ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Vũ Hồng Phong
NGHIÊN CỨU TRIỂN KHAI NOKIA FIREWALL
KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành: Công Nghệ Thông Tin
HÀ NỘI - 2009
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Vũ Hồng Phong
NGHIÊN CỨU TRIỂN KHAI NOKIA FIREWALL
KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành: Công Nghệ Thông Tin
Cán bộ hướng dẫn: ThS. Đoàn Minh Phương
Cán bộ đồng hướng dẫn: ThS. Nguyễn Nam Hải
HÀ NỘI - 2009
LỜI CẢM ƠN
Lời đầu tiên, em xin gửi lời cảm ơn chân thành tới ThS. Nguyễn Nam Hải và ThS.
Đoàn Minh Phương. Hai thầy đã giúp đỡ em lựa chọn đề tài đồng thời trực tiếp hướng
dẫn và đưa ra những nhận xét quý giá trong suốt quá trình em thực hiện khóa luận này.
Em cũng xin gửi lời cảm ơn tới các thầy trong Trung Tâm Máy Tính – Đại học Công
Nghệ - ĐHQGHN đã hết sức tạo điều kiện để em nghiên cứu và hoàn thành khóa luận.
Em xin được cảm ơn các thầy, các cô trong trường Đại học Công Nghệ, trong suốt
bốn năm qua đã giảng dạy chúng em. Những kiến thức các thầy, các cô cung cấp sẽ là
hành trang vững chắc để em tiến bước trong tương lai.
Trong quá trình học tập, em đã nhận được rất nhiều sự giúp đỡ, động viên từ các
bạn trong lớp K50CA, K50MMT. Em xin được gửi lời cảm ơn tất cả các bạn.
Cuối cùng, em xin gửi lời cảm ơn sâu sắc nhất tới bố mẹ và gia đình em. Những
người luôn luôn cổ vũ, khích lệ và mang tới cho em những điều tốt đẹp nhất trong cuộc
sống.
TÓM TẮT NỘI DUNG

2.2. Cài đặt package .......................................................................................................................................... 23
2.2.1. Cài đặt gói wrapper ............................................................................................................................. 24
2.2.1.1. Cài đặt với CLI ........................................................................................................................... 24
2.2.1.2. Cài đặt với Nokia Network Voyager .......................................................................................... 24
2.2.2. Cài đặt SmartConsole NGX R62 ........................................................................................................ 25
CHƯƠNG 3. THIẾT LẬP CẤU HÌNH TƯỜNG LỬA ..................................................................................... 26
3.1. Thiết lập cấu hình ban đầu ......................................................................................................................... 26
3.2. Chính sách tường lửa mặc định .................................................................................................................. 28
3.3. Thiết lập các luật tường lửa qua SmartDashboard ..................................................................................... 30
CHƯƠNG 4. THIẾT LẬP CẤU HÌNH NAT ..................................................................................................... 33
4.1. Ẩn giấu đối tượng mạng ............................................................................................................................. 33
4.2. Cấu hình luật NAT ..................................................................................................................................... 34
CHƯƠNG 5. CẤU HÌNH SMARTDEFENSE [3] .............................................................................................. 36
5.1. Giới thiệu về SmartDefense ........................................................................................................................ 36
5.2. Network Security ........................................................................................................................................ 37
5.2.1. Denial of Service ................................................................................................................................ 37
5.2.2. IP and ICMP ...................................................................................................................................... 37
5.2.3. TCP .................................................................................................................................................... 38
5.2.4. Fingerprint Scrambling ...................................................................................................................... 39
5.2.5. Successive Events .............................................................................................................................. 39
5.2.6. Dynamic Ports ..................................................................................................................................... 39
5.3. Application Intelligence .............................................................................................................................. 40
5.3.1. HTTP Worm Catcher .......................................................................................................................... 40
5.3.2. Cross-Site Scripting ............................................................................................................................ 41
5.3.3. HTTP Protocol Inspection .................................................................................................................. 41
5.3.4. File and Print Sharing Worm Catcher ................................................................................................. 43
CHƯƠNG 6. THIẾT LẬP CẤU HÌNH VPN ...................................................................................................... 44
6.1. Tổng quan về VPN ...................................................................................................................................... 44
6.2. Giải pháp VPN Check Point cho truy cập từ xa .......................................................................................... 44
6.2.1. Cấu hình Office Mode sử dụng IP Pool ............................................................................................. 44

