TÓM TẮT NỘI DUNG

Phần mở đầu của Khóa luận sẽ đặt ra các vấn đề làm cơ sở cho việc thực hiện Khóa luận. Các vấn đề được đặt ra dựa trên việc khảo sát thực tế hiện trạng hệ thống mạng trường Đại học Công Nghệ (xem chi tiết trong phụ lục B).

Tiếp đó, Khóa luận sẽ trình bày giải pháp sử dụng Nokia Check Point để nâng cao khả năng an ninh và hoạt động của hệ thống mạng. Các phần sau của khóa luận sẽ lần lượt trình bày về phương pháp cài đặt, triển khai thiết bị Nokia IP1220. Đầu tiên là tìm hiểu về HĐH IPSO sử dụng trên Nokia IP1220, các bước cài đặt, cấu hình HĐH IPSO. Tiếp đó là phần giới thiệu và cách cài đặt ứng dụng Firewall-1/VPN-1. Sau đó là cách cấu hình tường lửa, thiết lập các chính sách an ninh, cấu hình NAT, Routing , cấu hình mạng riêng ảo VPN tích hợp với máy chủ LDAP. Trước mỗi phần đều có nêu tóm tắt các kiến thức cơ bản được sử dụng.

Phần kết luận sẽ nêu lên kết quả triển khai thành công Nokia Check Point trên hệ thống mạng thực tế của trường Đại học Công Nghệ và các phương hướng, bổ sung cần thực hiện trong tương lai.

