Luận văn nghiên cứu triển khai hệ thống bảo mật dựa trên check point 12200

“Trong để tài “Nghiên cứu, triển khai hệ thống bảo mật đựa trên Check Point 12200” này tôi chí nghiền cứu một số tính năng quan trọng trên Check Point như là khả năng kết nỗi, cảc quy t

MUC LUC

DANH MỤC CÁC THUẬT NGỮ, chữ viết TAT

1.2.2, Danh cap thong tin bang Packet Sniffers

1.2.3 Danh lia (IP Spoofing)

1.2.4 Tấn công từ chối dich vu (Denial Of Services)

1.2.5 Tân công trực tiếp Password

1.2.6 Tham thinh (Agent)

1.2.7 Tân sông vào yếu tố con người

1.2.8 Các phương thức tân công D.O.S thông thưởng

1.2.9 Phương thức tân công bằng Mưil Rzlay

1.2.10 Phương thức tấn công hệ thống DXS

1.2.11 Phương thức tân công Man-In-Thc-Middlc Adadk

1.2.12 Phương thức tấn công Trust Exploitatior

1.2.13 Phương thức tân công Port Ređirection

1.3.14 Phương thức tấn công lớp ứng dung

1.2.15 Phương thức tấn Virns và Trojan Horse

CHUONG 2- CHECK POINT

2.1 Giới thigu Check Point

2.3 Giới thiệu các dong thiét bi cia Cheek Point

2,3, Nhiing tinh ning nỗi bật trén Check Point

2.3.1 Firewall

2.3.2 Hồ trợ phân tich Log

2.33 VPN

3.3.4 Tỉnh nõng quân lý (SuurtCenter và GỬI ChenD

2.3.5 Tinh ning quan ly Log

2.3.6 Tính linh dộng

2.3.7 Tính năng nỗi trội khác

2.4 Các thành phần bảo mật của Check Point

trúc Check Point Soflware Blades

2.5.2 Những lợi ích chỉnh của Chcok Point Softwarc Bladc

2.5.3, Security Gateway Software Blades

2.5.4 Security Management Blades

3.2.1 Phương thức xác thực trên Check Point

3.2.2 Cơ chế xác thực trén Check Point

3.2.2.1 VPN-1 & Birewall-I Password.

3.2.2.2 OS Password

3.2.2.3, Radius

3.2.2.4, Tacaos

3.2.2.5, SecurID

CAUONG 4- PHUONG THUC KET NOLTREN CHECK POINT

4.1 Intemet Service Provider (1SP} Rundundancy

4.1.1 Hoạt động của ISP Redundancy

4.1.2 Kết nỗi tử trong Firewall ra Intemet

4.1.3, Kếtnôi từ phia ngoài Intsmet vào bên trong mạng

4.2 NAT trong Check Point Security Gateway

4.2.1 Automagtic Hide NAT va Static NAT trén CheckPoint Firewall

4.2.2, NAT Rule Base

4.2.3 Câu hình NAT trên Check Point Security Gateway

4.2.3.1, Automatic NAT cha Node Object

4.2.3.2 Câu hình Manual Static NAT

4.3 VPN trên Chock Point

4.3.1 VPNR Ái

4.3.2 VIN Site-To-Site

43.2.1 Intranet-based VPN

4.3.3.2 Extranet-based VPN

4.3.3 Giải phap VPN trén Check Point

4.3.4 khái niệm đặc trưng VPN

CHƯƠNG §- NGÃN CHẶN XÂM NHẬP TRÊN CHECR POINT

(INTRUSION PREVENTION SYSTEM -— IPS}

5.1 Giới thiệu về IPS trong Firewall Check Point

5.2 Phương thức hoạt déng cia Check Point IPS

CHUGNG 6: TRIEN KHAIMO AINE TREN CHECK POINT 12200 6.1 Bài toán dat ra

6.2 Mô hình trong bài Lab

6.3 Các bước thực hiện bài Lab HH tk rhet

6.3.1 Cài đặt cầu hình Check Point Security Gateway Cluster

6.3.2 Triển khai NAT và tạo Rnle cho phép VLAN10 ra Intemet

6.3.3 Céu hinh Application and URL Filtering trén Check Point

6.3.3.1 Câu hình chặn trang Facebook com

6.3.3.2 Câu hình chan URL trén Cheek Peint

6.3.4, Triển khai VPN trên Cheok Point

6.3.4.1 Câu hình VPN Remote Access

6.3.4.2 Câu hình VPN Site-To-Site

KẾT LUẬN

DANH MỤC TÀI LIỆU THAM KHẢO

LOT CAM DOAN

Téi xin cam đoan luận văn nảy là công trình nghiên củu của riêng tôi trong

đó có sự giúp đỡ rất lớn của thây hướng din T's Nguyễn Tuân Dũng

Các nội đưng nghiên cứu, kết quả trong đề tài này là trang thực và chua công

bổ đưới bất kỳ hình thức nào trước đây

“Trong luận văn, tôi cẻ fham khảo đến một số tài Hệu đã được liệt kê tại phần

Tài liệu tham khảo ở cuối luận văn Các tài liệu tham khảo dược trích dễn trung thực trong luận văn

