Professional Documents
Culture Documents
TÊN DOANH NGHIỆP: CTY CP ĐẦU TƯ DỊCH VỤ VIỄN THÔNG LONG VIỆT
ĐỀ TÀI : SỬ DỤNG TƯỜNG LỬA 7 LỚP CHẶN YOUTUBE, FACBOOK TRÊN
MIKROTIK ROUTER
GIÁM ĐỐC DOANH NGHIỆP : TRẦN MỸ THẨM
SVTT: VÕ MIHH THƯ
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
TpHCM, ngày ….. tháng …… năm…..
Cán bộ hướng dẫn
(Ký tên và ghi rõ họ tên)
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
TpHCM, ngày ….. tháng …… năm ……
Giáo viên hướng dẫn
(Ký tên và ghi rõ họ tên)
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
TpHCM, ngày ….. tháng …… năm ……
Giáo viên phản biện
(Ký tên và ghi rõ họ tên)
LỜI CAM ĐOAN
Tôi xin cam đoan đề tài thực tập tốt nghiệp này là công trình nghiên cứu
của bản thân, được đúc kết từ quá trình học tập và nghiên cứu thực tiễn trong
thời gian qua. Các thông tin và số liệu được sử dụng trong đề tài thực tập tốt
nghiệp này là hoàn toàn trung thực.
Võ Minh Thư
LỜI CẢM ƠN
Lời đầu tiên, tôi xin bày tỏ lòng biết ơn đến toàn thể quý thầy, cô Khoa
Điện-Điện Tử, trường Học Viện Hàng Không Việt Nam đã tạo nhiều điều kiện
thuận lợi đề tôi hoàn thành tốt kì thực tập, đặc biệt là tạo cơ hội đề tôi tiếp cận
với môi trường thực tế thông qua đợt thực tập đây ý nghĩa thiết thực này.
Tôi xin chân thành cảm ơn Ban Giám đốc, cán bộ - nhân viên Công ty CP
Đầu Tư Dịch Vụ Viễn Thông Long Việt, đặt biệt là thầy Trần Mỹ Thẩm đã tạo
nhiều điều kiện thuận lợi trong suốt thời gian tôi thực tập. Tôi đã tiếp thu được
những kiến thức bổ ích từ thực tế và góp phần to lớn trong việc từng bước hoàn
thiện kỹ năng, kiến thức chuyên môn và đạo đức nghề nghiệp khi bước vào
nghề.
Đặc biệt, tôi xin trân trọng cảm ơn giáo viên hướng dẫn – Thầy Phan Tròn
đã hết lòng giúp đỡ, hướng đẫn để tôi hoàn thành báo cáo thực tập đúng thời
gian quy định.
Trong quá trình thực hiện báo cáo, tôi còn nhận được rất nhiều sự giúp đỡ,
hỗ trợ và động viên của quý thầy cô, bạn bè và gia đình. Tôi xin bày tỏ lòng
biết ơn sâu sắc.
Trân trọng cảm ơn.
TP HCM, ngày tháng năm 2022
Sinh viên thực hiện
Võ Minh Thư
MỤC LỤC
PHẦN I : TỔNG QUAN ĐỀ TÀI .................................................................................. 1
CHƯƠNG 1 : GIỚI THIỆU ................................................................................ 1
Lý do chọn đề tài ............................................................................................. 1
Mục tiêu nghiên cứu ........................................................................................ 1
Đối tượng và phạm vi nghiên cứu .................................................................... 2
Phương pháp nghiên cứu ................................................................................. 2
Kết cấu của đề tài............................................................................................. 2
Giới thiệu về đơn vị thực tập............................................................................ 3
Thành tựu ........................................................................................................ 4
Cơ cấu nhân sự ................................................................................................ 4
PHẦN II : NỘI DUNG .................................................................................................. 1
CHƯƠNG 2 : SƠ LƯỢC VỀ MIKROTIK ............................................................ 1
Giới thiệu Mikrotik Routes .............................................................................. 1
Khái niệm Mikrotik Routes .................................................................. 1
Mikrotik RouterOS là gì? ..................................................................... 1
Tính năng Mikrotik RouterOS là gì? ..................................................... 2
Ưu điểm chọn Mikrotik RouterOS là gì? .............................................. 3
Cấu hình Router Mikrotik ................................................................................ 3
Cấu hình cơ bản theo CODE................................................................. 4
Cấu hình Router Mikrotik theo các phương pháp .................................. 7
CHƯƠNG 3 : SỬ DỤNG TƯỜNG LỬA 7 LỚP CHẶN YOUTUBE, FACEBOOK
TRÊN ROUTER MIKROTIK ........................................................................... 26
MikroTik Firewall là gì ?............................................................................... 26
Quy tắc tường lửa MikroTik là gì? .................................................... 26
Thuộc tính chuỗi ................................................................................ 27
Tại sao giao thức Layer7 .................................................................... 28
Chức năng của Layer 7 Firewall ........................................................ 28
Sơ lược về các phương pháp chặn Web của Router Mikrotik ......................... 29
Web proxy .......................................................................................... 29
Route policy ....................................................................................... 30
Content Filter ..................................................................................... 31
Layer 7 Firewall ................................................................................. 33
Chặn Facebook, YouTube với Quy tắc lọc MikroTik .................................... 34
Bước 1: Chặn trang web `Facebook` cho tất cả những ai kết nối với
mạng cục bộ .................................................................................................. 34
Bước 2: Tạo giao thức Layer7 để chọn trang web mong muốn ........... 35
Bước 3: Tạo Quy tắc Bộ lọc để Chặn Trang web đã Chọn với Giao
thức Layer7 ................................................................................................... 37
Tóm tắt cách chặn Facebook và Youtube sử dụng “7 layer Firewall” ............. 40
PHẦN III. KẾT LUẬN VÀ KIẾN NGHỊ .................................................................... 43
CHƯƠNG 4 : KẾT LUẬN VÀ KIẾN NGHỊ ...................................................... 43
Kết luận ......................................................................................................... 43
Kết quả nghiên cứu so với mục tiêu đề ra ........................................ 43
Ưu điểm của phương pháp chặn Web sử dụng Layer 7 Firewall ...... 43
Nhược điểm của phương pháp chặn Web sử dụng Layer 7 Firewall 43
Kiến nghị ....................................................................................................... 43
Hướng ứng dụng của đề tài .............................................................. 43
Hướng phát triển của đề tài (khắc phục nhược điểm) ....................... 44
MỤC LỤC HÌNH ẢNH
Hình 1: Logo công ty........................................................................................... 3
Hình 3: Mikrotik Routers .................................................................................... 1
Hình 4 : Cấu hình Router Mikrotik ...................................................................... 3
Hình 5 : Cân bằng tải 2 WAN.............................................................................. 5
Hình 6 : Login ..................................................................................................... 8
Hình 7 : Cửa sổ hiển thị sau khi winbox tải plugin .............................................. 9
Hình 8 : Danh sách các cổng kết nối .................................................................... 9
Hình 9 : Cấu hình LAN – DHCP server ............................................................. 10
Hình 10 : Cấu hình LAN ................................................................................... 10
