xác nhn. Nhp y để bt đầu cài đặt.  
Client IP address=192.168.200.10/24  
Server IP address=192.168.200.50  
Default gateway IP address=192.168.200.1  
Network Interface=eth1, speed=100M, full-duplex  
Server download path=[//]  
Package install type=none  
Mirror set creation=no  
Are these values correct? [y] y  
18  
Nếu thiết bkết ni thành công đến máy chFTP và tìm được gói cài đặt IPSO.  
Các thông báo vtrng thái các bước cài đặt được hin th.  
Downloading compressed tarfle(s) from 192.168.200.50  
Hash mark printing on (1048576 bytes/hash mark).  
Interactive mode off.  
100% 36760 KB  
00:00 ETA  
Checking validity of image. . .done.  
Installing image. . .done.  
Image version tag: IPSO-4.2-BUILD069-10.27.2007-035617-1515.  
Checking if bootmgr upgrade is needed. . .  
Need to upgrade bootmgr. Proceeding..  
Upgrading bootmgr. . .  
new bootmgr size is 2097152  
old bootmgr size is 1474560  
Saving old bootmgr.  
Installing new bootmgr.  
Verifying installation of bootmgr.  
Khi cài đặt xong, hthng sgi thông báo Installation completes cho người  
dùng, và yêu cu gõ Enter để khi động li thiết b.  
Installation completed.  
Reset system or hit <Enter> to reboot.  
Sau khi cài đặt xong hệ điu hành IPSO, người dùng phi thc hin mt scu  
hình cho ln khi động đầu tiên.  
1.2.2.3.Cài đặt ban đầu  
Có thsdng DHCP để cung cp hostname, địa chIP và gateway cho thiết b.  
Tuy nhiên, người dùng thường sdng phương pháp cu hình bng tay qua kết  
ni console. Đầu tiên sau khi khi động lên, màn hình shin lên yêu cu nhp  
hostname cho thiết b, và yêu cu xác nhn li.  
Please choose the host name for this system. This name will be  
used in messages and usually corresponds with one of the network  
hostnames for the system. Note that only letters, numbers, dashes,  
and dots (.) are permitted in a hostname.  
Hostname? pint  
Hostname set to “pint”, OK? [y] y  
Nhp mt khu cho tài khon admin dùng để xác thc khi truy cp vào chế độ  
CLI hoc vào giao din web Nokia Network Voyager.  
Please enter password for user admin: notpassword  
Please re-enter password for confrmation: notpassword  
19  
Sau khi cu hình xong hostname và mt khu admin cho thiết b, người dùng  
được hi là có mun sdng Nokia Network Voyager để cu hình cho thiết bhay chỉ  
sdng giao din dòng lnh CLI.  
You can confgure your system in two ways:  
1) confgure an interface and use our Web-based Voyager via a  
remote browser  
2) confgure an interface by using the CLI  
Please enter a choice [ 1-2, q ]: 1  
Chn cng sdng để cu hình thiết bvà nhp vào địa chIP, subnet mask cho  
cng va chn.  
Select an interface from the following for confguration:  
1) eth1  
2) eth2  
3) eth3  
4) eth4  
5) quit this menu  
Enter choice [1-11]: 4  
Enter the IP address to be used for eth4: 192.168.200.10  
Enter the masklength: 24  
Cu hình default gateway cho thiết b.  
Do you wish to set the default route [ y ] ? y  
Enter the default router to use with eth4: 192.168.200.1  
Mc định cng được cu hình chế độ full duplex và tc độ 1000 mbs. Hthng  
shi người dùng có mun gicu hình này hay mun thay đổi.  
This interface is configured as 1000 mbs by default.  
Do you wish to configure this interface for other speeds [ n ] ? n  
Sau đó màn hình shin thli các cu hình va thiết lp để người dùng kim tra  
và xác nhn li. Nhp y để chp nhn.  
You have entered the following parameters for the eth4 interface:  
IP address: 192.168.200.10  
masklength: 24  
Default route: 192.168.200.1  
Speed: 1000M  
Duplex: full  
Is this information correct [ y ] ? y  
Cũng có thcu hình vlan cho cng đã chn. Thông thường la chn là n.  
Do you want to configure Vlan for this interface[ n ] ? n  
You may now confgure your interfaces with the Web-based Voyager by  
typing in the IP address “192.168.200.10” at a remote browser.  
20  
Bt đầu tthi đim này, người dùng có thkết ni ti thiết bNokia sdng  
giao din web Nokia Network Voyager ttrình duyt  
Tùy chn cui cùng trong ln cu hình đầu tiên này đó là thay đổi chui SNMP  
comminity mc định. Vic thay đổi này tùy thuc vào yêu cu thc tế.  