Hã Nội, ngày thông năm 3016

Tác giá

Nguyễn Văn Hoan

ĐANIT MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TÁT

TP Tniemet Proioogl

DNs | Domain Name System

XIG Network Interface Card

Frp Jile ‘Transfer Protocal

SMIP | Simple Mail Transfer Protocol

POP3 | Post Office Protocol

WAN | Wide Area Networks

ssi Scoure Sckets Layer

SSiT Secure Shell

DMZ | Demilitarized Zone

HIDS | Host-Base IDS

IDS Intrusion Detection System

os Operating System

VPN | Vitual Private Network

OST Open Systems Interconnection

RADIUS | Remote Authentivation Dixl In User Service

DES Datla Encryption Standard

AES | Advaneed Lneryption Standard

GU Graphic User interface

LAN | Local Area Network

L2TP _ | Layer 2 Tunneling Protocol

TPS Intrusion Prevention System

QOS | Quality of Seivice

LDAP | Lightweight Directory Avcuss Protocol

Ore One-Time Password

PIN Personal Identilication Number

NAT | Network Address Translation

IPSce [IP Security

TEE Tniemet Koy Bxchange

IDP Intrusion Detection and Prevention

SYN | Synchronize

DOS Denial of Services

ICMP | Intemet contral message Protocol

PKI Publish Key Inftastracture

DANIT MUC IEINIT

Hình 2.1: Các đòng sản phẩm ctia Check Point

Hinh 2.2: Check Point Software Bladss

Hinh 3.1: Cac thanh phan ciia Rule

Hình 4.1: Mô hình kết nỗi Intemet qua Check Point

Linh 4.2: NAT Rule Base trong Check Point Security Gateway

1lình:4.3 Mô hình NAT Web

Hinh:4.4: Static NAT

Hinh:4.5: Manual Static NAT Web Server

Hình 4.6: CHient tử xa tới Host ding sau Gateway

Hình 4.7: Mô hình VPN Site“lo-Site (Intranet Based)

Hình 5.1: Hoạt động Port Soan

1lình 5.2: Hình thức tân sông DoS

Tình 5.3: Các gói tin SYN từ một địa chỉ không có thực gii tới Wsb Server

Hình 5.4: Ghỉ nhận được tiền Check Pơiml [P§— Mode DetceL

Hình 6.1: Mô lánh tổng thể của bài LAB

Hinh 6.2: Bang dia chi Check Point CP-Xodel

Hinh 6.3: Bang dia chi Check Point 02

Hinh 6.2: Cau hinh Cluster cho 2 Check Point

Llình 6.3: Khai bao thang tin cho Check Point Cluster

Hinh 6.4: Add 2 Check Point

Hinh 6.5: Chon Network Synchronization gitta 2 Chuck Point

Hirth 6.6: Chon Network Management cho Check Point

Hình 6.7: Chon Network Outside cho Check Point

Hinh 6.8: Chon Network Outside cho Check Point

Hình 6.9: Kiểm tra hoại dong Cluster cila Check Point

Hình 6.10: Tao Subnet và NAT Intemal

Hinh 6.11: lao Rule

Add User muên câm Eacebook

‘Tao Rule cam URL mp3.aing.vn

Dat ten URL can cam

Dia chi URL can cam

Tao mét Object MP3

Mô hình VPX Remote Aceess

Bat chite ning VPN trén Check Point

Dai dia chi tu do hệ thống sinh ra khi bật chức năng VỊ C4u hinh Office Mode

Cầu hinh xác thực Pre-Sharekey

Định nghĩa VPN Commmmiity và Participants

“Tạo luật kết nỗi VPN ChienI-To-Site

Enable IPScu VPN Tao Domain VPX ¬

Tạo đối tượng mạng chỉ nhảnh

Tạo tường lửa chỉ nhánh

Tao Domain VPX chỉ nhảnh

Tao VPN Si-To-Site Đặt lên VPN Site-Te-Site

Add Gateways VPN Site-To-Site

‘Thidt lap Tunnel Management

‘Thiét lap Shared Secret

Tao Rule kétnéi VPN Site-To-Site

MG DAU

Check Point a céng ty hang đầu thể giới trong lĩnh vục an ninh, bảo mật trên

Intemet và là một công ty tén phong, đổi mới trên thị trường tưởng lửa doanh

nghiệp, an ninh đữ liệu và VPX

“Tiên điểm duy nhất ma Check Point nhằm tới chỉ là An toàn thông tin,

Check Point phân phổi mội kiến trúc an ninh hợp nhất nhằm bão vé cho doanh nghiệp túi nguyễn và truyền thông, bao gồm hệ thống Mang đoanh nghiệp và các

ứng dụng, các nhân viên làm việc từ xa, các văn phòng, chỉ nhánh và mạng Extranets d6i tac Cac sin phdm Check Point bảo vệ và rnã hỏa các thông tin nhạy cảm của doanh nghiệp trên máy tỉnh và các thiết bị di đồng khác Giải pháp đưoc giải thưởng Check Point ZoneAlarm bao vệ cho hàng triệu người đùng thông thường khỏi 1Iackers, Spyware Các giải pháp của Check Poini được bản, tích hợp

và dịch vụ bởi mạng lưới các đối tic ea Chock Point tran toàn cầu Các khách hàng, của Chack Poinl bao gồm hàng chục ngăn doanh nghiệp và tổ chức có qui mô khác nhau