Hình 11 : Cài đặt DNS ...................................................................................... 12
Hình 12 : Giao diện Webfig............................................................................... 13
Hình 13 : Thanh menu WebFig ......................................................................... 14
Hình 14 : Cấu hình Interface ............................................................................. 15
Hình 15 : Tải tệp không cần sử dụng FTP.......................................................... 16
Hình 16 : Tải tệp xuống bằng bộ định tuyến ...................................................... 16
Hình 17 : Bổ sung các trường ............................................................................ 17
Hình 18 : Sắp xếp trường thành 2 cột ................................................................ 18
Hình 19 : CLI .................................................................................................... 18
Hình 20 : Truy cập Mikrotik Router .................................................................. 21
Hình 21: Interface Bridge .................................................................................. 21
Hình 22 : Thêm Bridge LAN ............................................................................. 22
Hình 23 : Tạo DHCP ......................................................................................... 22
Hình 24 : Khai báo DNS Serve đến hệ thống mạng ........................................... 23
Hình 25 : DHCP Setup ...................................................................................... 23
Hình 26 : Hiển thị thành công cung cấp DHCP.................................................. 24
Hình 27 : Lựa chọn PPPoE Client ..................................................................... 24
Hình 28 : Sơ đồ luồng gói Mikrotik ................................................................... 28
Hình 29 : Web Proxy ......................................................................................... 29
Hình 30 : Block Website ................................................................................... 30
Hình 31: Kết quả chặn thành công ..................................................................... 30
Hình 32 : Block website bằng cách block IP ...................................................... 31
Hình 33 :Tạo một chuỗi ..................................................................................... 31
Hình 34 : Dùng Firewall để block tất cả trang Web vnexpress ........................... 32
Hình 35 : Firewall Rule ..................................................................................... 33
Hình 36 :Tạo một chuỗi ..................................................................................... 33
Hình 37 : Kiểm tra website được yêu cầu chặn .................................................. 34
Hình 38 : Kiểm trra IP ....................................................................................... 35
Hình 39 : Tab giao thức lớp 7 ............................................................................ 35
Hình 40 : Cửa sổ Giao thức Tường lửa L7 mới sẽ xuất hiện. ............................. 36
Hình 41: Nhập văn bản Regex ........................................................................... 36
Hình 42 : Giao thức lớp 7 Regex để chặn các trang Web ................................... 37
Hình 43 : chọn chuyển tiếp từ menu thả xuống Chuỗi. ...................................... 37
Hình 44 : Đặt khối IP vào Src ............................................................................ 38
Hình 45 : Thao tác trên tab Action ..................................................................... 38
Hình 46 : Tương tự cho trang web khác ............................................................. 39
Hình 47 : Kiểm tra lại ........................................................................................ 39
Hình 48 : Truy cập kiểm tra ............................................................................... 39
Hình 49 : Kiểm tra các web khoog block ........................................................... 40
Hình 50 : Thao tác vào Firewall ........................................................................ 41
Hình 51 : Cửa sổ Firewall xuất hiện .................................................................. 41
Hình 52 : Nhập Name và Regexp cần chặn ........................................................ 41
Hình 53 : Thao tác tiếp theo .............................................................................. 42
Hình 54 :Thao tác trên tab Advanced ................................................................ 42
Hình 55 : Thao tác trên tab Action ..................................................................... 42
LỜI NÓI ĐẦU
Cuộc cách mạng trong ngành viễn thông không dây bắt đầu vào thập niên
1900 với những phát triển tiên phong trong lĩnh vực vô tuyến và thông tin liên
lạc không dây nhờ Nikola Tesla và Guglielmo Marconi. Với tốc độ hiện đại
hóa hệ thống viễn thông của thế giới ngày càng nhanh như giai đoạn hiện nay,
đòi hỏi ngành Viễn Thông ở Việt Nam đã đáp ứng phần lớn nhu cầu cao của
xã hội, thiết thực phục vụ nhu cầu đời sống vật chất là tinh thần của con người.
Cùng với sự phát triển của công nghệ thông tin Viễn Thông tin học trên
thế giới , Mạng Viễn Thông Việt Nam nói chung và Viễn Thông Long Việt
nói riêng đã được số hóa nhiều trang thiết bị hiện đại . Vì vậy đòi hỏi công
nhân kỹ thuật hiện đang phục vụ trên mạng lưới Viễn Thông phải không ngừng
nâng cao trình độ tay nghề , cập nhật kiến thức
Với những nhân định và đánh giá trên, trong chừng mực của bài báo cáo
thực tập tốt nghiệp tôi đã chọn đề “Sử dụng tường lửa 7 lớp chặn Youtube ,
Facebook trên Router Mikrotik” làm nội dung báo cáo và xem đây là bước
khởi đầu cho những nghiên cứu chuyên sâu trong giai đoạn kế tiếp của tôi về
đề tài này.
Với thời gian thực tập ngắn, cơ hội tiếp cận thực tế và hoàn thiện bài viết
tuy có cố găng, nhưng sẽ còn có nhiều thiếu sót nhất định. Trên cơ sở của
những vấn đề đã được giải quyết, tôi sẽ tiếp tục quá trình tìm hiểu, nghiên cứu
và hoàn thiện kỹ năng nghề nghiệp, góp phần vào sự phát triển chung của
ngành Bưu chính - Viễn thông trong thời gian sắp tới.
PHẦN I : TỔNG QUAN ĐỀ TÀI
CHƯƠNG 1 : GIỚI THIỆU
Lý do chọn đề tài
Với sự phát triển mạnh mẽ của công nghệ thông tin toàn cầu thì các
phương thức truyền tải thông tin cũng phải thay đổi theo. Đầu những năm 90,
khi mạng Internet thâm nhập vào Việt Nam, mạng cáp điện thoại, cáp đồng,
ADSL và sau đó là mạng cáp quang đã chiếm lĩnh phần lớn thị trường hạ tầng
truyền tải của những nhà cung cấp dịch vụ Internet (ISP). Tuy nhiên nhìn vào
thực trạng hạ tầng mạng hiện nay ngành công nghiệp không dây ngày càng
trở nên phổ biến và phát triển với một tốc độ nhanh chóng. Tương lai của kết
nối không dây còn có thể mở ra một viễn cảnh cao xa hơn thế. Bên cạnh đó,
Router WiFi là những thiết bị có, máy tính bảng, laptop dễ dàng hơn. Với sự
phần cứng thể biến mạng có dây, thành mạng không dây một cách nhanh
chóng. Từ đó giúp bạn kết nối mạng trên điện thoại tối ưu, linh hoạt và mạnh
mẽ, sử dụng hệ điều hành RouterOS thông minh thân thiện cho người dùng,
cùng với tích hợp các công nghệ và giải pháp định tuyến hiện đại, giúp thiết
bị có khả năng chịu tải cao đảm bảo quá trình hoạt động của Internet an toàn,
nhanh hơn, mạnh hơn. Có thể kể đến MikroTik Router được cung cấp ra thị
trường các sản phẩm đáp ứng được nhiều phân khúc sử dụng cho cá nhân,
công ty, các doanh nghiệp vừa và lớn, các nhà cung cấp dịnh vụ CNTT với
giá cả cực kỳ phải chăng. Đặt biệt ở Việt Nam Mikrotik Routers đang dần trở
nên phổ biến.
