1、防火牆之VPN學習心得報告,指導老師:李南逸 老師 組別:第二組 組員:盧明智 (69590002)沈明峰 (69590011)李松益 (69590016)林武義 (69590025),資訊安全,一、前言,隨著網路技術的飛速發展給我們的工作和生活帶來了便利,然而一些非法侵入他人系統、竊取他人機密、破壞他人系統等惡性行為也悄然而至,給網路安裝防火牆保護網路安全是行之有效的辦法。,二、MONOWALL簡介,MONOWALL是一個完整的、嵌入式的防火牆套裝軟體可以安裝於一般PC裏, 提供所有商業防火牆的重要特性(包括易用性),為一自由軟體。以FreeBSD為核心,包括一個WEB伺服器,PHP和另一些
2、工具軟體。整個系統的配置保存在一個XML檔當中,可以放在6M以下的CF, DOM, HDD上,所以小巧又快速。是第一個啟動時通過PHP配置的UNIX系統,這種結構勝於使用shell腳本。,三、MONOWALL特性-1,WEB界面(支援SSL)支援無線(access point with PRISM-II/2.5/3 cards, BSS/IBSS with other cards including Cisco) 網頁認證(captive portal) 支持802.1Q VLAN 封包過濾 block/pass 規則 日誌 NAT/PAT (包括 1:1) 在WAN口上支援DHCP 客戶、P
3、PPoE、PPTP 和Telstra BigPond Cable IPsec VPN 虛擬通道(IKE; 支援硬件加密卡,行動客戶和CA憑證) PPTP VPN (支持RADIUS 伺服器),三、MONOWALL特性-2,靜態路由 DHCP伺服器與中繼 DNS 轉發 動態DNS用戶端與 RFC 2136 DNS更新 SNMP代理 流量限制(頻寬限制) SVG的流量圖 可以通過WEB界面進行韌體升級 LAN 用戶端喚醒,四、 m0n0wall安裝,硬碟執行模式光碟+軟碟執行模式,四、 m0n0wall安裝硬碟執行模式-1,需準備容量大於8MB以上的硬碟把硬碟安裝到一台安裝有Windows 200
4、0的電腦下載M0n0wall系統,官方下載網址:http:/www.m0n0.ch/wall/download.php?file=generic-pc-1.232.img下載physdiskwrite工具下載地址:http:/www.m0n0.ch/wall/downloads/physdiskwrite-0.5.zip,四、 m0n0wall安裝硬碟執行模式-1,把下載的檔保存在c:m0n0目錄開始執行cmd按下確定,cd c:m0n0進入m0n0目錄中執行physdiskwrite -u generic-pc-1.232.img (只有當硬碟容易大於800MB時才需要-u)系統顯示你電腦中
5、的所有硬碟的資訊,並提示Which disk do you want to write?(0.1),選擇所要安裝的硬碟。螢幕顯示“6291456/6291456 bytes written in total”則表示系統已經安裝完畢。把安裝好的硬碟安裝到作為防火牆的電腦。,五、m0n0wall初始設定,Interfaces:assign network ports(網卡:指定網路埠),指定安裝的網卡,用那一塊連接WAN,那一塊連接LAN。Set UP LAN IP Address(設定LAN網卡的IP位址)。Reset WebGui Password(重設Webgui密碼為Mono) 。Rese
6、t to factory defaults(恢復成出廠預設置) 。Reboot system(重新啟動)。,五、m0n0wall初始設定-1,選擇1。系統提示是否設置對VLAN(虛擬區域網路)的支援,按N。系統接著提示:“Enter the LAN interface name or a for auto-detection:”(輸入LAN網卡名稱或輸入a自動檢測),在這裏輸入所偵測到的網卡代號(如fxp0) 按下Enter。 後系統再提示“Enter the WAN interface name or a for auto-detection:”fxp1”,Enter 。後系統再提示“Ent
7、er the Option 1 interface name or a for auto-detection(or nothing if finished):,按Enter鍵。提示:The firewall will reboot after saving the changes. Do you want to proceed?(y/n)輸入y,系統將重新啟動。,五、m0n0wall初始設定-2,重開完成後接著我們就在遊覽器位址欄輸入:http:/192.168.1.1 在用戶名處輸入admin,密碼處輸入mono(英文字母o,非數位0)就可以透過web進行管理了完成初步安裝,六、VPN介紹,
8、VPN;Virtual Private Network (虛擬專線網路)是一種讓公眾網路(例如Internet)變成像是內部專線網路的方法,同時提供您一如內部網路的功能,例如安全性與優先性。VPN使您利用公眾網路來建立與遠端使用者、分支辦公室及夥伴建立專屬連接。傳統WAN要求公司採購和維護多種專線,並包括設備和人員的投資。以傳統WAN模式延伸網路的方法,對您的公司而言可能無法負擔其沉重的成本。相對的,VPN是建置在一個公眾網路之上。您可以選擇聘請外界專家(服務供應商或加值經銷商)管理,讓您得以專注於本身的核心商業。,六、VPN介紹,(一)按VPN的建置模式分類:(1)端到端(End-to-En