“Trong để tài “Nghiên cứu, triển khai hệ thống bảo mật đựa trên Check Point

12200” này tôi chí nghiền cứu một số tính năng quan trọng trên Check Point như là khả năng kết nỗi, cảc quy tắc truy cập mạng, cơ chế NA'T, triển khai các địch vụ Cluster, VPN tir dé dua ra gidi php bao mat va trién khai giả lập mô phỏng bằng,

eae bai Lab tn trén Cheek Point

10

CHƯƠNG 1- TÔNG QUAN VÉ BẢO MẬT

+ Mức mạng: Ngăn chặn xâm nhập bắt hợp pháp vào hệ thông mạng

Mức Server: Kiểm soát quyền truy cập, các cơ chế bảo mật, quá trình nhận

trường thông tín: Trong mỗi cơ số dữ liệu km soát được rỗi trường

dữ liệu chứa thông tin khác nhau sẽ cho phép các đối tượng khác nhau cỏ

quyền truy cập khác nhau

+ Mức mật mã: Mã hoá toàn bộ File dữ liệu theo một phương pháp nào đó và

chủ cho phép người có quyển mới có thể sử dựng được Išle đữ liệu

1.2 Các kiểu tân công mạng

Cũng với sự phát tiển nhanh chồng của mạng thì nó cũng để lại nhiều lễ

dng dé Hacker có thể lấn công Cúc thủ đoạn lấn cong ngày cảng lrũ nên tinh vi

hơn Các phương pháp tản công thường gặp

1.2.1 Thăm dò (Rcconnaissance)

Là hình tức Hacker gửi vài thông tin truy vẫn về địa chỉ IP hoặc Domau

Name dé lay được thông tín vẻ địa chi IP va Domain Name từ đó thực hiện các biện pháp tốn công khác Khi một Hacker cô gắng xâm nhập vào mạng họ phải thu thập

1

được thông tin v8 mang càng nhiễu cảng tốt rước khi tấn công Điểu này có thể

thực hiện bởi các công cụ như DNS Queries, Ping Sweep, hay Port Sean Chung ta

không thé ngan chan được hoàn toàn các hoạt độ thâm đỏ kiểu như vậy

1.2.2 Đánh cắp thong tin bing Packet Sniffers

Packet Sniffer 1a phan mém sử dựng XIC Card để bắt tất cả các gói tin trong cùng miễn xung đột Nó có thễ khai thác thông tin đưới đang Clear Texi Dây là

một chương trình ứng đụng bắt giữ được tất cã các các gói lưu chuyển trên mạng

Sniffer thuéng duoc dimg cho Troubleshooting Network hode dé phan tich Traffic Tuy nhiên, do một số ứng dụng gởi dữ liệu qua mạng dusi dang Clear Text (Telnet, FIP, SMTP, POP3) nên Suifier cũng là một céng cu cho Hacker dé bat các thông

tin nhạy cảm như là Usermame, Password, và từ đỏ có thế truy xuất vào các thành

s$ Mã hóa: TẢI cả các thông tin lưu chuyển trên mang đều được mã hóa Khi đỏ

néu Hacker ding Packet Sniffer thi chi bắt được các gúi dữ liệu đã được mã

hỏa

1.2.3, Đánh lừa (P Spoofing)

Kỹ thuật náy được sử địmg khi Hacker giả mạo địa chỉ IP tin edy trong mang

nhằm thực hiện việc chèn thông lin bat hop pháp vào lrơng phiên làm việc hoặc

thay đổi bản tín định tuyển để thu nhận các gói tin cân thiết

Anti Spoofing thâm định các xem các Packet này đến từ đầu, di đến đâu,

Gateway chính xác của nó sẽ là gỉ? Xó sẽ khẳng định rỡ gói tin này mang IP là Intemal Network nay that sự xuất phát từ Itemal Network Nó cũng thẩm định cho

ta biết khi Packet này được Route thì nó sẽ đi thông qua cổng nào

12

Dé vdu hinh Anti Spoofing, thì trước hết các NeIwork phải có thd thay được

nhan, Các Network duge dinh nghia ding theo so dé Anti Spoofing sé phat huy

hiệu quả tốt nhất khi ta cấu hình nó trên các Interface của Gateway Sau khi kich hoại tính năng Spooting xong ta nên tiếp tục câu hình Spooling Traoking trên cổng

đó luôn nhằm mục đích giúp cho việc phát hiện xâm nhập và ghi lại Kile Log Anti Spoofing Rule duoc cau hinh trong phan Properties cia di trong Firewall trong

Smartdashboard Rule nay sẽ được cưỡng ép thực thi trước bắt kỳ ruls nào được định nghĩa trong phân Sercurity Policy Rule Base

