Đồ án tốt nghiệp Tìm hiểu lý thuyết và xây dựng Firewall trên nền Linux



tải về 0.55 Mb.
trang17/18
Chuyển đổi dữ liệu19.08.2016
Kích0.55 Mb.
1   ...   10   11   12   13   14   15   16   17   18

1.4 Công cụ phát triển


BKWall tích hợp một số thành phần mã nguồn mở. Các thành phần này đều được xây dựng bằng ngôn ngữ C – ngôn ngữ dùng để xây dựng hệ điều hành Linux. Công cụ được sử dụng để thay đổi, biên dịch, cấu hình cũng như cài đặt các thành phần này gồm có gcc và make.

1.5 Dự kiến kết quả đạt được


Từ các mục tiêu đề ra và giải pháp kỹ thuật được lựa chọn, hệ thống BKWall dự kiến đạt được các kết quả cụ thể như sau :

    • Tích hợp thành công các thành phần đã được lựa chọn.

    • Hoạt động tốt khi thử nghiệm trên các mạng vừa và nhỏ.

    • Cung cấp đầy đủ các chức năng cơ bản và cần thiết của một Firewall gateway.

    • Đảm bảo tính dễ dàng cấu hình và tin cậy.

II. Mô hình và đặc tả chức năng hệ thống BKWall

2.1 Mô hình


BKWall gồm các thành phần :

    • Packet Filtering : Thành phần thực hiện chức năng lọc gói .

    • Web Proxy : Thành phần thực hiện chức năng của một Cache Proxy

    • BKWall Management Console : Hệ thống điều khiển và theo dõi.

    • Config files : Các file cấu hình của BKWall

    • Log files : Các log files của BKWall

    • Rule files : Các file luật của Packet Filtering

Mô hình tổng thể hệ thống BKWall với các thành phần của nó như sau :


Hình 4-1: Mô hình tổng thể hệ thống BKWall


2.2 Đặc tả chức năng


Đặc tả chức năng của hệ thống BKWall. Dưới đây là biểu đồ usecase mô tả các chức năng của hệ thống:


Hình 4-2: Đặc tả chức năng hệ thống BKWall

Chi tiết các Use case :



UC1 : Khởi động, Tắt BKWall

Người quản trị hệ thống khởi động, tắt hoặc khởi động lại BKWall



UC2 : Cấu hình BKWall

Người quản trị hệ thống thiết lập, thay đổi các tham số cấu hình để chạy BKWall



UC3 : Quản lý cấu hình mạng

Quản lý các kết nối mạng của hê thống như thiết lập địa chỉ các giao diện mạng…



UC4 : Quản lý các luật

Người quản trị có thể theo dõi, thêm, sửa, xóa các luật liên quan đến hoạt động của các module Packet Filtering và Web proxy



UC5 : Theo dõi lưu thông mạng

Hiển thị tình trạng lưu thông qua mạng bằng các biểu đồ.


2.3 Mô hình triển khai BKWall


Hình 4-3: Mô hình triển khai BKWall


III. Phân tích thiết kế hệ thống BKWall

3.1 Biểu đồ phân cấp chức năng


Biểu đồ phân cấp chức năng của hệ thống BKWall – Management Console

Hình 4-4: Biểu đồ phân cấp chức năng

3.2 Biểu đồ luồng dữ liệu

3.2.1 Biểu đồ mức bối cảnh


Hình 4-5: Biểu đồ luồng dữ liệu mức bối cảnh


3.2.2 Biểu đồ mức đỉnh

  • Chức năng điều khiển

Chức năng này cho phép người quản trị điều khiển hoạt động tắt, mở hệ thống BKWall.

Hình 4-6: Biểu đồ chức năng điều khiển



  • Chức năng quản lý cấu hình

Chức năng này cho phép thay đổi và theo dõi các thông số cấu hình được thiết lập cho hệ thống BKWall.

