Tài liệu quản trị Firewall Builder
Bạn đang xem 20 trang mẫu của tài liệu "Tài liệu quản trị Firewall Builder", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
Tài liệu đính kèm:
- tai_lieu_quan_tri_firewall_builder.doc
Nội dung text: Tài liệu quản trị Firewall Builder
- Công ty NetNam - Viện Công nghệ Thông tin TÀI LIỆU QUẢN TRỊ FIREWALL BUILDER Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 1/89
- Công ty NetNam - Viện Công nghệ Thông tin 1 Chỉ dẫn 4 1.1 Chỉ dẫn Firewall Builder 4 1.2 Tổng quan về các đặc điểm của Firewall Builder 4 2 Các gói cài đặt 5 3 Giao diện đồ họa của Firewall Builder - GUI 6 3.1 Cửa sổ chính 6 3.2 Các tuỳ chọn GUI 7 3.2.1 Phần chung/Các đường dẫn (General/Paths) 8 3.2.2 Phần mạng (Network) 8 3.2.3 Giao diện người dùng (GUI) 9 3.2.4 GUI/Opject Tooltips 9 3.2.5 GUI/Behavior 9 3.2.6 GUI/Tree View 9 4 Cây đối tượng. 11 4.1 Cấu trúc cây chuẩn 11 4.2 Tạo các đối tượng 12 4.3 Chỉ dẫn và sắp xếp đối tượng 14 5 Làm việc với các đối tượng. 17 5.1 Các thuộc tính chung 17 5.2 Đối tượng Host 18 5.2.1 Tạo các đối tượng Host 19 5.2.2 Sắp xếp một đối tượng mới 20 5.3 Interface của Host. 22 5.4 Đối tượng Address. 25 5.5 Đối tượng Physical Address 26 5.6 Đối tượng Network. 29 5.7 Đối tượng Address Range 29 5.8 Nhóm (Group) của các đối tượng. 30 5.9 Đối tượng Firewall 31 6 Khám phá mạng: Cách để tạo một đối tượng nhanh 37 6.1 Đọc file /etc/hosts 39 6.2 Nhập DNS zone 41 6.3 Khám phá mạng 43 7 Làm việc với các dịch vụ 47 7.1 Dịch vụ IP 47 7.2 Dịch vụ ICMP 49 7.3 Dịch vụ TCP 50 7.4 Dịch vụ UDP 54 7.5 Dịch vụ Tùy biến 55 Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 2/89
- Công ty NetNam - Viện Công nghệ Thông tin 8 Chính sách Firewall 57 8.1 Chính sách và luật 57 8.1.1 Hành động 58 8.1.2 Định hướng 59 8.1.3 Global Firewall Policy 60 8.1.4 Interface Policy 60 8.2 Network Address Translation Rules 61 8.2.1 Luật NAT cơ bản 61 8.2.2 Chuyển đổi địa chỉ nguồn 62 8.3 Sửa chính sách firewall và luật NAT 65 8.3.1 Thêm và gỡ bỏ luật firewall 65 8.3.2 Thêm, bớt và sửa các đối tượng trong chính sách và luật NAT 66 8.3.3 Thay đổi hành động của luật 66 8.3.4 Thay đổi hướng của luật 67 8.3.5 Thay đổi tùy chọng và ghi nhật ký 67 8.4 Hỗ trợ cho các thành phần luật và đặc tính của các loại Firewall 68 8.5 Sử dụng đối tượng với đa địa chỉ trong chính sách và luật NAT 68 9 Các ví dụ về luật chính sách 69 9.1 Mở một dịch vụ trong khi khóa hết mọi thứ còn lại. 69 9.2 Những đối tượng có thể đổi lẫn nhau và những đối tượng không thể đổi lẫn. 69 9.3 Sử dụng các nhóm 69 9.4 Những dịch vụ chạy trong firewall. 70 9.5 Khóa các kiểu gói không mong muốn. 70 9.6 Luật antispoofing. 70 9.7 Bảo vệ local host 70 9.8 Sử dụng hành động ‘Reject’ để khóa một giao thức nào đó. 70 9.9 Sử dụng phủ định trong các luật chính sách 70 10 Các ví dụ về luật NAT 71 10.1 Cung cấp kết nối Internet cho các máy trạm ẩn đằng sau firewall 71 10.2 Server ẩn sau firewall sử dụng địa chỉ private. 72 10.3 Server ẩn sau firewall sử dụng địa chỉ ảo để truy cập 72 10.4 Server ẩn sau firewall với port mapping 73 10.5 DNAT trên cùng mạng 73 10.6 Các luật không NAT 73 10.7 Lái traffic 74 Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 3/89
- Công ty NetNam - Viện Công nghệ Thông tin 1 Chỉ dẫn 1.1 Chỉ dẫn Firewall Builder Một trong những việc quan trọng nhất khi cài đặt và cấu hình một firewall là phải xây dựng được chính sách rõ ràng và chuẩn xác cho firewall đó. Firewall Builder là một công cụ có thể giúp bạn quản lý chính sách an ninh của firewall chính xác và hiệu quả mà không cần phải học về giao diện dòng lệnh để điều khiển mà một vài Firewall thương mại vẫn phải làm. Bạn không phải nghĩ về những số cổng khó hiểu, giao diện firewall và các lựa chọn các luật thuộc về interface nào. Thay vì đó bạn tạo ra một tập hợp các đối tượng mô tả firewall của bạn, máy chủ, phân mạng con, và bạnchỉ cần kéo và thả các đối tượng là thành các luật. Bạn có thể sử dụng một sô lượng lớn các đối tượng chuẩn được định nghĩa sẵn, mô tả nhiều giao thức và dịch vụ chuẩn. Ngay sau khi chính sách được tạo trên giao diện đồ hoạ quản lý (GUI), bạn có thể biên dịch nó và cài nó lên firewall cửa bạn. 1.2 Tổng quan về các đặc điểm của Firewall Builder. Hơn một trăm đối tượng được định nghĩa trước cho các giao thức và dịch vụ phổ dụng Khả năng tự tạo các đối tượng theo giao thức IP, ICMP, TCP, UDP hoặc các dịch vụ ứng dụng khác. Khả năng tự tạo các đối tượng theo các hosts, networks và dải địa chỉ IP. Có đầy đủ tính năng và công cụ giúp bạn thực hiện các chính sách firewall và thi hành các chính sách chuẩn cho các mạng chuẩn mà sau đó vẫn có thể mở rộng cũng như chỉnh sửa lại băng tay. Công cụ khám phá mạng tự động tạo nhiều đối tượng. Từ định hướng đối tượng đến quản lý chính sach: bất cứ thay đổi tạo một đối tượng ngay lập tức nhận được phản hồi trong tất cả các luật chính sách của các firewall sử dụng đối tượng đó. Khả năng chuyển chính sách thành một file cấu hình hoặc một script rồi cài nó lên một firewall chỉ với vài cái kích chuột. Giao diện đồ hoạ thuận tiện hỗ trợ vận hành cắt dán cho các chuỗi text và các đối tượng mạng và cho phép soạn thảo chính sách bằng cách kéo và thả. Hỗ trợ một vài nền tảng firewall bao gồm Cisco PIX và Open Source như firewall iptables, ipfilter và pf. Khả năng in ra một đối tượng riêng lẻ, một chính sách firewall hoặc xuất nó ra một file text hay file html. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 4/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 1-1. Ví dụ về chính sách của firewall 2 Các gói cài đặt Firewall Builder là một dự án mã nguồn mở. Mã nguồn cho thư viện API, GUI và các chính sách chính sách cho iptables, ipfilter và pf (packet filter) có thể download được từ trang web Firewall Builder cho PIX là sản phẩm thương mại có licensed được cung cấp dưới dạng một gói nhị phân. Có thể xem hướng dẫn cài đặt Firewall Builder trực tuyến tại trang web: cũng như các tài liệu hướng dẫn xây dựng Firewall Builder từ mã nguồn. Firewall Builder có thể được dịch và làm việc với những hệ điều hành sau: Debian Linux Mandrake Linux RedHat Linux Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 5/89
- Công ty NetNam - Viện Công nghệ Thông tin SuSE Linux FreeBSD Mac OS X Solaris Tài liệu tại luôn được cập nhật thông tin về những phiên bản mới và những hệ điều hành đi kèm. Firewall Builder có một vài gói cài như sau: Thư viện API của Firewall Builder: gói libfwbuilder Giao diện đồ họa của Firewall Builder: gói fwbuilder Các phần của giao diện đồ họa và các trình biện dịch chính sách cho iptables: fwbuilder- ipt Các phần của giao diện đồ họa và các trình biện dịch chính sách cho ipfilter: fwbuilder- ipf Các phần của giao diện đồ họa và các trình biện dịch chính sách cho pf: fwbuilder-pf Các phần của giao diện đồ họa và các trình biện dịch chính sách cho Cisco PIX: fwbuilder-pix Bạn cần cài các file thư viện API libfwbuilder, giao diện đồ họa fwbuilder và ít nhất một modul hỗ trợ firewall của bạn. Những vấn đề thường gặp về cài đặt được tại địa chỉ Firewall Builder Frequently Asked Questions (FAQ) có thể tìm thấy ở địa chỉ sau: 3 Giao diện đồ họa của Firewall Builder - GUI 3.1 Cửa sổ chính Cửa sổ chính được phân chia thành hai phần: cây các đối tượng và vùng hội thoại. Đối tượng mà hiện thời đang highlight trong hội thoại nằm trong nửa bên phải của cửa sổ chính. Bạn có thể tạo nhiều hơn một cửa sổ chính sử dụng Fire/New Window. Tất cả các cửa sổ đồng bộ và làm việc với cây đối tượng như nhau.Những thay đổi làm đối tượng trong một cửa sổ ảnh hưởng đến tất cả các của sổ mà có thể nhìn thẩy trong cây đối tượng và hội thoại. Nên sử dụng chế độ nhiều cửa sổ nếu bạn làm việc với một firewall có chính sách lớn. Trong trường hợp mở chính sách có thể mất chút thời gian và chuyển đổi xem các chính sách và các đối tượng cá nhân. Mở các chính sách trong một cửa sổ và làm việc với các đối tượng cá nhân để tránh vấn đề này. Kéo thả và copy, dán thông qua lại giữa các cửa sổ Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 6/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 3-1. Cửa sổ chính 3.2 Các tuỳ chọn GUI Giao diện bề ngoài của GUI có thể thay đổi bởi người dùng. Những đặc điểm này trong hội thoại gọi là các thuộc tính có thể truy cập trong menu chính Edit/Options. Hội thoại các đặc điểm của GUI biểu diễn trong hình 3-2. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 7/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 3-2. Hội thoại các tùy chọn GUI 3.2.1 Phần chung/Các đường dẫn (General/Paths) + Thư mục làm việc (Working directory) Những tuỳ chọn này chỉ cho chương trình nơi mà dữ liệu sẽ được lưu. Các bộ biên dịch chính sách cũng lưu các tệp cấu hình firewall hoặc các script chúng tạo ra trong cùng một thư mục. Nếu những thông số này để trống, thì trình biên dịch sẽ lưu cấu hình firewall mà nó tạo ra trong cùng thư mục với tệp dữ liệu nó tải về. 3.2.2 Phần mạng (Network) + SNMP Timeout and Retries Tại đây bạn có thể cấu hình giá trị timeout và nhận bộ đếm cho các yêu cầu SNMP queries. Những giá trị này được sử dụng khi chương trình chạy SNMP query để thu thập thông tin hệ thống và các giao tiếp của nó. Chú ý rằng Network discovery Druid có những thiết lập giá trị riêng của nó cho SNMP timeout và retry counter + DNS Timeout và Retries Tại đây bạn có thể cấu hình giá trih timeout và retry counters cho DNS queries. Những giá trị này được sử dụng khi chương trình sử dụng DNS để xác định địa chỉ của các host. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 8/89
- Công ty NetNam - Viện Công nghệ Thông tin 3.2.3 Giao diện người dùng (GUI) + Nhớ kích cỡ cửa sổ ở lối ra. Nếu tuùy chọn này được chọn, giao diện người dùng đồ họa nhớ kích cỡ cửa sổ chính khi chương trình kết thúc lần gần nhất. Thông tin này được lưu trọng tệp tham khảo cả người dùng, vì vậy khi chương trình khởi động ở lần kế, nó sẽ mở cửa sổ giống hệ cửa sổ lần trước. + Ẩn thanh bar của trình duyệt trong hội thoại của đối tượng Giao diện người dùng đồ hoạ GUIcó thể hiển thị thanh bar trên hội thoại của đối tượng. Thanh bar của trình duyệt hiển thị vị trí hiện thời trong cây và các nút quen thuộc "up" "down" và "left" trong cây đối tượng. Nếu tuỳ chọn được chọn, thanh bar này sẽ biến mất. 3.2.4 GUI/Opject Tooltips Firewall Builder có thể chỉ ra các thuộc tính của đối tượng trong một cửa sổ pop-up nhanh chóng (đặc điểm này thường được gọi là "tooltip"). Khi người dùng đặt con trỏ chuột trên một đối tượng trong group hoặc chính sách firewall, nơi mà đối tượng được biểu diễn lại bởi các icon cửa nó. Đây là một cách thuận tiện để nhanh chóng kiểm tra các thuộc tính của đối tượng không cần dời khỏi các hội thoại hiện thời hoặc mở một hội thoại mới. Có ba lựa chọn cho đặc điểm của tooltip. + Tắt (Off) + Hiển thị các thuộc tính trong một cửa sổ pop-up. + Hiển thị các thuộc tính trong của sổ chính. 3.2.5 GUI/Behavior + Tự động lưu dữ liệu trong hội thoại trong khi chuyển đổi giữa các đối tượng. GUI hiển thịmột hoọi thoại cho các đối tượng trong một nơi giống nhau (nửa bên phải của cửa sổ chính). Bình thường nếu người dùng vừa thay đổi dữ liệu của đối tượng và muốn chuyển đổi đến đối tượng khác không cần kích nút Apply hay Undo, GUI hiển thị hội thoại pop-up hỏi liệu bạn có muốn lưu lại những thay đổi hay không. Nếu tuỳ chọn được bật, chương trình tự động lưu lại những thay đổi khi người dùng chuyển sang đối tượng khác mà không cần hỏi lại. 3.2.6 GUI/Tree View Như đã đề cập từ trước, các đối tượng có thể được tổ chức trong các thư viện khác nhau. Thường có ít nhất hai thư viện: "Của người dùng " và "Chuẩn có sẵn". GUi có thể biểu Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 9/89
