Tài liệu hướng dẫn cấu hình tưởng lửa, giúp cho bạn có cái nhìn trực quan và dễ dàng thao tác để thực hiện được các yêu cầu từ phía khách hàng, đem lại sự an toàn và bảo mật. Nhằm mục đích nâng cao khả năng bảo mật cho hệ thống mạng và những yêu cầu khắt khe mà có thể giải quyết được bài toán.
Triển khai với thiết bị UTM-
Triển khai theo mô hình Distributed
Trong phần thực hành này chúng ta sẽ cài đặt thành phần quản trị Management Module (SmartCenter Server) trên Server 2003 và Enforcement Module (Firewall gateway) trên thiết bị UTM-1
Với thiết bị UTM-1 thì Interface Internal mặc định để connect cấu hình https://192.168.1.1:4434 Login với account mặc định: admin,password: admin.
Step1: Set User, Pass và Time
Khi đăng nhập thiết bị, người dùng sẽ được yêu cầu đặt lại mật khẩu mới Mật khẩu mới cần có độ an toàn cao, bao gồm sự kết hợp của chữ in hoa, ký tự đặc biệt như "@", và các ký tự số, ví dụ như "Admin@123" Việc thiết lập mật khẩu mạnh giúp đảm bảo an toàn và bảo mật tối đa cho thiết bị của bạn.
Sau khi đặt lại pass, chọn Next để tiếp tục
Xét time theo GMT+7 và chọn Apply rồi Next.
Step2: Cấu hình IP cho các Interface
Bước tiếp theo là cấu hình các giải mạng chuột kép vào các Interface cần cấu hình.
Sau khi cấu hình hết các Interface ta sẽ được như hình dưới đây.
Như trong hình trên ta thấy có thêm giải Secondary 192.168.1.1. tích vào ô có chứa giải mạng đấy và chọn remove IP.
Step3: Cấu hình Route và Default Route
Sau khi xóa IP 192.168.1.1, máy client cần đổi IP về dải 10.2.80.0 và đăng nhập lại tại địa chỉ https://10.2.80.4:4434 Trong quá trình đăng nhập, chọn "Next" để bỏ qua bước này và tiếp tục đến phần cấu hình định tuyến (routing) để hoàn tất cài đặt mạng.
Khi cấu hình routing chọn New Trong đó ta sẽ thấy 2 lựa chọn Route và Default route, cấu hình cái nào trước cũng được (như 2 hình dưới đây).
Sau khi cấu hình Route và Default route ta được như hình dưới, chọn Next để sang bước tiếp theo.
Step4: cấu hình Hostname và DNS
Bước tiếp theo ta sẽ cấu hình Hostname và DNS
Step5: Lựa chọn các thành phần cài đặt
Trong bước này ta chọn mục 2 chỉ cài thành phần Gateway.
Next để chuyển sang bước tiếp (các bước tiếp theo ta cứ để mặc định không cần chỉnh sửa gì và ấn Next).
Trong trường hợp chỉ có một thiết bị thì ta chọn Standard Gateway, nếu có 2 thiết bị chạy Cluster với nhau thì chọn vào lựa chọn 2 (This
Gateway is a member of a Cluster)
Sau khi hoàn thành việc chọn loại Gateway phù hợp, bước quan trọng tiếp theo là tạo SIC Key, nhằm đảm bảo sự giao tiếp hiệu quả giữa Management và Gateway Việc tạo SIC Key giúp kết nối hệ thống trở nên an toàn và ổn định, đảm bảo quản lý và vận hành thiết bị diễn ra thuận tiện Tạo SIC Key là bước quan trọng để thiết lập liên lạc đáng tin cậy giữa các thành phần trong hệ thống mạng IoT, nâng cao hiệu quả quản lý và bảo mật dữ liệu.
SIC Key là một dãy các chữ số từ 0 đến 9, abc… ( ví dụ: 123456).
Sau khi tạo SIC Key đến bước cuối cùng, chọn finish để bắt đầu quá trình cài đặt
Step7: Dùng dòng lệnh để bỏ chính sách mặc định ban đầu
Quá trình cài đặt sẽ mất khoảng 10’ Sau khi cài đặt xong Login vào Firewall qua Console Dùng lệnh fw unloadlocal để bỏ chính sách mặc định trên Firewall.
Triển khai theo mô hình Standalone
The Standalone model involves installing all components, including SecureGateway and SmartCenter, on a single device Meanwhile, the SmartConsole component is installed on a client device to manage the firewall through SmartDashboard This setup simplifies deployment and centralized management, making it ideal for smaller networks Using the Standalone configuration enhances security and reduces infrastructure requirements, ensuring efficient firewall management.
Trong mô hình StandAlone, các bước cài đặt ban đầu không có sự khác biệt cho đến bước 5 Ở bước này, thay vì chọn vào "Centrally Managed", người dùng sẽ chọn lựa chọn đầu tiên là "Locally Managed" để tiếp tục quá trình thiết lập.