1.2.4 Tân công từ chất dịch vụ (Denial Of Services)

Kiểu tân công này nhằm tắc nghền mạng bằng cách Hacker gửi các gói tin với tổo độ cao và liên tục tới hệ thống bảo mật nhằm làm tê hện hệ thông chiếm hết

băng thông sử dụng

1.2.5 Tân công trục tiếp Password

Đó là kiểu tân công trực tiếp vào LIsemame và Password ủa người sử dụng nhằm ăn cấp tài khoải sử đụng vào mục đỉch tân công TTaeker đùng phân mễm đễ fan sông (vi du nur Dictionary Attacks) CAc Hacker tân uông Password bằng một

sổ phương phúp như: Bmte-Foroc Atlack, ghương

va Acket Sniffer Mac di dimg Packet Sniffer va IP Spoolng có thế lấy được

Username va Password, nhưng Hacker lại thường sit dung va Brute-Force a4 Ay

Trojan Horse, IP Spoofing

Username hon Tan dng Brute-Force được thực hiện thực hiện bằng cách đùng một chương trình chạy trên mạng, cỗ gắng Login vào cdc phan Share trén Server bang

phương pháp “thử và sai” Password

Phương pháp giảm thiểu tân công Parsword:

sề Giới lạm số lần Login sai

4 Đặi Password dài, phức tạp

“+ Cam truy cập vào các Thiết bị, Server từ xa thông qua các giao thức không ar toàn như: FTP, Tehret, Rlogin, Rtelnet ứng dung SSL, SSH vào quán lý từ

xa

1.2.6 Tham thinh (Agent)

Hacker sử dụng các các phân mềm Vius, Trojan thường đủng để tắn công vào máy trạm làm bước đệm để tân công vào máy chủ và hệ thông Kẻ tản công có thể nhận được các thông tin hữu ích từ máy nạn nhần thông qua các dich vu mang

1.2.7 Tân công vào yêu tế con người

Hacker có thể tắn cổng vào các lồ hẳng do lỗi nhà quản tri hệ thẳng hoặc liên

lạc với nhà quản trị hệ thống giả mạo là người sủ dụng thay đổi L:semame và

Password

1.2.8 Cac phương thúc tắn công D.O.S thủng thường

Hacker sẽ diều khiến các máy đã chiếm cử và từ các máy nảy điều khiến các

máy tỉnh trên mạng đựa vào một vai địch vụ hoặc các lỗi báo mật đễ phát sinh một

khổi lượng dữ liệu lớn muyền đền hệ thống máy dich lam cạn kiệt tài nguyên và tê

Hệt địch vụ các hệ thống là nạn nhân bi tin công Các phương pháp tấn công dựa

trên việc phát sinh các gói đữ liệu từ hệ thông Email, Broadcast Echo Request

1.2.9 Phương thức tắn công bằng Mail Relay

Đây là phương pháp phổ biển hiện may Email Server nếu câu hùnh không

chuẩn hoặc Ucmeme/ Password của User sử dụng Mưi bị lộ Hacker có th lợi dụng Email Server để gửi Mail gây ngập mạng, phá hoại hệ thống Email khác

Ngoài ra với hình thức gắn thêm các đoạn Script trong Mail Hacker cd thé gay ra

các cuộc tân công Spam củng lúc với khá năng tắn công gián tiếp đến các máy chủ

Database néi bé hode các cuc tân công D.o.§ vào một mục tiên nảo đó

Phuong phap giảm thiểu:

s& Giới hạn đụng lương Mail box

s+ Sử đụng các phương thức chống Relay Spam bằng các công cụ bảo một cho SMTP Server, dit Password cho SMTP

quyền tiểu khiển máy chủ phục vụ DNS là một sự phá hoại nguy hiểm liên quan

đến toàn bộ hoạt dộng của hè thông truyền thông trên mạng,

4+ Hạn chế tối da các dịch vụ khác trên hệ thông máy chú DNS

+ Cài đãi hệ thống IDS Host cho hé thing DNS

% Luôn cập nhật phiên bản mới cỏ sửa lỗi của hệ thông phần mễm DXS

1.2.11 Phuong thir tin cong Man-In-The-Middle Attack

Dang tin công này đôi hỏi Wacker phai tray nhập được các gói mạng của mạng Một ví đụ về tân công này là một người làm việc tại ISP, có thẫ bắt được tắt

cỗ các gói mạng của công ty, khách hàng cũng như tốt cả các gỏi mạng của các công

ty khac thué Leased Line dén ISP do dé an cap thông tm hoặc fiép tue Session tuy

nhập vào mạng riêng của công ty khách hàng Tân công dạng này được thưc hiện

nhé mét Packet Sniffer Tấn công đạng này có thể hạng chế bằng cach ma hod dir

liện được gởi ra Nếu các Hacker có bắt được các gói đữ liên thì là các đũ liện đã

được mã hóa

1.2.12 Phương thức tẫn công ‘Trust Exploitation

Loại lần công kiểu này được thực hiện bằng cách tận dụng mỗi quan hệ tin cậy đổi với mạng, Một vỉ dụ cho lắn công kiểu này là bê

qguài Pircwall bó một

quan hệ tỉn cây với hệ thống bên trong Firewall Khi bên ngoài hệ thông bị xâm hại,

các Hacker cd thé lin heo quan hệ đỏ đễ tần công vào bên trong Eirewall Có thể

giới hạn các tân công kiểu này bằng cách tao ra cáo mức truy xuất khác nhau vào

mạng và quy định chặt chế mức truy xuất nào sẽ được truy xuất vào các tài nguyên nào của mạng