9、d)模式。(2)供應商企業(Provider-Enterprise)模式。(3)公司內部供應商(Intra-Provider)模式。(二)按VPN的服務類型分類:(1)Intranet VPN,即企業的總部與分支機構間通過公眾網構建的虛擬網路,又做WAN VPN。(2)Access VPN,又稱為撥號VPN(即VPDN),是指企業員工或企業的小分支機構通過公眾網路遠端撥號的方式構建的虛擬網路。(3)Extranet VPN,即不同企業間,通過公眾網路來構建的虛擬網路,也適合於供應商或一般客戶使用。,六、VPN介紹VPN之種類,六、VPN介紹VPN之種類,(三)按VPN的技術分類:(1)傳統式V
10、PN,係指以訊框傳送(FR)和非同步傳送模式(ATM)的第2層技術而言。(2)CPE式VPN:係指在網際網路利用L2TP、PPTP和IPSec等穿隧技術在公眾網路上實現專用網路的功能。(3)ISP廠商提供的VPN(PPVPN),有第2層和第3層兩種,除了利用訊框傳送(FR)和非同步傳送模式(ATM)的技術外,就乙太網路技術而言,有VLAN式VPN(VLAN-Based VPN)和MPLS式VPN(MPLS-Based VPN),後者通常稱為Ethernet over MPLS,為VPN新興的服務,一般簡稱為虛擬專用區域網路服務(Virtual Private LAN Services;VPLS
11、)。,七、VPN效益,(1)降低經常成本(2)降低設備成本(3)降低管理和支援成本(4)擴充連接方案(5)無時空限制的存取(6)安全性高,八、M0n0wall防火牆VPN實際設定,八、M0n0wall防火牆VPN實際設定,在台南端的防火牆的SystemStatic routers中加入台北端的IP網段與Gateway再設定:Firewall Rules ,為方便測試可將 firewall WAN rule 全開,等確定連線成功後,再依需求調整所需要使用的連接埠即可。,八、M0n0wall防火牆VPN實際設定,再設定:VPN IPSec 的 Pre-Shared Key ,台南台北兩邊設一定要設
12、同樣之值,且越複雜越安全。,八、M0n0wall防火牆VPN實際設定,再設定:VPN IPSec 的 tunnel(1) 於Remote subnet位置填入台北端內部網路區段,Remote gateway位置填入台北端防火牆實際IP位址。(2) 在Phase 1 proposal(Authentication)的項次中,需要注意的是Negotiation mode 及My identifier與Per-shared key ,Negotiation mode可選擇安全性較高的Main mode,但連線時間會較久,且不容易連線成功,故建議選用aggressive模式,雖然安全性比較差一些,但在
13、速度與效率上較快速。(3) My identifier與Per-shared key則要與上述第3點Per-shared keys裡所設定的內容相同,而且台南、台北也要設定相同的KEY,不然會連線失敗。(4)Encryption algorithm加密部分請使用3DES,來對所傳輸的封包加密。,八、M0n0wall防火牆VPN實際設定,(5) Hash algorithm雜湊部分請選用SHA1(6) DH key group請選用1024BIT的長度(7) Authentication method 驗證部分,須選擇Per-shared key,並於Per-shared key位置輸入之前第3
14、點Per-shared key選項裡所設定的KEY值。若選擇的是RSA則必須正確輸入Certificate、Key、Peer Certificate等KEY值。,八、M0n0wall防火牆VPN實際設定,(8) 在Phase 2 proposal(SA/Key Exchange)的項次中,請使用預設值即可。,八、M0n0wall防火牆VPN實際設定,5. 以上步驟設定完成,則可以在Diagnostics IPsec選項中SPD看到相關的Tunnel資料6. 設定無誤的話,Diagnostics IPsec的SAD選項中,就會出現相關Tunnel的連線狀態,相反得若無此畫面,則代表VPN並未連線
15、成功7. 台北端設定方式比照上述步驟,數據專線與VPN之優缺點,九、結論,透過VPN的技術,所有連上Internet 網路的企業,都可以同時享受到公眾數據網路與私人數據網路隱密的優點。除此之外,更能將網際網路(Internet)、企業內部網路 Intranet、企業外部網路(Extranet)及遠端存取功能(Remote Access)整合於同一條對外線路中,不需要像以前一樣,同時管理Internet 專線,長途數據專線與撥接專線等多種不同線路,增加網管人員的負擔及網路複雜性。運用VPN技術,將使所有企業節省許多設備購置費用、長途數據線路月租費、撥接線路費用及後續管理維護成本。更重要的是,可以迅速建構一個屬於自己的私有網路,增進工作效能與員工生產力,提高企業整體的競爭力。,