Sau khi chọn vào Locally Managed bỏ qua bước tiếp theo trong lựa chọn cấu hình Cluster.
Chọn vào Finish để bắt đầu quá trình cài đặt
Triển khai với thiết bị IP
Upgrade boot manager cho thiết bị IP
Trước hết vào giao diện web cấu hình thiết bị như một FTP server như sau:
Step1: Enable FTP Access & Allow Network Login
Vào Configuration>Security and Access> Network Access andServices check vào Allow FTP access
Step2: Đưa gói tin IPSO6.2 vào thiết bị
Từ giao diện web vào Configuration > System Configuration> Images> Upgrede Image
Enter the necessary details including the URL for the IPSO.tgz file (version 6.2), along with the username and password to access the FTP server Ensure to select the "Deactivate Installed Packages After Upgrade" option to automatically install the IPSO.tgz package on the device after upload Finally, click "Apply" to initiate the update process.
Click Continue sau đó click Apply.
Click vào link Upgrade Image Status cửa sổ IPSO Image Mangement hiện ra thông một thông báo.
Sau khi nâng cấp thành công, hãy quay lại mục Quản lý Hình ảnh để kiểm tra và chọn "Hình ảnh Gần nhất Được Tải xuống" Sau đó, khởi động lại thiết bị để hoàn tất quá trình nâng cấp IPSO 6.2 Thiết bị của quý khách đã sẵn sàng để chạy kiểm tra bảo mật với Check Point R70.
Cài đặt gói tin CheckPoint R70
Để có thể đưa gói tin vào thiết bị thì ta cần dựng một FTP Server trên Client, có chứa gói tin CheckPoint.
Step1: Đưa gói tin vào thiết bị
Khi khởi động lại thiết bị, login vào thiết bị với account: admin, pass được khởi tạo trong trong bước cấu hình Hostname.
Sau khi đăng nhập, sử dụng lệnh "newpkg" để chọn phương thức đưa gói tin vào thiết bị Trong các tùy chọn, chọn lựa số 2 để chuyển gói tin qua FTP Server, đảm bảo quá trình truyền dữ liệu diễn ra thuận tiện và an toàn.
Step2: Cài đặt gói tin
Sau khi tải gói tin vào thiết bị, chọn số 1 để tiến hành cài đặt mới gói tin CheckPoint Khi thiết bị hiển thị thông báo "Successfully", bạn cần khởi động lại thiết bị để hoàn tất quá trình cài đặt.
Step3: Cài đặt thành phần CheckPoint
Dùng câu lệnh cpconfig để bắt đầu cài đặt.
Lựa chọn thành phần cài đặt Security Gateway (lựa chọn 2).
Sau khi tạo SIC Key thành công, bạn cần khởi động lại thiết bị để áp dụng thay đổi Tiếp theo, sử dụng console để kết nối vào thiết bị và chạy lệnh "fw unloadlocal" nhằm loại bỏ chính sách mặc định ban đầu Quá trình này giúp thiết lập cấu hình chính xác và đảm bảo thiết bị hoạt động ổn định theo yêu cầu.
Triển khai CheckPoint SecurePlatform
Triển khai theo mô hình Distributed
Step1: Đưa đĩa cài đặt NGX SecurePlatform vào ổ CD và khởi động lại máy tính
Khi khởi động, màn hình hiển thị dòng chữ "Welcome to Check Point", thể hiện quá trình chuẩn bị hệ thống Nếu không nhấn phím Enter trong vòng 90 giây, máy tính tự động tiếp tục khởi động từ ổ đĩa cứng, đảm bảo quá trình khởi động diễn ra thuận lợi và không bị gián đoạn.
Chương trình cài đặt được nạp và các tùy chọn sau sẽ được hiển thị
Chọn OK để tiếp tục việc cài đặt, hoặc nhấn Cancel để hủy bỏ
Cửa sổ System Type xuất hiện.
Step2: Lựa chọn loại hệ thống muốn cài đặt
Lời nhắc What type of system would you like to install? xuất hiện, nhắc chúng ta loại hệ thống nào muốn cài đặt.
Tùy theo loại license được mua, chọn một trong các lựa chọn sau: Security Gateway
Security Gateway Pro – bao gồm Advanced Routing Suite và các tùy chọn nâng cao bổ sung (ví dụ xác thực người quản trị bằng RADIUS)
Chọn OK, menu Keyboard Selection xuất hiện
Step3: lựa chọn Interface để cấu hình IP
Cửa sổ Networking Device xuất hiện
In the Networking Device window, use the up and down arrow keys to select the desired device This interface manages network connections, so choose a connection with a "link up" status to serve as the management port Once selected, click OK to confirm.