Hình 4-7: Biểu đồ chức năng Quản lý cấu hình



  • Chức năng quản lý luật cho Packet Filtering

Chức năng này cho phép thiết lập các luật cho module lọc gói bao gồm các mục như: Lọc gói IP, chặn cổng, cổng dịch vụ, các chức năng mở rộng…Quá trình thiết lập có thể là bổ sung, sửa chữa, xóa bỏ.

Hình 4-8: Biểu đồ chức năng Quản lý luật lọc gói



  • Chức năng quản lý luật cho Web Proxy

Chức năng này cho phép thiết lập các luật cho module Web Proxy bao gồm các mục như: host_name, http_port, dung lượng cache, …

Hình 4-9: Biểu đồ chức năng Quản lý luật Web Proxy




  • Chức năng theo dõi hoạt động

Chức năng này hiển thị các thông tin về quá trình hoạt động của hệ thống BKWall cũng như toàn bộ các lưu thông mạng đi qua nó.

Hình 4-10: Biểu đồ chức năng theo dõi hoạt động


3.3 Thiết kế module


Sau quá trình phân tích, dựng lên các biểu đồ phân cấp chức năng, biểu đồ luồng dữ liệu thì công việc tiếp theo là thiết kế các module hiện thực hoá chúng. Hệ thống BKWall-Management Console được chia thành 5 module, bao gồm :

    • Module chương trình chính

    • Module chuyển tiếp yêu cầu

    • Module quản lý cấu hình

    • Module quản lý luật cho Packet Filtering, Web Proxy

    • Module theo dõi thông tin về hệ thống

Thiết kế chi tiết của các module như sau :

3.3.1 Module chương trình chính


Module chương trình chính là module chịu trách nhiệm khởi tạo, kết thúc hoạt động của hệ thống cũng như các phiên làm việc. Đồng thời nó cũng chịu trách nhiệm xây dựng giao diện Web của toàn bộ hệ thống phục vụ cho việc quản trị hệ thống của Admin. Ta có sơ đồ khối của nó như sau:


Hình 4-11: Sơ đồ khối module chương trình chính
Quá trình khởi tạo hệ thống được thực hiện khi hệ thống BKWall thực hiện boot. Khi đó hệ thống sẽ thực hiện các khởi tạo cần thiết như : kích hoạt kết nối mạng dial up nếu nó được cấu hình kết nối tự động mỗi khi reboot hệ thống, khởi động web server, web proxy ( squid ), httpd, và quan trọng nhất là khởi tạo thành phần lọc gói ( Packet Filtering ).

Quá trình khởi tạo này được thực hiện thông qua các files scripts được đặt trong thư mục /etc/rc.d. Bao gồm các scripts thực hiện công việc khởi tạo cấu hình mạng, các kết nối mạng, khởi tạo các chains, cập nhật các luật cho Firewall : rc.sysinit, rc.network, rc.netaddress.up, rc.netaddress.down, rc.firewall.up, rc.firewall.down, rc.adsl, rc.isdn, rc.updatered, rc.machineregister. Ta có thể mô tả thứ tự thực hiện các files scripts này khi hệ thống boot như mô hình sau :

Trong đó quan trọng nhất là các file thực hiện khởi tạo một Firewall dựa trên công cụ IPtables là rc.firewall.up, rc.firewall.down

Ta có thể xem xét ở đây một số thiết lập cơ bản cho hệ thống BKWall khi khởi tạo.

+ Trước hết hệ thống sẽ xoá hết các rules và toàn bộ các chains và thiết đặt các Policy cho các gói tin trong các chains : INPUT, FORWARD, OUTPUT



#Xoa cac rules va chains

/sbin/iptables -F

/sbin/iptables -X

# Thiet dat Policy

/sbin/iptables -P INPUT DROP

/sbin/iptables -P FORWARD DROP

/sbin/iptables -P OUTPUT ACCEPT

+ Tạo các chains mới dùng để thực hiện các chức năng của toàn bộ hệ thống

như chặn IP, lọc cổng, cổng dịch vụ, quản trị từ xa, các chức năng mở rộng như chặn gói tin Ping, tấn công từ chối dịch vụ, chặn các gói tin IGMP( Internet Group Management Protocol ) trong thành phần Packet Filtering, các chain cho Web

Proxy, các dịch vụ như kết nối qua dial – up, forward cổng , DMZhole,… Sau đó sẽ dẫn các gói tin đi vào hệ thống qua chain INPUT, FORWARD, OUTPUT đến các chain tưong ứng.