- Công ty NetNam - Viện Công nghệ Thông tin diễn các đối tượng hoặc trong một cây lớn hoặc trong các cây riêng rẽ của mỗi một thư viện. + Hiển thị các thư viện đối tượng trong các cây riêng rẽ. Nếu được chọn thì GUI sẽ hiển thị các đôi tượng thuộc về các thư viện khác nhau trong các cây riêng rẽ. + Kết hợp các thư viện trong một cây duy nhất. Nếu được chọn thì GUI kết hợp các đối tượng trong một cây lớn. + Hiển thị các thuộc tính của đối tượng trong một cây. Nếu được chọn thì GUI sẽ hiển thị vắn tắt thuộc tính của các đối tưọng hoặc phần lớn các thuộc tính thường sử dụng trong một cột của cây. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 10/89
- Công ty NetNam - Viện Công nghệ Thông tin 4 Cây đối tượng. 4.1 Cấu trúc cây chuẩn. Hình 4.1, Cấu trúc cây chuẩn. Cây đối tượng cung cấp vị trí chuẩn cho tất cả các kiểu đối tượng xuất hiện trong hệ thống phân cấp. Các kiểu này tương tự như các đối tượng mạng (các máy, dải địa chỉ, mạng và nhóm của chúng.) được đặt trong nhánh “Objects”, tương tự, tất cả các dịch vụ được đặt trong nhánh “Services”, các khoảng thời gian được đặt trong nhánh “Time” và tất cả firewall được đặt trong nhánh “Firewall”. Các đối tượng được tạo gần nhất sẽ được đặt vào các vị trí tương ứng trong cây. Mỗi nhánh trong cây được lưu lại một cách tự động trong tên của đối tượng. Chú ý: Các phiên bản tới sẽ hỗ trợ việc tạo các nhánh theo yêu cầu trong cây, đặt chúng vào các đối tượng và các nhóm của đối tượng trong bất kỳ nhánh nào. Chương trình có thể giữ tất cả các đối tượng trong một cây đơn hoặc chia nhỏ vào các “libraries”. Trường hợp sau được minh hoạ trong hình 4.2, trong đó mỗi thư viện thể hiện một cây riêng, mỗi một cây luôn được gọi là “User” và chứa các đối tượng user-defined. Các cây khác được gọi là “Standard”, nó chứa một danh mục các đối tượng chuẩn với các chương trình. Một số các đối tượng chuẩn được hiển thị rõ trong một cửa số ngắn (hình 4.2). Các đối tượng chuẩn biểu diễn các giao thức và dịch vụ đã sử dụng trên 100 lần. Trong tương lai có thể có nhiều thư viện hơn. Việc chia nhỏ các đối tượng của cây vào các “liblaries” là một cách thích hợp để sắp xếp các đối tượng trong cây, bạn có thể nghĩ đây là một kiểu “view”. Nó chỉ biểu diễn tượng trưng cho dữ liệu trong GUI, các đối tượng có vai trò ngang nhau trong tất cả các phần và bạn có thể sử dụng một đối tượng từ các đường dẫn khác của cây trong chính sách của mình. Bạn không cần (và không thể) chèn firewall vào trong cây “Standard”. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 11/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 4.2 Các đối tượng chuẩn. 4.2 Tạo các đối tượng. Có thể tạo các đối tượng mới bằng cách sử dụng menu chính “Insert”. Một số đối tượng cũng có thể tạo ra thông qua menu pop-up, menu này có thể mở bằng cách kích phải chuột vào đối tượng trong cây. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 12/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 4.3. Tạo đối tượng sử dụng menu “Insert”. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 13/89
- Công ty NetNam - Viện Công nghệ Thông tin Bạn có thể tạo tất cả các đối tượng thông qua menu “Insert” (Hình 4.3). Một số đối tượng trong cây bạn phải đặt đúng kiểu, tương ứng với các menu chỉ cho phép khi các đối tượng hiển thị trong hộp hội thoại của cửa sổ chính. Ví dụ: đối tượng interface chỉ có thể đặt trong host hoặc firewall, do đó mục menu “Insert”/”Interface” chỉ cho phép nếu đối tượng host hoặc firewall đã mở trong cửa sổ chính. Tương tự menu “Address” và “Physical Address” chỉ cho phép khi đối tượng interface mở. Cách khác để tạo các đối tượng là sử dung menu pop-up, chúng xuất hiện khi bạn kích phải chuột trên nhãn đối tượng trong cây (Hình 4.4). Hình 4.4. Thêm đối tượng sử dụng menu Pop-up. Các mục của menu này xuất hiên giống như các mục của menu chính “Insert”. Đặc biệt, các mục được thêm vào đối tượng interface chỉ xuất hiện khi đối tượng được mở trong cửa sổ chính là host và firewall (Hình 4.4). Bạn có thể thêm các đối tượng bằng tay (sử dụng mục menu “Add Interface”) hoặc nhập vào thông qua truy vấn SNMP (Sử dụng mục menu “Add Interface via SNMP”). 4.3 Chỉ dẫn và sắp xếp đối tượng. Các đối tượng được lựa chọn trong cây sẽ hiển thị một cách tự động trong vùng hội thoại, trong đó có thể quan sát và sửa chữa được. Mở các đối tượng bằng cách kích chuột vào cây. Trỏ chuột vào các nhãn và chọn bằng cách kích chuột trái một lần để mở các đối tượng khi munu pop-up xổ xuống. Các menu này xuất hiện và cung cấp các mục với các chức năng sau: • Duplicate: Chức năng này tạo một bản copy của đối tượng cũ, đặt vào trong cây và có thể mở ra trong cửa sổ chính. Đối tượng mới có một tên chung là “New Object”, nhưng Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 14/89
- Công ty NetNam - Viện Công nghệ Thông tin bạn có thể đổi tên bằng cách kích chuột vào “Apply”, tên của đối tượng trong cây sẽ thay đổi ngay lập tức. • Copy: Copy một đối tượng vào clipboard. • Cut: Cut một đối tượng vào clipboard và xoá khỏi cây. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 15/89
- Công ty NetNam - Viện Công nghệ Thông tin • Paste: Tạo một đối tượng mới từ một bản copy trong clipboard. • Delete: Xoá một đối tượng mà không tạo một bản copy trong clipboard. Điều này không làm thay đổi hoạt động và chương trình hiển thị trong hội thoại pop-up, yêu cầu người dùng xác thực. • Where used: Chức năng này quét cả cây, bao gồm tất cả các nhóm, các chính sách của firewall, tìm kiếm các chuẩn của đối tượng cũ. Phần cuối của chương trình hiển thị hội thoại pop-up với các biểu tượng tương ứng với các nhóm và firewall sử dụng đối tượng đã có. Kích đúp chuột vào biểu tượng cần mở, tương ứng với đối tượng trong cửa sổ chính. Menu Pop-up có thể có các mục để thêm vào các đối tượng interface và address, tuỳ thuộc vào kiểu của đối tượng được gọi (Hình 4.4). Tóm lại, GUI được thiết kế để nhìn và chọn “Look and Feel” giống như kiểu trình duyệt file (ví dụ Windows Explorer). Nó sẽ hiển thị các nhóm đối tượng như một bộ sưu tập các biểu tượng, trong đó mỗi biểu tượng biểu diễn một đối tượng riêng (Hình 4.5). Người dùng có thể chỉ dẫn giữa các đối tượng khác nhau bằng cách sử dụng chuột hoặc các phím “mũi tên” trên bàn phím. Các đối tượng đã active được hiển thị với màu khác nhau. Kích đúp vào biểu tượng trong nhóm quan sát tương ứng với các đối tượng được mở. Kích phải chuột hoặc spacebar trên bàn phím để mở menu pop-up, nó như một đường dẫn trỏ tới các chức năng như “Open Object”, “Copy”, “Cut” và “Paste”. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 16/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 4.5. Cây. Cửa sổ hội thoại cho các đối tượng có thể được chọn bằng các nút “Apply” và “Undo” ở dưới đáy màn hình. Đầu tiên các nút này không thể hoạt động, nhưng mỗi khi các thông số của đối tượng được sửa trong cửa sổ hội thoại hoặc các thành viên của nhóm, thì nó có thể bổ sung hoặc xoá, cả hai nút đều cho phép người dùng có thể kích “Apply” để lưu dữ liệu mới hoặc “Undo” để tải lại dữ liệu ban đầu vào cửa sổ hội thoại. Nếu người dùng cố gắng chuyển giữa các đối tượng khác mà không cần lưu lại hoặc tải lại dữ liệu đã có trong cửa sổ hội thoại, chương trình sẽ hiển thị hội thoại pop-up để yêu cầu người dùng chọn một trong số các chức năng đã có. Nó cũng có một thuộc tính để tạo ra các chương trình tự động lưu các dữ liệu đã được sửa khi người dùng chuyển đổi giữa các đối tượng ( xem hình dưới đây). 5 Làm việc với các đối tượng. 5.1 Các thuộc tính chung. Tất cả các đối tượng được hiển thị rõ ràng với người dùng All objects visible to the user have some common editable fields, such as their name and comment. The object name can contain white spaces and can be arbitrarily long. The Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 17/89
- Công ty NetNam - Viện Công nghệ Thông tin comment can contain any text of any length. Dialogs for those objects that can have an address use the standard GUI widget that visually separates the four octets of IP address and provides "on the fly" control for the validity of an address. 5.2 Đối tượng Host. Đối tượng Host trong Firewall Builder được thiết kế để biểu diễn các hosts thực trong mạng: các máy trạm, máy chủ và bất kỳ một nút mạng nào khác có địa chỉ. Giống như một host thật, các đối tượng host đều có interface, biểu diễn các kết nối vật lý khác nhau trong mạng. Đa số các host trên internet sẽ có một interface đơn với một địa chỉ IP, trong trường hợp này các interface thực và tên của nó sẽ không có vấn đề gì. Tất cả các interface ngoài, fwbuider sẽ gán cho một tên bất kỳ như “interface 1” cho interface của các host. Bằng cách sử dụng kiến trúc hình cây từ hosts -> interfaces -> address nó có thể chỉ rõ một địa chỉ chính xác hoặc interface của host trong trường hợp nó có vấn đề. Cả interface và địa chỉ được biểu diễn dưới dạng các đối tượng, chúng được tổ chức dưới dạng cây. Các đối tượng interface nằm trực tiếp trên cây dưới dạng host và các đối tượng address được đặt dưới đối tượng interface của chúng. Đối tượng interface có thể có một hoặc nhiều địa chỉ . Ví dụ các host có một interface với nhiều địa chỉ được chỉ trong hình 5.1. Host “test server” được đặt trong LAN và có ba địa chỉ IP ảo trên một interface “eth0”. Host www.netcitadel.com được điều khiển từ xa và cũng có ba địa chỉ IP. Đối tượng host này trong thực tế biểu diễn Web cho các kết nối trên ba địa chỉ IP tốt hơn trên một địa máy đơn. Đối tượng host trong Firewall Builder là một sự trừu tượng hoá sử dụng cho host và address. Sau đây chúng ta sẽ xem xét các thuộc tính của đối tượng interface và address. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 18/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 5.1. Đối tượng Host với một Interface và nhiều địa chỉ ảo. Chú ý: Đối tượng host có thể không có bất kỳ sự bảo mật hoặc chính sách NAT nào kết hợp với nó, chỉ có các đối tượng firewall là có thể. 5.2.1 Tạo các đối tượng Host. Hình 5.2. Trang đầu tiên của Druid. Để tăng tốc độ xử lý và thiết lập nó một cách đơn giản, việc tạo các đối tượng host được thêm bởi Druid, nó liệt kê tất cả các dữ liệu cần thiết cho cả host và interface, sau đó là việc tạo các đối tượng. Hình 5.2, là trang đầu tiên của Druid. Đầu tiên, bạn nhập tất cả tên host, tên này không nhất thiết phải trùng với tên thực của host. Nếu đối tượng host mới có một interface đơn ( trong đa số các trường hợp), bạn cần điền các thuộc tính cho địa chỉ của nó và có thể có cả địa chỉ MAC và chọn “Next”. Nếu tên của đối tượng trùng với tên thực của host, bạn có thể sử dụng nút “DNS Lookup” để lấy địa chỉ từ DNS. Trong trường hợp đối tượng host mới nên có nhiều interface, bạn cần kiểm tra các thuộc tính tại đáy của cửa sổ hội thoại và sau đó chuyển tới trang tiếp theo của Druid, bằng cách sử dụng nút “Next”. Trang tiếp theo, xem hình 5.3. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 19/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 5.3. Têm Interface cho đối tượng host mới. Tại đây bạn có thể thêm interface cho đối tượng của host mới. Nhập tên interface, địa chỉ và netmask cho phù hợp, và chọn “Add” để thêm vào danh sách. Nút “Update” để cập nhật thông tin cho interface đã được chọn trong danh sách và nút “Delete” xoá tất cả các interface đã lựa chọn sẵn. Chú ý: Bạn có thể luôn luôn thêm, xửa chữa và xoá interface của đối tượng mới, sau đó sử dụng để điều khiển, nó được cung cấp bởi cửa sổ chính và hình cây đối tượng. 