Với sự hiểu biết về Mikrotik Routers trong quá trình thực tập cùng với quá
trình đúc kết kiến thức cho bản thân. Tôi chọn đề tài “Sử dụng tường lửa 7
lớp chặn Youtube , Facebook trên Router Mikrotik” làm báo cáo thực tập là
tiền đề để nghiên cứu chuyên sâu cho sau này.
Mục tiêu nghiên cứu
Giữa thực tế và lý thuyết luôn tồn tại những điều rất khác nhau, nhờ thực
tập giúp tôi nhận ra những sự khác biệt, cách áp dụng lý thuyết trường học
1
vào thực tiễn như thế nào. Hơn nữa, tôi càng nhận thấy vai trò quan trọng
của giai đoạn thực tập. Giai đoạn này cần vận dụng các kiến thức đã được
trang bị để điều tra, quan sát, phân tích trên cơ sở quan sát được, đối chiếu,
so sánh lý luận với thực tiễn. Để từ đó bổ sung, hoàn thiện kiến thức đã
được cung cấp trong trường học.
Đối tượng và phạm vi nghiên cứu
Đối tượng nghiên cứu : Mikrotik Routers
Phạm vi nghiên cứu : Khái quát Mikrotik Routers và “Sử dụng tường
lửa 7 lớp chặn Youtube, Facebook trên router Mikrotik”
Phương pháp nghiên cứu
Từ những cơ sở lý luận thực tiễn đã quan sát được đưa ra những thu hoạch
của cá nhân qua giai đoạn thực tập tại công ty. Để có được số liệu chính
xác và đánh giá khách quan, tôi đã kết hợp các phương pháp nghiên cứu
khác nhau, từ nghiên cứu lý thuyết đến nghiên cứu thực tiễn, cụ thể như:
Phương pháp phân tích và tổng hợp lý thuyết
Phương pháp phân loại và hệ thống hóa kiến thức.
Phương pháp mô hình hóa, phương pháp quan sát.
Phương pháp tham khảo ý kiến của người có chuyên môn
Phương pháp phân tích tổng kết kinh nghiệm.
Bằng những phương pháp này, báo cáo của tôi được hoàn thiện với những
dữ liệu và thông tin tương đối đầy đủ, có mức độ chính xác cao và được
cập nhật liên tục để đảm bảo về tính xác thực của thông tin.
Kết cấu của đề tài
Báo cáo đề tài tốt nghiệp gồm 3 phần và 3 chương :
Phần I : Tổng quan đề tài
Chương 1 : Giới thiệu
Phần II : Nội dung
Chương 2 : Sơ lược về Mikrotik Routers
2
Chương 3 : Sử dụng tường lửa 7 lớp chặn Youtube , Facebook trên
Router Mikrotik
Phần III : Kết luận và kiến nghị
Giới thiệu về đơn vị thực tập
Long Việt Telecom một trong những công ty viễn thông có đội ngũ nhân
viên năng động, tâm huyết và đầy tinh thần sáng tạo, được đào tạo sâu về
chuyên môn. Với những kinh nghiệm được tích lũy từ thực tế trong quá
trình tư vấn, triển khai lắp đặt nhiều dự án cho các doanh nghiệp, cơ quan
đơn vị trong nhiều lĩnh vực. Công ty Long Việt Telecom tự hào là nhà
cung cấp dịch vụ, giải pháp và sản phẩm công nghệ trong các lĩnh vực
(tổng đài điện thoại, hệ thống mạng - wifi, camera giám sát…)
Long Việt Telecom được thành lập với sứ mệnh mang khoa học kỹ thuật
công nghệ phục vụ đời sống và công việc. Lấy sự an tâm và hài lòng của
khách hàng là kim chỉ nam hoạt động. Công ty CP Đầu tư Dịch vụ Viễn
thông Long Việt cam kết mang đến cho khách hàng những sản phẩm, dịch
vụ và giải pháp công nghệ với chất lượng tốt nhất và tối ưu nhất.
Nhà cung cấp dịch vụ, giải pháp và sản phẩm công nghệ cho các dự án
trên khắp cả nước đặc biệt là khu vực phía Nam với các công trình như lắp
đặt camera cho quán cafe, nhà xưởng xí nghiệp,... lắp đặt hệ thống chuông
cửa cho công ty bất động sản, lắp tổng đài điện thoại và nhiều công trình
khác,...
3
Hiện nay, Long Việt Telecom đang liên kết với nhiều đại lý phân phối lớn
trên toàn quốc như phân phối độc quyền camera Viettel SPM tại khu vực
phía Nam, đại lý của camera Hikvision, camera Dahua,...
Long Việt Telecom không những chuyên môn về kỹ thuật mà còn được
đào tạo về đạo đức nghề nghiệp, chuyên tâm khi làm nghề, các dịch vụ
phụ như bảo trì bảo dưỡng và sữa chữa camera được công ty hỗ trợ nhiệt
tình.
Thành tựu
Một Số Công Trình Dự Án Tiêu Biểu Long Việt Telecom lắp đặt và thi
công
Công ty cổ phần JUMP ARENA
Công ty TNHH Thương mại – Dịch vụ Kid City
Công ty cổ phần đầu tư kinh doanh BDS Evoreal
Công ty cổ phần Truyền Thông và Công Nghệ MV
Công ty TNHH Thương Mại và Dịch Vụ SUNWON
Công ty CP Thực phẩm Thiên Hương
Công ty TNHH SX & TM TÂN QUANG MINH – BIDRICO
Công ty TNHH Sản Xuất Hàng Tiêu Dùng Binh Tiên (BITI’s)
Công ty TNHH Xây Dựng Đại Thắng
Tổng Công Ty Xây Dựng Số 1
Công ty CP Sài Gòn Viễn Đông
Cơ cấu nhân sự
4
PHẦN II : NỘI DUNG
CHƯƠNG 2 : SƠ LƯỢC VỀ MIKROTIK ROUTERS
Giới thiệu Mikrotik Routes
Khái niệm Mikrotik Routes
Mikrotik là tên của một nhà sản xuất thiết bị mạng máy tính ở Latvian.
Công ty thành lập năm 1995. Sản phẩm chính của công ty là một hệ điều
hành dựa trên Linux có tên là Mikrotik RouterOS, được cài đặt trên phần
cứng độc quyền của công ty (routerboard) hoặc trên các máy PC bình
thường, biến PC đó thành router (nhưng cần mua liscene nếu muốn sử dụng
full chức năng) và thực hiện các tính năng của router như firewall,
bandwidth, VPN và đầy đủ các tính năng khác của router.
1
Tính năng Mikrotik RouterOS là gì?
Hệ điều hành RouterOS hỗ trợ nhiều giao thức cấu hình giúp cho việc cấu
hình trở nên linh động và dễ dàng hơn. Như là:
Giao diện Web.