# IP blocker

/sbin/iptables -N ipblock

/sbin/iptables -A INPUT -i ppp0 -j ipblock

/sbin/iptables -A INPUT -i ippp0 -j ipblock

if [ "$RED_DEV" != "" ]; then

/sbin/iptables -A INPUT -i $RED_DEV -j ipblock

fi

/sbin/iptables -A FORWARD -i ppp0 -j ipblock



/sbin/iptables -A FORWARD -i ippp0 -j ipblock

if [ "$RED_DEV" != "" ]; then

/sbin/iptables -A FORWARD -i $RED_DEV -j ipblock

fi

/sbin/iptables -A FORWARD -i $GREEN_DEV -j ipblock


#Portfilter

/sbin/iptables -N portfilter

/sbin/iptables -A INPUT -i ppp0 -j portfilter

/sbin/iptables -A INPUT -i ippp0 -j portfilter

if [ "$RED_DEV" != "" ]; then

/sbin/iptables -A INPUT -i $RED_DEV -j portfilter

fi

/sbin/iptables -A FORWARD -i ppp0 -j portfilter



/sbin/iptables -A FORWARD -i ippp0 -j portfilter

if [ "$RED_DEV" != "" ]; then

/sbin/iptables -A FORWARD -i $RED_DEV -j portfilter

fi

/sbin/iptables -A FORWARD -i $GREEN_DEV -j portfilter


# External access. Rule set with setxtaccess setuid

/sbin/iptables -N xtaccess

/sbin/iptables -A block -j xtaccess
# Port forwarding

/sbin/iptables -N portfwf

/sbin/iptables -A FORWARD -j portfwf

/sbin/iptables -N dmzholes

/sbin/iptables -t nat -N portfw

/sbin/iptables -t nat -A PREROUTING -j portfw


# All ICMP on ppp too.

/sbin/iptables -A block -p icmp -i ppp0 -j ACCEPT

/sbin/iptables -A block -p icmp -i ippp0 -j ACCEPT

if [ "$RED_DEV" != "" ]; then

/sbin/iptables -A block -p icmp -i $RED_DEV -d $RED_NETADDRESS/$RED_NETMASK -j ACCEPT

fi
/sbin/iptables -A INPUT -j block


# last rule in INPUT chain is for logging.

/sbin/iptables -A INPUT -j LOG

/sbin/iptables -A INPUT -j REJECT

# Allow GREEN to talk to ORANGE.

if [ "$ORANGE_DEV" != "" ]; then

/sbin/iptables -A FORWARD -i $ORANGE_DEV -o $GREEN_DEV -m state \

--state ESTABLISHED,RELATED -j ACCEPT

/sbin/iptables -A FORWARD -i $GREEN_DEV -o $ORANGE_DEV -m state \

--state NEW,ESTABLISHED,RELATED -j ACCEPT

# dmz pinhole chain. setdmzholes setuid prog adds rules here to allow

# ORANGE to talk to GREEN.

/sbin/iptables -A FORWARD -i $ORANGE_DEV -o $GREEN_DEV -j dmzholes

fi
# For IGMP and multicast

/sbin/iptables -N advnet

/sbin/iptables -A INPUT -i ppp0 -j advnet

/sbin/iptables -A INPUT -i ippp0 -j advnet

if [ "$RED_DEV" != "" ]; then

/sbin/iptables -A INPUT -i $RED_DEV -j advnet

fi
# Spoof protection for RED (rp_filter does not work with FreeS/WAN)

/sbin/iptables -N spoof

/sbin/iptables -A spoof -s $GREEN_NETADDRESS/$GREEN_NETMASK -j DROP

if [ "$ORANGE_DEV" != "" ]; then

/sbin/iptables -A spoof -s $ORANGE_NETADDRESS/$ORANGE_NETMASK -j DROP

fi
/sbin/iptables -A INPUT -i ppp0 -j spoof

/sbin/iptables -A INPUT -i ippp0 -j spoof

if [ "$RED_DEV" != "" ]; then

/sbin/iptables -A INPUT -i $RED_DEV -j spoof

Fi
# localhost and ethernet.

