Лаборатор-8

1. Лабораторийн ажил №8
Компьютерийн хамгаалалт Firewall-ын тохиргоо.
Агуулга:
1. Зорилго
2. Онолын хэсэг
3. Дасгалууд
4. Лабораторийг гүйцэтгэх заавар
Зорилго: Энэ лабораторийн ажлаар firewall-ийн техник хангамж болон програм
хангамж дээр ажилуулж харуулахыг зорилоо.
1. Онолын хэсэг:
Firewall нь интернетийн сүлжээ болон компьютерийн систем рүү интернет холболтоор
дамжин ирж байгаа мэдээлэлийг шүүх шүүлтүүр бүхий техник хангамжийн төхөөр өмж
мөн програм юм. Техник төхөөрөмж болон програм хангамж гэсэн 2 янз байна.
Firewall- ууд нь сүлжээгээр мэдээлэл орох гарах урсгал, хөдөлгөөнийг хянахдаа дараах 3
төрлийн аргыг ашигладаг.
• Packet filtering.
Packet /пакет/ гэдэг нь өгөгдлийн нэг хэсэг юм. Интернетээр ямар нэгэн файл илгээхэд
TCP/IP протокол уг файлыг жижиг, жижиг хэсгүүдэд хувааж байж дамжуулдаг. Тэдгээр
олон жижиг хэсгүүдийн нэгийг пакет гэдэг. Пакетууд тус бүрдээ дугаарлагддаг ба очих
газрынхаа IP хаягийг агуулсан байдаг. Дараа нь интернетээр дамжихдаа заавал нэг
замаар дамжих албагүй өөр өөр замаар дамжиж болох ба хүрэх газраа очсон хойноо
нийлж эргээд нэг файл болдог. Тэгэхээр энэ арга нь пакетуудыг шүүх шүүлтүүр бөгөөд
тохируулж, тогтоож өгсөн шүүлтүүрийн хэм хэмжээний дагуу дүн шинжи лгээ хийдэг.
Пакетуудыг шүүлтүүрээр чөлөөтэй нэвтэрсэний дараагаар очих ёстой газраа саадгүй
хүрдэг.
• Proxy server.
Интернетээс гарсан мэдээллийг firewall-аар сэргээгээд систем рүү илгээнэ.
-Stateful inspection
Энэ аргын хувьд пакет бүрийн гарчгийг судлаад байхын оронд пакетуудын хувьд
мэдээлэлийн баазад гарцаагүй байх түлхүүр хэсгүүдийг нь харьцуулан үздэг. Firewall-aap
дамжин аялж байгаа мэдээллүүдийн өвөрмөц шинж чанаруудыг тодорхойлдог.
Харин гадаас орж ирж байгаа мэдээлэлийг тэдгээр шинж чанаруудтай харьцуулдаг

2. Хэрвээ харьцуулалт зөв гарвал тухайн мэдээлэлийг нэвтрэхийг зөвшөөрдөг. Үр дүн
буруу зөрүү гарвал мэдээлэлийг нэвтрүүлэхээс татгалздаг байна.
Firewall-r өөртөө тохируулан бэлтгэх.
Firewall-r өөрийн хэрэгцээнд тохируулан өөрчилж, зохион байгуулж болно Тухайлбал IP
хаяг, домайн нэр, проткол зэрэгт шалгуур тавьж өөрийн гэсэн галт ханыг босгож болно.
Энэ мэтчилэн дараах нөхцлүүд дээр firewall-ын тохирогоог хийж болох юм.
• IP хаяг
• Домэйн нэр
Өөрөөр хэлбэл firewali-aa тохируулахдаа зарим домэйн нэрүүдтэй холбогдох эрхийг
хааж зайлшгүй хэрэгтэй тусгай домэйн нэрүүдэд холбогдох эрхтэйгээр тохируулж
болно.
Проткол - Проткол бол нарийн тодорхойлогдсон зам гэж ойлгож болно Сервертэй
холбогдлоо гэхэд тухайн үйлчилгээ тодорхой нэг протоколоор дамждаг. Энгийнээр
тайлбарлавал сервер, клиент хоёрын харилцан ойлголцох зам юм. HTTP бол вэбийн
проткол юм. Зарим энгийн протколуудад firewall филтерүүдийг суулгаж болдог.
• IP /Internet Protocol/ - Интернетээр мэдээлэл дамжуулах үндсэн систем.
• TCP /Transmission Control Protocol/ - Интернетээр аялж байгаа мэдээлtлийг дахин
зохион байгуулан өөрчилөхөд ашигладаг протокол юм. Өөрөөр хэлбэл, мэдээллийг
багцлаад интернетээр дамжуулж байхад нь алдаа гарах эсэхийг хянаж байдаг. Багц буюу
пакет нь нэг газраа хүрч очиход мөн л TCP хүлээн авч нэг файл болгодог.
• HTTP /Hyper Text Transfer Protocol/ - Вэб хуудасуудад ашиглагддаг.
• FTP /File Transfer Protocol/ - Файл оруулахад, татахад ашиглагдана.
• UDP /User Datagram Protcol/ - Дуу, видео зэрэг хариулт шаардагдахгүй мэдээлэлд
ашиглагдана.
• ICMP /Internet Control Massage Protocol/ - Өөр чиглүүлэгчтэй мэдээлэл солилцох
чиглүүлэгчид ашиглагддаг.
• SMTP / Simle Mail Transfort Protocol/ - И-мэйл захиа буюу текстэн мэдээлэлийг
дамжуулахад хэрэглэдэг.
• SNMP /Simple Network Management Protocol/ - Алслагдсан компьютераас
мэдээлэл цуглуулахад ашиглагдана.
Telnet /Teletype Network/ - Одоо ашиглаж байгаа энэ компьютераасаа алс хол байгаа
компьютерт нэвтрэн үйлдэл хийхэд ашиглагддаг.