Step4: Cấu hình IP cho Interfaces
Trong menu Network Interface Configuration, hãy xác định địa chỉ IP cho giao tiếp quản trị, xác định netmask và defaut gateway.
Step5: Cấu hình Port quản trị qua giao diện WEB
Trong menu HTTPS Server Configuration, xác định việc cho phép hay không việc cấu hình SecurePlatform qua giao diện Web (thay đổi port
443 sang 4434, do port 443 sẽ dùng cho SSL VPN).
Chọn OK để tiếp tục
Chọn OK để tiếp tục và Cancel để hủy
Cảnh báo: Việc cài đặt sẽ fortmat lại ổ cứng và toàn bộ dữ liệu sẽ bị xóa.
Chọn OK để hoàn thành việc cài đặt
Hệ thống sẽ khởi động lại Đảm bảo là chúng ta đã đưa đĩa CD ra khỏi ổ.
Step6: Cấu hình login hệ thống
Sau khi khởi động, lời nhắc login hiện ra Gõ admin và nhấn phím Enter
Tại lời nhắc password : gõ admin và nhấn phím Enter
Khi được xuất hiện lời nhắc "Enter new password", người dùng cần nhập mật khẩu mới và nhấn phím Enter để xác nhận Sau đó, hệ thống yêu cầu nhập lại mật khẩu mới tại lời nhắc "Enter new password (again)", nhằm đảm bảo tính chính xác và an toàn của mật khẩu mới Đây là bước quan trọng giúp người dùng thay đổi mật khẩu một cách dễ dàng và bảo mật hơn.
Tại lời nhắc Enter new user name : Gõ lại tên user và nhấn Enter, hoặc nhấn luôn Enter nếu không thay đổi
Step7 Cấu hình với Wizard
Lời nhắc [cpmodule]# được hiển thị Gõ sysconfig tại dấu nhắc và gõ Enter
Error: Reference source not foundỞ phía dưới màn hình là lời nhắcYour choice : Gõ n tại dấu nhắc và nhấn Enter để tiếp tục
Step8: Cấu hình host name
Menu Network Configuration được hiển thị Tại dấu nhắc Your choice, gõ 1 và nhấn Enter
Error: Reference source not found Tại lời nhắc Enter host name prompt: Gõ tên tường lửa, ví dụ: fwabc, nhấn Enter
Nhấn tiếp Enter để tiếp tục
Tại lời nhắc Your choice: Gõ e và nhấn phím Enter để quay về menu Network Configuration.
Step9: Cấu hình tên miền
Trong màn hình Network Configuration, tại lời nhắc Your choice: gõ
2 và nhấn phím Enter để bắt đầu cấu hình tên miền
Menu Choice an action hiển thị, tại lời nhắc Your choice: gõ 1 và nhấn phím Enter.
Tại lời nhắc Enter domain name: gõ fwabc.cp và nhấn Enter
Nhấn Enter để tiếp tục
Tại lời nhắc Your choice: gõ e và nhấn Enter để quay về menu Network Configuration
Step10: Cấu hình IP cho các card mạng
Trong màn hình Network Configuration, tại lời nhắc Your choice: gõ
4 và nhấn phím Enter để bắt đầu cấu hình các kết nối mạng
Error: Reference source not foundMenu Choose a network connection configuration hiển thị, tại lời nhắc Your choice: gõ 2 và nhấn Enter
Menu Choose a connection to configure hiển thị, tại lời nhắc Your choice: gõ 2 và nhấn Enter
Tại lời nhắc Your choice: gõ 1 và nhấn Enter
Tại lời nhắc Enter IP address, gõ địa chỉ IP bên trong của fwabc và nhấn Enter
Khi có lời nhắc, gõ netmask cho mạng trong của fwabc và nhấn Enter Nhấn tiếp Enter để dùng địa chỉ quảng bá mặc định
Nhấn tiếp Enter để tiếp tục
Tại lời nhắc Your choice: gõ e và nhấn Enter để quay về menu Network configuration.
Step11: Xác nhận default gateway đã được đặt
Trong màn hình Network configuration, tại lời nhắc Your choice, gõ 5 và nhấn Enter
Error: Reference source not found Menu Choose a routing configuration hiển lên Tại lời nhắc Your choice, gõ 2 và nhấn Enter
Xem xét lại thông tin và xác nhận liệu đã đúng
Tại lời nhắc Your choice, gõ e và nhấn Enter để quay về menu Network Configuration
Menu Network Configuration hiển thị Tại lời nhắc Your choice: gõ n và nhấn Enter để bắt đầu việc cấu hình thời gian và ngày tháng.
Step12: Cấu hình time-zone
Menu Choose a time and date configuration hiển thị Tại lời nhắ Your choice: gõ 1 và nhấn Enter.