/sbin/iptables -A INPUT -i lo -j ACCEPT

/sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT
# DHCP

if [ "$RED_DEV" != "" -a "$RED_TYPE" = "DHCP" ]; then

/sbin/iptables -A block -p tcp --source-port 67 --destination-port 68 \

-i $RED_DEV -j ACCEPT

/sbin/iptables -A block -p tcp --source-port 68 --destination-port 67 \

-i $RED_DEV -j ACCEPT

/sbin/iptables -A block -p udp --source-port 67 --destination-port 68 \

-i $RED_DEV -j ACCEPT

/sbin/iptables -A block -p udp --source-port 68 --destination-port 67 \

-i $RED_DEV -j ACCEPT

fi
# NAT table

/sbin/iptables -t nat -F

/sbin/iptables -t nat –X
# squid

/sbin/iptables -t nat -N squid

/sbin/iptables -t nat -N jmpsquid

/sbin/iptables -t nat -A jmpsquid -d 10.0.0.0/8 -j RETURN

/sbin/iptables -t nat -A jmpsquid -d 172.16.0.0/12 -j RETURN

/sbin/iptables -t nat -A jmpsquid -d 192.168.0.0/16 -j RETURN

/sbin/iptables -t nat -A jmpsquid -d 169.254.0.0/16 -j RETURN

/sbin/iptables -t nat -A jmpsquid -j squid

/sbin/iptables -t nat -A PREROUTING -i $GREEN_DEV -j jmpsquid
# Masqurade

/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

/sbin/iptables -t nat -A POSTROUTING -o ippp0 -j MASQUERADE

if [ "$RED_DEV" != "" ]; then

/sbin/iptables -t nat -A POSTROUTING -o $RED_DEV -j MASQUERADE

fi
Sau khi thiết lập các chains mới tương ứng cho mỗi chức năng của hệ thống thì trong phần quản lý luật sẽ thực hiện bổ sung luật cho từng chains tương ứng. Ví dụ như để thêm luật cho chức năng lọc cổng ( luật bao gồm địa chỉ nguồn, cổng nguồn, địa chỉ đích, cổng đích, hành động, kích hoạt, khả năng log ) sẽ đựoc bổ sung vào chain portfilter. Và luật này sẽ được áp dụng lập tức khi nó được kích hoạt và khi hệ thống được khởi động lại thì luật này sẽ vẫn được áp dụng.

echo "Setting up firewall"

. /etc/rc.d/rc.firewall.up

echo "Starting dhcpd (if enabled)"

/usr/local/bin/restartdhcp

echo "Setting DMZ pinholes"

/usr/local/bin/setdmzholes

echo "Setting up advanced networking features"

/usr/local/bin/setadvnet

echo "Setting up IP block"
/usr/local/bin/setipblock

echo "Setting up portfilter"

/usr/local/bin/setportfilter

if [ "$RED_DEV" != "" ]; then

echo "Updating RED..."

/etc/rc.d/rc.updatered

if [ "$RED_TYPE" != "PPPOE" ]; then

echo "Starting VPN (if enabled)"

/etc/rc.d/rc.vpn.up

echo "Refreshing update list (background)"

/usr/local/bin/updatelists.pl &

echo "Registering this BKWall (background)"

/etc/rc.d/rc.machineregister &

fi

fi



echo "Setting external access rules"

/usr/local/bin/setxtaccess


echo "Setting up IP accounting"

/etc/rc.d/helper/writeipac.pl

/usr/local/sbin/fetchipac -S -c yes

/usr/local/sbin/fetchipac

Đối với quá trình tắt hệ thống thì trước hết hệ thống sẽ thực hiện các files scripts để xoá taòn bộ các chains, các rules hiện đang áp dụng cho hệ thống Firewall, nhưng các rules này thực chất vẫn được lưu trữ trong các files luật.