HTTP Hypertext Transfer Protocol
HTTPS Hypertext Transfer Protocol Secure
ICMP Internet Control Message Protocol
IGRP Interior Gateway Routing Protocol
IP Internet Protocol
IPSO IP Security Operating System
ISS Internet Security System
LDAP Lightweight Directory Access Protocol
NAT Network Address Translation
OSI Open Systems Interconnection
OSPF Open Shortest Path First
RIP Routing Information Protocol
SNMP Simple Network Management Protocol
SSH Secure Shell
TCP Tranmission Control Protocol
Telnet Telecomunication network
VNUNet Vietnam National University Network
VPN Virtual Private Network
7
DANH SÁCH HÌNH VẼ
Hình 1. Nokia IP1220 Platform.............................................................................................................................14
Hình 2. SmartDashboard – Security.....................................................................................................................30
Hình 3. Thực thi cài đặt.........................................................................................................................................31
Hình 4. SmartDashboard – Address Translation................................................................................................33
Hình 5. Cấu hình luật NAT tự động.....................................................................................................................34
Hình 6. Các luật NAT............................................................................................................................................35
Hình 7. Global Properties - NAT..........................................................................................................................35
Hình 8. Network Quota..........................................................................................................................................38
Hình 9. Dynamic Ports...........................................................................................................................................40
Hình 10. General HTTP Worm Catcher..............................................................................................................41

Hình 40. Protection Overview...............................................................................................................................70
Hình 41. Remote Access.........................................................................................................................................70
Hình 42. Remote Access Community Properties.................................................................................................71
Hình 43. VPN Basic................................................................................................................................................72
Hình 44. VPN - IKE...............................................................................................................................................72
Hình 45. VPN – IPSEC..........................................................................................................................................73
Hình 46. VPN NAT................................................................................................................................................73
Hình 47. Tạo Host Node.........................................................................................................................................74
Hình 48. Thẻ General.............................................................................................................................................74
Hình 49. LDAP Server Properties........................................................................................................................75
Hình 50. Thẻ Server...............................................................................................................................................75
Hình 51. Thẻ Object Management........................................................................................................................76
Hình 52. Hiển thị tài khoản LDAP.......................................................................................................................76
Hình 53. LDAP Group...........................................................................................................................................77
Hình 54. Luật Remote Access................................................................................................................................77
Hình 55. Chọn Visitor Mode.................................................................................................................................78
9
Hình 56. Màn hình đăng nhập..............................................................................................................................79
Hình 57. Thiết lập kết nối......................................................................................................................................79
Hình 58. Xác thực tài khoản..................................................................................................................................79
Hình 59. Kết nối thành công..................................................................................................................................80
Hình 60. Kiểm tra địa chỉ......................................................................................................................................80
Hình 61. Kiểm tra bảng định tuyến......................................................................................................................81
Hình 62. SmartView Tracker - Log......................................................................................................................82
Hình 63. Record Detail..........................................................................................................................................82
Hình 64. SmartView Tracker – Active.................................................................................................................83
Hình 65. SmartView Tracker - Audit...................................................................................................................84
Hình 66. SmartView Monitor................................................................................................................................85
Hình 67. SmartView Monitor - System.................................................................................................................86
Hình 68. SmartView Monitor – Remote User......................................................................................................86