Winbox GUI.
CLI với Telnet, SSH.
Tính năng Firewall
Tường lửa tích hợp với các tính năng như: UPnP, NAT, QoS,..
Cùng với lọc qua địa chỉ IP, giao thức IP, lớp mạng, các cổng, các
thông tin phù hợp lớp 7.
Hỗ trợ Tunnel
Tunnel với nhiều chức năng như: PPTP, PPPoE, Ipsec, L2TP, MPLS,
EoIP, VLAN IEEE802.1q,…
Hỗ trợ định tuyến
IPv4 là RIP v1/v2, BGP v4, OSPF v2.
IPv6 như OSPFv3, Ripng và BGP.
2
Ưu điểm chọn Mikrotik RouterOS là gì?
– Hệ điều hành RouterOS bạn có thể: Firewall mạnh, chia Vlan, phân quyền
user, Wifi Marketing, nhiều cổng LAN/WAN.
– Gộp băng thông lại với nhau nếu có nhiều đường Internet sử dụng Load
Balancing.
– Price/Performance cực kì tốt đối với khả năng chịu tải cực kì khá, nhu cầu
đơn giản.
– VPN Throughput Mikrotik cao tạo tiền đề setup VPN.
– VPN mang lại hệ thống Home Network bảo mật tốt và tốc độ ổn hơn.
– Wifi Marketing Mikrotik RouterOS mạnh nhờ các công cụ có sẵn trên
Internet như Mikhmon.
– Phù hợp với các doanh nghiệp nhỏ (SMB).
Cấu hình Router Mikrotik
3
Cấu hình cơ bản theo CODE
– Cấu hình PPPoE-Client với 2 đường truyền Internet với thông tin
Username/Password đường truyền như mô hình trên.
– Thiết lập DNS của Google: 8.8.8.8, 8.8.4.4.
– Tạo Bridge cho LAN, thêm cổng vào Bridge, đặt địa chỉ IP cho Bridge.
– Tạo Pool( dãy địa chỉ IP)
– Cấu hình DHCP-Server phân phát địa chỉ IP cho người dùng từ Pool đã
được định nghĩa ở trên.
– Cấu hình NAT với 2 đường truyền Internet.
– Cấu hình Default-route và Failover với Distance.
/interface pppoe-client
1 add interface=ether1 name=pppoe-ether1 password=pppoe-01
3 user=pppoe-01 comment=ViettelTelecom
add interface=ether2 name=pppoe-ether2 password=pppoe-02
4
user=pppoe-02 comment=FPTTelecom
5 /ip dns set servers=8.8.8.8,8.8.4.4
6 /interface bridge add name=bridge-LAN01
7 /interface bridge port
add bridge=bridge-LAN01 interface=ether9
8
add bridge=bridge-LAN01 interface=ether10
9
/ip address
10 add address=192.168.88.1/24 interface=bridge-LAN01
11 network=192.168.88.0
12 /ip pool add name=LAN01 ranges=192.168.88.2-192.168.88.254
/ip dhcp-server
13
add address-pool=LAN01 interface=bridge-LAN01 name=dhcp-LAN01
14 disabled=no
15 /ip dhcp-server network
16 add address=192.168.88.0/24 gateway=192.168.88.1
17 /ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-ether1
18
add action=masquerade chain=srcnat out-interface=pppoe-ether2
19 /ip route
20 add dst-address=0.0.0.0/0 gateway=pppoe-ether1 distance=1
21 add dst-address=0.0.0.0/0 gateway=pppoe-ether2 distance=2
2. Cân bằng tải 2 WAN với phương thức PCC( Per Connection Classifier).
4
Hình 4 : Cân bằng tải 2 WAN
– Ở phần mạng nội bộ, chúng ta có tạo Bridge. Bridge thuộc Layer 2 trong
mô hình OSI. Bridge thiết kế để làm nhiệm vụ vận chuyển traffic giữa các
cổng nằm trong bridge. Chính vì thế traffic này không được xử lý ở các
Rule ở Firewall( hoạt động ở Layer 3 trong OSI Model). Để bắt buộc
traffic trên brigde được xử lý bởi các Rule ở Firewall, chúng ta cần kích
hoạt thuộc tính use-ip-firewall.
1/interface bridge settings set use-ip-firewall=yes
– Các kết nối đường truyền Internet từ Router đến ISP được đóng gói bởi
giao thức PPPoE. Chính vì thế chúng ta cũng cần kích hoạt thuộc tính use-
ip-firewall-for-pppoe để cho phép traffic đi qua các Rule ở Firewall.
1/interface bridge settings set use-ip-firewall-for-pppoe=yes
– Bước 1: Các traffic của mạng nội bộ qua Router không cần xử lý bởi các
Rule ở Firewall.
/ip firewall mangle
1
add chain=prerouting dst-address=192.168.88.0/24 in-
2 interface=bridge-LAN01 action=accept
– Bước 2: Đánh dấu các kết nối từ Internet đi vào Router. Các kết nối đi vào
Router với chain=input và cổng tiếp nhận các kết nối này là pppoe-
ether1 và pppoe-ether2 sẽ được đánh dấu kết nối( mark-
connection) tương ứng với pppoe-ether1 là conn-ether1 và pppoe-ether2
là conn-ether2.
1
/ip firewall mangle
2
5
3 add chain=input in-interface=pppoe-ether1 connection-mark=no-mark
action=mark-connection new-connection-mark=conn-ether1
passthrough=no
add chain=input in-interface=pppoe-ether2 connection-mark=no-mark
action=mark-connection new-connection-mark=conn-ether2
passthrough=no
– Bước 3: Các kết nối đi vào WAN nào thì cần đi ra đúng WAN đó. Các kết
nối đi ra thực hiện ở chain=output và các kết nối được đánh dấu bên trên(
conn-ether1 và conn-ether2) được khai báo( connection-mark) để tạo
bảng định tuyến mới( route-ether1 và route-ether2). Các bảng định tuyến
mới này dùng để điều hướng các kết nối đi ra đúng WAN.
/ip firewall mangle
add chain=output out-interface=pppoe-ether1 connection-
1 mark=conn-ether1 action=mark-routing new-routing-mark=route-
2 ether1 passthrough=no
3 add chain=output out-interface=pppoe-ether2 connection-
mark=conn-ether2 action=mark-routing new-routing-mark=route-
ether2 passthrough=no
– Bước 4: Cân bằng tải với phương thức PCC, đánh dấu các kết nối từ mạng
nội bộ đi đến cổng tiếp nhận là bridge-LAN01 trên Router và đi ra
Internet( dst-address-type=!local). Với sự trợ giúp của PCC, các kết nối
được phân chia thành hai nhóm khác nhau dựa trên src-address, dst-
address, src-port và dst-port( both-addresses-and-ports). Các kết nối được
đánh dấu rồi sẽ không được xử lý tiếp ở Rule tiếp theo passthrough=yes.