1.2.13 Phương thức tẫn công Hort Redirection

“Tấn công mày là một loại của tấn công Trust Exploitsiion, lợi dụng muội HosL

đã đã bị đột nhập đi qua ErewalH Ví dụ, một Firewall có 3 InerEcc, một Hosi ở Outsiđe có thễ truy nhập được một Host trên DMZ, nhưng không thể vào được Host

6 Inside Host ở DMZ có thể vào được Host ớ Insids, cũng như Outsids Xếu

Hacker chọc thủng được Host trên DMZ, họ có th cải phần mềm trêm Host của

DMZ để bẻ hướng trafäe từ Host Outside đến Host Inside 'Ta ngăn chặn tân công,

loại này bằng cách sử dụng HIDS cải trên mỗi Server HIDS có thể giúp phát hiện được các chường trình lạ hoạt động trên Server ds

1.2.14 Phương thức tân công lớp ứng dụng

Tân công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau Một

trong những cách thông dựng nhất là tân công vào các điểm yéu cia phan mém như Sendmail, HTTP, hay FIP Nguyên nhân chủ yếu của các tẩn công lớp ứng dụng

này la ching sit dimg những Port cho qua béi Mirewall Vi du cdc Lacker tin cing

‘Web Server bing cach sit dung TCP Port 80, Mail Server bang TCP Port 25

Một số phương cách để hạn ché téu cing lop ting dung:

“ Luu lai File Log, va thuimg xuén phân tích File Log

“ Ludn cp nhit cdc Patch cho O8 va cde ing dung

© Dimg IDS, c6 2 loai IDS

Cc IDS phat hign cac tin céng bang cach ding cac Signature Signature cia

một tân công là mét Profile vé loai tan công đỏ Khi IDS phat hién thay ‘Traffic gidng như một Signate nào đỏ, nó sẽ phát cảnh bảo

1.2.15, Phuong thirc tin Virus vi Trojan Horse

Các nguy hiểm chỉnh cho các Workstation va End User 1a ede lấn sông Virus

va Trojan Horse Virus 1a mét phin mém cỏ hại, được dính kèm vào một chương trình thực thú khác để thực hiền một chủe năng phá hại nào đó Trojan Horse thủ hoạt động khác hơn Một ví đụ về Trojan Horse là một phần mềm ứng dựng để chạy một Game đơn giản ở mày Workstation Trong khi người dừng đang mãi mê chơi

Game, Trojan Horse sé géi mét ban Copy dén tit ca cac User trong Address Rook

Khú User khác nhận và đhơi trỏ chơi, thì nó lại tidp tye Ham nur vay, géi đến tắt cả

cáp địa chỉ mail có trong Address Book của Uxer đó Có thể đúng các phẩn mềm

chéng Virus dé diệt các Virus và Trojan Horse và luôn luôn cập nhật chương trình

chẳng Virus mới

16

CIIGONG 2 - CHECK POINT

2.1 Giới thiệu Check Point

Check Point là một trong những nhá cung cấp hàng đầu về các sản phẩm báo

mật Intemet Cung cấp một giải pháp toàn điện cho việc quản lý các thiết bi an toàn

bảo mật với các tỉnh năng vượt trội, các chỉnh sách bảo mật, theo đối các thiết bi, Logging, quan ly cdc su kiên và címg sập cho nhà quản trị các bảo cáo ở các mức

đô khác nhau, đặc biệt là các đồng sản phẩm Firewall đùng trong các doanh nghiệp,

cá nhân và cảc công nghệ ruạng riêng áo VPN Ngoài ra Cheek Point cùng cấp một

kiến trúc bảo mật thông nhất cho một lọat các giải pháp báo mật, bảo mật cho truy

cập Intemet, bảo mật rnạng nội bộ, báo mật Web, bảo mật người đúng , nhằm báo

vệ các tài nguyên thêng tin, quá trình truyền thông, các ứng dụng của doanh nghiệp

Dặc biệt cáo sản phẩm của Check Point cho phép việc tích hợp với hàng lọat các đồng sản phẩm của hơn 350 hãng sản xuất thiết bị bảo mật nỗi tiếng trên thế giới

2.2 Giới thiệu các dòng thiết bị cla Check Point

Dong Thiết bị của Cheek Poim được thiết kể để chạy bất kỳ phiến bão mật

nig cla Check Paint bao gdm: Firewall, VPN, Infusion Prevention, Application Control, Mobile Access, Data Loss Prevention, Identity Awareness, URL Filtering,