Tại dấu nhắc #?, gõ con số tương ứng với khu vực và nhấn Enter
Để thiết lập múi giờ, bạn cần nhập số tương ứng với quốc gia tại dấu nhắc #? rồi nhấn Enter Tiếp theo, nhập số tương ứng với múi giờ phù hợp và nhấn Enter để xác nhận Sau đó, gõ 1 và nhấn Enter để xác nhận thông tin đã chính xác, rồi quay trở lại menu cấu hình ngày giờ phù hợp.
Step13: Cấu hình ngày tháng
Menu Choose a time and data configuration hiển thị Tại dấu nhắc Your choice: gõ 2 và nhấn Enter
Khi có lời, gõ ngày tháng theo khuôn dạng: MM-DD-YYY (Tháng- Ngày-Năm) và nhấn Enter
Step14: Bỏ qua việc Import cấu hình sản phẩm
Menu Import Check Point Products configuration hiển thị
Hiện tại, chúng tôi đang tiến hành cài đặt mới phần mềm Check Point VPN-1, do đó chưa có file cấu hình để import Khi xuất hiện thông báo "Your choice", bạn chỉ cần gõ "n" rồi nhấn Enter để tiếp tục quá trình cài đặt một cách dễ dàng và nhanh chóng.
Step15: Chấp nhận thỏa thuận về bản quyền
Màn hình Welcome to the Check Point Suite hiển thị Gõ n để tiếp tục Màn hình License Agreement hiển thị Sử dụng phím space bar để xem nội dung
Khi có dấu nhắc, gõ y và nhấn phím Enter để chấp thuận các điều khoản về thỏa thuận bản quyền.
Màn hình Checking for Previous Installation hiển thị Chúng ta đang cài đặt mới do vậy không cần thực hiện hành động nào nữa.
Step16: Chọn sản phẩm cần cài đặt
Màn hình Product Selection hiển thị
Màn hình Installation Options hiển thị Gõ 1 để chọn New Installation và gõ n để tiếp tục.
Error: Reference source not found Màn hình Select Products hiển thị Gõ 1 để chọn Security Gateway
Khi dấu nhắc lựa chọn tự động sinh IP thì chọn theo mặc định là n,tương tự với lựa chọn cho Cluster.
Step17: Bỏ qua add License
Khi hỏi có muốn add License không, tạm thời ta sẽ chọn n để bỏ qua, sau khi kết thúc quá trình cài đặt sẽ đưa vào sau.
Sau khi tạo SIC Key thiết bị sẽ yêu cầu khởi động lại.
Sau khi tạo SIC Key xong, bạn cần khởi động lại thiết bị để áp dụng các thay đổi Sử dụng console để truy cập vào thiết bị, rồi thực hiện lệnh "fw unloadlocal" nhằm loại bỏ chính sách mặc định ban đầu Điều này giúp thiết lập cấu hình tùy chỉnh cho thiết bị mạng của bạn một cách hiệu quả.
Triển khai theo mô hình Standalone
Tương tự như cài đặt với thiết bị UTM-1, các bước cấu hình với SecurePlatform vẫn không có gì thay đổi cho tới bước
Step1 : Chọn thành phần cài đặt
Màn hình Select Products hiển thị Gõ 1, 3 để chọn Security Gateway và Sercurity Management
Step2: Chọn primary Security Management
Step3: Cấu hình người quản trị
Chương trình cấu hình Check Point hiển thị dòng chữ "Welcome to Check Point Configuration Program" Ở cuối màn hình, có dấu nhắc hỏi người dùng có muốn đưa license vào hay không Trong bài thực hành này, chúng ta sẽ sử dụng license thử nghiệm, vì vậy không cần phải nhập license vào hệ thống.
Error: Reference source not found Tại dấu nhắc, gõ n và nhấn Enter
Tại cuối màn hình, dấu nhắc hỏi chúng ta có muốn tạo một người quản trị Gõ y và nhấn Enter
Tại lời nhắc Administrator name: gõ admin và nhấn Enter
Tại lời nhắc Password: gõ abc123 và nhấn Enter
Tại lời nhắc Verify Password: gõ abc123 và nhấn Enter
Step4: Cấu hình GUI Client
Tại cuối màn hình, lời nhắc đang nhắc chúng ta tạo các máy trạm cho console Tại dấu nhắc, gõ y và nhấn Enter
Error: Reference source not found
Gõ IP của máy trạm mà sẽ dùng để quản trị firewall và nhấn Enter
Chú ý gõ Any để chấp nhận bất kỳ IP máy trạm nào.
Nhấn Ctrl + D để kết thúc
Khi có dấu nhắc, gõ y và nhấn Enter để xác nhận địa chỉ IP là chính xác.Khởi động lại máy, gõ reboot và nhấn Enter
Cài thành Phần quản trị trên WinServer 2003
Step1: Đưa đĩa CD vào và chọn vào file Setup.exe
Chọn vào Forward, khi cửa sổ đồng ý hay không đồng ý hiện ra Chọn vào I accept, chọn Next để đến bước tiếp theo.