/ip firewall mangle
add chain=prerouting connection-mark=no-mark dst-address-
type=!local in-interface=bridge-LAN01 per-connection-
1 classifier=both-addresses-and-ports:2/0 action=mark-connection
2 new-connection-mark=conn-ether1
3 add chain=prerouting connection-mark=no-mark dst-address-
type=!local in-interface=bridge-LAN01 per-connection-
classifier=both-addresses-and-ports:2/1 action=mark-connection
new-connection-mark=conn-ether2
– Bước 5: Các kết nối từ mạng nội bộ đi ra Internet được đánh dấu với conn-
ether1 và conn-ether2 được khai báo để tạo bảng định tuyến mới route-
6
ether1 và route-ether2. Các bảng định tuyến mới này được dùng để điều
hướng các kết nối đi ra đúng WAN.
/ip firewall mangle
add chain=prerouting connection-mark=conn-ether1 in-
1 interface=bridge-LAN01 action=mark-routing new-routing-mark=route-
2 ether1 passthrough=no
– Bước 6: Định tuyến các kết nối đi ra các WAN tương ứng với route-ether1
sẽ đi ra cổng pppoe-ether1 và route-ether2 đi ra cổng pppoe-ether2.
/ip route
1 add dst-address=0.0.0.0/0 gateway=pppoe-ether1 routing-
2 mark=route-ether1
7
1. Chạy tiện ích Winbox
2. Điều hướng đến "Neighbor"
3. Xem liệu Winbox có tìm thấy Bộ định tuyến của bạn và đó là địa chỉ
MAC hay không
4. Thông tin: Khám phá Neighbor của Winbox sẽ khám phá tất cả các bộ
định tuyến trên mạng quảng bá.
5. Nếu bạn thấy bộ định tuyến của mình trong danh sách, hãy kết nối với
bộ định tuyến đó bằng cách nhấp vào địa chỉ IP / MAC và nhấn nút Kết
nối
Hình 5 : Login
6. Winbox sẽ thử tải xuống các plugin từ bộ định tuyến, nếu nó đang kết
nối lần đầu tiên với bộ định tuyến với phiên bản hiện tại.
7. Lưu ý rằng có thể mất đến một phút để tải xuống tất cả các plugin nếu
winbox được kết nối với giao thức MAC
8. Sau khi winbox tải plugin và xác thực thành công, cửa sổ chính sẽ hiển
thị:
8
Hình 6 : Cửa sổ hiển thị sau khi winbox tải plugin
Nếu winbox không thể tìm thấy bất kỳ bộ định tuyến nào, hãy đảm bảo
rằng:
Máy tính Windows của bạn được kết nối trực tiếp với bộ định tuyến
bằng cáp Ethernet hoặc chúng ở trong cùng một miền phát sóng
Vì kết nối MAC hoạt động trên Layer2, có thể kết nối với bộ định
tuyến ngay cả khi không có cấu hình địa chỉ IP thích hợp, nhưng có
thể được yêu cầu do hầu hết trình điều khiển không bật ngăn xếp IP
nếu không có cấu hình IPv4.
10
Address: IP Address GateWay và Network Mask
Network: Lớp mạng
Interface: Port Ethernet cấu hình LAN
Bước 2: Tương tự với các cổng LAN còn lại
2.2.2.1.3 Cấu hình DHCP
11
Làm tương tự với những cổng còn lại
2.2.2.1.4 Cấu hình Load Balancing nhiều WAN
Bước 1: Vào Interface- interface > chọn Add new-PPPoE Client
Name: đặt tên cho cổng WAN1
Interfaces: Chọn cổng WAN tương ứng
User + Password: tài khoản đường truyền ISP Wan 1
Bước 2: Tương tự cấu hình với các cổng WAN còn lại
2.2.2.1.5 Cấu hình DNS
Vào IP-DNS > cấu hình DNS như hình sau:
12
To port: 465
WebFig
WebFig có thể được khởi chạy từ trang chủ của bộ định tuyến, trang này
có thể truy cập được bằng cách nhập địa chỉ IP của bộ định tuyến vào trình
duyệt. Khi trang chủ được tải thành công, hãy chọn webfig từ danh sách
các biểu tượng có sẵn như được minh họa trong ảnh chụp màn hình.
Sau khi nhấp vào biểu tượng webfig, lời nhắc đăng nhập sẽ yêu cầu bạn
nhập tên người dùng và mật khẩu. Nhập thông tin đăng nhập và bấm kết
nối.
Bây giờ bạn sẽ có thể thấy webfig đang hoạt động.
Kết nối IPv6
Bật HTTPS
2.2.2.2.1 Giao diện
Giao diện WebFig được thiết kế rất trực quan đặc biệt cho người dùng
WinBox. Nó có bố cục rất giống nhau: thanh menu ở bên trái, hoàn tác /
làm lại ở trên cùng và công việc ở phần còn lại của không gian khả dụng.
13
Thanh menu có thiết kế gần giống thanh menu WinBox. Mũi tên nhỏ ở bên
phải của mục menu cho biết menu này có một số menu phụ.
Khi nhấp vào mục menu như vậy, các menu phụ sẽ được liệt kê và mũi tên sẽ
trỏ xuống, cho biết rằng các menu phụ được liệt kê.
Ở trên cùng, có thể thấy ba nút phổ biến nút Undo / Redo tương tự như winbox
và một nút bổ sung Log out. Ở góc trên cùng bên phải, có thể thấy logo
WebFig và tên kiểu RouterBOARDS.
Khu vực làm việc có thiết kế tab, nơi có thể chuyển đổi giữa một số tab cấu
hình.
Bên dưới các tab là các nút được liệt kê cho tất cả các lệnh cụ thể của menu,
ví dụ: Thêm Mới và Cài đặt .
Phần cuối cùng là bảng của tất cả các mục menu. Cột đầu tiên của một mục
có các nút lệnh cụ thể cho từng mục:
- kích hoạt mục hiện tại
- vô hiệu hóa mục hiện tại
- loại bỏ mục hiện tại
2.2.2.2.2 Cấu hình Interface
Khi nhấp vào một trong các mục được liệt kê, webfig sẽ mở ra trang mới hiển
thị tất cả các thông số có thể cấu hình, lệnh và trạng thái cụ thể của mục.
14
Hình 13 : Cấu hình Interface
15
2.2.2.2.3 Làm việc với Tệp
Webfig cho phép tải tệp trực tiếp lên bộ định tuyến mà không cần sử dụng
dịch vụ FTP. Để tải tệp lên, mở menu Files , nhấp vào nút Choose File, chọn
tệp và đợi cho đến khi tệp được tải lên.
Bạn cũng có thể dễ dàng tải xuống tệp từ bộ định tuyến, bằng cách nhấp vào
nút Download ở phía bên phải của mục nhập tệp.
16
Khi trang trạng thái được tạo, nó là trang mặc định sẽ mở ra khi đăng nhập
vào bộ định tuyến thông qua giao diện webfig.
Bổ sung các trường
Để thêm trường vào trang trạng thái, người dùng phải vào chế độ "Thiết kế
giao diện" và từ menu thả xuống tại trường chọn tùy chọn - "Thêm vào trang
trạng thái"
Do kết quả của hành động này, trường mong muốn ở chế độ chỉ đọc sẽ được
thêm vào trang trạng thái. Nếu tại thời điểm đó, trang Trạng thái không có mặt
tại thời điểm đó, nó sẽ được tạo tự động cho người dùng.