3.3.2 Module chuyển tiếp yêu cầu


Module này tổng hợp các yêu cầu ( request ) mà người quản trị thực hiện thông qua giao diện Web và chuyển các yêu cầu đó đến các module khác chịu trách nhiệm xử lý các yêu cầu này.

Thực chất thì module này là tập hợp các trang HTML được sinh ra do các files scripts Perl. Chúng tạo giao diện cho người quản trị thực hiện các yêu cầu đối với hệ thống.



Hình 4-12: Sơ đồ khối module chuyển tiếp yêu cầu


3.3.3 Module quản lý cấu hình


Module này có cài đặt các chức năng giúp cho công việc cấu hình hệ thống như thay đổi password cho admin, setup, root, đặt địa chỉ cho các giao diện mạng…

Để thực hiện chức năng quản lý cấu hình thì module này sẽ hiển thị các thông tin cấu hình cho người quản trị. Trên cơ sở đó người quản trị hệ thống sẽ thay đổi các thông số cấu hình. Các thông số cấu hình đựoc lưu trữ trong các files cấu hình. Chúng bao gồm cấu hình cho các giao diện mạng, tên của hệ thống, password cho các người dùng trong hệ thống ( trong hệ thống BKWall có ba loại người dùng là root- được toàn quyền tác động vào hệ thống, setup – người có quyền cài đặt hay gỡ bỏ các gói ứng dụng hay dịch vụ trong hệ thống, Admin – là người điều khiển hệ thống thông qua giao diện Web.

Các file cấu hình trong hệ thống bao gồm : Trong hệ thống thì số lượng giao diện mạng Ethernet có thể là 3 : bao gồm giao diện mạng cho các host trong mạng LAN gọi là GREEN, giao diện mạng nối với miền phi quân sự - DMZ gọi là ORANGE, còn giao diện mạng nối với mạng bên ngoài gọi là RED ( lưu ý giao diện mạng RED có thể là một đường kết nối qua cổng nối tiếp ).Các files đó thường có tên là settings và được đặt trong các thư mục tương ứng với ứng dụng hay dịch vụ: adsl , advent, auth, backup, ddns, dhcp, dmzholes, Ethernet, isdn, langs, main, modem, ppp, proxy, red, remote, time.

Hình 4-13:Sơ đồ khối module quản lý cấu hình


3.3.4 Module quản lý luật cho Packet Filtering, Web Proxy


Module này cài đặt các chức năng cho phép người quản trị thực hiện thiết lập các luật cho hai thành phần cơ bản của hệ thống là BKWall là Packet Filtering và Web Proxy. Các thao tác chủ yếu là : thêm luật mới, sửa luật, xoá luật, kích hoạt luật và cho phép khả năn log hay không.

Trước hết ta xét các luật cho thành phần Web Proxy: Vì Web Proxy trong hệ thống BKWall được phát triển trên sản phẩm mã nguồn mở Squid – một Cache Proxy tức là thuộc dạng Proxy “thông minh” nó sẽ thu thập các yêu cầu từ người sử


dụng và lưu trữ các yêu cầu này cũng như các trả lời của server trong bộ nhớ Cache. Do vậy khi một yêu cầu khác từ một client khác mà yêu cầu này đã tồn tại trong bộ nhớ Cache thì Web Proxy sẽ đọc thông tin trong bộ nhớ Cache và trả về cho trình duyệt client mà không phải thực hiện kết nối đến Web server mạng bên ngoài.

Các luật áp dụng cho Web Proxy thực chất là các thông số cấu hình cho Web Proxy, chúng bao gồm :

+ Dung lượng bộ nhớ Cache

+ Địa chỉ và cổng phục vụ của Web Proxy

+ Tên, mật khẩu của Proxy từ xa : Nó đựoc thiết lập trong trường hợp nhà cung cấp ISPs cho chúng ta biết các thông tin về Proxy của họ.