5.2.2 Sắp xếp một đối tượng mới Cửa sổ hội thoại của đối tượng Host được chia làm hai thẻ: “General” (Hình 5.4) và “Sysinfo” (Hình 5.5). Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 20/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 5.4. Sắp xếp các đối tượng Host. Thẻ “General” cung cấp GUI điểu kiển cho các thông số sau: Name: Tên đối tượng Host. MAC address filtering. Nếu thuộc tính này được chọn, trình biên dịch chính sách sẽ sử dụng địa chỉ MAC của tất cả các interface của host cho các luật firewall. Không phải tất cả nền tảng firewall đều hỗ trợ lọc địa chỉ MAC, do đó thuộc tính này có thể không có hiệu quả với các kịch bản firwall đã được tạo. • MAC address filtering: If this option is activated, the policy compiler uses the MAC addresses of all interfaces of this host in the firewall rules. Not all firewall platforms support MAC address filtering, so this option may have no effect on the generated firewall script. This is treated as a non-critical situation, and the policy compiler will only generate a warning while processing a firewall policy where such a host is used. See below Section 5.5.1. • SNMP communities: SNMP communities “read” được dùng nếu host chạy SNMP và lấy “sysinfo” của host thay đổi thông qua truy vấn SNMP. SNMP communities “write” không được dùng, nhưng chúng ta có thể thêm các tính năng trong tương lai. SNMP communities không thể luôn để trống. Nếu host không chạy SNMP, hoặc nếu bạn không cần lấy thông tin về host sử dụng SNMP, chuỗi SNMP communities có thể được để trắng. • Comment: Đây là trường được định dạng chữ, bạn có thể sử dụng để thêm lời chú thích. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 21/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 5.5. Hệ thống thông tin Host. Thẻ “Sysinfo” lưu trữ dữ liệu được phục hồi từ các host thông qua truy vấn SNMP. Bạn có thể nhìn thấy các chuỗi mà các host gửi trả lại cho các chuẩn SNMP MIB "Description", "Location" and "Contact" thay đổi. Các trường này chỉ có thể đọc được trong GUI. 5.3 Interface của Host. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 22/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 5.6. Interface của Host. Cửa sổ hội thoại cho đối tượng interface của host chỉ có một thẻ “General”, chúng cung cấp việc điều khiển với các thông số sau: • Name. Đây là tên của đối tượng. Nên đặt các tên của interface thực. Ví dụ, trong Linux nó có thể là “eth0” “eth1”, trong FreeBSD nó có thể là “Inc0” hoặc “fxp0”, trong Solaris nó có thể là “hme0” trong Cisco PIX có thể là “ethernet0” vvv. • Label. Trong đa số các hệ điều hành, thuộc tính này không được sử dụng và phục vụ cho những mục đích miêu tả nhãn. Firewall Builder GUI sử dụng một nhãn, nếu nó không ở dưới dạng trắng để chỉ interface trong trong cây. Một trong những kiến nghị sử dụng cho thuộc tính này là đánh dấu interface để phản hồi sơ đồ mạng (’outside’, ’inside’) hoặc các mục đích (’web frontend’ hoặc ’backup subnet’). Trong Cisco PIX bắt buộc phải có nhãn, trong đó nó phải phản hồi lại sơ đồ mạng. Xem chương miêu tả interface của firewall. • Thuộc tính "Regular Interface". Sử dụng thuộc tính này nếu interface có một địac chỉ IP được gán bằng tay. • Thuộc tính "Address is assigned dynamically". Thuộc tính này được sử dụng nếu interface có một địa chỉ động ( được cung cấp bởi DHCP, PPP hoặc các giao thức khác), trong trương hợp này địa chỉ sẽ không được biết khi Firewall Buider tạo các chính sách firewall. • Thuộc tính "Unnumbered interface". Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 23/89
- Công ty NetNam - Viện Công nghệ Thông tin Thuộc tính này được dùng nếu interface không thể có một địa chỉ IP, giống như ethernet interface được dùng để chạy PPPoE trong kết nối ADSL, điểm cuối của interface hoặc một interface trong cầu nồi firewall. Xem mục 5.3.1 để có thông tin rõ hơn về các interface khác nhau. • Hộp kiểm "This is management interface". Một số host có nhiều interface mạng, một trong số interface này có thể được đánh dấu như “man-agement inteface”. Việc quản lý interface được dùng cho tất cả việc thông giữa Firewall Buider và host. Trong trường hợp việc truyền thông của đối tượng host này cấm truy vấn SNMP để lấy các thông tin về host ( Các chuẩn thay đổi SNMP MIB, “Description”, “Location”, “Contact”), do đó trong tương lai, chúng ta sẽ thêm nhiều hơn. • Địa chỉ vật lý (MAC). Đây là thuộc tính lưu địa chỉ MAC của interface. • Comment Đây là trường chữ, bạn có thể thêm các thông tin cần thiết. Các loại Interface. Firewall Builder chấp nhận ba loại interface, phụ thuộc vào địa chỉ IP của chính nó: chuẩn, động và không đánh địa chỉ. Interface chuẩn có một địa chỉ IP được gán tĩnh, Firewall Builder có thể sửdụng trong các chính sách luật firewall. Có thể sử dụng địa chỉ này nếu luật chính sách điều khiển việc truy cập tới hoặc từ firewall của chính nó. Interface động có một địa chỉ IP được gán đông bởi giao thức DHCP hoặc PPP. Trong trường hợp này, địa chỉ có thể là bất kỳ và nó có thể không được sử dụng trong các luật chính sách. Một vài hệ thông firewall cho phép sử dụng tên interface trong chính sách thay vì phải sử dụng địa chỉ IP, sau đó các công cụ firewall sẽ chọn lọc địa chỉ IP khác khi các chính sách hoạt đông hoặc ngay trong lần khởi động. Một số công cụ firewall hỗ trợ các cú pháp đặc biệt cho các luật mà được liên kết với mào đầu của các gói tin tới hoặc từ nhóm kiểm soát firewall. Ví dụ, hai trong số các trường hợp này là OpenBSD PF và Netfilter. Luật PF có thể được xây dựng bằng cách sử dụng tên interface, PF tự động sử dụng các địa chỉ interface đã có khi nó tải các luật vào bộ nhớ. Netfilter hỗ trợ các “chains” đặc biệt gọi là “INPUT” và “OUTPUT”, đảm bảo việc kiểm tra mào đầu của gói tin đi vào cho mục đích firewall (“INPUT”) hoặc đi ra “OUTPUT”. Cả hai phương thức này cho phép Firewall Builder xây dựng các chính sách luật firewall một cách chính xác, nó tác động đến các interface với địa chỉ IP động, mặc dù vậy interface phải đánh dấu như trình dịch chính sách để sử dụng kỹ thuật một cách thích hợp phụ thuộc vào mục đích lập firewall. Interface không đánh địa chỉ có thể không bao giờ có một địa chỉ IP. Ví dụ như interface bao gồm các điểm cuối của đường hầm (GRE, PPPoE, và một số IPSEC), các interface của firewall cầu nối và có thể là một vài trường hợp khách. Firewall Builder loại bỏ các interface được đánh dấu như không đánh đại chỉ và không bao gồm chúng trong các chính sách luật. Các interface của cả ba loại trên có thể có các luật chính sách liên kết nhau. Trong GUI, bất kỳ đối tượng interface nào có thể có đối tượng “Interface Policy” Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 24/89
- Công ty NetNam - Viện Công nghệ Thông tin đặt vào cây. Sự khác biệt chính là interface chuẩn có thể luôn được sử dụng trong các thành phần luật nguồn và đích, Interface động có thể được sử dụng cho một số luật firewall và interface không đánh địa chỉ có thể không được sử dụng trong các thành phần firewall. Ví dụ trong iptable và PF interface động có thể được sử dụng trong các luật. PF có thể tự động sử dụng địa chỉ mà nó có tại thời điểm đó mà các luật firewall được tải, iptables có thể không thực hiện điều này nhưng Firewall Builder cung cấp các hành động làm việc xung quanh sự giới hạn này. 5.4 Đối tượng Address. Hình 5.7. Đối tượng địa chỉ. Đối tượng address miêu tả địa chỉ IP của interface, cửa sổ hội thoại của nó cung cấp các trường thuộc tính sau: • Name Đây là tên của đối tượng. Nó chỉ dẫn cho bạn sử dụng một số cấu trúc tên khi đối tượng address được sử dụng trong chính sách firewall, nó được đặt với các tên này. Nó có thể được đặt cứng để thông báo cho các address khác nếu các tên bị trùng nhau. • Address. Đây là một địa chỉ IP. GUI widget cung cấp các cú pháp điều khiển cho các giá trị nhập vào trong trường octet. Chú ý: Các kiểu lỗi sẽ giải thích rõ các đối tượng là một địa chỉ của mạng con, interface của host hoặc theo firewall. Đối tượng này miêu tả một địa chỉ của interface, không phải một địa chỉ mạng. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 25/89
- Công ty NetNam - Viện Công nghệ Thông tin • Netmask. Đây là mặt lạ mạng được gán cho interface. This is a netmask assigned to the interface. • Comment. Đây là trường được định dạng chữ, bạn có thể sử dụng để thêm lời chú thích. Chú ý: Firewall Builder không hỗ trợ địa chỉ Ipv6, nếu được hỗ trợ Ipv6 sẽ được thêm vào trong tương lại. 5.5 Đối tượng Physical Address. Hình 5.8. Đối tượng Physical Address. Đối tượng Physical Address miêu tả địa chỉ phần cứng hoặc media. Ví dụ, cho Ethernet với địa chỉ MAC của interface. • Name Đây là tên của đối tượng. Nó nhắc nhở bạn sử dụng một số tên miêu tả khi đối tượng address được sử dụng trong chính sách firewall, đối tượng sẽ được gán với tên này. Nó có thể được đặt cứng để thông báo cho các địa chỉ khách nếu có sự trùng tên nhau. • Address. Address là một chuỗi miêu tả địa chỉ vật lý hoặc media. Có nhiều kiểu media, nó được đặt trong thư viện. Ví dụ, một địa chỉ ethernet có thể biểu diễn dưới dạng chuỗi 6 octet. • Comment Đây là trường được định dạng chữ, bạn có thể sử dụng để thêm lời chú thích. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 26/89
- Công ty NetNam - Viện Công nghệ Thông tin Sử dụng đối tượng Physical Address Object trong các chính sách. Chỉ một số nền tảng firewall thực sự hỗ trợ lọc địa chỉ vật lý. Netfilter chỉ là một cơ sở firewall có thể thực hiện điều này và nó được Firewall Builder hỗ trợ. Nó được miêu tả trong mục 8.5, nếu đối tượng interface có nihiều địa chỉ và các đối tượng con của Physical Address được sử dụng trong chính sách hoặc là một thành phần NAT (nguồn hoặc đích), sau đó trình biên dịch chính sách sẽ cố gắng tạo ra các luật sử dụng địa chỉ. Điều này tương ứng với việc sử dụng bộ logic “OR” trên các địa chỉ này, nếu interface cuả chúng hai địa chỉ Address1 và Address2, sau đó các luật được tạo ra và có thể kết nối nếu địa chỉ trong gói tin khác với Address1 OR Address2. Trường hợp của Physical Address thì khác. Nếu Interface có một địa chỉ vật lý, trình biên dịch sẽ xây dựng một bộ luật để kết nối một địa chỉ IP với địa chỉ MAC của chúng. Sự thay đổi như sau: Giả sử chúng ta có một host rất quan trọng trên mạng, chúng ta tạo một đối tượng Host, và tạo cho nó một interface. Interface nên có cả hai đối tượng Address và Physical Address như được chỉ trong hình 5.9. Hình 5.9. Đối tượng Host với Address và Physical Address. Vì đây là một host rất quan trọng, các gói tin có địa chỉ IP nguồn của host này thực sự vào từ nó và không phải là địa chỉ giả. Cách tốt nhất để kết hợp các mục đích này là sử dụng chế độ xác thực, ví dụ, với giao thức IPSEC. Cách sử dụng IPSEC không nằm trong phạm vi tài liệu này, mục đích chính của chúng ta là chỉ rõ địa chỉ MAC của gói tin có thể được bảo vệ. Cả gói tin thực bắt đầu từ host và một gói tin giả mạo có một địa chỉ IP nguồn của interface của host, nhưng địa chỉ MAC nguuồn đi ra thì khác nhau nếu địa chỉ giả vẫn tiếp tục. Chúng ta có thẻ sử ụng để tóm và thả các gói tin giả mạo. Dưới đây là ba cáh có thể xây dựng các chính sách bảo mật trong phần này. • Chỉ sử dụng đơi tượng Address trong thành phần luật. Chỉ kiểm tra firewall cho địa chỉ IP và bỏ qua địa chỉ MAC của gói tin. Hình 5.10. Chính sách luật chỉ sử dụng với đối tượng Address. • Chỉ sử dụng đối tượng Physical Address. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 27/89