Hai cột
Các trường trong trang Trạng thái có thể được sắp xếp thành hai cột. Các cột
được điền từ trên xuống dưới.
Khi bạn chỉ có một cột thì mục đầu tiên dành cho mục thứ hai sẽ được kéo lên
đầu mục đầu tiên khi dòng màu đen xuất hiện trên đầu mục đầu tiên, sau đó
kéo chuột sang trái cho đến khi dòng màu đen ngắn hơn được hiển thị như
trong ảnh chụp màn hình. Nhả nút chuột sẽ tạo cột thứ hai. Phần còn lại của
các trường sau đó có thể được kéo và thả theo cách tương tự như với thiết kế
một cột.
17
Hình 17 : Sắp xếp trường thành 2 cột
CLI
Hình 18 : CLI
Giao diện dòng lệnh (CLI) cho phép cấu hình router sử dụng dòng lệnh. Có
rất nhiều lệnh có sẵn, vì thế họ chia chúng thành những nhóm tổ chức bằng
cách phân cấp đơn cấp. Sau khi giao diện dòng lệnh hiện lên, bạn sẽ thấy
phần đăng nhập. Điền tên đăng nhập là admin và mật khẩu đăng nhập để
rỗng.
Giao diện dòng lệnh (CLI) cho phép cấu hình cài đặt của bộ định tuyến
bằng các lệnh văn bản. Vì có rất nhiều lệnh có sẵn, chúng được chia thành
các nhóm được tổ chức theo cách phân cấp trình đơn. Làm theo hướng dẫn
sử dụng bảng điều khiển để biết cú pháp và lệnh CLI.
Có một số cách để truy cập CLI:
Menu thiết bị đầu cuối Winbox
Telnet
18
SSH
Cáp nối tiếp, v.v.
2.2.2.3.1 Cáp nối tiếp
Nếu thiết bị của bạn có cổng Nối tiếp, bạn có thể sử dụng cáp bảng điều
khiển (hoặc cáp modem Null )
Cắm một đầu của cáp nối tiếp vào cổng bảng điều khiển (còn được gọi là
cổng nối tiếp hoặc cổng nối tiếp không đồng bộ DB9 RS232C) của
RouterBOARD và đầu kia vào PC của bạn (hy vọng chạy Windows hoặc
Linux). Bạn cũng có thể sử dụng bộ điều hợp USB-Serial. Chạy chương
trình đầu cuối (HyperTerminal hoặc Putty trên Windows) với các thông số
sau cho Tất cả các kiểu RouterBOARD ngoại trừ 230:
Nếu các thông số được đặt chính xác, bạn sẽ có thể thấy lời nhắc đăng
nhập. Bây giờ bạn có thể truy cập bộ định tuyến bằng cách nhập tên người
dùng và mật khẩu:
MikroTik 4.15
Login to MikroTik:
[admin @ MikroTik]
19
2.2.2.3.2 Màn hình và bàn phím
Nếu thiết bị của bạn có card đồ họa (tức là PC thông thường), chỉ cần gắn
màn hình vào đầu nối card màn hình của máy tính (lưu ý: Các sản phẩm
RouterBOARD không có card này, vì vậy hãy sử dụng Phương pháp 1 hoặc
2) và xem điều gì xảy ra trên màn hình . Bạn sẽ thấy một quảng cáo đăng
nhập như thế này:
MikroTik v3.16
Login
Nhập admin làm tên đăng nhập và nhấn enter hai lần (vì chưa có mật
khẩu), bạn sẽ thấy màn hình này:
Bây giờ bạn có thể bắt đầu định cấu hình bộ định tuyến bằng cách đưa ra
lệnh thiết lập .
Phương pháp này hoạt động với bất kỳ thiết bị nào có đầu nối thẻ video và
bàn phím
2.2.2.3.3 SSH vào Router với áp dụng lệnh CLI.
Bước 1. Kết nối máy tính xách tay cùng với Router Mikrotik
Đầu tiên, chúng ta download về Winbox trên trang chủ trong phòng
sản xuất: https://mikrotik.com/download
Hãy kết nối dây mạng trường của máy tính xách tay cho tới Router
Mikrotik và chạy WinBox nhằm cùng truy vấn vào Router. Tài
khoản mang định truy cập vào Router Mikrotik là user admin /
password White.
20
Hình 19 : Truy cập Mikrotik Router
Bước 3. Tạo DHCP. Server cung cấp IP cho các thiết bị vào LAN
Trong Winbox chúng ta chọn IP – Addresses để đặt IP.
22
Hình 23 : Khai báo DNS Serve đến hệ thống mạng
Cuối cùng tạo thành DHCP Server đến mạng nội của người sử
dụng bằng cách chọn IP– DHCPServer – DHCP Setup
Nếu các bước trước đó chúng ta đã khai báo đúng đắn thì công đoạn
này bạn chỉ việc bấm Next cho tới lúc hoàn toàn là kết thúc việc tạo
DHCP Server.
Chuyển qua tab Leases bạn sẽ thấy laptop của công ty được cấp cho
IP từ DHCP. Server mới tạo nên.
23
Hình 25 : Hiển thị thành công cung cấp DHCP
Tại Tab General chúng ta viết tên mang đến PPPoE Client và port đã
thêm con đường truyền Internet. Lưu ý: Nếu mặt đường truyền
Internet GPON của khách hàng điều khiển xe trên VLAN thì trên hành
lang cửa số Interface chúng ta chọn Tab VLAN để tạo thành VLAN
khớp ứng của port đó với Lúc đính thêm Interface VLAN kia vào để
chạy PPPoE.
Tại Tab Dial Out chúng ta điền User cùng Pass cho đường truyền
Internet.
24
Trường TH 2: Nếu áp dụng DHCPhường Client thì tiện lợi hơn, bạn
chỉ việc khai báo port cấp cho mối cung cấp Internet đến Router tại IP
– DHCP Client.
Cuối cùng hãy demo truy vấn Internet nhằm khám nghiệm kết
quả nhé.
25
CHƯƠNG 3 : SỬ DỤNG TƯỜNG LỬA 7 LỚP CHẶN YOUTUBE,
FACEBOOK TRÊN ROUTER MIKROTIK
MikroTik Firewall là gì ?
Một công cụ bảo mật mạnh mẽ có thể được sử dụng để chặn các trang web
không mong muốn. Nếu là quản trị viên mạng, đôi khi chúng ta có thể yêu
cầu chặn bất kỳ trang web nào như Facebook, YouTube, trang đồi trụy, v.v.
Để chặn các loại trang web này, chỉ cần tạo Quy tắc tường lửa sẽ loại bỏ
bất kỳ kết nối nào đến các trang web này thông qua Bộ định tuyến MikroTik
.
