Đề tài Firewall checkpoint

Thông qua Khóa Luận Tốt Nghiệp, về cơ bản chúng tôi đã nghiên cứu về những vấn đề sau  Xây dựng hệ thống Firewall cùng chính sách bảo mật cho mạng.  Thiết l ập các phương thức kết nối an toàn trong mạng Internet (IPsec VPN).  Xây dựng hệ t hống quản lý sự truy xuất mạng và đảm bảo người dùng có thể truy xuất chính xác dữ liệu theo đúng quyền hạn và vị trí của họ. Đồng thời tối ưu hóa tối độ truy cập và tránh rủi ro mất mát dữ liệu. Và kết quả đạt được là có được ki ến thức về các thiết bị Checkpoint, hiểu được quy tắc hoạt động, truyền thông của các thiết bị Checkpoi nt cùng những giao thức chạy t rên chính các thi ết bị đó.

pdf159 trang | Chia sẻ: lvbuiluyen | Lượt xem: 2410 | Lượt tải: 4download
Bạn đang xem trước 20 trang tài liệu Đề tài Firewall checkpoint, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC HOA SEN KHOA KHOA HỌC VÀ CÔNG NGHỆ Giảng viên hướng dẫn : Thầy Đinh Ngọc Luyện Nhóm sinh viên thực hiện : Cao Hiệp Hưng MSSV : 070112 Lương Hữu Tân MSSV : 070057 Lớp : VT071 Tháng 12 /năm 2010 Trường Đại học Hoa Sen Cao Hiệp Hưng – Lương Hữu Tân TRÍCH YẾU Thông qua Khóa Luận Tốt Nghiệp, về cơ bản chúng tôi đã nghiên cứu về những vấn đề sau  Xây dựng hệ thống Firewall cùng chính sách bảo mật cho mạng.  Thiết lập các phương thức kết nối an toàn trong mạng Internet (IPsec VPN).  Xây dựng hệ thống quản lý sự truy xuất mạng và đảm bảo người dùng có thể truy xuất chính xác dữ liệu theo đúng quyền hạn và vị trí của họ. Đồng thời tối ưu hóa tối độ truy cập và tránh rủi ro mất mát dữ liệu. Và kết quả đạt được là có được kiến thức về các thiết bị Checkpoint, hiểu được quy tắc hoạt động, truyền thông của các thiết bị Checkpoint cùng những giao thức chạy trên chính các thiết bị đó. Nắm được quy tắc cấu hình, quản lý và bảo trì thiết bị Checkpoint. Có được kiến thức về khả năng tương tác giữa thiết bị của Chekpoint với thiết bị, phần mềm của những hãng khác (Cisco, Microsoft, Juniper Network…). Tận dụng được các chức năng tương tác giữa các thiết bị đảm nhận vai trò khác nhau (IPS cùng Firewall, Switch cùng Security Gateway…). Có được kiến thức về các loại tấn công đối với hệ thống mạng và hệ thống máy local (Worm, Trojan, Virus…). Hiểu và ứng dụng những công nghệ bảo mật tiên tiến của Checkpoint vào quá trình xây dựng và quản lý hệ thống. Ngoài ra chúng tôi còn có thêm được kỹ năng về làm việc nhóm, kỹ năng phân chia công việc, nhiệm vụ, thời gian hợp lý. Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang i Trường Đại học Hoa Sen Cao Hiệp Hưng – Lương Hữu Tân MỤC LỤC TRÍCH YẾU ........................................................................................................................................... i LỜI CÁM ƠN....................................................................................................................................... vi NHẬN XÉT CỦA GIẢNG VIÊN........................................................................................................ vii CHAPTER 01 – VPN ............................................................................................................................ 1 A . Cryptography ............................................................................................................................................. 3 1 Classic Cryptography ............................................................................................................................... 3 1.1 Substitution Cipher ........................................................................................................................... 3 1.2 Vigenère Cipher................................................................................................................................. 3 1.3 Transposition ..................................................................................................................................... 3 2 Modern Cryptography ............................................................................................................................. 3 2.1 Hash ................................................................................................................................................... 3 2.1.1 Hash Overview ........................................................................................................................... 3 2.1.2 HMAC – Hashed Message Authentication Code ....................................................................... 5 2.2 Encryption ......................................................................................................................................... 5 2.2.1 Encryption overview................................................................................................................... 5 2.2.2 Block and Stream cipher ............................................................................................................ 6 2.2.3 Symmetric Encryption Algorithms ............................................................................................ 6 2.2.4 Asymmetric Encryption Algorithms .......................................................................................... 8 2.2.5 Digital Signature....................................................................................................................... 13 3 Cryptanalysis .......................................................................................................................................... 15 4 Cryptography Overview Chart .............................................................................................................. 16 5 PKI – Public Key Infrastructure ............................................................................................................ 16 5.1 Trusted Third-Party Protocol ......................................................................................................... 16 5.2 PKI overview ................................................................................................................................... 17 5.2.1 Thuật ngữ ................................................................................................................................. 17 5.2.2 PKI Topologies ......................................................................................................................... 18 5.2.3 PKI standard ............................................................................................................................ 19 5.2.4 Certificate Authority - CA........................................................................................................ 21 5.2.5 Server Offload .......................................................................................................................... 25 B . IPsec VPN................................................................................................................................................. 26 1 VPN Overview ........................................................................................................................................ 26 1.1 History ............................................................................................................................................. 26 1.2 Virtual Private Network - VPN ....................................................................................................... 26 1.3 Benefits of VPN................................................................................................................................ 26 2 IPsec VPN ............................................................................................................................................... 27 2.1 Workflow ......................................................................................................................................... 27 2.2 IPsec Functions ................................................................................................................................ 28 2.3 IPsec Security Protocol .................................................................................................................... 28 2.3.1 Tunnel Mode và Transport Mode ............................................................................................ 28 2.3.2 Authentication Header – AH.................................................................................................... 29 2.3.3 Encapsulating Security Payload – ESP .................................................................................... 30 2.4 Security Association – SA ................................................................................................................ 31 2.4.1 IKE SA...................................................................................................................................... 32 2.4.2 IPsec SA .................................................................................................................................... 32 2.5 Internet Key Exchange – IKE ......................................................................................................... 33 2.5.1 Step 1 : Interesting Traffic Initiates the IPsec Process ............................................................ 34 2.5.2 Step 2 : IKE Phase I ................................................................................................................. 34 2.5.3 Step 3 : IKE Phase II ................................................................................................................ 38 2.5.4 Step 4 : Data Transfer .............................................................................................................. 40 2.5.5 Step 5 : IPsec Tunnel Termination........................................................................................... 40 2.6 VPN Communities and Terminology .............................................................................................. 40 2.7 IKE DoS Attack and Protection ...................................................................................................... 41 Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang ii Trường Đại học Hoa Sen Cao Hiệp Hưng – Lương Hữu Tân 2.7.1 IKE DoS Attack ........................................................................................................................ 