hỗ trợ công nghệ cao, phục vụ mục tiêu phát triển ĐHQGHN đạt tầm các đại học tiên
tiến trong khu vực châu Á, trong tất cả các phạm vi hoạt động quản lý, nghiên cứu khoa
học và đào tạo.
Để khắc phục các hạn chế của hệ thống mạng hiện tại và đáp ứng mục tiêu phát
triển hệ thống mạng VNUnet, đề án phát triển mạng VNUnet đã đưa ra các mục tiêu cần
phát triển. Hai trong số các mục tiêu đó là:
- Có giải pháp quản lý giám sát một cách chuyên nghiệp để mạng hoạt động
thông suốt, ổn định, hiệu quả.
12
- Có giải pháp đảm bảo an toàn, an ninh chống thâm nhập, phá hoại, chống
truy cập trái phép.
Để hoàn thành những mục tiêu đã đề ra này, việc nghiên cứu triển khai các công
nghệ tiên tiến trên thế giới là một vấn đề vô cùng cần thiết. Trong đó công việc quản trị
và đảm bảo an toàn, an ninh cho hệ thống mạng VNUnet phải được đặt lên hàng đầu.
Do đó, khóa luận này có ý nghĩa thực tế rất lớn trong việc phát triển Đại học quốc gia
Hà Nội.
13
CHƯƠNG 1. GIỚI THIỆU TỔNG QUAN VỀ NOKIA CHECK POINT
VÀ HỆ ĐIỀU HÀNH IPSO
1.1. Giải pháp Nokia Check Point
Hình 1. Nokia IP1220 Platform
Nokia IP1220 là một trong một loạt sản phẩm Nokia IP, dòng thiết bị phần cứng
chuyên cung cấp các giải pháp mạnh mẽ và chuyên dụng về tường lửa/VPN cũng như
tích hợp được rất nhiều tính năng được kỳ vọng khác.
Nokia IP1220 giống như một tấm lá chắn bảo vệ hệ thống mạng bên trong, ngăn
chặn các lưu thông bất hợp pháp vào bên trong mạng, kiểm soát tất cả các gói tin đi qua,
thiết lập các chính sách phù hợp với yêu cầu đối với tất cả các đối tượng cả bên trong và
bên ngoài mạng. Thiết bị sẽ đóng vai trò lớp rào cản ban đầu vững chắc cho các hệ
thống quan trọng như hệ thống Server, Data Center... Ngoài ra nó còn có thể đóng vai
trò của một VPN gateway, cung cấp giải pháp mạng riêng ảo cho mạng, có khả năng

emulator như HyperTerminal, SecureCRT… Thiết lập cấu hình cho terminal emulator
như sau:
• Bits/second (BPS): 9600
• Data bits: 8
• Parity: None
• Stop bits: 1
• Flow control: None
• Terminal emulation: Auto, VT100, hoặc VT102
15
1.2.2.1. Boot Manager
Chương trình Boot Manager chạy khi hệ thống khởi động, trước khi nhân IPSO
được đưa vào bộ nhớ. Boot Manager được đặt ở trong đĩa cứng hoặc bộ nhớ flash tùy
theo từng phiên bản của thiết bị. Nếu không bị ngắt, Boot Manager sẽ khởi động hệ
thống với nhân mặc định, còn nếu bị ngắt thì giao diện dòng lệnh sẽ được hiển thị. Chế
độ này thường dùng cho mục đích quản trị: bảo trì hệ thống hoặc cài đặt lại các hệ điều
hành.
Để khởi động chương trình Boot Manager trước hết phải khởi động thiết bị. Sau
khi hoàn thành quá trình kiểm tra bộ nhớ, thiết bị sẽ hiển thị ra hai lựa chọn, một là Boot
Manager (1 Bootmgr) và hai là IPSO (2 IPSO). Lựa chọn 2 để bắt đầu khởi động vào hệ
điều hành IPSO. Để vào chế độ Boot Manager sử dụng lựa chọn 1.
1 Bootmgr
2 IPSO
Default: 1
Starting bootmgr
Loading boot manager..
Boot manager loaded.
Entering autoboot mode.
Type any character to enter command mode.
BOOTMGR[1]>
Bảng dưới đây liệt kê các tham biến của Boot Manager mà người dùng có thể định

ls wdo /image/current hiển thị nội dung của thư mục hoạt động hiện tại.
- setenv: sử dụng để thiết lập biến môi trường. Cú pháp là setenv tên giá trị. Ví
dụ: setenv bootwait 10.
- unsetenv: ngược lại của setenv.
- set-default: gán giá trị mặc định cho tất cả các biến môi trường.
- setalias: thiết lập các alias, cú pháp là setalias <Tên thiết bị>.
- showalias: hiển thị danh sách các alias hiện tại đã định nghĩa.
- unsetalias: hủy bỏ alias.
- halt: tạm dừng hệ thống, đây là cách an toàn nhất để tắt thiết bị Nokia.
- help: hiển thị trợ giúp cho các lệnh trong Boot Manager.
- boot: khởi động hệ thống bằng tay. Cho phép chỉ định khởi động từ thiết bị
nào, với một image nhân cụ thể, sử dụng các cờ nhân. Lệnh này được sử dụng
để khôi phục lại hệ thống khi bị lỗi.
- install: chạy tiến trình cài đặt.
- passwd:thiết lập mật khẩu cài đặt (khi chạy lệnh install).
1.2.2.2. Cài đặt IPSO
Các bước cấu hình gồm:
- Khởi động thiết bị và vào chế độ Boot Manager
- Khởi động tiến trình cài đặt
- Lựa chọn các câu trả lời khi được hỏi
- Khởi động lại thiết bị khi việc cài đặt ban đầu hoàn tất
17
- Tiếp tục với cấu hình ban đầu của thiết bị
Khởi động thiết bị để vào chế độ Boot Manager bằng cách sử dụng tùy chọn 1
(như hướng dẫn trong phần Boot Manager).
Để khởi động tiến trình cài đặt, tại dấu nhắc BOOTMGR[1]> gõ lệnh install
BOOTMGR[1]> install
Một cảnh báo hiện ra cho biết người dùng sẽ phải nhập các thông tin như địa chỉ
IP máy khách, netmask, số serial hệ thống… trong suốt quá trình cài đặt và nếu tiếp tục
cài đặt tất cả các tệp và dữ liệu tồn tại trên đĩa sẽ bị xóa. Để tiếp tục, nhập vào lựa chọn