Anti-Spam, Antivirs, Advanced Networking, Acceleration, va hé tro phién bảo

mặt mới Anti-Bot Software Blade Voi viée hop nhat ede kha ning bio vé trong,

một thiết bị cho phép khách hàng linh hoạt trong việc tỗi ưu hỏa hạ tẳng an ninh báo

mật dựa trên mức độ bảo vệ và hiệu năng cần thiết đáp ứng yêu an ninh bảo mật và

sự phát tiễn của doanh nghiệp

Sự kết hợp giữa thiết bị có hiệu suất cao cia Cheek Point va kha nding ind rộng các phiên bão mật là một giải pháp linh hoạt giúp các doanh nghiệp xây đựng

giải phap an ninh bao mat dap ửng các nhu câu trong tương lai

Các đặc điêu và lợi ích với dàng tuết bị cita Check Point

4 2200 Applianee: Giải pháp cho các vẫn phòng nhó, chỉ nhánh với hiện năng,

xử lý 3 Gbps Firewall và 2 Gbps LPS

ữ

+

4200 Applianeo: Dòng thiết bị cho uác doanh nghiệp vừa và nhỏ với hiệu nang xử lý 3 Gbps Eirewall, 2 Gbps IPS, củng với khả năng bỗ sung thêm

các giao điện kết nỗi mạng

4600 Appliance: Dong thiét bị cho các doanh nghiệp với hiệu năng tổng thể

Jén t61 9 Gbps Firewall, 4 Cbps IPS với chỉ phí rất hợp lý

4800 Appliance: Dang thiét bi cho cdc doanh nghiệp với hiệu năng tổng thế

Jén téi 11 Gbps Firewall, 6 Gbps IPS, b tro nhiéu phién bảo mật hiệu năng

cao (Multi-Blade Psrformanee) và hỗ trợ chuẩn kết nổi mạng Fiber lên tới 10 Gbps

12200 Appliance: Dong thiét bj cho Data Center với thiết kẻ tiết hệm không

gian IU raok cưng cấp hiệu nàng lên tới 15 Gbps Eirewall, 8 Gbps IPS với

tùy chơn dự phòng về nguồn và 6 cứng (Power Supply and Hard Drives) Hơn nữa, 1220U hỗ trợ lên tới 10 Virtual Systems

12400 Appliance: Dong thiét bi cho Data Center cũng cắp hiện năng lên tới

25 Gbps Firewall, 12 Gbps IP§, hỗ trợ đa đạng các loại chuẩn kết nỗi mạng

và hỗ trợ Tên 164 $0 Virtual Systems

12600 Appliamee: Dòng thiết bị chớ Data Cenler lớn hỗ trợ số lượng kết nỗi

đồng thời lớn và hiệu năng xử lý lên tới 30 Gbps Firewall, 17 Gbps IPS, hd trợ lên tới 130 virtual Systems

21400 Appliance (za mit thang 8/2011): Dòng thiết bị cho Data Center cực

lớn với hiện năng lên tới 100 Gbps Firewall, 21 Gbps 1PS 21400 con cung

cấp khả năng mở rông lên tới 37 Ports GbE hoặc 12 Ports 10GbE, cho phép khách hững dễ đàng triển khai trong Dals Conler lớn, đồng thời thiết bị hỗ trợ

lên ti 250 Virtual Systerns.

Check Point 21400 Appliance

Hình 2.1: Các dòng sản phẩm của Check Poinr 2.3 Những tính năng nỗi bật trên Check Point

Phần mềm Check Point với ưu thẻ canh tranh, là sản phẩm dang tin céy cho bắt kỳ doanh nghiệp nào Bộ sản phẩm của Check Point gồm nhiều Module kết hop

tao nên một giải pháp Eirewall an ninh hiệu quả cho các hình thức mạng khác nhau 2.3.1 Firewall

+ Sử dụng công nghệ “StateRl Inspection” bảo vê được từ mức Network đến mức ửng dụng trong mô hình OSI

+* Kỹ thuật phòng chỗng thông minh “SmartDefense” cho phép bao vé tan cong

*# Quân lý tập trung cho phép quân lý nhiều Firewall trên một máy tỉnh

+& Quản lý thiết lập chính sách đễ đàng bằng các công cụ trực quan GUI

s# Hỗ trợ việc xác thực người sử dụng bằng nhiêu phương pháp S/key, SecurID,

OS Password, RADIUS hay những phương pháp chứng thực khác

19

2.3.3 VPN,

$ VPN hỗ trợ thuật toán mẽ hóa 3DES, AES VPN hé trg Site-To-Site dam bao kênh truyền an toàn giữa các mạng LAN và an toàn giữa các mạng LAN

Site To Site tạo kênh truyền an toàn giữa các máy truy cập từ xa và trung

tim Module Secure Chent cho phép bảo vệ máy truy cập từ xa tránh trường

hop tao “Backdoors” cha Hacker xâm nhập vào hệ thông

$ lễ trợ truy cấp VPN qua SSL hay Microsoft Windows L2I'P/

IPSec VPN Client

2.3.4 Tính năng quản lý (SmariCenter va GUI Client)

+ Quin ly tap trung với người quản trị bằng một giao điện đỗ họa đuy nhất

“ Tat cá đữ liệu Log sẽ được quản lỷ tập trung để đảng phân tích và theo đối

bởi người quản tri hề thông

$ Khả năng quản lý nhiều Firewall trên một giao điện đồ hợa đuy nhất

2.3.5 Tính năng quản lý Log

#% Log sẽ được định hướng đến Server chuyên dụng xử lý Log

Log duge cinh bio khi ỗ đĩa cứng bồng cồn thấp và số Reset lại Log Theo những thông số do người quân trị định nghữa