- Công ty NetNam - Viện Công nghệ Thông tin Mỗi luật được xây dựng theo cách này cho phép tất cả lưu lượng vào từ các host được kiểm tra ngay cả khi địa chỉ IP của nó thay đổi. Hình 5.11. Chính sách luật chỉ sử dụng với đối tượng Physical Address. • Sử dụng đối tượng Host hoặc Interface. Đây là cách cuối cùng chúng ta kết hợp cả địa chỉ IP và địa chỉ MAC. Có thể sử dụng các luật chống giả mạo. Hình 5.12. Chính sách luật sử dụng với đối tượng Host. Hình 5.13. Chính sách luật sử dụng với đối tượng Interface. Việc sử dụng các đối tượng Address và Physical Addresss thì không giống như sử dụng một đối tượng Host hoặc Interface. Như được miêu tả trong phần 8.5, sử dụng một đối tượng với nhiều địa chỉ hoặc nhiều đối tượng trong chính sách luật giống như xây dựng chúng cùng với việc sử dụng bộ logic OR. Nếu chúng ta đặt Address và Physical Address trong chính sách luật như hình 5.14, chúng ta sẽ có một điểm liên kết firewall với gói tin có địa chỉ nguồn 10.1.1.1 hoặc địa chỉ MAC: 00:08:C7:29:D1:AC, nhưng không cần thiết tại cùng một thời điểm. Bất kỳ host nào có thẻ tạo ra một địa chỉ giả 10.1.1.1 và gửi gói tín thông qua firewall mà co địa chỉ MAC khác. Để đạt được mục đích tổng thể, hãy chắc chắn rằng các gói tin có địa chỉ nguồn 10.1.1.1 thực sự thuộc về các host quan trọng của chúng ta, chúng ta nên kiểm tra địa chỉ IP nguồn và địa chỉ MAC tại cùng một thời điểm và chỉ đặt một gói tin đi qua, nếu địa chỉ IP của nó và địa chỉ MAC hoàn toàn bình thường. Điều này giải thích tại sao, Firewall Builder yêu cầu địa chỉ vật lý khác nhau và tạo mã firewall cho cả hai địa chỉ IP và vật lý. Hình 5.14. Chính sách luật sử dụng đối tượng Address và Physical Address. Firewall Builder tạo mã firewall để kiểm tra địa chỉ MAC cho đối tượng Host với thuộc tính “MAC address filtering". Nếu tắt thuộc tính này, đối tượng Physical Address sẽ bỏ Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 28/89
- Công ty NetNam - Viện Công nghệ Thông tin qua ngay cả khi nó được trình bày trong interface của đối tượng host. Vì đối tượng host được tạo ra bằng cách sử dụng Network Discovery Druid (chương 6) và luôn lưu cả hai thông tin là địa chỉ MAC và IP thông qua truy vấn SNMP, việc kiểm tra địa chỉ MAC thì thực sự cần thiết. Người quản trị có thể sử dụng thuộc tính "MAC address filtering" trong đối tượng host để chỉ rõ host nào mà anh ta cần kiểm tra địa chỉ MAC. 5.6 Đối tượng Network. Hình 5.15. Đối tượng Network. Đối tượng Network miêu tả địa chỉ IP hoặc mạng con. Cửa sổ hội thoại cung cấp các thuộc tính sau. • Name: Tên của đối tượng Network. • Nút ’DNS Lookup’. Chọn nút này khi chạy truy vấn DNS cho một “A” RR sử dụng tên được nhập vào trong trường “Name”. • Address: Đây là địa chỉ của mạng. • Netmask: Mặt lạ mạng, • Comment: Đây là trường chữ, bạn có thể thêm các lời chú thích. 5.7 Đối tượng Address Range. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 29/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 5.16. Đối tượng Address Range. Đối tượng này miêu tả một giải địa chỉ IP. cửa sổ hội thoại cung cấp các thuộc tính sau. • Name: Tên của đối tượng Address Range. • Range start: Địa chỉ bắt đầu của dải. • Range end: Địa chỉ kết thúc của dải. • Comment: Đây là trường chữ, bạn có thể thêm các lời chú thích. Dải địa chỉ này bao gồm cả địa chỉ đầu và địa chỉ cuối. 5.8 Nhóm (Group) của các đối tượng. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 30/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 5.17. Group của các đối tượng giữ đối tượng Hosts, Networks, Address Ranges, Firewalls và các nhóm đối tượng khác. Các đối tượng có thể thêm vào các group sử dụng các phương thức sau. • Kéo và thả. Các đối tượng có thể kéo từ cây vào cửa sổ hội thoại của group. Cây sẽ chuyển đối tượng bằng một lần kích chuột, trỏ chuột vào đối tượng và nhấp chuột để không chuyển. • Sử dụng menu popup. Bạn có thể Copy/Paste giữa cây và cửa sổ hội thoại của group. Kích phải chuột vào đối tượng trong cây để sổ menu popup. Chọn “Copy” hoặc “Cut” trong menu này, sau đó chuyển sang cửa sổ hội thoại group và kích phải chuột vào các biểu tượng. Bạn cũng có thể chọn “Paste”. Nó cho phép chèn đối tượng vào group. • Sử dụng menu chính "Edit". Giống như trường hợp menu pop-up, chọn đối tượng trong cây, sử dụng menu chính “Edit"/"Copy Object", sau đó chuyển sang cửa sổ hội thoại group và sử dụng menu chính "Edit"/"Paste Object". 5.9 Đối tượng Firewall. 5.9.1. Cách tạo một đối tượng Firewall Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 31/89
- Công ty NetNam - Viện Công nghệ Thông tin Tương tự như tạo một đối tượng Host, tạo một đối tượng Firewall đượcdùng bởi Druid. Trang đầu tiên của Druid minh hoạ trong một màn hình nhỏ (Hình 5.18). Đầu tiên cần thêm tất cả tên của firew mới và chọn “Next”. Ta đến màn hình tiếp theo của Druid (Hình 5.19) Hình 5.18. Trang đầu tiên của Druid. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 32/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 5.19. Thêm một Interface cho một đối tượng Firewall mới. Màn hình này tương tự như mànhình tạo đối tượng Host mới của druid, trong đó bạn thêm vào các interface. Nhập tên, địa chỉ, mặt lạ mạng cho interface trong các trường thích hợp, chọn “Add”. Nút “Update” sẽ cập nhật các thông số đã được chọn cho interface và “Delete” để xoá nó. Một trong tất cả interface đã được cấu hình, chọn “Next” để tạo đối tượng firewall mới. Chú ý: Bạn có thể thêm, sửa chữa và xoá các interface bằng cách sử dụng các điều khiển được cung cấp bở cửa sô chính và quang cảnh cây đối tượng. Sắp xếp cây đối tượng Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 33/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 5.2. Đối tượng Firewall, Thẻ “General”. Đối tượng Firewall minh hoạ cho một công cụ firewallvà đây là đối tượng phức tạp nhất trong Firewall Builder. Cửa sổ hội thoại củanó có các thẻ sau: “General”, “Sysinfo”, ’Compile/Install’, ’Firewall’ và ’Network’. Thẻ General cung cấp các chức năng sau: • Name: Đây là tên của đối tượng. • Host OS: Module này cung cấp sự hỗ trợ cần thiết cho OS đích và cơ sở firewall được phân tán riêng rẽ từ GUI và có thể được cài đặt kết hợp với nhau. Menu xổ xuống cung cấp sự lựa chọn cho OS của host và được cập nhật động thông qua sự kết hợp của các mô đun được cài đặt. • Firewall platform: Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 34/89
- Công ty NetNam - Viện Công nghệ Thông tin Giống như menu “Host OS”, đây là menu xổ xuống cung cấp sự lựa chọn cơ sở cho firewall được chọn và nó cũng được cập nhật động thông qua sự kết hợp của các môdun được cài đặt. • SNMP Communities: Được sử dụng để kéo “sysinfo” MB thay đổi từ công cụ firewall. Nó cũng được sử dụng nếu bạn muốn tự động tạo các interface cho firewall sử dụng truy vấn SNMP. SNMP “write” community không được sử dụng tại thời điểm này. • Comment: This is a free-form text field used for comments Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 35/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 5.21. Đối tượg Firewall, Thẻ ’Sysinfo’. Thẻ này lưu các trường sau: • Description: • Location: • Contact: Các trường này miêu tả giá trị tương ứng với sự thay đổi của MIB Hình 5.22. Đối tượng Firewall, Thẻ ’Compile/Install’ . Thẻ này lưu các thuộc tính sau: • Compiler: Có đường dẫn thư mục và tên file đầy đủ cho các chính sách kết hợp yêu cầu GUI khi bạn sử dụng mục menu chính: “Rules”/”Complie”. Nếu thuộc tính này để Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 36/89
- Công ty NetNam - Viện Công nghệ Thông tin trống, GUI gọi các chính sách mặc định, chúng đã được config từ trước cho cơ sở firewall và đặt trong thẻ “General”. Sử dụng thuộc tính này nếu bạn sử dụng các chính sách không chuẩn hoặc sử dụng kịch bản bao bọc, gọi là bộ kết hợp chính sách. • Command line parameters for the compiler: Điều này chỉ rõ cho bạn các thông số về dòng lệnh cho bộ kết hợp chính sách. Đây là một danh sách các dòng lệnh của các thuộc tính dòng lệnh hỗ trợ bởi bộ kết hợp chính sách. • "-f": Chỉ rõ tên file dữ liệu, sử dụng bởi bộ kết hợp. • "-d": Chỉ rõ thư mục đang làm việc, trong đó file dữ liệu được đặt và nơi đặt kịch bản firewall. • "-v":Bật chức năng kiểm tra trong khi kết hợp. Bình thường GUI tự động thêm thuộc tính “-f” và “-d”, khi nó gọi bộ kết hợp chính sách. Xem các trang tương ứng với bộ kết hợp chính sách để hoàn thành việc thiết lập hỗ trợ thuộc tính dòng lệnh. • Installer:Kịch bản cài đặt. Trong tương lai, chúng ta có hai cách để cài đặt và bật các chính sách trên công cụ firewall: sửdụng kịch bạn cài đặt hoặc fwbd daemon. Deamon không được hỗ trợ bây giờ, vì thế kịch bản cài đặt chỉ là một phương thức có thể trong thời gian này. GUI gọi khỉ bản cài đặt khi bạn sử dụng menu chính "Rules"/"Install". • Istaller: fwbd daemon: Không hỗ trợ. • Policy install script: Đường dẫn thư mục đầy đủ và tên file cho kịch bản cài đặt. • Command line parameters for the script: Chỉ rõ cho bạn các thông số của dòng lệnh cho kịch bản cài đặt. GUI đòi hỏi kịch bản cài đặt cho các thông số dòng lệnh giống nhe bộ kết hợp chính sách (xem ở trên) và tư động cung cấp thuộc tính “-f” “-d:”. Bạn có thể thêm nhiều thông số hơn trong trường thuộc tính nếu kịch bản của bạn cung cấp. • Options for fwbd: Với các phiên bản đã có của Firewall Builder, không có và không hỗ trợ, các thuộc tính này sẽ được dùng trong tương lai. Thẻ ’Firewall’ và ’Network’ cung cấp các thuộc tính chỉ rõ cho bạn chọn cơ sở firewall và cấu hình OS của host. 6 Khám phá mạng: Cách để tạo một đối tượng nhanh Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 37/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 6-1. Gọi đối tượng Discovery Druid Một trong những đặc tính riêng mà Firewall Builder cung cấp là: hỗ trợ tự động tạo đối tượng. Nó giúp tăng các đối tượng của cây đối tượng trong mạng lớn với nhiều máy chủ và lớp mạng con. Người sử dụng sẽ phải tốn hàng giờ nếu phải làm bằng tay, trong khi đối tượng Discovery Druid có thể thực hiện trong vài phút. Bạn có thể đưa Druid này lên sử dụng "Tools”/”Discover Objects" trong menu chính. Druid hỗ trợ 3 phương thức chính để tạo đối tượng tự động: - Đọc file /etc/hosts - Nhập vào DNS zone - Khám phá mạng dùng truy vấn SNMP Bạn chọn phương thức trong trang đầu của Druid (Hình 6-2). Đánh dấu để chọn vào ô cạnh phương thức bạn muốn sử dụng và bấm tiếp vào nút ’Next’. Hình 6-1. Gọi đối tượng Discovery Druid Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 38/89
- Công ty NetNam - Viện Công nghệ Thông tin 6.1 Đọc file /etc/hosts Phương thức này nhập vào các bản ghi máy chủ hiện trại trong file /etc/hosts hay bất kỳ file nào khác chứa các bản ghi theo dịnh dạng sau (định dạng này đã được mô tả trong hướng dẫn về máy chủ (5)). Địa chỉ IP Tên host Địa chỉ IP phải phân biệt với tên máy chủ bằng một số ký tự trống hay dấu tab. Dòng bắt đầu với ’#’ là các chú thích và sẽ được bỏ qua. Firewall Builder hiệ tại chưa hỗ trợ địa chỉ dạng ipv6 và sẽ bỏ qua chúng. Khi bạn chọn nhập từ file /etc/hosts trong trang đầu tiên, Druid sẽ hỏi bạn đường dẫn và tên file ở trang tiếp theo. Sau khi điền các thông tin này, nó sẽ đọc nội dung của file và hiện một bảng của đối tượng mới (hình 6-3): Hình 6-3. Tạo đối tượng sử dụng các thông tin đã thu thập Đối tượng khám phá được hiện trong bảng. Từ khi nguồn thông tin được sử dụng để khám phá có thể có một số tên máy chủ khác nhau cho cùng một địa chỉ IP, tên đối tượng được hiện trong một menu thả xuống. Nếu chỉ có một tên cho một địa chỉ thì menu thả chỉ có một tên. Các cột bên phải của bảng chỉ ra các lựa chọn kiểu của đối tượng để tạo: nó có Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 39/89