Do you want to change SNMP Community string [ n ] ? n  
Nếu thiết bị được đặt xa, người dùng phi sdng Telnet hoc SSH để kết ni  
đến và cu hình cho thiết b. Mc định chcó SSH được bt. Nếu mun sdng  
Telnet, người dùng có thkích hot bng cách thc hin các lnh sau (giao din  
dòng lnh CLI).  
pint[admin]# clish  
NokiaIP1220:9> set net-access telnet yes  
NokiaIP1220:10> save confg  
NokiaIP1220:11> quit  
Cũng có thkích hot dch vTelnet ddàng bng cách sdng giao din web  
Nokia Network Voyager.  
21  
CHƯƠNG 2. CÀI ĐẶT CHECK POINT NGX R62 [6]  
2.1. Gii thiu  
Sau khi cài đặt IPSO cho Nokia IP1220, thiết bị đã có mt nn tng để chy  
tường la, VPN hay các ng dng khác. Bước tiếp theo, người dùng phi cài gói ng  
dng tường la, VPN lên thiết b. Để làm điu này, có thsdng ng dng Check  
Point NGX R62.  
ng dng Check Point NGX R62 gm các sn phm qun lý, sn phm gateway,  
và phn mm máy khách. Trong đó sn phm Check Point Power và Check Point  
UTM là quan trng nht. Chúng gm có ba thành phn chính sau:  
- Enforcement module: là các module VPN-1 Power hoc VPN-1 UTM.  
- Management server: SmartCenter server lưu gicơ sdliu vcác định  
nghĩa đối tượng, định nghĩa người dùng, các chính sách và các tp log.  
- SmartConsole: cha các ng dng GUI để qun lý các khía cnh khác nhau  
ca chính sách an ninh. SmartConsole cha SmartDashboard, mt ng dng  
cho người qun trdùng để định nghĩa các đối tượng mng, người dùng và  
các chính sách.  
Chúng ta strin khai SmartCenter server và Enforcement module trên thiết bị  
còn SmartConsole sẽ được trin khai trên các máy chy HĐH Microsoft Windows.  
Cách trin khai này được gi là trin khai độc lp.  
Để chy NGX R62, phi có hệ điu hành Nokia IPSO 3.9, 4.1 hoc 4.2 ( phiên  
bn HĐH IPSO có thxem trong Nokia Network Voyager). Người dùng cũng cn  
kim tra xem ng dng Check Point đã được cài trên thiết bchưa (xem trang Manage  
Packages ca Nokia Network Voyager). Nếu đã cài đặt ri thì có thchuyn sang phn  
cu hình.  
2.2. Cài đặt package  
Trước hết cn ti NGX R62 vtwebsite Check Point (địa chỉ  
http://checkpoint.com). Các gói cài đặt cn ti gm có:  
- R62 wrapper cho Nokia IPSO (IPSO_wrapper_R62.tgz) để cài đặt  
enforcement module và SmartCenter server.  
22  
- SmartConsole R62 (SmartConsole_R62_xxxxxxxxx_x_Win.zip).  
2.2.1.Cài đặt gói wrapper  
Để cài đặt gói wrapper người dùng có thsdng giao din dòng lnh CLI hoc  
sdng Nokia Network Voyager.  
2.2.1.1.Cài đặt vi CLI  
Sao chép gói wrapper vào thư mc /opt/packages (sdng lnh scp hoc phn  
mm WinSCP).  
Gõ lnh newpkg –i. Xut hin các tùy chn sau:  
1. Install from CD-ROM.  
2. Install from anonymous FTP server.  
3. Install from FTP server with user and password.  
4. Install from local filesystem.  
5. Exit new package installation.  
Chn la chn s4. Hthng shi về đường dn đến gói. Nhp vào  
/option/packages ri nhn Enter. Chương trình cài đặt stìm gói Check Point NGX  
gii nén các file cn cho quá trình cài đặt. Chương trình sẽ đưa ra bn la chn: cài  
đặt, nâng cp, bqua, và thoát. Nhp 1 để cài đặt. Sau khi cài đặt xong, người dùng  
phi đăng xut sau đó đăng nhp li. Vic này để đảm bo vic thiết lp các biến môi  
trường va được to ra trong quá trình cài đặt. Sau đó người dùng có thchy lnh  
cpconfig.  
2.2.1.2.Cài đặt vi Nokia Network Voyager  
Mtrang Install Packages theo đường dn Configuration | System Configuration  
| Packages | Install Package.  