Trên thực tế, nhiệm vụ chính của quản trị viên MikroTik là duy trì Tường
lửa đúng cách cùng với quản lý băng thông sau khi hoàn thành cấu hình cơ
bản Bộ định tuyến MikroTik . Vì vậy, một quản trị viên MikroTik nên có
đủ kiến thức về MikroTik Firewall
MikroTik Firewall chủ yếu lọc lưu lượng truy cập tốt hoặc lưu lượng truy
cập xấu và theo định nghĩa của tường lửa, tường lửa sẽ cho phép lưu lượng
truy cập tốt và từ chối lưu lượng truy cập xấu. Lưu lượng truy cập tốt và
xấu này đang thực hiện một sự kiện trong số ba sự kiện sau trong Bộ định
tuyến MikroTik.
Lưu lượng truy cập vào Bộ định tuyến MikroTik,
Lưu lượng đang rời khỏi Bộ định tuyến MikroTik hoặc
Lưu lượng đang đi qua Bộ định tuyến MikroTik.
Quy tắc tường lửa MikroTik là gì?
Quy tắc tường lửa MikroTik không gì khác ngoài một câu nói có ý nghĩa
được sử dụng để cho phép lưu lượng truy cập tốt hoặc chặn lưu lượng truy
cập xấu. Trên thực tế, MikroTik Firewall hoạt động dựa trên quy tắc tường
lửa. Vậy, quy tắc tường lửa là gì? Có hai phần trong quy tắc Tường lửa:
Bộ so khớp hoặc bộ phận có điều kiện kiểm tra luồng lưu lượng truy cập
dựa trên bất kỳ điều kiện nhất định nào và
26
Phần hành động đưa ra quyết định thực hiện bất kỳ hoạt động nào với
điều kiện phù hợp.
Chúng ta phải luôn chiến đấu chống lại những lưu lượng truy cập xấu. Khi
một mạng cục bộ được kết nối với các mạng công cộng, luôn có mối đe dọa
rằng ai đó từ bên ngoài mạng cục bộ của bạn sẽ đột nhập vào mạng cục bộ
của bạn. Lỗi bảo mật này có thể khiến dữ liệu cá nhân bị đánh cắp và phân
phối, dữ liệu có giá trị bị thay đổi hoặc phá hủy hoặc toàn bộ ổ cứng bị
xóa. MikroTik Firewall được sử dụng để ngăn chặn hoặc giảm thiểu các
loại rủi ro bảo mật này. MikroTik Firewall có rất nhiều tính năng tường lửa
cũng như khả năng giả mạo giúp che giấu mạng riêng tư của bạn khỏi lưu
lượng xấu bên ngoài.
Thuộc tính chuỗi
Có ba chuỗi được xác định trước trong quy tắc Tường lửa MikroTik.
Đầu vào xử lý các gói đăng nhập vào Bộ định tuyến MikroTik của
bạn. Các gói này có thể đi qua bất kỳ giao diện nào của bộ định tuyến
của bạn. Vì vậy, bất kỳ gói nào đến Bộ định tuyến MikroTik của bạn và
chứa địa chỉ IP giao diện MikroTik làm địa chỉ IP đích đều được xử lý
bởi chuỗi đầu vào. Nói tóm lại, khi MikroTik Router là đích thì nó được
coi là hoạt động của chuỗi đầu vào. .
Đầu ra xử lý các gói đó được bắt nguồn từ Bộ định tuyến MikroTik
của bạn và chuyển nó qua một trong các giao diện MikroTik. Vì vậy,
gói tin đang rời khỏi bộ định tuyến của bạn có chứa bất kỳ địa chỉ IP
giao diện nào làm địa chỉ IP nguồn sẽ được xử lý bởi chuỗi đầu ra. Nói
tóm lại, khi địa chỉ Bộ định tuyến MikroTik là địa chỉ nguồn gói thì nó
được coi là hoạt động của chuỗi đầu ra.
Chuyển tiếp xử lý các gói đang đi qua Bộ định tuyến MikroTik của
bạn. Trong trường hợp này, Bộ định tuyến MikroTik không phải là
nguồn cũng không phải là đích. Tóm lại, khi gói tin đi qua Bộ định tuyến
MikroTik thì nó được coi là hoạt động của chuỗi chuyển tiếp.
27
Sơ đồ sau đây sẽ cho thấy cách các gói được xử lý trong Bộ định tuyến
MikroTik của bạn bao gồm đầu vào, đầu ra và chuỗi chuyển tiếp.
28
Sơ lược về các phương pháp chặn Web của Router Mikrotik
Đối với các nhà quản trị mạng, quản trị hệ thống của một công ty thì việc
block website đem lại rất nhiều lợi ích như hạn chế một số trang theo yêu
cầu của ban giám đốc thì còn hạn chế “traffic” cho các trang web ko cần
thiết trong công việc như xem phim, nghe nhạc v.v…
Web proxy
Đầu tiên ta enable web proxy ở trong mục ip – web proxy
Như đã nói ở mục 1 về các loại proxy thì thông thường các công ty hay sử
dụng Transparent web proxy để các user không biết đang dùng 1 proxy và
bị kiểm soát, và không cần phải thiết lập các thông số proxy trong các trình
duyệt web.
Ta config thêm vào Firewall – Nat
ip firewall nat /add chain=dstnat action=redirect to-ports=8080
protocol=tcp dst-port=80
Sau đó để block website chúng ta vào phần IP – Web proxy chọn access
29
Hình 29 : Block Website
Kết quả
Route policy
Chúng ta sẽ sử dụng tính năng route của router để block website đó
30
Nhược điểm của cách này là ko hỗ trợ domain, và sẽ block tất cả “traffic”
tới IP đó
Ở đây mình thử block website vnexpress.net bằng cách block ip của trang
web đó, ta sử dụng nslookup để coi ip của trang web
31
Hình 33 : Dùng Firewall để block tất cả trang Web vnexpress
32
Hình 34 : Firewall Rule
src add: địa chỉ ip mạng Lan mà ta muốn bị chặn bởi content vnexpress
Layer 7 Firewall
Ta sẽ chặn website ở layer 7 application
Đầu tiên ta phải tạo 1 chain, vào ip – firewall – layer 7 protocols
Kiểm tra địa chỉ IP của ứng dụng không thể mở Facebook
34
Hình 37 : Kiểm trra IP
Bước 2: Tạo giao thức Layer7 để chọn trang web mong muốn
Trước khi tạo Quy tắc lọc, chúng ta cần tạo Giao thức Layer7 với Regex vì
Giao thức Layer7 này sẽ được Quy tắc lọc sử dụng để khớp với bất kỳ từ
khóa nào trong URL. Quá trình sau đây sẽ chỉ ra cách tạo Giao thức Layer7
với Regex.
Mở winbox và đăng nhập bằng thông tin đăng nhập của bạn.
Đi tới IP> Tường lửa và sau đó nhấp vào tab Giao thức lớp7.
Nhấp vào PLUS SIGN (+) để tạo Giao thức Layer7 mới với
Regex. Cửa sổ Giao thức Tường lửa L7 mới sẽ xuất hiện.
35
Hình 39 : Cửa sổ Giao thức Tường lửa L7 mới sẽ xuất hiện.