- Công ty NetNam - Viện Công nghệ Thông tin thể trở thành máy chủ, mạng hay Firewall. Đôi khi Druid có thể đoán kiểu của dối tượng hay sử dụng kiểu phù hợp dựa trên phương thức khám phá đã sử dụng. Druid tạo các đối tượng chỉ dùng cho các bản ghi đã chọn trong bảng. Sửa dụng hộp đánh dấu trong cột đầu tiên của bảng để chọn đối tượng. Một ô bình luận sẽ được dùng để ghi tổng số các đối tượng đã chọn. Trong hình trên có 6 đối tượng đã được chọng (Hình 6-3) Trong trang này của Druid có các nút sau: "Select All" Chọn tất cả các bản ghi trong bảng "Unselect All" bỏ chọn tất cả các bản ghi trong bảng "Filter" thực hiện một luật lọc. Lọc giúp quản lý một danh sách dài các đối tượng. "Remove Filter" loại bỏ các luật lọc hiện tại và hiện ra toàn bộ bảng. Hình 6-4. Bảng lọc đối tượng Druid có thể lọc các bản ghi trong bảng theo tên hay địa chỉ IP hoặc cả hai. Để lọc theo địa chỉ IP nhập một phần của nó vào ô "Address". Chương trình so sánh văn bản đã nhập vào bảng lọc vào với một địa chỉ và hiện ra các bản ghi có địa chỉ bắt đầu giống với phần đã nhập. Ví dụ: chỉ lọc các máy chủ có địa chỉ lớp mạng là 10.3.14.0 chúng ta nên sử nhập vào "10.3.14". Một cách khác để bỏ qua các máy chủ "bear" và "beaver" (địa chỉ 10.3.14.50 và 10.3.14.74) chúng ta nhập "10.3.14.6". Chú ý là các chuỗi nhập vào không gồm các ký tự thay thế "*". Việc lọc sẽ chỉ ra các bản ghi có một phần giống với chuỗi nhập vào. Lọc theo tên của đối tượng sử dụng cú pháp POSIX thông thường đã được miêu tả trong trang giới thiệu (7). Ví dụ: để tìm tất cả các bản ghi có tên bắt đầu với từ ’f’ phải sử dụng câu lệnh ’^f’. Ký tự ’^’ đúng với phần bắt đầu của chuỗi và câu lệnh này cũng đúng với tất cả các tên bắt đầu với ’f’. Để tìm một tên kết thúc với: ’somedomain.com’ chúng ta nên sử dụng mẫu lệnh là ’.*somedomain.com$’ Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 40/89
- Công ty NetNam - Viện Công nghệ Thông tin 6.2 Nhập DNS zone Phương thức này chỉ dùng cho các hệ điều hành có một thư viện hỗ trợ truyền DNS zone. Hiện tại có thể dùng trên Linux và Solaris. Đâu tiên Druid hỏi bạn tên miền mà bạn muốn nhập vào (hinh 6-5). Khi nhập tên và bấm vào "Next", chương trình sẽ chạy truy vấn DNS để tìm server trả lời tên miền này. Nó sẽ đưa ra một danh sách các server ở trang tiếp thep để bạn chọn (Hình 6-6). Hình 6-5. Nhập tên miền Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 41/89
- Công ty NetNam - Viện Công nghệ Thông tin Figure 6-6. Danh sách tên các server Bạn có thể sử dụng một trong những tên server đã được đăng ký, hay tên của server riêng nội bộ của bạn mà đã được đăng ký (Ví dụ như các tên miền nội bộ cấp 2), bạn có thể nhập tên hay địa chỉ trong hộp ở đáy của bảng. Bấm vào "Next" để khởi động quá trình truyền (Hình 6-7). Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 42/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 6-7. Truyền DNS zone Nếu quá trình truyền DNS zone thành công và Druid có thể kéo xuống các thong tin cần thiết để tạo các đối tượng, bạn có thể chuyển qua trang tiếp theo để chọn và tạo các đối tượng. Trang này giống trong hình 6-3. 6.3 Khám phá mạng Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 43/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 6-8. Khởi động các tham số cho chương trình Khám phá mạng Chương trình Khám phá mạng (Đôi khi được biết tới như "Network Crawler") cần một máy chủ để bắt đầu. Máy chủ này được gọi là "seed host"; bạn nhập nó vào trang đầu tiên của Druid (Hình 6-8). Thành phần con rệp trong thuật toán này là (đây là một số miêu tả đơn giản): Đầu tiên nó chạy một vài truy vấn SNMP chống lại “seed host” cố gắng thu thập các dữ liệu sau: danh sách các giao diện card mạng, các ARP và bảng định tuyến của nó. Máy chủ nàu sau đó được them vào bảng đối tượng khám phá mạng, cùng với các giao diện card mạng, các địa chỉ, các lớp mạng và các tham số hệ thống-"sysinfo" của nó. Sau đó con rệp phân tích bảng định tuyến của máy chủ này, và các con rệp đang chạy cũng được thêm vào danh sách của các đối tượng khám phá. Sau đó nó phân tích bảng ARP, nơi lưu giữ địa chỉ MAC và IP của các lớp mạng lân cận. Nó sử dụng một máy chủ tìm thấy trong bảng một lần và lặp lại thuật toán đã sử dụng như ở “seed host”. Khi nó đẩy một bảng ARP từ máy chủ tiếp theo, nó loại bỏ những đối tượng đã được biết đến. Nếu nó tìm thấy đối tượng mới, nó sẽ thử tiếp do đó nó sẽ tiến sâu trong mạng. Thậm chí nó có thể đi qua mọi máy chủ trong mọi lớp mạng. Thuật toán này dựa vào sự trả lời của máy chủ trước các truy vấn SNMP. Nếu mọi máy chủ đầu tiên ("seed host”) không chạy tiến trình SNMP, con rệp chạy lần đầu tiên của thuật toán trả về kết quả là không tim thấy. Vì thế việc quan trọng là phải dùng một máy chủ có chạy tiến trình SNMP như là một "seed host”. Thậm chí hầu hết các máy chủ trong mạng không chạy tiến trình SNMP, nhưng một vài máy chạy, các con rệp thực hiện tìm thấy gần hết các máy khác. Điều này có thể thực hiện được vì nó khám phá các đối tượng khi nó đọc bảng ARP từ máy chủ trả lời; vì thế nếu máy chủ không trả lời truy vấn SNMP, con rệp vẫn tìm ra chúng. Một trong những cách giới phạm vi mạng là con rệp sẽ thăm các điểm dùng các tham số "Giới hạn quét". Bạn cần nhập cả địa chỉ mạng và lớp mạng; con rệp sau đó sẽ kiểm tra máy chủ đó nếu nó được ghi nhận là thuộc về mạng ngày và không từ chối kiểm tra. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 44/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 6-9. Tham số để khám phá mạng: trang 1 Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 45/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 6-10. Tham số của Khám phá mạng: trang 2 Đây là một vài thiết lập có tác dụng với thuật toán của con rệp (xem hình 6-9 và hình 6- 10). Đây là danh sách của chúng: - Chạy quét mạng theo kiểu đệ quy Như đã mô tả ở trên, con rệp sẽ bắt đầu với "seed host” và sau đó lặp lại thuật toán của nó sử dụng mọi máy chủ đã được phát hiện như một "seed" mới. Nếu tùy chọn này đặt là OFF, con rệp chỉ chạy thuật toán một lần và dừng lại. - Theo các liên kết điểm – điểm Nếu một firewall hay một router có giao diện điểm nối điểm (ví dụ giao diện PPP), con rệp có thể tự động tính toán các địa chỉ IP ở phía khác của giao diện này. Sau đó tiếp tục quá trình khám phá bằng cách truy vấn router ở phía khác.Thông thường, kết nối điểm điểm có trong mạng của tổ chức tới một ISP và bạn không thực sự phải chú ý đến việc thu thập dữ liệu về mạng của ISP. Mặc định, con rệp không vượt qua liên kết điểm – điểm, nhưng nếu lựa chọn này được kích hoạt sẽ cho phép làm điều đó. - Gồm các địa chỉ ảo Đôi khi các server hay router có gán cho nhiều hơn một địa chỉ IP cho cùng một giao diện. Nếu tùy chọn này được bật, con rệp sẽ "khám phá" các địa chỉ ảo này và cố gắng tọa các đối tượng cho chúng. - Chạy các truy vấn tìm kiếm ngược để xác định tên máy chủ Nếu một máy chủ đã được phát hiện bởi con rệp và trả lời truy vấn SNMP, nó sẽ ghi lại tên đó, con rệp sẽ sử dụng nó để tạo một đối tượng trong Firewall Builder. Nếu máy chủ không trả lời truy vấn, con rệp không thể xác định tên của nó và địa chỉ IP. Con rệp có thể sử dụng DNS để sửa lại các địa chỉ và xác định tên các máy chủ nếi lựa chọn này được đặt là ON. - Các tham số SNMP Bạn phải đặt các chuỗi SNMP là “đọc” nó sẽ được sử dụng cho các truy vấn SNMP.Bạn cũng có thể đặt số lần thử và thời gian time-out. - Các tham số DNS: Bạn có thể đặt số lần thử và thời gian a timeout cho truy vấn tra cứu DNS, giốn như số chuyỗi. Firewall Builder sử dụng một đa chuỗi để tăng tốc xử lý của quá trình. Nói một cách khác, nó có thể chạy đa tra cứu DNS. Tham số "Số lượng chuỗi" xác định bao nhiêu truy vấn có thể chạy song song. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 46/89
- Công ty NetNam - Viện Công nghệ Thông tin 7 Làm việc với các dịch vụ 7.1 Dịch vụ IP Dịch vụ IP được mô tả trong hình 7-1. Firewall Builder cung cấp các kiểu đối tượng chuẩn đã được biết đến và các giao thức thường dùng như ICMP (giao thức IP số 1), TCP (giao thức IP số 6), và UDP (giao thức IP số 17). Đối tượng dịch vụ IP được dùng để mô tả các giao thức khác mà không phải là ICMP, TCP hay UDP. Giao thức được xác định bởi trường 8-bit trong đầu đề của mỗi gói tin IP. Hình biểu diễn (Hình 7-1) thể hiện đối tượng ’ESP’ (Gói gọn trong SecurityPayload, một phần của họ giao thức IPSEC) dùn giao thức IP số 50. Số giao thức được đặt bởi IANA; có thể tra cứu số của giao thức theo URL sau: Bên cạnh số của giao thức, đầu đề của gói tin IP cũng có một trường là "tùy chọn", nó là danh sách độ dài có thể lựa chọn để đặt cho trường thong tin của gới. Không phải tất cả các firewall có thể kiểm tra các tùy chọn, và chúng có các giới hạn riêng, với các tùy chọn không đúng có thể bị cản lại. Firewall Builder cố gắng cung cấp các điều khiển cho những tùy chọn thong thường, được hỗ trợ bởi các firewall phức tạp. Không phải tất cả các tùy chọn được hỗ trợ bởi Firewall Builder đều được hỗ trợ các dạng firewall đích (bảng 7-1). Firewall Builder hỗ trợ các tùy chọn sau: Các lựa chọn định Kiểu định tuyến IP động với mỗi router đánh dấu chọn để gửi gói tới tuyến nguồn: trong bước nhảy tiếp theo. Có các tùy chọn để người gửi có thể chọn LSRR, tuyến để gửi tới. Về mặt Loose Source Route, người gửi (host) có SSRR thể quy định danh sách các router phải truyền qua, nhưng nó cũng có thể truyền qua các router khác giữa 2 địa chỉ trong danh sách. Strict Source Route làm việc gần giống như vậy, ngoại trừ với các gói phải truyền qua các địa chỉ cho trước. Nguồn đinh tuyến có được sử dụng để tới các máy chủ phía sau firewall thậm chí cả cá máy chủ sử dụng địa chỉ IP riêng mà bình thường không thể truy cập từ Internet. Các tùy chọn bản Các tùy chọn này giúc mọi router quản lý các gói tin trên đường đi ghi định tuyến: có thể thêm vào địa chỉ IP vào danh sách chọn lựa. Tùy chọn này RR được sử dụng bởi lệnh ping với tham số "-R"; nó có thể khai thác đẻ khám phá các mạng mang địa chỉ mạng trong và các mạng sau Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 47/89
- Công ty NetNam - Viện Công nghệ Thông tin firewall. Mặc dù mức độ nguy hiểm thấp, một số người quản trị firewall vẫn chặn các gói có tùy chọn này. Lựa chọn về định Tùy chọn này giúp router lưu các trường định thời của gói tin và đôi thời: khi cả các địa chỉ (giống trong lựa chọn ghi bảng định tuyến). Lựa chọn này rất ít khi được dùng, nhưng cũng có thể sử dụng để khai thác các mạng đã được bảo vệ, vì thế những người quản trị firewall thường chặn các gói tin có lựa chọn này. Các gói tin IP đôi khi được chia nhỏ. Có thể thực hiện được điều này nếu dữ liệu lớn hơn lượng dữ liệu mà lớp mạng có thể truyền. Đầu đề của gói tin IP có các trường đặc biệt (gọi là "Flags" và "Fragmenta-tionOffset") nó giúp xác định các mảnh của gói tin và tập hợp chúng lại. Rất nhiều firewall có thể quét và kiểm tra các bit này. Tất nhiên là việc nối cờ và quét các phân mảng không bao giờ xảy ra trong một hoạt động bình thường nhưng vẫn được sử dụng khi tấn công. FirewallBuilder cung cấp 2 tùy chọn cho các trường hợp thông thường có liên quan tới các gói phân mảng: lựa chọn ’all fragments’ đúng với mảnh thứ 2 và các mảnh lớn hơn, trong khi lựa chọn ’short’ được sử dụng với các gói quá ngắn để chứa một sự kiện có một đầu đề IP hoàn chỉnh. Đối tượng dịch vụ IP cùng với Firewall Builder xuất hiện trong cây "Standard", trong nhánh Services/IP. Bảng 7-1. Hỗ trợ cho các lựa chọn IP options and fragmentation on various firewall platforms Firewall lsrr timestamp all ’short’ ssrr rr fragments packets iptables + + + + + - ipfilter - + + + + + pf - - - - + - Cisco PIX - - - - - - Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 48/89