Nhp tên hoc địa chIP ca máy chFTP cha gói wrapper.  
Nhp tên thư mc cha gói wrapper trên máy chFTP.  
Nhp tên và mt khu để kết ni vi máy chFTP.  
Chn Apply. Mt danh sách các tp hin ra.  
Chn gói tdanh sách và nhn Apply.  
Sau khi ti xong, gói sxut hin trong ô Select a Package to Unpack.  
Chn gói ri nhn Apply.  
Nhn tiếp vào liên kết: Click here to install/upgrade /opt/packages/packagename.  
Chn Yes để cài đặt và nhn Apply.  
23  
Sau khi cài đặt xong, màn hình shin ra liên kết đến trang Manage Installed  
Packages. Nhn vào liên kết để xem các gói đã cài đặt.  
Người dùng có thkích hot hoc vô hiu hóa mt gói bt ktrong các gói đã cài  
đặt bng cách vào trang Manage Installed Packages, chn On để kích hot, Off để vô  
hiu hóa.  
Chú ý:  
Để sdng tường la, VPN thì gói Check Point VPN-1 Power/UTM phi được  
kích hot (gói này được kích hot mc định sau khi cài đặt).  
2.2.2.Cài đặt SmartConsole NGX R62  
SmartConsole là mt tp hp các chương trình máy khách. Gm có:  
- SmartDashboard: dùng bi qun trviên hthng để định nghĩa và qun lý  
các chính sách bo mt.  
- SmartView Tracker: sdng để qun lý và theo dõi log và alert thông qua hệ  
thng.  
- SmartView Moniter: theo dõi và to các báo cáo vlưu thông trên các cng,  
các module VPN-1 Power và QoS.  
- SmartUpdate: qun lý và lưu trlicense.  
- SecureClient Packaging Tool: định nghĩa hsơ người dùng cho chương trình  
SecuRemote/SecureClient.  
- Eventia Reporter: to ra các báo cáo vhot động ca mng.  
- SmartLSM: qun lý slượng ln ROBO gateway sdng SmartCenter  
server.  
SmartConsole được cài đặt trên nn tng Windows. Sau khi ti phn mm  
SmartConsole NGX R62 v, người dùng gii nén và chy tiến trình cài đặt như đối vi  
các phn mm bình thường khác.  
24  
CHƯƠNG 3. THIT LP CU HÌNH TƯỜNG LA  
3.1. Thiết lp cu hình ban đầu  
Trước khi có ththiết lp cu hình tường la, NAT, VPN…, người dùng cn phi  
cu hình module VPN-1 Power hoc VPN-1 UTM bng lnh cpconfig. Quá trình cu  
hình cpconfig din ra như sau.  
Kết ni qua cng Console hoc kết ni txa ti thiết b. Gõ lnh cpconfig. Màn  
hình hin ra văn bn licence. Nhn phím Spacebar để cun màn hình xung cui cùng  
ri nhp y để tiếp tc.  
cpngx[admin]# cpconfig  
Welcome to Check Point Configuration Program  
=========================================================  
Please read the following license agreement.  
Tiếp theo màn hình hin ra hai tùy chn cài đặt. Chn tùy chn 1 (có thchn  
khác tùy theo yêu cu người dùng).  
(1) Check Point Power.  
(2) Check Point UTM.  
Enter your selection (1-2/a-abort) [1]: 1  
Chn loi cài đặt là độc lp hay phân tán.  
Select installation type:  
-------------------------  
(1) Stand Alone - install VPN-1 Pro Gateway and SmartCenter  
Enterprise.  
(2) Distributed - install VPN-1 Pro Gateway, SmartCenter and/or  
Log Server.  
Enter your selection (1-2/a-abort) [1]: 1  
Check Point shi người dùng có mun thêm license không. Chn y để thêm  
licence, chn n để tiếp tc cu hình còn license có thể được thêm vào sau.  
Bước tiếp theo là thêm mt tài khon qun tr. Tài khon này dùng để đăng nhp  
vào SmartCenter Server.  
Do you want to add an administrator (y/n) [y] ?  
Administrator name: peter  
Password:  
Verify Password:  
Administrator peter was added successfully and has  
Read/Write Permission for all products with Permission to Manage  
Administrators  
25  
Sau đó, người dùng phi xác định máy khách SmartConsole nào được phép truy  
cp ti SmartCenter Server. Nhp xong nhn thp phím Ctrl + D để tiếp tc.  
Do you want to add a GUI Client (y/n) [y] ?  
You can add GUI Clients using any of the following formats:  
1. IP address.  
2. Machine name.  
3. “Any” - Any IP without restriction.  