Đặt một cái tên có ý nghĩa như Facebook trong hộp nhập Tên.
Bây giờ hãy đặt ^. + (Facebook.com). * $ Regex vào trường nhập
văn bản Regex nếu bạn muốn chặn Facebook.
36
Hình 41 : Giao thức lớp 7 Regex để chặn các trang Web
Chúng tôi đã tạo các Giao thức Layer7 sẽ được sử dụng trong Quy tắc Bộ
lọc để chặn các trang web mong muốn của chúng tôi. Bây giờ chúng ta sẽ
tạo Quy tắc lọc tường lửa của chúng ta.
Bước 3: Tạo Quy tắc Bộ lọc để Chặn Trang web đã Chọn với Giao
thức Layer7
Sau khi tạo Giao thức Layer7, bây giờ chúng ta sẽ tạo Quy tắc lọc sẽ chặn
trang web mong muốn của chúng ta. Các bước sau đây sẽ hướng dẫn cách
tạo Quy tắc bộ lọc để chặn bất kỳ trang web nào.
Bây giờ hãy nhấp vào tab Quy tắc Bộ lọc và sau đó nhấp vào Dấu hiệu
CỘNG (+) để tạo Quy tắc Bộ lọc mới. Cửa sổ Quy tắc tường lửa mới sẽ
xuất hiện ngay bây giờ.
Trong tab Chung, chọn chuyển tiếp từ menu thả xuống Chuỗi.
Nhấp vào menu thả xuống Giao thức và chọn tcp từ menu thả xuống Giao
thức.
Đặt cổng 80,443 trong Dst. Hộp nhập cổng. Giá trị phải được phân tách
bằng dấu phẩy.
Nhấp vào tab Advanced và sau đó chọn Giao thức Layer7 mà bạn đã tạo
trước đó từ menu thả xuống Giao thức Layer7.
Bây giờ hãy nhấp vào tab Action và chọn thả từ trình đơn thả xuống Action
38
Nhấp vào nút Apply và OK.
Tương tự, bạn có thể tạo Quy tắc lọc khác để chặn bất kỳ trang web nào
khác.
Bây giờ hãy thử cài đặt kiểm tra thành công những gì không.
40
Hình 49 : Thao tác vào Firewall
2. Trên Firewall Windows, nhấp vào tab "Giao thức lớp 7"
41
4. Nhấp vào tab "Quy tắc Bộ lọc" trong cửa sổ "Tường lửa".
4.1 Trên tab "General", đảm bảo rằng chuỗi "forward" được chọn.
5. Trên tab "Advanced", trong "Giao thức Lớp 7", chọn mục "Block" mà
chúng ta đã tạo trước đó.
6. Trên tab "Action", chọn từ chối làm hành động, sau đó nhấp vào
"OK" để hoàn tất.
Một cách khác để thiết lập tính năng chặn là nhập (hoặc dán) thông tin
sau vào cửa sổ dòng lệnh:
42
PHẦN III. KẾT LUẬN VÀ KIẾN NGHỊ
CHƯƠNG 4 : KẾT LUẬN VÀ KIẾN NGHỊ
Kết luận
Kết quả nghiên cứu so với mục tiêu đề ra
Thử lại các trang không truy cập được, đã thành công.
Ưu điểm của phương pháp chặn Web sử dụng Layer 7 Firewall
Bảo vệ cá nhân thông tin: Xác định mọi mạng người dùng và thông tin
mà mỗi người trong số họ sẽ được nhận.
Tối ưu hóa quyền truy cập: Trực tiếp xác định các giao thức sẽ được sử
dụng
Bảo vệ chống xâm nhập: Bảo vệ chống lại những kẻ xâm nhập bên ngoài
bằng cách giới hạn quyền truy cập vào mạng.
Nhược điểm của phương pháp chặn Web sử dụng Layer 7 Firewall
Nó không bảo vệ các cuộc tấn công mà không vượt qua tường lửa.
Nó không bảo vệ các đe dọa và tấn công mạng từ những người có chức
năng bảo mật.
Nó không bảo vệ chống sao chép quan trọng dữ liệu nếu nó đã được truy
cập.
Nó không bảo vệ chống lại các tấn công kỹ thuật xã hội (tấn công thông
qua các phương pháp.
Kiến nghị
Hướng ứng dụng của đề tài
NGFW là một bản nâng cấp cho tường lửa truyền thống. Nói một cách dễ
hiểu, Tường lửa thế hệ tiếp theo (NGFW) có thể được mô tả là tường lửa bổ
sung các lớp bảo vệ như kiểm tra cấp ứng dụng, cấp nâng cao của hệ thống bảo
vệ chống xâm nhập và cũng bổ sung thông minh cho ranh giới của tường lửa
truyền thống cùng với bảo vệ cổng / giao thức tiêu chuẩn
43
Một NGFW đã bổ sung cấp độ các chức năng bảo mật của ứng dụng như
hệ thống phát hiện xâm nhập hay còn gọi là IDS và hệ thống ngăn chặn xâm
nhập hay còn gọi là IPS.
Các ứng dụng này giúp bạn cải thiện tính năng lọc nội dung gói. Các tính
năng này cũng có thể xác định, phân tích và hành động chống lại các sai lệch
bất thường so với tập hợp tiêu chuẩn của các hoạt động, các dấu hiệu đe dọa
và các cuộc tấn công thông minh dựa trên hành vi của người dùng.
Quyền truy cập một bảng điều khiển
Bảo vệ nhiều lớp
Cơ sở hạ tầng đơn giản hóa
Sử dụng tối ưu tốc độ mạng
Bảo vệ chống vi-rút, mã độc tống tiền và thư rác & Bảo mật điểm cuối
Khả năng triển khai quyền truy cập dựa trên vai trò
Hướng phát triển của đề tài (khắc phục nhược điểm)
Như đã được đề cập ở phần trên , Một phần chính của việc có một mạng
an toàn là cài đặt tường lửa thế hệ tiếp theo. Tường lửa thế hệ tiếp theo (NGFW)
là bản nâng cấp cho tường lửa truyền thống và cung cấp khả năng bảo vệ tốt
hơn cho mạng của bạn. Nếu bạn đang tự hỏi NGFW có thể làm gì cho doanh
nghiệp của mình, hãy đọc để tìm hiểu:
44
[Tài liệu tham khảo]
[1]. Martins Strods (April 2017), Basic guidelines on RouterOS configuration
and debugging – MikroTik, Latvia.
[2]. MikroTik RouterOS™ v3.0 Reference Manual
[3]. MikroTik (2010), MikroTik RouterOS - Feature catalog. Q1-Q2 2010
[4]. Wikipedia, https://vozfen.com/thao-luan-cong-dong-nguoi-dung-mikrotik-
router.1396/ , ngày 13 tháng 04 năm 2022
[5]. Wikipedia,https://wiki.mikrotik.com/wiki/Manual:Initial_Configuration,
ngày 14 tháng 04 năm 2022
[6]. Wikipedia ,https://wiki.mikrotik.com/wiki/Manual:First_time_startup, ngày
15 tháng 04 năm 2022