+ Kích thước đối tượng lớn nhất

+ Kích thước đối tượng nhỏ nhất

+ Kích thước dữ liệu lớn nhất tải về

+ Kích thước dữ liệu nhỏ nhất tải về

+ Tính trong suốt của Web Proxy đối với client.



Hình 4-14: Sơ đồ khối module quản lý luật

Trong phần tiếp theo sẽ trình bày về cách tổ chức các file luật trong hệ thống và cấu trúc các luật áp dụng trong thành phần Packet Filtering.


  • Lọc cổng

    • Cách tổ chức file luật lọc cổng trong hệ thống

Được sử dụng để lọc gói tin theo địa chỉ IP và cổng. File luật được lưu trữ trong /var/DFF/portfilter/config

Mỗi luật của người quản trị đưa vào sẽ được lưu trữ trên một dòng

File luật được lưu trữ dưới dạng file plain text


    • Cấu trúc một luật

Mỗi luật bao gồm các trường sau :

+ Địa chỉ IP nguồn


+ Cổng nguồn

+ Địa chỉ đích

+ Cổng đích

+ Giao thức

+ Hành động : DROP, ACCEPT, REJECT

+ Kích hoạt chức năng log

+ Có kích hoạt hay không

Ví dụ về một luật



tcp,230.10.1.1,80,192.168.1.1,80,on,DROP,on

Có chặn tất cả các gói tin có địa chỉ nguồn, cổng nguồn, địa chỉ đích, cổng đích lần lượt là 203.10.1.1, 80, 192.168.1.1, 80 theo giao thức TCP. Luật này có được kích hoạt và log.



  • Chặn IP

    • Cách tổ chức file luật chặn IP trong hệ thống

Cho phép chặn các gói tin có địa chỉ IP nguồn được người quản trị chỉ ra. File luật được lưu trữ trong /var/DFF/ipblock/config

Mỗi luật người quản trị đưa vào được lưu trữ trên một dòng

File luật cũng được lưu trữ dưới dạng plain text


    • Cấu trúc một luật

Mỗi luật bao gồm các trường sau :

+ Địa chỉ IP cần chặn

+ Hành động : DROP, REJECT

+ Kích hoạt chức năng log

+ Có kích hoạt hay không

Ví dụ về một luật



230.10.1.1,on,DROP,on

Có ý nghĩa : Chặn tất cả các gói tin có địa chỉ nguồn là 230.10.1.1. Luật này có được kích hoạt và có log.



  • Cổng dịch vụ

    • Cách tổ chức file luật Cổng dịch vụ trong hệ thống

Cho phép các máy ở mạng ngoài truy cập vào dịch vụ được cung cấp bởi máy ở mạng bên trong. File luật được lưu trữ trong /var/DFF/portfw/config

Mỗi luật người quản trị đưa vào được lưu trữ trên một dòng

File luật cũng được lưu trữ dưới dạng plain text


    • Cấu trúc một luật

Mỗi luật bao gồm các trường sau :

+ Địa chỉ IP truy cập dịch vụ

+ Cổng truy cập dịch vụ

+ Địa chỉ cung cấp dịch vụ

+ Cổng cung cấp dịch vụ

+ Có kích hoạt hay không

+ Giao thức sử dụng

Ví dụ về một luật



tcp,203.10.1.1,2203,192.168.1.1,2203,on

Có nghĩa là : Máy cung cấp dịch vụ có địa chỉ IP và số hiệu cổng lần lượt là 192.168.1.1, 2203. Máy truy cập dịch vụ có địa chỉ IP và số hiệu cổng lần lượt là 203.10.1.1, 2203. Giao thức sử dụng là TCP, có kích hoạt.