Chọn vào New install để cài đặt mới, ấn Next và chọn vào Custom và ấn Next.
Step3: Chọn các thành phần cài đặt
Trong phần này ta chỉ chọn Smartcenter và smartconsole
Sau khi thực hiện các bước trên gói tin sẽ tự động cài đặt Trước khi gói CheckPoint được cài đặt, nó sẽ cài net.framework trước.
Gói tin sẽ tự động cài đặt cho đến khi Successfully.
Chọn Next cho bước tiếp theo
Sau khi chọn Next cứ để tự chạy đến khi hỏi lựa chọn add License thi chọn vào lựa chọn 1 và ấn Next để bỏ qua việc add License.
Step5: Add account quản trị
Chọn add để add account admin
Phần add GUI Client, anh hãy để any trước
Sau khi chọn GUI xong chọn Next
Sau khi chọn finish sẽ yêu cầu khởi động lại.
Đưa Firewall vào Smartcenter và tạo chính sách ban đầu
Đưa Firewall vào thành phần quản trị
Việc đưa Firewall vào thành phần quản trị chỉ thực hiện với mô hình Distributed.
Step1: Log vào Smartcenter qua Smardashboad
Do đây là lần đầu tiên SmartDashboard kết nối vào máy chủ SmartCenter, nên chúng ta phải xác nhận địa chỉ IP của SmartCenter và fingerprint.
Step2: Tạo một Securety Gateway trong tab Check Point
SIC Key đã tạo khi triển khai trong mô hình Distributed, để nhậpSIC Key chọn vào Comunication.
SIC để cho Security Gateway và Security Managment có thể nói chuyện được với nhau.
Trong Communications Điền Key vừa tạo và ấn initialize.
Sau khi trạng thái đã được thiết lập phải Get lại topology choGateway (Interfaces with Topology…) trong tab Topology.
Thiết lập chính sách kiểm soát truy cập
Chính sách bảo mật là bộ luật định nghĩa các nguyên tắc an ninh cho hệ thống mạng của bạn Trong firewall Check Point, chính sách này được xây dựng dựa trên một tập luật (Rule Base) nhằm kiểm soát và bảo vệ dữ liệu Việc thiết lập chính sách bảo mật rõ ràng giúp đảm bảo an toàn cho hệ thống mạng trước các mối đe dọa từ bên ngoài Use keywords như "chính sách bảo mật", "firewall Check Point", và "Rule Base" để tối ưu hóa SEO cho nội dung của bạn.
Luật mạng bao gồm các thành phần chính như đối tượng mạng, người dùng, nhóm, dịch vụ, tài nguyên và hành động, giúp quản lý và kiểm soát truy cập hiệu quả Để xây dựng chính sách bảo mật, cần định nghĩa các đối tượng cơ bản thể hiện cấu hình mạng, trong đó, ví dụ thực hành đã tạo sẵn đối tượng thể hiện tường lửa fwabc để đảm bảo an ninh mạng Việc tạo các đối tượng mạng này là bước quan trọng để thiết lập các quy tắc và chính sách phù hợp với yêu cầu của hệ thống.
Step1: Tạo đối tượng host
Từ cây đối tượng, click chuột phải vào biểu tượng Node
Chọn New Nodes > Host, màn hình Host Node xuất hiện và chúng ta nhập các thông tin như sau:
Step2: Tạo đối tượng mạng
Từ cây đối tượng, click chuột phải vào biểu tượng Networks
Màn hình Network Properties hiện ra, và nhập thông tin như dưới đây
Nhập thông tin như hình sau
Với cấu hình trên chúng ta đang dịch địa chỉ mạng LAN_0 ra địa chỉ
Để dịch địa chỉ IP của tường lửa ra một địa chỉ IP bên ngoài khác, bạn cần chọn vào trường "Hide behind IP Address" và nhập địa chỉ IP mong muốn vào đó Việc này giúp ẩn địa chỉ IP nội bộ của hệ thống và thay thế bằng IP bên ngoài phù hợp, đảm bảo an toàn và bảo mật mạng.
Chọn OK để quay về SmartDashboard
To NAT a server to a public IP, select the Static NAT option and specify the public IP address in the designated field This setup allows the server to be accessible externally through a dedicated public IP Static NAT provides a reliable and consistent way to map internal IP addresses to external public IPs, ensuring seamless communication and network accessibility.
Step3: Tạo các luật cơ bản
Sau khi tạo đối tượng Host và Network, bước tiếp theo là xây dựng chính sách ban đầu cho hệ thống Để đảm bảo hệ thống hoạt động ổn định, chúng ta sẽ mở chế độ "any, any" nhằm cho phép người dùng truy cập Internet và các mạng nội bộ khác trong hệ thống, trước khi tiến hành tinh chỉnh các thiết lập bảo mật phù hợp.