- Công ty NetNam - Viện Công nghệ Thông tin Bảng dịch vụ IP cung cấp các dạng điều khiển sau: Tên: Đây là tên của đối tượng Protocol: Đây là số của goap thức. Tùy chọn: Các cờ ’Options’ trong đầu đề của IP: lsrr (loose source route) ssrr (strict source route) rr (record route) định giờ tất cả các mảnh tin gới nhỏ Comments: Đây là kiểu file văn bản tự do sử dụng để bình luận. 7.2 Dịch vụ ICMP Đối tượng dịch vụ ICMP một cách thể hiện của giao thức ICMP. Gói tin ICMP thường được sử dụng để liên lạc trong các gói tin lỗi được sử dụng dựa trên cả lớp giao thức IP hay cao hơn (TCP hay UDP). ICMP cũng được sử dụng như một giao thức truy vấn thông thường.Các quản trị viên firewall cần phải hiểu tự nhiên và mục đích của ICMP để cấu hình firewall chặn các bản tin ICMP không mong muốn và cho phép các bản tin ICMP có ích. Gói tin ICMP có hai trường để phân biệt các bản tin ICMP riêng là: "type" và "code". Có thể có 15 kiểu ICMP, mỗi một thứ sử dụng các giá trị khác nhau cho trường "code" dành cho các điều kiện cụ thể. Firewall Builder cung cấp một bảng với danh sách tất cả các kiểu ICMP và phụ thuộc vào mã, chúng giúp người quản trị chọn một kiểu mà không cần tìm số này trong sách (Hình 7-2). Đối tượng dịch vụ ICMP chuẩn đi cùng với Firewall Builder xuất hiện trong cây "Standard", nhánh Services/ICMP. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 49/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 7-3. Sửa đối tượng dịch vụ TCP Bảng dịch vụ ICMP cung cấp các khả năng điều khiển sau: - Tên: Tên của đối tượng. - Kiểu ICMP và mã: - Kiểu: kiểu của bản tin ICMP. Nó bao gồm 2 tham số: trường số và menu thả xuống hiện một danh sách các kiểu có thể sử dụng và tên của chúng. Bạn có thể sử dụng chúng cả theo tên (sử dụng trường đánh số) hoặc theo mô tả (menu thả xuống). - Mã: mã của bản tin ICMP. Giống ở trên, khả năng điều khiển này gồm tham biến: trường số và menu thả xuống thể hiện danh sách các loại mã và tên của nó. Menu này thay đổi khi bạn chọn một kiểu ICMP khác vì nó sử dụng các mã khác. Bạn có thể chọn theo cả số (sử dụng trường số) hay mô tả của nó (dùng menu thả xuống). - Hộp đánh dấu ’AnyType’: đánh dấu ở đây nếu bạn tạo một đối tượng đúng với mọi kiểu và mã ICMP. - Bình luận: trường văn bản tự do để chú thích. 7.3 Dịch vụ TCP Đối tượng dịch vụ TCP là một hệ giao thức TCP cung cấp kết nối xác thực dòng byte. Nhiều tần số đã biết đến sử dụng bởi các ứng dụng trên nền giao thức TCP: FTP (giao thức truyền file), SMTP (Giao thức gửi mail thông thường), HTTP (Giao thức truyền siêu văn bản) Đâu đề của TCP chứa các trường đặc biệt gọi là cổng nguồn và đích được dùng để gửi và nhận các ứng dụng dùng dòng dữ liệu. Có 2 giá trị, theo địa chỉ IP nguồn và đích trong đầu đề của IP, riêng biệt đối với từng kết nối. Số hiệu cổng phân biệt các ứng dụng dùng các dòng dữ liệu cung cấp bởi giao thức TCP, mỗi ứng dụng sử dụng một cổng riêng. Để chắc chắn về thao tác giữa các phần, số này phải được đặt bởi một trung tâm chứng thực theo dõi duy trì. Internet Assigned Numbers Authority (IANA) làm nhiệm vụ này; gán cho số cổng TCP và UDP có thể tìm được theo URL: . Hầu hết cá hệ thống Unix đều có một file /etc/services chứa danh sách các cổng đã địn sẵn. Firewall Builder có một tập hợp các cổng chưa định nghĩa của đối tượng dịch vụ TCP cùng với số cổng đã được cấu hình. Bạn có thể sử dụng đối tượng này một cách đơn gian trong các luật và không phải tìm số hiệu cộng mỗi khi bạn cần sử dụng chúng. Đối tượng dịch vụ TCP được thể hiện trong hình minh họa (Hình 7-3.) Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 50/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 7-3. Sửa đối tượng dịch vụ TCP Trong Firewall Builder, đối tượng dịch vụ TCP là một sự khái quát của giao thức TCP. Đầu đề của gói tin TCP chỉ mang một giá trị cố định cho cổng nguồn và một giá trị cố định cho cổng đích. Đối tượng dịch vụ TCP cho phép đặt một khoảng giá trị để sử dụng cho cổng nguồn và đích. Nó cho phép một đối tượng dịch vụ TCP mô tả cả họ giao thức sử dụng các cổng có số hiệu liên tiếp, hay họ giao thức sử dụng số cổng thay đổi hay đa giao thức dùng số cổng từ một khoảng nào đó. Ví dụ: trong hệ thống Unix, Các phiên TCP được mở bởi một tiến trình đặc biệt luôn có cổng của chúng luôn có cổng nguồn được gán từ một khoảng dưới 1024, một tiến trình thông thường sử dụng cổng nguồn trong khoảng bắt đầu từ 1024 và cao hơn. Đối tượng dịch vụ TCP có cổng nguồn xác định được biểu diễn trên hình minh họa (Hình 7-4) mô tả một phiên làm việc đặc biệt dùng TCP. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 51/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 7-4. Đối tượng dịch vụ TCP: cổng nguồn đặc biệt Sử dụng ’0’ làm giá trị bắt đầu và kết thúc của khoảng có nghĩa là ’mọi giá trị’ cho khoảng này. Khoảng của cổng nguồn đối tượng ’TCP đặc biệt’ bắt đầu từ cổng 0 kết thúc ở cổng 1023 (khoảng cổng được tính ở trong Firewall Builder). Một đối tượng dùng giao thức TCP với một cổng nguồn trong khoảng 0-1023 và cổng đích. Nếu bạn cần tạo một đối tượng để môt tả giao thức TCP với một cổng đích riêng, hãy dùng cùng một số riêng biệt để gán cho giá trị bắt đầu và kết thúc trong khoảng cổng đích (nó sẽ tạo ra một khoảng cổng chỉ gồm một giá trị). Ví dụ trong hình 7-3 biểu diễn dịch vụ này. Đầu đề của TCP cũng có một số trường chiếm 1 bit hay cờ mang một số thông tin khác như cờ SYN và ACK dùng để thiết lập cờ FIN dùng để kết nối đầu cuối. Có 6 loại cờ trong đầu đề của TCP. URG Con trỏ "khẩn cấp" hợp lệ ACK Số hiệu báo nhận PSH Bộ phần tiếp nhận phải chuyển dữ liệu này tới tầng ứng dụng sớm nhất RST Khởi tạo lại kết nối SYN Chuỗi số đồng bộ để khởi động kết nối FIN Người giửi hoàn tất truyền dữ liệu Firewall Builder hỗ trợ cả 6 cờ, mặc dù không phải tất cả các dạng firewall đều có thể dùng các cờ kết hợp của TCP hay mọi cờ khác (Xem trong bảng 7-2). Table 7-2. Support for Matching against TCP flags Firewall Có thể kiểm tra cờ trong đầu đề gói tin TCP iptables Yes ipfilter Yes pf Yes Cisco PIX No Đối tượng hình trong hình 7-5 đúng với gói tin TCP với các cổng, cờ TCP SYN được đặt và các cờ khác được xóa. Firewall sẽ kiểm tra tấ cả các cờ TCP. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 52/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 7-5. Đối tượng dịch vụ TCP: mọi gói tin TCP có đặt cờ SYN và tất cả các cờ khác bị xóa Trong luật này, chúng tôi tạo một đối tượng dịch vụ TCP "tcp null scan" khi mà tất cả các lớp mạng được đặt nhưng tất cả các cờ TCP được xóa. Có nghĩa là kiểm tra tất cả các cờ nhưng phải đồng bộ chúng nếu nó bị xóa. Đối tượng này được chỉ ra trong hình 7-6. Hình 7-6. Đối tượng dịch vụ "null scan" TCP: firewall kiểm tra tất cả các cờ TCP và đồng bộ chúng khi bị xóa Bảng dịch vụ TCP cung cấp các điều khiển sau: - Tên: tên của đối tượng - Khoảng cổng nguồn: nhận các giá trị cổng từ 0 tới 65535. - Khoảng cổng đích: nhận các giá trị từ 0 tới 65535. - Các cờ TCP: cờ TCP và lớp mạng, xem ở trên. - Bình luận: một kiểu văn bản tự do dùng để bình luận Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 53/89
- Công ty NetNam - Viện Công nghệ Thông tin 7.4 Dịch vụ UDP Đối tượng dịch vụ UDP là một sự tổng hợp của giao thức UDP, đây là một lớp giao thức vận chuyển không kết nối. Rất nhiều ứng dụng dùng giao thức UDP làm phương tiện vận chuyển, như là DNS (Domain Name System), DHCP (Dy-namic Host Configuration Protocol), NTP (NetworkTime Protocol), SNMP (Simple Network Management Protocol). Tương tự như TCP, UDP sử dụng số cổng để phân biệt các ứng dụng chạy trên một máy từ một máy khác. Đầu đề của gói tin UDP mang số của 2 cổng: cổng nguồn và cổng đích. Đối tượng dịch vụ UDP trong Firewall Builder cho phép định nghĩa một khoảng của cả cổng nguồn và cổng đích. Ý nghĩa chính của các giá trị này là định nghĩa điểm bắt đầu và điểm kết thúc của khoảng này giống như đối tượng dịch vụ TCP: khoảng là tất cả các giá trị trong đó gồm cả điểm bắt đầu và điểm kết thúc. Sử dụng ’0’ cho cả điểm bắt đầu và kết thúc của khoảng có nghĩa là ’bất kỳ cổng nào’. Luật này làm việc cho cả khoảng nguồn và khoảng đích. Hình minh họa (hình 7-7) cho đối tượng dịch vụ ’dns’ UDP nó thể hiện giao thức Domain Name System nó dùng cổng số 53. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 54/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 7-7. Sửa đối tượng dịch vụ UDP Bảng dịch vụ UDP cung cấp các khả năng điều khiển sau: - Tên: tên của đối tượng - Khoảng cổng nguồn: đây là 2 khả năng điều khiển xác định điểm bắt đầu và kết thúc của khoảng cổng; chúng nhận giá trị từ 0 đến 65535. Khoảng cổng đích: : đây là 2 khả năng điều khiển xác định điểm bắt đầu và kết thúc của khoảng cổng; chúng nhận giá trị từ 0 đến 65535. - Bình luận: mẫu văn bản tự do sử dụng để bình luận 7.5 Dịch vụ Tùy biến Đối tượng dịch vụ Tùy biến có thể sử dụng để thêm một đoạn mã đánh giá cá nhân vào kịch bản của firewall đã sinh ra. Mọi tùy chọn kết hợp được cho phép trong dòng lệnh của firewall mà không phù hợp với sự khắt khe đối với một kiểu đối tượng dịch vụ chuẩn có thể nhấn mạnh sử dụng đối tượng dịch vụ Tùy biến. Ví dụ, iptables đi cùng với một bộ các mảnh vá có tên là "Patch-o-matic", nó thêm một khả năng đúng với các gói kết hợp phức tạpvề các tham số hay các trường đầu đề không được hỗ trợ bởi mã chuẩn. Một trong nhữn mảnh vá thêm khả năng dò ra một điều kiện quét cổng, nơi mà các máy có hại cố gắng nối vào một cổng UDP hay TCP trên firewall hay máy chủ ở sau nó, mảnh vá này giúp nhận số cổng trong khoảng cố gắng dò các cổng đang họat động hay đang tắt. Thông thường firewall sẽ kiểm tra khả năng nối vào một cổng riêng biệt từ cổng khác và ghi nhật ký mỗi dòng là một lần thử kết nối. Bình thường nó có thể thất bại trong việc nhận định một kiểu hành động của máy chủ tấn công, điều này có thể là quan trọng trong việc phát hiện các hoạt động có hại như việc quét các cổng thường xuyên là một bước chuẩn bị cho một cuộc tấn công sâu hơn. Hình minh họa (Hình 7-8) thể hiện đối tượng dịch vụ Tùy biến sử dụng khả năng của module ’PSD’ từ patch-o-matic. Module này có thể khớp khả năng cổng mà đang thực hiện trong một khoảng thời gian và có một vài tham số để bít các lỗ hổng của máy. Đối tượng Tùy biến ’psd’ xác định tùy chọn dòng lệnh trong các lựa chọn riêng dành cho module ’psd’ trong trường ’Code’. Chú ý: mã đã được quy định trong dịch vụ Tùy chọn được sử dụng đúng nguyên vẹn; không có sự thông qua của Firewall Builder GUI hay bộ biên dịch chính sách. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 55/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 7-8. Sửa đối tượng dịch vụ tùy chọn Bảng đối tượng dịch vụ tùy chọn cung cấp các khả năng tùy chọn sau: - Tên: tên của đối tượng - Hệ thống nền: một menu thả xuống hiện danh sách tất cả các hệ thống nền của firewall dành cho module đã cài và tải khi khởi động. - Mã: là một dòng mã trong ngôn ngữ của firewall. - Bình luận: mẫu văn bản tự do sử dụng để bình luận Đối tượng dịch vụ Tùy chọn đã tạo như trong hình 7-8 có thể được sử dụng trong luật như mọi đối tượng dịch vụ khác. Ví dụ luật trong hình 7-9 chặn quét cổng được khởi động chống lại máy chủ’server’. Bộ biên dịch chính sách dịch luật này vào trong lệnh iptables hiện trong hình 7-1: Hình 7-9. Sử dụng đối tượng dịch vụ tùy chọn trong Luật chính sách Ví dụ 7-1. Lệnh Iptables sinh ra từ chính sách trong hình 7-9 $IPTABLES -A OUTPUT -d 10.3.14.100 -m psd psd-weight-threshold 5 psd-delay- threshold 10000$IPTABLES -A FORWARD -d 10.3.14.100 -m psd psd-weight- threshold 5 psd-delay-threshold 10000 Thông thường dịch vụ Tùy chọn có thể lưu một đoạn mã cá nhân cho mỗi dạng firewall hỗ trợ. Khi đối tượng này được dùng trong chính sách firewall, bộ biên dịch chính sách lấy cá dòng mã phù hợp tùy theo dạng firewall đích để biên dịch. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 56/89