3. Firewall буюу найдвартай галт хана нь дараахь зүйлсээс сүлжээг хамгаалдаг.
• Remote Login - Алсаас нэвтрэх. Хэн нэгэн чиний компьютерт холбогдох
боломжтой болно. Ингэснээрээ компьютер дээрх програмуудыг ажиллуулж чухал
файлуудаа нэвтэрч харах боломжтой болдог.
• Application backdoors - Зарим програмууд алсаас нэвтрэн орохыг зөвшөөрсөн
өвөрмөц онцлогой байдаг.
- SMTP session hijacking - SMTP бол интернетээр и-мэйл илгээх хамгийн энгийн
арга юм. И-мэйл хаягийн жагсаалтанд нэвтрэн орж авснаар, хэдэн сая хэрэглэгчид рүү
хэрэггүй спам захианууд явуулах боломжтой болдог.
•Үйлдлийн системийн алдаа - Зарим үйлдлийн системүүд бас алсаас нууцаар нэвтэрдэг
хамгаалалт хангалтай биш болохоор дадлага туршлагатай хакер боломжийг ашиглаж
алсаас нэвтэрдэг.
• Ихэнхи Хакерууд томоохон вэб сайтууд болон вэб серверүүдэд нэвтрэх гэж
оролддог тэр тусмаа банкны төлбөр тооцоо, гүйлгээ хийж болдог вэб сайтад нэвтрэх
дуртай байдаг. Тиймээс сүлжээгээ хамгаалах, найдвартай байлгах нь энэ төрлийн
бизнесийнхний амин чухал зүйл билээ
• E-Mail Bombs - И-мэйлээр бөмбөгдөх. Энэ нь гол төлөв хувийн дайралт байдаг.
Хэн нэгэн чам руу хэдэн зуун мянган и-мэйл зэрэг явуулж ачаалалыг ихэсгээд чиний и-
мэйл системийг өөр ганц ч и-мэйл хүлээж авах чадваргүй болтол нь гэмтээнэ.
- Macros - Ихэнхи програмууд өөр дээрээ нэмэлт Масго-тай байдаг. Macro гэдэг нь
MS – Word, Excel зэрэг хэрэглээний програмын өөрийн дотоод Macro хэлийг ашиглан
бичсэн скрипт код эсвэл програм зэргийг хэлдэг. Зарим Macro өөрийгөө хуулбарладаг
бол зарим нь документэд халдаж гэмтээдэг.
•Вирус -

4. Лабораторыг гүйцэтгэх заавар:
Даалгавар 1. Доорхи сүлжээг cisco packet trancer student програм дээр үүсгэ.
Сүлжээг үүсгэсэний дараа бүх компьютер дээр дараахь IP-г давхцуулалгүй тавьж өгнө
үү.
Дурын компьютерыг сонгон firewall software тохиргоо хийж ажилуулж үзье.

5. Firewall дээр доорхи тохиргоо хийнэ.
1. Firewall төхөөрөмжийг асаана.
2. Хаах портоо нээнэ.
3. Хаах портын төрөлийг сонгоно.
4. Хаах IP болон Wildcard mask хаягийг бичнэ. (Wildcard mask 0.0.0.255)

6. 5. Хадгалаад ажилуулж үзнэ үү.
Даалгавар 2. Firewall техник төхөөрөмж тавих талаархи энгийн сүлжээг харуулахы г
хичээлээ. Тус сүлжээ нь хоёр үндсэн хэсгээс бүрдэх ба сервердэх вэб рүү сүлжээ тус
бүрийн хандалтыг хязгаарлахыг харуулав. Та илүү тохиргоо хийхийн тулд цааш судлан
мэргэших хэрэгтэй.
IP хаяг тавихдаа:
teacher сүлжээг 192.168.100.1, 192.168.100.2
student сүлжээг 192.168.200.1, 192.168.200.2, 192.168.200.3
server 192.168.100.100 гэсэн тус бүр хоёр switch нэг firewall тавина.
Server firewall холбохдоо firewall-ийн 7 порт дээр холбон доорхи тохиргоо хийнэ.

7. Switch ба firewall-ийг холбохдоо cross кабель ашиглана. Firewall-ийн 5,6 дугаар
порт дээр холбон үзүүл.
Ямар порт дээр залгагдаж байгаагаа options- preferences- always show port label-
ийг идэвхижүүл.

8. Firewall дээр дараах тохиргоог хийнэ.
Үүсгэсэн хоёр LAN сүлжээнээс student сүлжээний сонгон оролт гаралтыг хаах
ба нээж үзэн сүлжээг ажилуулан firewall-ийн ажиллагааг шалгаарай.