4. IP/Netmask - A range of addresses, for example  
192.168.10.0/255.255.25  
5. A range of addresses - for example 192.168.10.8-192.168.10.16  
6. Wild cards (IP only) - for example 192.168.10.*  
Please enter the list of hosts that will be GUI Clients.  
Enter GUI Client one per line, terminating with CTRL-D or your EOF  
character.  
Any  
10.1.1.0/255.255.255.0  
Warning: Every gui client can connect to this SmartCenter Server.  
Is this correct (y/n) [y] ? y  
Check Point yêu cu người dùng nhp vào mt tên nhóm dùng để xác lp quyn.  
Confguring Group Permissions...  
================================  
Please specify group name [<RET> for super-user group]:  
No group permissions will be granted. Is this ok (y/n) [y] ?  
Người dùng phi nhp vào mt chui ký tngu nhiên. Chui ký tnày được  
dùng để to mt chng nhn quyn (Certificate Authority).  
Please enter random text containing at least six different  
characters. You will see the ‘*’ symbol after keystrokes that  
are too fast or too similar to preceding keystrokes. These  
keystrokes will be ignored.  
Please keep typing until you hear the beep and the bar is full.  
[.......................]  
Thank you.  
Và người dùng sẽ được hi là có mun lưu li file cha chui va nhp không.  
Nếu có thì tiếp tc nhp tên file.  
Do you want to save it to a fle? (y/n) [n] ? y  
Please enter the fle name [/opt/CPsuite-R61/svn/conf]:  
fngerprint.txt  
The fngerprint will be saved as /opt/CPsuite-  
R61/svn/conf/fngerprint.txt.  
Are you sure? (y/n) [n] ? y  
The fngerprint was successfully saved.  
Sau khi hoàn thành các thiết lp, người dùng phi khi động li thiết b.  
In order to complete the installation  
26  
you must reboot the machine.  
Do you want to reboot? (y/n) [y] ? y  
Người dùng có thsa li các cu hình đã thiết lp bt clúc nào bng cách sử  
dng lnh cpconfig. Khác vi ln cu hình đầu tiên, trong các ln cu hình cpconfig  
sau người dùng snhn được mt danh sách các la chn giúp cho vic cu hình trở  
nên linh hot hơn.  
cpngx[admin]# cpconfg  
This program will let you re-confgure  
your Check Point products confguration  
Confguration Options:  
----------------------  
(1) Licenses  
(2) Administrator  
(3) GUI Clients  
(4) SNMP Extension  
(5) Group Permissions  
(6) PKCS#11 Token  
(7) Random Pool  
(8) Certifcate Authority  
(9) Certifcate’s Fingerprint  
(10) Enable Check Point SecureXL  
(11) Automatic start of Check Point Products  
(12) Exit  
Enter your choice (1-12):  
3.2. Chính sách tường la mc định  
Sau khi sdng cpconfig để cu hình module VPN-1 hoc VPN-1 UTM và khi  
động li thiết b, hệ điu hành snp mt chính sách tường la mc định. Chính sách  
này được np vào nhân trước khi các cng ca thiết bị được cu hình xong. Điu này  
đảm bo rng ctrong quá trình boot ca thiết b, mng vn được bo v. Chính sách  
này sdng mt blc để ngăn cn tt ccác truy cp vào mng bên trong (mng nm  
phía sau thiết b). Người dùng không thsdng kết ni txa hoc dùng Nokia  
Network Voyager để cu hình thiết bmà chcó máy khách SmartConsole là được  
phép truy cp vào thiết bqua management server.  
Để thiết đặt li quyn truy cp txa hoc truy cp qua giao din web có thsử  
dng mt trong các cách sau:  
- Sdng SmartDashboard để to và cài đặt mt chính sách cho phép kết ni từ  
xa vào thiết b(khi SmartDashboard cũng không kết ni được thì phi dùng lnh fw  
unloadlocal).  
27  
- Kết ni console qua cng COM, thc hin lnh cpstop. Lnh này dùng để tm  
dng dch vtường la. Sau đó người dùng có thkết ni txa vào thiết bị để thc  
hin các thao tác qun tr; khi thc hin xong thì khi động li dch vbng lnh  
cpstart.  
- Gbchính sách mc định bng lnh fw unloadlocal hoc fw unload localhost  
(tùy thuc tng version). Kim tra chính sách đang được np bng lnh fw stat.  
gatekeeper[admin]# fw stat  
HOST POLICY DATE  
localhost InitialPolicy 25Sep2002 23:02:21 : [>eth-s3p1c0]  
- Trước khi chy lnh cpconfig, thay đổi blc mc định để cho phép kết ni qua  
SSH hoc HTTPS. Các blc mc định được lit kê trong bng 2.  