- Công ty NetNam - Viện Công nghệ Thông tin 8 Chính sách Firewall 8.1 Chính sách và luật Mỗi đối tượng firewall có một vài tập luật kết hợp với nó: Global Policy, Interface Policies và luật Network Address Translation(NAT). Các luật trong các chính sách chung và các luật giao diện điều khiển khả năng truy cập tới và từ máy firewall và các máy sau nó, trong khi luật NAT mô tả địa chỉ và cổng chuyển đổi mà firewall tạo ra để cho các gói tin đi qua nó. Phần mềm Firewall khác nhau có các hình thức khác nhau rất lớn trong cách tác động vào gói tin. Ví dụn một vài firewall cần có tất cả các luật phù hợp vớigiao diện, trong khi một số khác khôgn có các yêu cầu này. Một vài firewall yêu cầu có địa chỉ và cổng chuyển đổi đầu tiên và sau đó áp dụng luật, trong khi một số khác làm cách khác. Có rất nhiều thay đổi và các tính năng riêng đối với các hành động riêng. Trong Firewall Builder, người dùng làm việc với một firewall trừu tượng dưới một dạng firewall không có gì đặc biệt trong hệ thống nền để tạo ra các mã của nó. Ví dụ: Cisco PIX áp dụng luật AccessList của nó cho các gói tin trước khi yêu cầu địa chỉ và cổngchuyển đổi theo luật NAT. Việc này khiến cho dạng firewall khác về căn bản bất tiện vì một luậ mà điều khiển khả năng truy cập tới server đặt sau firewall dùng NAT phải viết các đối tượng của firewall thay vì viết cho các đối tượng trong server. Có nghĩa là luật này không rõ ràng vì nó giữ hoàn toàn các luật NAT và luật này không điều khiển việc truy cập firewall mà tới server sau nó. Firewall Builder đáp ứng các thay đổi này bằng cách dùng dạng thuật toán nhanh để chuyển đổi luật được xác định trong GUI để sinh mã của firewall để thực hiện các hiệu quả đi kèm. Hình 8-1 Thể hiện chuỗi logic mà luật đã định nghĩa trong Firewall Builder tác động lên gói tin. Sơ đô nàu mô tat một firewall ảo mà Firewall Builder thể hiện đối với người dùng. Trong một số trường hợp firewall thực hiện theo cùng một cách, một số khác thì không. Trong cả 2 trường hợp, mục đích chính là để cho người quản trị xây dựng luật cho firewall làm việc như trong hình 8-1. Một Firewall nên có nhiều giao diện và nhiều luật giao diện. Khi đó một giao diện là một tham số của chính sách, và luật trong các Interface Policies khác nhau là áp dụng cho các giao diện khác nhau, chúng trực giao với nhau. Nguyên nhân là nó không sắp xếp các Interface Policies đã được ứng dụng. Nó đảm bảo cho việc khi Interface Policies là một ngăn xếp trên đỉnh của Global Policy và kiểm tra gói tin trước khi thực hiện Global Policy. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 57/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 8-1. Chuỗi mà luật NAT và chính sách áp dụng cho gói tin trong Firewall Builder Xung quanh 3 kiểu chính, và các tập luật đã được hỗ trợ, luật Global Policy và Interface Policy. Các luật nà thể hiển khả năng điều khiển truy cập bởi vì chúgn xác định gói tin nào sẽ được phép và từ chối. Cả hai luật Global and Interface Policy hoạt động dựa trên địa chỉ nguồn gói tin và địa chỉ đích cùng các tham số giao thức. Sự khác biệt là luật Interface cũng đưa vào tài khoản giao diện của firewall mà gói tin vượt qua hay theo một hướng khác. Luật Global Policy làm việc không quan tâm đến giao diện. Trong trường hợp của iptables, Global Policy gần như tương đương với các luật iptables mà không quy định rõ giao diện dùng các tùy chọn "-i" hay "-o"; mặc dù vậy ở đay có thể không phù hợp trực tiếp với các dạng firewall khác. Các luật Interface Policy rules tương ứng với một giao diện cụ thể của firewall và có một tuỳ chọn môt tả hướng mà gói tin nên đi qua, giao diện cần có phải chính xác. Chú ý: mặc dù nó có thể đếm một cách khác cho những cái mà thuộc họ iptables (net filter), Interface Policies KHÔNG trực tiếp chuyển vào chuỗi INPUT và OUTPUT. Trên thực tế các luật trong Interface Policy vẫn có thể chuyển vào chuỗi FORWARD. Chỉ có các luật mà đối tượng firewall hoặc một trong các giao diện của nó được dùng trong đích đến, sẽ sinh ra trong luật của iptables và được nạp vào chuỗi INPUT. Tương tự như vậy, các luật có firewall hay một trong số các giao diện của nó trong nguồn sẽ được điền vào luật của iptables rules trong chuỗi OUTPUT. Những luật này có thể thực hiện trong cả Global và Interface Policies. Thứ khiến cho Global và Interface Policies khác nhau là sự tra cứu tới giao diện cái mà mệnh đề của iptables dùng lựa chọn "-i" và "-o" và tra cứu tên của giao diện phù hợp. 8.1.1 Hành động Luật firewall có 3 hành động chính sau: Acccept, Deny hay Reject. Nếu luật có hành động là Accept, một gói tin với địa chỉ nguồn và đích và dịch vụ phù hợp với luật sẽ được cho truyền qua. Nếu hành động là Deny, gói tin sẽ bị loại bỏ. Nếu hành động là Reject, gới tin sẽ bị loại bỏ và một gói tin ICMP thích hợp sẽ được gửi lại cho người gửi. Các hành động này được biểu diễn trong hình 8-3 Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 58/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 8-2. Hành động Một vài dạng firewall hỗ trợ hành động Accounting. Các luật có hành động này là một ngoại lê bởi vì thậm chí nếu một gói tin phù hợp với luật này thì quá trình thực hiện các luật sau đó vẫn được tiến hành. Hình 8-3. Một ví dụ về hành động Accounting 8.1.2 Định hướng Việc định hướng đề cập đến hướng tới firewall không phải là tới trong mạng sau đó. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 59/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 8-4. Định hướng 8.1.3 Global Firewall Policy Hình 8-5. Global Policy Chính sách Firewall gồm tập hợp các luật. Gói tin được phân tích theo các tham số cùng với các luật chính sách theo chiều từ đỉnh xuống đáy. 8.1.4 Interface Policy Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 60/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 8-6. Interface Policy dành cho iptables firewall Hình 8-7. Interface Policy dành cho Cisco PIX firewall Mỗi giao diện của firewall có thể có một luật bảo mật phù hợp nó. 8.2 Network Address Translation Rules 8.2.1 Luật NAT cơ bản Figure 8-8. Network Address Translation Rules Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 61/89
- Công ty NetNam - Viện Công nghệ Thông tin Giông như các chính sách của firewall, luật Network Address Translation (NAT) được kiểm tra bởi firewall theo thứ tự của nó trong chính sách NAT. Mỗi luật NAT gồm các thành phần luật sau: - Nguồn tin gốc: đối tượng này là địa chỉ nguồn của gới tin nguyên thủy trước khi chuyển đổi - Đích gốc: đây là đối tượng mang địa chỉ của gói tin gốc trước khi chuyển đổi bởi luật - Dịch vụ gốc là dịch vụ gốc trước khi chuyển đổi bởi luật này. - Địa điểm chuyển đổi đối tượng này xác định địa chỉ có thể dùng để thay thế địa chỉ nguồn trong gói tin gốc. - Dịch vụ đã chuyển đổi: đối tượng này xác định giao thức và số cổng có thể sử dụng để thay thế các tham số trong gói tin gốc 8.2.2 Chuyển đổi địa chỉ nguồn Giả sử mạng trong được cấu hình địa chỉ IP riêng là: 10.0.0.0/255.0.0.0 172.16.0.0/255.240.0.0 192.168.0.0/255.255.0.0 Nếu lớp mạng của bạn sử dụng các lớp địa chỉ này cần dùng luật Network Address Translation (NAT) cấu hình trên firewall Trong Firewall Builder kiểu luật NAT này được soạn thảo như trong hình 8-9 Hình 8-9. Luật chuyển đổi dịa chỉ nguồn Trong luật này đối tượng đại diện cho lớp mạng trong đặt trong "OriginalSource" và đối tượng của firewall đặt trong "Translated Source", chứng tỏ muốn chuyển đổi địa chỉ nguồn. Trong hình 8-10, thể hiện một trường hợp chúng tôi không muốn dùng tất cả các giao diện của firewall một cách tự động, một giao diện nối thẳng ra internet trong khi một cái khác nối vào lớp mạng DMZ dùng địa chỉ IP riêng 10.2.1.0. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 62/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 8-10. Source Address Translation Rule sử dụng giao diện của Firewall Note: Đối tượng giao diện có thể sử dụng trong luật NAT ngay cả khi giao diện này là mang địa chỉ động hoặc chưa hề được biết đến trước đó. Trường hợp sau được mô tả trong hình 8-11 và 8-12 (C). Hình 8-11. luật chuyển đổi địa chỉ nguồn dùng đối tượng máy chủ Hình 8-12. Khi chuyển đổi xong gói tin chuyển theo hướng khác: (A) khi đối tượng firewall được dùng trong TSrc trong luật NAT; (B) khi giao diện eth1 được dùng trong luậ TSrc của NAT; (C) khi đối tượng máy chủ có địa chỉ 192.0.2.50 được dùng ở TSrc trong luật NAT Chuyển đổi địa chỉ đích Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 63/89
- Công ty NetNam - Viện Công nghệ Thông tin Mục đích chung là: chung ta có một mạng sử dụng địa chỉ IP riêng đứng sau firewall, và một server trong lớp mạng đó. Chúng ta cần cho server này kết nối được từ Internet vào trong theo địa chỉ kết nối của firewall. Việc này cần thực hiện khi chuyển đổi địa chỉ đích của gói tin đến như trong hình 8-13: Figure 8-13. Luật chuyển đổi địa chỉ đích Tuy nhiên trong hình 8-13 luật này không quy định một dịch vụ cụ thể nào được chuyển đổi do đó mọi dịch vụ đều được chuyển qua. Để giải quyết vấn đề này, chúng ta có thể thêm vào một dịch vụ cụ thể có thể mô tat trong hình 8-14: Hình 8-14. Giới hạn chỉ chuyển đổi các gói tin giao thức HTTP Luật trong hình 8-14 giới hạn các gói tin đối tượng dịch vụ "http" trong dịch vụ gốc; nó đúng với các gói tin sử dụng giao thức HTTP Trong hình 8-15 Luật sử dụng giao diện của firewall trong đích gốc. Chỉ các gói có địa chỉ đích là thuộc giao diện eth1 của firewall đúng với luật này, các địa chỉ này sẽ được chuyển đổi. Các gói tin đến với địa chỉ đích khác sẽ không đúng với luật này (xem hình 8- 16 (B) ). Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 64/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 8-15. Chuyển đổi địa chỉ đích sử dụng giao diện của Firewall Figure8-16.Thực hiện chuyển đổi với các gói tin đi từ các hướng khác nhau: (A) đối tượng firewall được dùng trong ODst của luật NAT và (B) giao diện eth1 được dùng ODst trong luật NAT 8.3 Sửa chính sách firewall và luật NAT 8.3.1 Thêm và gỡ bỏ luật firewall Hình 8-17. Sửa chính sách firewall Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 65/89
- Công ty NetNam - Viện Công nghệ Thông tin Các luật có thể thêm, gỡ bỏ hay di chuyển trong chính sách sử dụng lệnh trong một menu bật lên, nó xuất hiện nếu bạn bám chuột phải vào các luật thành phần "Num". Bảng này còn cho phép "Copy"/"Paste" các luật. 8.3.2 Thêm, bớt và sửa các đối tượng trong chính sách và luật NAT Để thêm một luật có thể dùng dạng kéo thả đặt chúng vào các vị trí thành phần phù hợp hay dung thao tác "Copy"/"Paste" để tạo luật. Để sửa luật bấm vào "Edit" ở menu bật lên. Hình 8-18. Sửa đối tượng trong luật Menu này cung cấp các hoạt động sau: Sửa: mở đối tượng đã chọn trong một bảng - Sửa trong một cửa sổ mới: Một cửa sổ mới sẽ đợc mở hiển thị đối tượng trong cửa số đó. Nếu có một cửa sổ đã tồn tại, đối tượng này sẽ mở trong cửa số đó. Copy: đối tượng sẽ được copy trong bảng đệm. Cut: đối tượng sẽ được copy vào bảng đệm và xóa đi trong hệ thống luật. Paste: dán luật đã được lưu trong bảng đệm. 8.3.3 Thay đổi hành động của luật Bấm chuột phải vào cột "Action" đê bật lên menu tác động (hình 8-19). Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 66/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 8-19. Thay đổi hành động của các luật Menu này cung cấp các chức năng: - Accept: Chấp nhận các gói phù hợp - Deny: luật từ chối các gói tin phù hợp - Reject: luật loại bỏ các gói tin và gửi một bản tin ICMP trả lời. 8.3.4 Thay đổi hướng của luật Bấm chuột phải vào cột "Direction" để bật lên menu (hình 8-20). Hình 8-20. Thay đổi hướng của luật Menu này cung cấp các chức năng: - Inbound: áp dụng với các gói đi vào trong firewall - Outbound: áp dụng với các gói đi ra - Both: Luật áp dụng cho cả gói tin ra và vào trong 8.3.5 Thay đổi tùy chọng và ghi nhật ký Bấm chuột phải vào thành phần "Options" để bật menu (hình 8-21.) Hình 8-21. Thay đổi tùy chọn của luật Menu cung cấp các chức năng sau: Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 67/89