Enter IP address of this client (10.3.2.5/24): 192.168.200.10/24
Enter IP address of FTP server (0.0.0.0): 192.168.200.50
Enter IP address of the default gateway (0.0.0.0): 192.168.200.1
Sau đó, chọn cổng và nhập địa chỉ ip, subnet mask cho cổng sử dụng để kết nối
với máy chủ FTP.
Choose an interface from the following list:
1) eth1
2) eth2
3) eth3
4) eth4
Enter a number [1-4]: 4
Choose interface speed from the following list:
1) 10 Mbit/sec
2) 100 Mbit/sec
Enter a number [1-2]: 2
Chọn chế độ duplex cho cổng.
Half or full duplex? [h/f] [h] f
Sau khi cấu hình cổng xong, người dùng phải cung cấp đường dẫn và tên của gói
cài đặt IPSO trên máy chủ FTP. Nhập kí tự / nếu gói nằm tại thư mục gốc.
Enter path to ipso image on FTP server [/]: /
Enter ipso image flename on FTP server [ipso.tgz]: ipso.tgz
Hệ thống sẽ hỏi người dùng có muốn nhận thêm các gói khác trên máy chủ FTP
không, và lựa chọn cách thức nhận các gói. Nếu chỉ cần cài đặt IPSO thì sử dụng lựa
chọn 3.
1. Retrieve all valid packages, with no further prompting.
2. Retrieve packages one-by-one, prompting for each.
3. Retrieve no packages.
Enter choice [1-3] [1]: 3
Cuối cùng màn hình sẽ hiển thị các cấu hình vừa mới thực hiện để người dùng
kiểm tra và xác nhận. Nhập y để bắt đầu cài đặt.

Sau khi cài đặt xong hệ điều hành IPSO, người dùng phải thực hiện một số cấu
hình cho lần khởi động đầu tiên.
1.2.2.3. Cài đặt ban đầu
Có thể sử dụng DHCP để cung cấp hostname, địa chỉ IP và gateway cho thiết bị.
Tuy nhiên, người dùng thường sử dụng phương pháp cấu hình bằng tay qua kết nối
console. Đầu tiên sau khi khởi động lên, màn hình sẽ hiện lên yêu cầu nhập hostname
cho thiết bị, và yêu cầu xác nhận lại.

Please choose the host name for this system. This name will be
used in messages and usually corresponds with one of the network
hostnames for the system. Note that only letters, numbers, dashes,
and dots (.) are permitted in a hostname.
Hostname? pint
Hostname set to “pint”, OK? [y] y
Nhập mật khẩu cho tài khoản admin dùng để xác thực khi truy cập vào chế độ CLI
hoặc vào giao diện web Nokia Network Voyager.
Please enter password for user admin: notpassword
Please re-enter password for confrmation: notpassword
20
Sau khi cấu hình xong hostname và mật khẩu admin cho thiết bị, người dùng được
hỏi là có muốn sử dụng Nokia Network Voyager để cấu hình cho thiết bị hay chỉ sử
dụng giao diện dòng lệnh CLI.
You can confgure your system in two ways:
1) confgure an interface and use our Web-based Voyager via a
remote browser
2) confgure an interface by using the CLI
Please enter a choice [ 1-2, q ]: 1
Chọn cổng sử dụng để cấu hình thiết bị và nhập vào địa chỉ IP, subnet mask cho
cổng vừa chọn.
Select an interface from the following for confguration:

diện web Nokia Network Voyager từ trình duyệt
Tùy chọn cuối cùng trong lần cấu hình đầu tiên này đó là thay đổi chuỗi SNMP
comminity mặc định. Việc thay đổi này tùy thuộc vào yêu cầu thực tế.
Do you want to change SNMP Community string [ n ] ? n
Nếu thiết bị được đặt ở xa, người dùng phải sử dụng Telnet hoặc SSH để kết nối
đến và cấu hình cho thiết bị. Mặc định chỉ có SSH được bật. Nếu muốn sử dụng Telnet,
người dùng có thể kích hoạt bằng cách thực hiện các lệnh sau (ở giao diện dòng lệnh
CLI).
pint[admin]# clish
NokiaIP1220:9> set net-access telnet yes
NokiaIP1220:10> save confg
NokiaIP1220:11> quit
Cũng có thể kích hoạt dịch vụ Telnet dễ dàng bằng cách sử dụng giao diện web
Nokia Network Voyager.
22
CHƯƠNG 2. CÀI ĐẶT CHECK POINT NGX R62 [6]
2.1. Giới thiệu
Sau khi cài đặt IPSO cho Nokia IP1220, thiết bị đã có một nền tảng để chạy tường
lửa, VPN hay các ứng dụng khác. Bước tiếp theo, người dùng phải cài gói ứng dụng
tường lửa, VPN lên thiết bị. Để làm điều này, có thể sử dụng ứng dụng Check Point
NGX R62.
Ứng dụng Check Point NGX R62 gồm các sản phẩm quản lý, sản phẩm gateway,
và phần mềm máy khách. Trong đó sản phẩm Check Point Power và Check Point UTM
là quan trọng nhất. Chúng gồm có ba thành phần chính sau:
- Enforcement module: là các module VPN-1 Power hoặc VPN-1 UTM.
- Management server: SmartCenter server lưu giữ cơ sở dữ liệu về các định
nghĩa đối tượng, định nghĩa người dùng, các chính sách và các tệp log.
- SmartConsole: chứa các ứng dụng GUI để quản lý các khía cạnh khác nhau của
chính sách an ninh. SmartConsole chứa SmartDashboard, một ứng dụng cho
người quản trị dùng để định nghĩa các đối tượng mạng, người dùng và các

cấp, bỏ qua, và thoát. Nhập 1 để cài đặt. Sau khi cài đặt xong, người dùng phải đăng
xuất sau đó đăng nhập lại. Việc này để đảm bảo việc thiết lập các biến môi trường vừa
được tạo ra trong quá trình cài đặt. Sau đó người dùng có thể chạy lệnh cpconfig.
2.2.1.2. Cài đặt với Nokia Network Voyager
Mở trang Install Packages theo đường dẫn Configuration | System Configuration |
Packages | Install Package.
Nhập tên hoặc địa chỉ IP của máy chủ FTP chứa gói wrapper.
Nhập tên thư mục chứa gói wrapper trên máy chủ FTP.
Nhập tên và mật khẩu để kết nối với máy chủ FTP.
Chọn Apply. Một danh sách các tệp hiện ra.
Chọn gói từ danh sách và nhấn Apply.
Sau khi tải xong, gói sẽ xuất hiện trong ô Select a Package to Unpack.
Chọn gói rồi nhấn Apply.
Nhấn tiếp vào liên kết: Click here to install/upgrade /opt/packages/packagename.
Chọn Yes để cài đặt và nhấn Apply.
Sau khi cài đặt xong, màn hình sẽ hiện ra liên kết đến trang Manage Installed
Packages. Nhấn vào liên kết để xem các gói đã cài đặt.
24
Người dùng có thể kích hoạt hoặc vô hiệu hóa một gói bất kỳ trong các gói đã cài
đặt bằng cách vào trang Manage Installed Packages, chọn On để kích hoạt, Off để vô
hiệu hóa.
Chú ý:
Để sử dụng tường lửa, VPN thì gói Check Point VPN-1 Power/UTM phải được
kích hoạt (gói này được kích hoạt mặc định sau khi cài đặt).
2.2.2. Cài đặt SmartConsole NGX R62
SmartConsole là một tập hợp các chương trình máy khách. Gồm có:
- SmartDashboard: dùng bởi quản trị viên hệ thống để định nghĩa và quản lý các
chính sách bảo mật.
- SmartView Tracker: sử dụng để quản lý và theo dõi log và alert thông qua hệ
thống.