MỤC LỤC

BẢNG VIẾT TẮT 7

DANH SÁCH HÌNH VẼ 8

DANH SÁCH BẢNG 10

ĐẶT VẤN ĐỀ 11

CHƯƠNG 1. GIỚI THIỆU TỔNG QUAN VỀ NOKIA CHECK POINT VÀ HỆ ĐIỀU HÀNH IPSO 13

1.1. Giải pháp Nokia Check Point 13

1.2. Tổng quan Nokia Check Point 13

1.2.1. Hệ điều hành IPSO 14

1.2.2. Cài đặt HĐH IPSO và cấu hình ban đầu 14

1.2.2.1. Boot Manager 15

1.2.2.2. Cài đặt IPSO 16

1.2.2.3. Cài đặt ban đầu 19

CHƯƠNG 2. CÀI ĐẶT CHECK POINT NGX R62 22

2.1. Giới thiệu 22

2.2. Cài đặt package 22

2.2.1. Cài đặt gói wrapper 23

2.2.1.1. Cài đặt với CLI 23

2.2.1.2. Cài đặt với Nokia Network Voyager 23

2.2.2. Cài đặt SmartConsole NGX R62 24

CHƯƠNG 3. THIẾT LẬP CẤU HÌNH TƯỜNG LỬA 25

3.1. Thiết lập cấu hình ban đầu 25

3.2. Chính sách tường lửa mặc định 27

3.3. Thiết lập các luật tường lửa qua SmartDashboard 29

CHƯƠNG 4. THIẾT LẬP CẤU HÌNH NAT 32

4.1. Ẩn giấu đối tượng mạng 32

4.2. Cấu hình luật NAT 33

CHƯƠNG 5. CẤU HÌNH SMARTDEFENSE 35

5.1. Giới thiệu về SmartDefense 35

5.2. Network Security 36

5.2.1. Denial of Service 36

5.2.2. IP and ICMP 36

5.2.3. TCP 37

5.2.4. Fingerprint Scrambling 38

5.2.5. Successive Events 38

5.2.6. Dynamic Ports 38

5.3. Application Intelligence 39

5.3.1. HTTP Worm Catcher 39

5.3.2. Cross-Site Scripting 40

5.3.3. HTTP Protocol Inspection 40

5.3.4. File and Print Sharing Worm Catcher 42

CHƯƠNG 6. THIẾT LẬP CẤU HÌNH VPN 43

6.1. Tổng quan về VPN 43

6.2. Giải pháp VPN Check Point cho truy cập từ xa 43

6.2.1. Cấu hình Office Mode sử dụng IP Pool 43

6.2.2. Truy cập VPN từ xa sử dụng SecuRemote/SecureClient 49

CHƯƠNG 7. CẤU HÌNH VPN TÍCH HỢP LDAP 54

7.1. Giới thiệu sơ lược về LDAP 54

7.2. Cấu hình VPN tích hợp LDAP 56

7.2.1. Cấu hình máy chủ LDAP 56

7.2.2. Cài đặt và cấu hình VPN-1 57

7.2.2.1. Kích hoạt SmartDirectory trong Global Properties 57

7.2.2.2. Tạo một host object cho OpenLDAP server 57

7.2.2.3. Tạo một LDAP Account Unit 58

7.2.2.4. Tạo LDAP group 59

CHƯƠNG 8. TRIỂN KHAI THỰC TẾ 60

8.1. Phân tích và giải pháp 60

8.2. Cài đặt 62

8.2.1. Lắp đặt và cài đặt ban dầu 62

8.2.2. Thiết lập cấu hình 65

8.3. Giám sát và quản lý 80

KẾT LUẬN 86

PHỤ LỤC 87

Phụ lục A. fw1ng.schema 87

Phụ lục B: Hiện trạng mạng VNUNet 90

TÀI LIỆU THAM KHẢO 97

ĐẶT VẤN ĐỀ

ĐHQGHN là một tổ chức đại học quy mô trung bình bao gồm nhiều đơn vị thành viên và trực thuộc, với nhiều campus phân bố trên diện tích khá rộng trong nội thành thủ đô Hà Nội.

Trong quá khứ, VNUnet được xây dựng theo hướng tập hợp các mạng LAN sẵn có của các đơn vị thành viên và trực thuộc nên cơ sở hạ tầng truyền thông thuộc quyền quản lý của VNUnet chỉ bao gồm các đường cáp kết nối từ điểm trung tâm tại E3, 144 Xuân Thuỷ đến các điểm tập trung của các LAN thành viên (theo chuẩn Ethernet 100/1000 Mbps), các đường kết nối ra môi trường bên ngoài và các thiết bị ghép nối tập trung. Hệ thống LAN trong mỗi đơn vị thuộc quyền quản lý của chính đơn vị đó.

Sự ổn định, an toàn, an ninh của VNunet chịu ảnh hưởng trực tiếp từ các mạng thành viên. Hiệu quả khai thác cài tài nguyên, dịch vụ của VNUnet cũng được xác định từ chính những người dùng cuối trong các mạng thành viên.

Hệ thống mạng hiện tại mới chỉ chủ yếu cung cấp tạm thời các đường truyền theo mô hình mạng phẳng, không phân cấp, không có các giải pháp đảm bảo an ninh và quản trị và chỉ có thể cung cấp một số dịch vụ mạng hiệu quả hạn chế, không thể đáp ứng nhu cầu nghiên cứu, đào tạo hiện tại của Trường.

Kế hoạch chiến lược phát triển của ĐHQGHN là phấn đấu đến năm 2020 trở thành đại học theo định hướng nghiên cứu, đa ngành đa lĩnh vực ngang tầm các đại học tiên tiến trong khu vực Châu Á; một số lĩnh vực và nhiều ngành, chuyên ngành đạt trình độ quốc tế.

Trong giai đoạn phát triển mới ĐHQGHN đã xác định ưu tiên đầu tư phát triển VNUnet hiện đại, đồng bộ, đi trước một bước, với vai trò là một trong những công cụ hỗ trợ công nghệ cao, phục vụ mục tiêu phát triển ĐHQGHN đạt tầm các đại học tiên tiến trong khu vực châu Á, trong tất cả các phạm vi hoạt động quản lý, nghiên cứu khoa học và đào tạo.

Để khắc phục các hạn chế của hệ thống mạng hiện tại và đáp ứng mục tiêu phát triển hệ thống mạng VNUnet, đề án phát triển mạng VNUnet đã đưa ra các mục tiêu cần phát triển. Hai trong số các mục tiêu đó là:

- Có giải pháp quản lý giám sát một cách chuyên nghiệp để mạng hoạt động thông suốt, ổn định, hiệu quả.

- Có giải pháp đảm bảo an toàn, an ninh chống thâm nhập, phá hoại, chống truy cập trái phép.

Để hoàn thành những mục tiêu đã đề ra này, việc nghiên cứu triển khai các công nghệ tiên tiến trên thế giới là một vấn đề vô cùng cần thiết. Trong đó công việc quản trị và đảm bảo an toàn, an ninh cho hệ thống mạng VNUnet phải được đặt lên hàng đầu. Do đó, khóa luận này có ý nghĩa thực tế rất lớn trong việc phát triển Đại học quốc gia Hà Nội.