41 2.7.2 Checkpoint Solution ................................................................................................................. 41 2.8 Access Control and VPN Communities ........................................................................................... 43 C . Remote Access VPN ................................................................................................................................. 44 1 Overview ................................................................................................................................................. 44 1.1 Need for Remote Access VPN.......................................................................................................... 44 1.2 Checkpoint Solution ........................................................................................................................ 44 1.2.1 Remote Access and Components .............................................................................................. 44 1.2.2 Connectra and Deloyment ........................................................................................................ 47 1.2.3 User Database ........................................................................................................................... 48 2 Resolving Connectivity Issues................................................................................................................. 49 2.1 NAT Related Issues.......................................................................................................................... 50 2.1.1 Packet Fragmentation .............................................................................................................. 50 2.1.2 IKE Phase I Problem and Solutions ......................................................................................... 50 2.1.3 IKE Phase II Problem and Solutions ....................................................................................... 51 2.1.4 IPsec Data transfer Problem and Solutions ............................................................................. 52 2.2 Restricted Internet Access Issues .................................................................................................... 53 2.2.1 Overview................................................................................................................................... 53 2.2.2 Checkpoint Solution – Visitor Mode ........................................................................................ 54 3 Office Mode ............................................................................................................................................ 55 3.1 Overview .......................................................................................................................................... 55 3.2 Checkpoint Solution - Office Mode ................................................................................................. 55 3.3 How Office Mode Works ................................................................................................................. 55 3.4 Workflow ......................................................................................................................................... 56 3.5 IP Address Allocation ...................................................................................................................... 56 3.5.1 IP Pool ...................................................................................................................................... 56 3.5.2 DHCP........................................................................................................................................ 57 3.5.3 RADIUS Server ........................................................................................................................ 57 3.5.4 IP Allocation Order .................................................................................................................. 57 3.5.5 IP pool Versus DHCP ............................................................................................................... 57 3.6 Optional Parameters........................................................................................................................ 57 3.6.1 IP Address Lease duration ....................................................................................................... 57 3.6.2 WINS and DNS......................................................................................................................... 58 3.7 Office Mode Per Site........................................................................................................................ 58 3.8 IP per user ....................................................................................................................................... 59 3.8.1 DHCP Solution ......................................................................................................................... 59 3.8.2 Ipassignment. conf Solution ...................................................................................................... 59 3.9 Routing Table .................................................................................................................................. 60 3.9.1 Topology Overview................................................................................................................... 60 3.9.2 Routing Table ........................................................................................................................... 60 3.10 SSL Network Extender .................................................................................................................... 61 3.10.1 Overview................................................................................................................................... 61 3.10.2 Checkpoint Solution – SSL Network Extender........................................................................ 62 3.11 Clientless VPN ................................................................................................................................. 62 3.11.1 Overview................................................................................................................................... 62 3.11.2 Checkpoint Solution – Clientless VPN ..................................................................................... 63 3.11.3 Workflow .................................................................................................................................. 63 3.11.4 Clientless VPN Consideration .................................................................................................. 63 4 Remote Access Routing .......................................................................................................................... 64 4.1 Overview .......................................................................................................................................... 64 4.2 Checkpoint Solution – Hub Mode ................................................................................................... 64 4.3 Hub Mode Situation......................................................................................................................... 64 4.3.1 Remote User to Another VPN Domain .................................................................................... 64 4.3.2 Remote User to Remote User ................................................................................................... 65 4.3.3 Remote User to Internet Server ............................................................................................... 66 4.4 Hub Mode Routing Table ................................................................................................................ 67 Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang iii Trường Đại học Hoa Sen Cao Hiệp Hưng – Lương Hữu Tân CHAPTER 02 – IPS ............................................................................................................................ 68 A . IPS Overview............................................................................................................................................ 69 1 Overview ................................................................................................................................................. 69 1.1 IPS vs IDS ........................................................................................................................................ 69 1.2 Terminology..................................................................................................................................... 70 2 Classification........................................................................................................................................... 70 2.1 NIPS – Network-based Intrusion Prevention System ..................................................................... 70 2.2 HIPS – Host-based Intrusion Prevention System............................................................................ 71 2.3 Comparision..................................................................................................................................... 72 3 IPS Signature .......................................................................................................................................... 73 3.1 Signature Definition......................................................................................................................... 73 3.2 Phân loại Signature.......................................................................................................................... 73 3.2.1 Signature-based ........................................................................................................................ 73 3.2.2 Signature types ......................................................................................................................... 74 3.2.3 Signature tr