  • Quản trị từ xa




    • Cách tổ chức file luật Quản trị từ xa trong hệ thống

Quản trị hệ thống dùng chức năng này để mở một cổng cho phép các máy mạng ngoài điều khiển BKWall thông qua giao thức https hay SSH. File luật được lưu trữ trong /var/DFF/xtaccess

Mỗi luật người quản trị đưa vào được lưu trữ trên một dòng

File luật cũng được lưu trữ dưới dạng plain text


    • Cấu trúc một luật

Mỗi luật bao gồm các trường sau :

+ Địa chỉ IP máy mạng ngoài

+ Cổng truy cập

+ Có kích hoạt hay không

+ Giao thức sử dụng

Ví dụ một luật



tcp,0.0.0.0/0,113,on

  • Cổng dịch vụ cho DMZ

    • Cách tổ chức file luật Quản trị từ xa trong hệ thống

Cho phép một máy chủ ở vùng DMZ truy cập vào mạng cục bộ LAN với một số hiệu cổng nào đó được cung cấp bởi một máy trong mạng LAN. File luật được lưu trữ trong /var/DFF/dmzholes

Mỗi luật người quản trị đưa vào được lưu trữ trên một dòng

File luật cũng được lưu trữ dưới dạng plain text


    • Cấu trúc một luật

Mỗi luật bao gồm các trường sau :

+ Địa chỉ IP máy chủ trong vùng DMZ

+ Địa chỉ máy cung cấp dịch vụ trong mạng LAN

+ Cổng truy cập

+ Có kích hoạt hay không

+ Giao thức sử dụng

Ví dụ một luật

tcp,10.10.1.1,192.168.1.1,1000,on


  • DHCP

Bao gồm kích hoạt dịch vụ cấp phát địa chỉ IP động cho các máy trong mạng riêng LAN. Ngoài ra còn cho phép cấp phát địa chỉ tĩnh cho các máy trong mạng nội bộ dựa theo địa chỉ vật lý MAC và chỉ những máy được chỉ ra trong phần này mới cơ khả năng kết nối ra Internet. File lưu trữ các đại chỉ này được lưu trong /var/DFF/dhcp/staticconfid. Ví dụ như

nvc,AA:BB:CC:DD:DE:FF,192.168.1.2

  • Chức năng mở rộng

Cho phép kích hoạt các chức năng mở rộng như : Chặn các gói Ping theo giao thức ICMP, các gói tin IGMP, chặn tấn công DoS, chặn các luồng thông tin multicast. Được lưu trữ trong /var/DFF/advent/settings

Tất cả các luật này sẽ được cập nhật cho hệ thống thông qua các chương trình tưong ứng. Các chương trình này đựoc lưu trữ trong /usr/local/bin. Ví dụ như : setipblock.o, setportfilter.o, restartdhcp.o, dmzholes.o….

+ Các chương trình này được viết bằng ngôn ngữ C nên tốc độ thực hiện rất nhanh
+ Chúng thực hiện đọc các file luật theo từng dòng và thực hiện cập nhật các luật cho hệ thống

+ Vì việc lưu trữ cơ sở dữ liệu về các file luật dưới dạng các files text nên tốc độ xử lý tưong đối nhanh. Đặc biệt là chúng ta tận dụng được khả năng xử lý văn bản tuyệt vời của Perl. Mặt khác theo yêu cầu của một hệ thống Firewall mà chúng ta không thể cài đặt và sử dụng một hệ thống quản trị cơ sở dữ liệu như My SQL chẳng hạn.


3.3.5 Module theo dõi thông tin về hệ thống


Module này đưa ra các thông tin về hệ thống như :

  • Trạng thái các dịch vụ của hệ thống : Running or Stop

  • Trạng thái các kết nối

  • Lưu lượng các gói tin qua các giao diện mạng: Green ( giao diện mạng nội bộ ), Orange ( giao diện mạng cho miền phi quân sự - DMZ ), Red ( giao diện mạng kết nối ra mạng ngoài ví dụ như Internet ).

Module này sử dụng công cụ sinh biểu đồ là rrdtool để thực hiện sinh các biểu đồ biểu diễn các lưu lượng mạng đi qua các giao diện mạng là : RED, ORANGE, GREEN.


1   ...   10   11   12   13   14   15   16   17   18


Cơ sở dữ liệu được bảo vệ bởi bản quyền ©hocday.com 2019
được sử dụng cho việc quản lý

    Quê hương