Từ thành menu chọn Rule > Add Rule (chọn Top, Below hoặc Aprove)
Step4: Cài đặt chính sách
Sau khi tạo gói chính sách, ta sẽ cài chính sách để thực thi nó.
Từ thành menu chọn Policy > Install
Hộp thoại cảnh báo SmartDashboard xuất hiện.
Chọn vào hộp check box: Don’t show this message again.
Click vào nút OK và hộp Install Policy xuất hiện
Xác nhận răng fwabc có trong trường Installation Targets như hình sau, và click OK để cài đặt chính sách.
Sau khi chính sách được cài đặt, click vào nút Close để quay vềSmartDashboard
Chính sách tường lửa đóng vai trò vô cùng quan trọng trong việc bảo vệ hệ thống mạng khỏi các mối đe dọa ngày càng tinh vi Việc không thiết lập chính sách chặt chẽ có thể khiến hệ thống dễ bị tấn công từ các vùng mạng khác, dẫn đến nguy cơ lây lan virus và đánh cắp dữ liệu nhức nhối Để xây dựng một tập chính sách an toàn, người quản trị cần hiểu rõ toàn bộ ứng dụng và luồng dữ liệu đi qua tường lửa, từ đó đảm bảo khả năng kiểm soát và phòng ngừa hiệu quả Chúng tôi xin giới thiệu mẫu gói chính sách đề xuất giúp người dùng thiết lập tường lửa chặt chẽ, tăng cường an ninh hệ thống mạng.
Xem chi tiết tại file: tài liệu tư vấn chính sách.doc
Cấu hình Cluster
Trên thiết bị chỉ cài thành phần Security Gateway
Để cấu hình Cluster trên mỗi gateway, cần đảm bảo tối thiểu 3 Interface có địa chỉ IP Trong đó, một Interface dùng để đồng bộ dữ liệu giữa hai Firewall, giúp duy trì tính nhất quán và hoạt động ổn định của hệ thống Các địa chỉ IP của mỗi Interface trên Firewall phải nằm trong cùng dải mạng với IP của Interface tương ứng trên Firewall còn lại, đảm bảo tính kết nối và truyền dữ liệu hiệu quả.
Step1: Cài đặt thiết bị như trong mục 1.1
Khi quá trình cài đặt thực hiện đến Step5: ta sẽ chọn vào lựa chọn thứ 2 (This Gateway is a member of a Cluster)
Sau khi bật tính năng Cluster trên thiết bị, bạn cần thực hiện các bước còn lại theo hướng dẫn tại mục 1.1 Quá trình cài đặt cho thiết bị thứ hai cũng tương tự như thiết bị đầu tiên để đảm bảo hệ thống hoạt động ổn định và tối ưu.
Step2: Cài đặt thành phần quản trị
Việc cài đặt thành phần quản trị sẽ được thực hiện theo mục 4.
Step3: Đưa Firwall vào quản trị
Sau khi đưa Firewall vào Smartcenter và thực hiện các bước trong mục 5.Chuột phải vào Checkpoint -> Security Cluster…
Cấu hình các thông số như trong hình
Step4: Đưa Firewall vào Cluster Members
Kích vào Cluster Members -> Add -> Add Gateway to Cluster
Trong Add Gateway to Cluster chọn Cluster1 và Cluster2 để đưa vào Cluster Members.
Sau khi thêm firewall vào Cluster, người dùng cần truy cập vào mục Topology để chỉnh sửa Topology Trên mỗi Gateway, chọn "Get Topology" và trong tab Fw-Cluster, kích đúp vào từng Interface để điền thông tin về Virtual IP, MAC, và Name, giúp cấu hình mạng trở nên chính xác và tối ưu.
Sau khi edit đầy đủ các thông tin quay trở lại Tab ClusterXL
- Chọn vào Loadsharing cho 2 Gateway cùng Active tại một thời điểm( trong trường hợp có License hỗ trợ)
- Trong trường hợp không có License hỗ trợ Loadsharing thì chọn vào High Availability Ấn ok và cài chính sách cho Cluster
Trên thiết bị cài cả thành phần Security Management
Thực hiện quá trình cài đặt như trong mục 1.2 và chọn vào This Appliance is part of a UTM-1 Cluster với Primary Cluster Member cho thiết bị đầu.
Thực hiện các bước tiếp theo trong mục 1.2
Để cài đặt thiết bị Secondary, bạn cần chọn vào mục Secondary Cluster Member Sau đó, hệ thống sẽ yêu cầu nhập Active Key, giống như khi cài đặt thành phần Security Gateway Cuối cùng, nhấn OK để bắt đầu quá trình cài đặt thiết bị Secondary một cách dễ dàng và hiệu quả.
After installing both devices, log into the primary device via Smartdash Board Then, add the secondary device to the cluster, similar to how you integrate a firewall into Smartdash Board This process ensures proper device management and seamless network security setup.