Bng 2. Các blc mc định  
Blc  
defaultfilter.boot  
defaultfilter.dag  
Mô tả  
Cho phép lưu thông ra bên ngoài (xut phát ttường la).  
Cho phép lưu thông ra bên ngoài, lưu thông broadcast và  
DHCP.  
defaultfilter.drop  
defaultfilter.ipso  
Loi btt clưu thông vào trong hoc ra ngoài gateway.  
Cho phép tt ccác lưu thông ra bên ngoài và các lưu  
thông SSH, HTTPS, ICMP vào trong.  
defaultfilter.ipso_ssh  
defaultfilter.ipso_ssl  
Cho phép tt ccác lưu thông ra bên ngoài và các lưu  
thông SSH, ICMP vào trong.  
Cho phép tt ccác lưu thông ra bên ngoài và các lưu  
thông HTTPS, ICMP vào trong  
Ví d: Để thay đổi blc mc định sang defaultfilter.ipso sdng các lnh sau:  
cp $FWDIR/lib/defaultfilter.ipso $FWDIR/conf/defaultfilter.pf  
fw defaultgen  
cp $FWDIR/state/default.bin $FWDIR/boot  
Dưới đây là mt slnh có thdùng để điu khin các thiết lp:  
- fwstop –default: tt tt ctiến trình tường la và np lut mc định.  
28  
- fwstop –proc: dng tt ccác tiến trình nhưng vn gilut hin ti  
trong nhân.  
- fwstart –f: khi động dch vFW-1.  
- control_bootsec –r: gbchế độ an ninh lúc khi động.  
- control_bootsec –g: kích hot chế độ an ninh lúc khi động.  
- fwboot bootconf: thiết lp IP forwarding và cu hình blc mc định.  
- comp_init_policy –u: vô hiu hóa lut mc định.  
- comp_init_policy –g: kích hot lut mc định.  
3.3. Thiết lp các lut tường la qua SmartDashboard  
SmartDashboard là công ccho phép qun trthiết bmt cách tp trung khi có  
nhiu thiết ban ninh cùng được trin khai trên hthng. Nó sdng CA được to ra  
lúc cu hình cpconfig để xác thc vi checkpoint.  
Sau khi đăng nhp vào SmartCenter Server bng SmartDashboard, vic đầu tiên  
cn làm là chuyn thiết btchế độ Host sang Gateway bng cách nhn chut phi vào  
biu tượng thiết btrong mc Network Object – Check Point cây thư mc bên trái và  
chn Convert to Gateway. Sau đó người dùng có ththiết lp, cài đặt các lut tường  
la và các thc hin các thiết lp khác như NAT hay VPN cho mng.  
Các lut tường la được hin thvà thiết lp trong tab đầu tiên: Security.  
29  
Hình 2. SmartDashboard – Security  
Mt lut gm có các trường: địa chngun, địa chỉ đích, các dch v(giao thc),  
hành động áp dng lên các gói tin thõa mãn lut và cách thc ghi nh(log hoc track).  
Các lut được xét theo thtttrên xung dưới, nếu mt gói tin tha mãn điu  
kin ca lut trên thì nó sẽ được thc hin theo action đã định sn lut đó và không  
tiếp tc được xét đến các lut phía dưới.  
To mt lut tường la bng cách vào menu Rules chn Add Rule | Top. Mt  
lut mc định được thêm vào trên cùng ca danh sách lut; bt cgói tin dùng địa chỉ  
ngun, đích nào hoc sdng bt cdch vnào cũng đều bdrop mà không được hệ  
thng ghi li. Người dùng chcn nhn chut phi lên mt trường để thay đổi nó theo  
yêu cu.  
Sau khi thiết lp xong các lut, để áp dng các lut đó lên hthng cn phi cài  
đặt (install) các lut bng cách mmenu Policy, chn Install. Nếu quá trình cài đặt bị  
li thì hthng sẽ đưa ra báo li cùng các thông tin cn thiết cho người dùng.  
30  

Tải về để xem bản đầy đủ

pdf 97 trang yennguyen 06/06/2025 130
Download
Bạn đang xem 30 trang mẫu của tài liệu "Khóa luận Nghiên cứu triển khai Nokia Firewall", để tải tài liệu gốc về máy hãy click vào nút Download ở trên.

File đính kèm:

  • pdfkhoa_luan_nghien_cuu_trien_khai_nokia_firewall.pdf
Luận Văn Liên Quan