¢ Dat thoi gian chuyển File Log đến Server xử lý log theo chủ kỳ

% Thông tin Log bao gồm người sử dựng dịch vụ, thời gian kết nổi, đìch đến,

độ đài phiên kết nỗi, hành đông,

$ Người quản trị có thể lọc File Log để định những sự kiện lưu tâm đến bảo

mật của hệ thông

2.3.6 Tính linh động

s& Người sử dụng có thể chọn lựa giỏi pháp của Check Pơint1inh động dựa trên

hệ điểu hành nhy WinNT, Linux, Solais hay những thiết bị phẩn cứng chuyên dụng của Celesix, Resihence, Nokia

# Hỗ trợ cơ cấu mở (OPSEC) cho phép liên kết gidi phap Check Point voi những ứng dụng an ninh kháo như TrendMicro Raibow, Websense

20

2.3.7 Tính năng nỗi trội khác

$ Tích hợp với phần mềm Check Point VPN-L/ Firewall-1 va eae img dung bao mat trén Gateway nhw Antivirus va cac phần mềm bảo mặt nội dưng khác Tich hep tinh cin bing tai cho hệ thông bảo mật

+ Kỹ thuật thông mình để xử lý lỗi xAy 1a cho Kirewall va VPN Gateway dim

bảo hệ thông hoạt đông trong suốt

2.4 Các thành phần bão mật của Check Point

2.4.1, Eventia Analyzer

Giúp đỡ người quản trị trong việc quản lý các sự kiện liên quan đến bảo mật Eventia Analyzer cho pháp quản lý tập trung, thời gian fhực các thiết bị báo mật Gateway cla Check Point va san phim cia cae adi tác cúa Check Point Evsntia tự

động thu thập dữ liêu thông tin về các sự kiện, tình hình tấn công Tôi ưu hóa cách

trình bảy và cũng cấp cho nhà quản trị một cải đây đủ nhất về tình hình an minh trên mang

Người quản trị có thể dùng Evenia Report để iạo ra bảng tóm tắt các 'TTafäe với

nhiều định đựng khác nhau trên VPN-I Pro, Socuro CHơn, Smet Defense

2.43 SmartCenter

Dé déi pho voi su tan céng ctia tin the ngày cảng phức tạp, chủng ta phải xây

dụng hệ thống an ninh bảo mật fheo chiều sâu bao gồm nhiều lớp: Báo mài vòng ngoài, bảo mật bên trona, bảo mặt người đừng Cheok Point đưa ra giải phép cho

phép người quan tri co thé quản lý được trong môi trưởng phức tạp đó Thông qua

SmartC'enter, người quản trị có thể thực hiên được tật cà các khía cạnh quản lý liên

a

quan đến vẫn dé bao mal Smart Center con đừng để lưu trữ và phân phdi Security

Poliey đến nhiều Sccuity Gatcway Các Policy được định nghĩa bằng cách Smart

Dashboard và dược lưu trữ vào Smart Centsr Sau đỏ Srnart Centzr sẽ duy trì Database bao gồm cic Network Object, định nghĩa User, Secuity Poliey, Log File

cho Eirewall Gateway Khi cầu hình được tích hợp tất cả vào Security Policy TẾT ca cáo policy được tao ra hay định dang sau đỏ được phân phổi đến Secnrity Gateway

Việc quản lý chính sách nhóm một cách tập trung nâng cao hiệu quá

2.4.4, SmartPertal

Cho phép người dùng, người kiểm tra có thể xem được các chính sách bảo mit, tinh trạng các thiết bị bảo mặt và hoat động quan lý của nha quan trị

2.4.5 SmarfView Menitor

Cho phép người quản trị có môt cải nhìn tổng quan về hiệu năng hoạt đông

của các thiết bị mạng và thiết bị báo mật tt đó, đưa ra những biện pháp kịp thời SmartView Monitor cững cho phép người quản trị xác định được tức thời những, thay đổi lớn về Trafñc trên mạng, đặc biệt là nhĩmg thay đổi nguy hiểm Các sản phẩm bảo mội vòng ngoài cia Check Point, chủ yêu là các thiết bị VEN, cho phúp

truy cập vào các tài nguyên mạng rội bộ của doanh nghiệp từ bên ngoài Đảm bảo chỉ những người được phép mới có quyền truy cập Nổi bật nhật trong đó là dòng sản phẩm Check Point VPN-L/ Firewall I Pro

2.4.6, Smart Dashboard

Được đừng để định nghĩa và quản lý các chỉnh sách bảo mật với quyền Security Administrator Smart Dashboard cung cấp cho người quản trị một giao

điện đồ họa đơn giãn, đỗ dòng định nghĩa và quân lý nhiễu yếu tổ của Soi

Viruml Nebverk, Ví dụ như Firewall Policy, VPN Cl

Network Address Translation, Quality of Service Quản lý tất cả các obisct như

jou, Security Guleway,

User, Host, Network, Service ma né duge chia sé gitta cac img dung

2.4.7 SmartView Tracker

Dược đủng để quản lý, theo đối log và thực hiện cảnh bảo Kiểm tra các qua

trình kết nỗi vàn Server bằng thời gian thực Ngoài ra, Smar†View 'Tracker clng ghỉ