Thiết bị Cluster có thành phần quản trị tích hợp giúp bạn không cần phải tạo Gateway Cluster thủ công Thay vào đó, trên thiết bị Primary, Cluster sẽ tự động hình thành, giúp quá trình thiết lập nhanh chóng và dễ dàng hơn Bạn chỉ cần kết nối firewall Secondary vào hệ thống và chỉnh sửa IP Virtual theo các bước đã hướng dẫn, đảm bảo cấu hình thuận tiện và tiết kiệm thời gian.
Lựa chọn High Availability hoặc Load Sharing trong ClusterXL như trên.)Cài chính sách cho Cluster
Mạng riêng ảo
Cài đặt mạng riêng ảo theo mô hình site to site
Thiết lập các luật cơ bản như sau
Step1: Thiết lập miền VPN
Từ thanh menu chọn Manage > Network Objects, màn hình Network Objects xuất hiện.
Chọn đối tượng tường lửa fwabc từ danh sách các đối tượng
Chọn nút Edit, chắc chắn là VPN được chọn trong trường CheckPoint Products trong General Properties
Chọn tùy chọn Topology trong danh sách thuộc tính
Trong phần VPN domain, chọn vào Manually defined
Chọn đối tượng mạng LAN_0 trong danh sách thả xuống củaManually defined
Step2: Đưa tường lửa vào VPN community
Chọn tùy chọn VPN từ danh sách thuộc tính
Trong phần VPN chọn nút Add
Chọn MyIntranet từ hộp Add This Gateway To Community
Chọn OK để quay lại màn hình VPN
Chọn OK để quay về màn hình Network Object
Step3: Tạo đối tượng mạng của đối tác
Tạo đối tượng mạng của đối tác với thông tin sau
Tạo đối tượng tường lửa của đối tác
Chúng ta sẽ tạo một đối tượng tường lửa của site đối tác để kết nối VPN site-to-site với nhau
Từ cây đối tượng, nháy chuột phải vào biểu tượng Check Point, chọnNew Check Point > Externally Managed VPN Gateway
Nhập thông tin cho tường lửa đối tác như hình sau
Chọn vào thuộc tính Topology trong danh sách thuộc tính
Trong phần VPN domain, chọn vào Manually defined
Chọn đối tượng mạng LAN_20 trong danh sách thả xuống của Manually defined
Chọn tùy chọn VPN từ danh sách thuộc tính
Trong màn hình Add This Gateway to Community, chọn MyIntranet
Chọn nút OK để đưa MyIntranet vào màn hình VPN của tường lửa đối tác
Step4: Cấu hình cộng đồng VPN MyIntranet
Từ thanh menu của SmartDashboard, chọn Manage > VPNCommunities, hộp VPN Communities xuất hiện
Nháy đúp vào MyIntranet Hộp thoại sau xuất hiện
Chọn vào Participating Gateway từ danh sách thuộc tính
Xác nhận răng chỉ có fwabc và fwpartner nằm trong trường Participant Gateway
Mở rộng tùy chọn Advanced Settings và chọn Excluded Services Chọn tùy chọn Shared Secret từ danh sách thuộc tính
Chọn vào hộp check box Use only Shared Secret for all External members
Chọn fwpartner từ danh sách Peer Name
Chọn vào nút Edit, và hộp Insert Secret xuất hiện, nhập vào abc123 Chọn OK để đóng hộp Insert Secret
Chọn OK để đóng hộp Meshed Community Properties
Chọn Close để quay về SmartDashboard
Step5: Tạo luật cho kết nối VPN
Tạo một luật bên dưới luật Stealth
Sử dụng các thông tin dưới đây cho luật mới
Xác nhận rằng luật vừa tạo như sau:
Nháy chuột phải vào cột VPN của luật IKE VPN, menu VPN xuất hiện
Chọn Edit Cell từ menu VPN, và hộp VPN Match Conditions xuất hiện
Chọn Only connection encrypted in specific VPN Communities Chọn vào nút Add, hộp Add Community to rule xuất hiện
Chọn OK, hệ thống sẽ đưa MyIntranet vào hộp thoại VPN Match Conditions
Cộng đồng MyIntranet được đưa vào cột VPN trong luật IKE VPN:
Thực hiện cài đặt chính sách
Cài đặt mạng riêng ảo theo mô hình client to site
Hủy bỏ luật IKE VPN vừa tạo trong bài thực hành trước
Step1: Cấu hình cộng động VPN Client-to-site
Từ SmartDashboard, chọn thẻ VPN Manager và nháy đúp vào biểu tượng Remote_Access_Community
Hộp thoại Remote Access Community Properties xuất hiện
Chọn vào Participating Gateways trong danh sách thuộc tính