- Công ty NetNam - Viện Công nghệ Thông tin - Sửa tùy chọn: mục này sẽ bật ra một bảng để thay đổi các tùy chọn aớ dụng cho các dạng firewall cụ thể và phù hợp với luật hiện tại. - Bật ghi nhật ký ON: ghi nhật ký cho tất cả các gói phù hợp với luật này. Nếu dạng firewall không hỗ trợ khả năng này thì mục này sẽ bị tắt. - Tắt ghi nhật ký OFF: tắt ghi nhật ký cho tất cả các gói phù hợp với luật này. Nếu dạng firewall không hỗ trợ khả năng này thì mục này sẽ bị tắt. 8.4 Hỗ trợ cho các thành phần luật và đặc tính của các loại Firewall Trong bảng 8-1 thể hiện một loạt các trường trong luật mà dạng firewall hỗ trợ. Thông tin về các trường và các tính năng trong fwbuilder GUI mà đã tắt trong các mục menu tương ứng khi chúng không hỗ trợ. Table 8-1. Dạng Nguồn Đích Dịch Thời Hướng Hành Nhật Bình Phủ Phủ Fire- vụ gian động ký/ luận định định wall nội Tùy trong trong tại chọn luật luật NAT iptables + + + + + + + + + + ipfilter + + + - + + + + + - pf + + + - + + + + + + Cisco + + + + + + - - - - PIX 8.5 Sử dụng đối tượng với đa địa chỉ trong chính sách và luật NAT Đối tượng máy chủ và Firewall có thể có các đối tượng Interface nó có các dodói tượng con là đối tượng Address và Physical Address. Hình 8-22. đối tượng máy chủ vơi một giao diện có đa địa chỉ Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 68/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 8-23. sử dụng đối tượng có đa địac chỉ trong luật Các luật thể hiện trong hình 8-24 Hình 8-24. Luật tương đương Firewall Builder thực hiện trường hợp này một cách tự động như trong hình 8-23. Bộ biên dịch luôn quét qua cây thư mục, bắt đầu từ luật tìm thấy trong luật và dùng các tham số của tất cả đối tượng Address và Physical Address nó tìm thấy. Đối tượng Address và Physical Address đặt ở các nút trên cây và không có các đối tượng ở dưới nó, bộ biên dịch sử dụng các tham số của đối tượng của kiểu nàu để tạo ra mã đích. 9 Các ví dụ về luật chính sách 9.1 Mở một dịch vụ trong khi khóa hết mọi thứ còn lại. Một ví dụ đơn giản cho phép truy cập giao thức SMTP và FTP đến server hostA từ Internet. Còn lại là block hết. Hình 9-1 Ví dụ về luật chính sách 9.2 Những đối tượng có thể đổi lẫn nhau và những đối tượng không thể đổi lẫn. Hai đối tượng cùng địa chỉ có thể hoặc không thể thay đổi lẫn nhau tùy thuộc vào kiểu và các thông số khác nhau như địa chỉ Source và địa chỉ Destination trong luật chính sách. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 69/89
- Công ty NetNam - Viện Công nghệ Thông tin 9.3 Sử dụng các nhóm. Thỉnh thoảng chúng ta muốn tạo luật cho phép một số máy host trong mạng trong internal truy cập một dịch vụ nào đó. Thay vì tạo từng luật cho mỗi host chúng ta chỉ cần tạo một nhóm và đưa những máy lựa chọn đó vào một nhóm (group) Hình 9-2 Ví dụ một luật sử dụng đối tượng nhóm 9.4 Những dịch vụ chạy trong firewall. Các dịch vụ chạy trong bản thân firewall cũng cần được cho phép, khóa những dịch vụ này có thể làm phát sinh nhiều vấn đề rắc rối. Hình 9-3 Những dịch vụ chạy trên firewall 9.5 Khóa các kiểu gói không mong muốn. Ta có thể định nghĩa và khóa một số gói không mong muốn có thể gây nguy hại cho hệ thống như các gói fragmented chẳng hạn. Hình 9-4 Đối tượng dịch vụ IP Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 70/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 9-5 Tùy chọn cho firewall iptables Hình 9-6 Luật block tất cả các gói fragments 9.6 Luật antispoofing. IP spoofing là một kỹ thuật sửa địa chỉ nguồn của gói IP, giả mạo các host được tin tưởng để đi qua hệ thống firewall tấn công vào một hệ thống khác mà vẫn che giấu được nguồn gốc của mình. Hình 9-7 Luật antispoofing Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 71/89
- Công ty NetNam - Viện Công nghệ Thông tin 9.7 Bảo vệ local host Đây là những chính sách nhằm cho phép sử dụng những phần mềm đang chạy trên chính firewall. 9.8 Sử dụng hành động ‘Reject’ để khóa một giao thức nào đó. Hình 9-8 Lựa chọn hành đồng Reject Hình 9-9 Đưa thêm tùy chọn cho luật 9.9 Sử dụng phủ định trong các luật chính sách Mục đích để cho phép một máy mail-relay trên DMZ gửi tới các SMTP trên Internet trong khi cấm nó gửi đến mạng trong của chúng ta biểu diễn bằng object ‘internal_net’ Hình 9-10 Sử dụng hai luật để khóa truy cập từ DMZ Hình 9-11 Sử dụng phủ định của luật khóa truy cập từ DMZ Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 72/89
- Công ty NetNam - Viện Công nghệ Thông tin 10 Các ví dụ về luật NAT 10.1 Cung cấp kết nối Internet cho các máy trạm ẩn đằng sau firewall Mạng trong internal của bạn thường được cấu hình sử dụng địa chỉ giải (địa chỉ private) như đã định nghĩa trong RFC 1918. Những địa chỉ này gồm có: 10.0.0.0/255.0.0.0 172.16.0.0/255.240.0.0 192.168.0.0/255.255.0.0 Để cung cấp truy cập Internet cho lớp mạng này bạn phải cấu hình NAT trên firewall. Khi cấu hình NAT, firewall sẽ sửa lại địa chỉ nguồn của mỗi gói gửi từ máy ở mạng trong, và thay thế địa chỉ IP private của mạng trong bằng địa chỉ IP interface ngoài của fỉiewall. Ở đây chúng ta quan tâm đối tượng đặt trong Original Src và Translated Src . Để SNAT chúng ta đặt internal network trong Original Src và đặt outside interface của firewall trong Translated Src. Gói tin reply sẽ đọc bảng SNAT và được trả về tự động. Hình 10-1 Luật SNAT Hình 10-1 sử dụng các đối tượng firewall trong SNAT. Firewall sẽ sửa lại địa chỉ nguồn của gói tin và thay bằng đại chỉ outside của nó. Luật NAT sẽ tự động sửa địa chỉ nguồn thành địa chỉ của interface outside hoặc inside tuỳ thuộc interface nào gói tin sẽ đi ra. Sử dụng luật NAT cho firewall với trường hợp 2 interface outside kết nối Internet sử dụng 2 đường line của 2 nhà cung cấp dịch vụ khác nhau. Firewall sẽ NAT tất cả các gói ra qua interface eth1 hoặc eth2, tuỳ thuộc interface mà gói đi ra. Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 73/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 10-2 Luật NAT cho firewall với hai external interface. Trường hợp firewall có 2 interface, một kết nối đến Internet và một kết nối đến DMZ. Trong trường hợp này, tất cả các gói từ mạng trong internal tới Internet sẽ được NAT qua firewall. Hình 10-3 Kết hợp SNAT và DNAT Trong cả 3 trường hợp này để cho phép mạng trong internet kết nối tới Internet cần đặt một Global Policy đặc biệt cho phép từ mạng trong đi đến bất cứ đâu, sử dụng bất cứ dịch vụ nào đều được chấp nhận. Hình 10-4 Đặt Global Policy cho mạng trong truy cập ra Internet không giới hạn 10.2 Server ẩn sau firewall sử dụng địa chỉ private. Giả sử chúng ta đặt một web server bên trong firewal sử dụng một địa chỉ private. Chúng ta cần NAT 1/1 cho web server sử dụng DNAT. Tất cả các gói đến firewall sẽ đọc bảng DNAT để nhẩy tới địa chỉ đích là web server. Hình 10-5 DNAT 1/1 cho web server ẩn sau firewall. Chúng ta sẽ quan tâm đến Original Src là bất kỳ đâu, Original Dst là firewall và Translated Dst là web server, Translated Src và Translated Srv vẫn được giữ nguyên. Cũng cần phải đặt thêm một Global Policy để cho phép kết nối tới web server. Hình 10-8 Đặt Global Policy cho phép truy cập đến WEB server 10.3 Server ẩn sau firewall sử dụng địa chỉ ảo để truy cập Gắn 2 địa chỉ IP vào outside interface. SNAT sử dụng một địa IP và DNAT sử dụng một địa chỉ IP Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 74/89
- Công ty NetNam - Viện Công nghệ Thông tin Hình 10-9 Firewall có 2 IP address trên ethernet 1 10.4 Server ẩn sau firewall với port mapping Trường hợp muốn NAT port (PAT) để những request cổng 80 đến được lái đến web server cổng 8080 Hình 10-11 NAT port 10.5 DNAT trên cùng mạng Để giải quyết vấn đề khi các máy trong mạng internal kết nối đến web server sẽ bị SNAT thành địa chỉ external của firewall, chúng ta phải sử dụng DNAT để NAT những máy ở mạng trong internal nối đến firewall cổng 80 sẽ đổi địa chỉ nguồn thanh địa chỉ internal và nối đến đích là web server. Chúng ta se có song song hai lệnh DNAT cho các connection web tới mạng trong internal. Hình 10-14 Sử dụng 2 luật SNAT cho mạng trong internal 10.6 Các luật không NAT Trường hợp firewall có 3 interface cho internal, external và DMZ. Chúng ta muốn SNAT chiều ra cho cả Internal và DMZ nhưng giữa Internal và DMZ thì không bị NAT. Hình 10-15 Luật không cho NAT giữa hai lớp Internal và DMZ Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 75/89
- Công ty NetNam - Viện Công nghệ Thông tin 10.7 Lái traffic DNAT request web traffic của mạng trong Internal tới Cache server. Hình 10-16 Luật DNAT lái traffic web qua cache. 11 Một số thao tác thường dùng 11.1 Thêm một đối tượng vào chính sách hiện tại 11.1.1 Thêm 1 host / 1 server (1 địa chỉ) Bấm chuột phải vào Host và chọn Host mới rồi làm theo chỉ dẫn Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 76/89
- Công ty NetNam - Viện Công nghệ Thông tin Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 77/89
- Công ty NetNam - Viện Công nghệ Thông tin Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 78/89
- Công ty NetNam - Viện Công nghệ Thông tin Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 79/89
- Công ty NetNam - Viện Công nghệ Thông tin 11.1.2 Thêm một dải địa chỉ / một dải mạng mới Bấm chuột phải vào Network và chọn Mạng mới rồi làm theo chỉ dẫn Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 80/89
- Công ty NetNam - Viện Công nghệ Thông tin Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 81/89
- Công ty NetNam - Viện Công nghệ Thông tin Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 82/89
- Công ty NetNam - Viện Công nghệ Thông tin 11.1.3 Thêm một dịch vụ mới Bấm chuột phải vào giao thức của dịch vụ cần thêm và chọn TCP Service mới (UDP Service mới) rồi làm theo chỉ dẫn Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 83/89
- Công ty NetNam - Viện Công nghệ Thông tin Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 84/89
- Công ty NetNam - Viện Công nghệ Thông tin Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 85/89
- Công ty NetNam - Viện Công nghệ Thông tin 11.2 Thêm đối tượng vào luật hiện tại 11.2.1 Thêm một cổng dịch vụ vào nhóm dịch vụ sẵn có (ví dụ Internal Services) Chọn Internal Services Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 86/89
- Công ty NetNam - Viện Công nghệ Thông tin Kéo dịch vụ cần thêm vào Internal Services và chọn Thay đổi Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 87/89
- Công ty NetNam - Viện Công nghệ Thông tin Dịch lại luật vào khởi động lại tường lửa Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 88/89
- Công ty NetNam - Viện Công nghệ Thông tin Tài liệu quản trị Firewall Builder cho VP TW Đảng Trang 89/89