Chọn Add, hộp thoại Add Participating Gateways xuất hiện
Chọn fwabc và nhấn OK
Tường lửa fwabc xuất hiện trong trường Participant Gateways
Từ màn hình Remote Access Community Properties, chọn Participant User Groups trong danh sách thuộc tính
Hộp Add Participant User Groups xuất hiện
Chọn All user, chọn OK
All users xuất hiện trong trường Remote Access User Groups Chọn OK để quay về SmartDashboard
Step2: Tạo luật kết nối VPN Client-to-Site
Từ SmartDashboard, chọn vào thẻ Security
Tạo một luật bên dưới luật Stealth như sau
Xác nhận luật chúng ta vừa tạo như sau
Nháy chuột phải vào cột VPN của luật Remote Access, menu VPN xuất hiện
Chọn Edit Cell từ menu VPN, và hộp VPN Match Conditions xuất hiện
Chọn Only connection encrypted in specific VPN CommunitiesChọn vào nút Add, hộp Add Community to rule xuất hiện
Chọn OK, Remote_Access_Community xuất hiện trong hộp Match conditions
Step3: Cấu hình cho phép SSL VPN
Chú ý với thiết bị chạy Cluster thì VPN Pool sẽ đưa vào Tab VPN trong Gateway Member
Chọn OK, quay về SmartDashboard
Xác nhật luật mới được tạo như sau
8 Nâng cấp lên phiên bản mới
Check Point khuyến cáo người dùng luôn nâng cấp lên phiên bản mới nhất để đảm bảo an ninh và hiệu suất hệ thống tối ưu Trước khi tiến hành nâng cấp, người dùng cần đọc kỹ các ghi chú phát hành (release note) của phiên bản để hiểu rõ các tính năng mới và các thay đổi quan trọng Việc kiểm tra kỹ các lưu ý trong bản cập nhật giúp tránh các sự cố không mong muốn và đảm bảo quá trình nâng cấp diễn ra suôn sẻ.
Khi nâng cấp phiên bản mới, người dùng cần nhận thức rõ các lỗi phát sinh và hạn chế của phiên bản đó để đánh giá xem chúng có ảnh hưởng tiêu cực đến hệ thống của mình hay không Việc hiểu biết về những giới hạn này giúp tránh các rủi ro không mong muốn và đảm bảo quá trình nâng cấp diễn ra suôn sẻ, an toàn cho hệ thống Nhận diện các lỗi tiềm ẩn sẽ giúp lập kế hoạch phù hợp, giảm thiểu tác động tiêu cực và duy trì hiệu suất hoạt động ổn định.
- Phiên bản phần mềm có tương thích với phần cứng không?
- Nếu quyết định thực hiện nâng cấp, các bước làm sẽ làm theo release notes của từng version.
9 Sao lưu dự phòng cho hệ thống tường lửa
Việc sao lưu dự phòng thường xuyên là yếu tố then chốt để duy trì an toàn cho hệ thống tường lửa Đối với các cơ quan, tổ chức có nhiều máy chủ quan trọng, việc đảm bảo khả năng khôi phục nhanh chóng sau sự cố hoặc mất dữ liệu là vô cùng cần thiết Thực hiện sao lưu định kỳ giúp bảo vệ dữ liệu khỏi các rủi ro như mất mát do lỗi phần mềm hoặc vô tình xóa tệp tin quan trọng Điều này không chỉ nâng cao độ tin cậy của hệ thống mà còn giảm thiểu thiệt hại thời gian doanh nghiệp bị gián đoạn do các sự cố về dữ liệu.
9.1 Với thành phần quản trị nằm trên thiết bị UTM-1, SercuPlatform
Các thư mục, dữ liệu cần sao lưu
Việc sao lưu định kỳ toàn bộ thư mục $FWDIR/conf trên máy chủ SmartCenter là cực kỳ quan trọng để đảm bảo an toàn dữ liệu Thư mục này chứa các tập luật, các đối tượng và cơ sở dữ liệu người dùng, đảm bảo thông tin cấu hình quan trọng của hệ thống được bảo vệ Thực hiện sao lưu đều đặn giúp giảm thiểu rủi ro mất mát dữ liệu và đảm bảo việc khôi phục hệ thống nhanh chóng trong trường hợp xảy ra sự cố.
Thường xuyên sao lưu thư mục quan trọng để đảm bảo dữ liệu không bị mất Các tệp trong thư mục này, như base.def, có thể thay đổi theo thời gian Việc cập nhật phần mềm có thể ghi đè các tệp đã chỉnh sửa, dẫn đến thư mục $FWDIR/lib trở về trạng thái mặc định Do đó, việc sao lưu định kỳ giúp bảo vệ dữ liệu nhanh chóng phục hồi khi cần thiết.
Các file log được hiển thị trong SmartView Tracker cũng nên được sao lưu (logswitch) thường xuyên Việc sao lưu này có thể được thực hiện