22

Tại cdc hanth dgng eta ngudi quản trị để giúp cho quá trình Troubleshoot nhanh hơn Nẫu có sự tắn công mạng từ môi trưởng bên ngoải hay bên trong thi người quản trị

có thể đùng SmarfView Tracker để húy hoặc tạm dửng các trến trình nay dé theo

Security Gateway chinh Ja Firewall Machine ma & do dutge cdi dat vào dưa

trén Stateful Inspection SmartConsole va SmartCenter cé thé trién khai trên một

hay nhiễu máy tính khác nhau theo mỏ hình Client /Server Có thể triển khai trên

một Internet Ciateway và một điểm truy cập khác Seemity Policy được định nghĩa

Ding SmnartDashboard và được lưu trữ vào SmarCemler Server Sau đó muội

fion Sơiipt được tạo re lừ những Policy Inspzction Codc được biên địch ra từ

Script va nap vào Sccurity Gateway dé bao v$ Network

2.5 Check Point Firewall Gateway Security

2.5.1 Kién trac Check Point Software Blades

s4 Softvare Hlads là một khôi kiến trúc an minh Logic cé tinh déc lap, Modul hỏa và quan lý tập trung

% Soflwae Blades co KhỖ sẵn sàng và cầu lủnh theo một giải pháp dựa trên những nữ cụ thể Và khí cỏ nhú cầu, các Blades bỗ sung có thể được kieh hoạt dể mở rộng an ninh cho cầu hình sẵn có bên trong cùng một cơ sở phần cứng

% Kién trac Software Blade cita Check Point dé xudt mét cach tinte tt hon

trong vẫn để an ninh, cho phép các tổ chức nhìn nhận một cách hiệu quả các

giải pháp mục tiên, phú hợp các nhu cầu an minh đoanh nghiệp đề ra

$ Toàn bộ các giải pháp được quản lý tập trung thong qua SmartCenter duy

nhất nhằm hạn chế sự phức tạp và quá tải vân hành

+ Ứng cửu khẩn cấp các môi đe đọa: kiến trúc Software Blade của Check Point

mở rộng các dịch vụ một cách nhanh chóng và linh hoạt khi cằn thiết mà không cần bổ sung phân cứng hay tăng độ phức tạp

2.5.2 Những lợi ích chính của Check Point Software Blade

+ Tính linh hoạt: Cung cấp một mức đô an ninh phù hợp với mức độ đầu tư

$ Khả năng điều khiển: Cho phép triển khai nhanh các dịch vụ an ninh Tăng

cường hiệu suất làm việc thông qua quản trị Blade tập trung

s* An ninh toàn điện: Cung cấp mức độ an ninh phủ hợp, trên tất cả các điểm

2.5.3 Security Gateway Software Blades

Check Point Software Blades cung cap co ché an ninh mang mét cach lính

hoạt, quản trị tập trung với các quy mô khác nhau cho các doanh nghiệp Check

Point Software Blades véi giả thành hợp lỷ đồng thời vẫn có thê đáp ứng bắt kỳ nhu

cầu an ninh mạng nào ngay cả hiện tại vả trong tương lai

^N€Neñ.Secuy 0i Managenen ỦÌ

Feewal ‘Advanced Netwotking ‘leew EAI Sec VPN 4g Dynan Roding @ Bavs Wl mos oven on irs Seana @ _sppicalio protocols and sevice inne, ‘Accelastion&Chteing ÁN bệ

EElAdVask Sears®

ElAwSpank EnalSeculy [Phewah) G EElUseAshodyeoer

Hinh 2.2: Check Point Software Blades

24

IPsec VEN: Kết nối an toàn cho văn phòng và người đủng cuối thông qua

VPN Site-To-Site được quản lÿ truy cập từ xa mềm dẻo

1PS: Giải pháp phòng chẳng xâm nhập IPS tích hợp hiện năng cao nhật với

tim bao phủ cào nguy cơ tốt nhất

‘Web Security: Hảo vệ tiền tiến cho toàn bộ môi trường Web đặc trưng bởi sự

bảo vệ mạnh nhất chồng lai các tần công tràn bộ đệm

URL Filtering: B6 lec Web thude hang tét nhat bao phủ hon 20 tigu URLs,

bảo vệ người dùng và đoanh nghiệp bằng cảch câm truy cập tới các trang

Web nguy hiểm

Antivirus & Anti-Malware: Bảo vệ điệt Virus hàng đầu bao gằm phân tịch, ngăn chặn Virus và các Malware kháo tại cổng

Anti-Spam & Email Secmity: Rảo vệ đa hướng cho ha ting thir tin, ngăn

chặn Spam, bảo vệ các Servers và hạm chế tần công qua Tnail

Advanecd Networking: BS sung dinh tuyén dong, h& try Multicast vA Quality

of Service (QOS) cho céc cdng an ninh

Acceleration & Clustering: Cung cấp sự kiếm soát Packet nhanh như chớp,

tính sẵn sàng cao và cần bằng tai

Voice Ower IP: Có hơn 60 phòng thủ ting dung VolP và các phương pháp

QoS tign tidn bio vé ha tang VolP khỏi cảc cuộc tân công như đạng tấn công

từ chỗi địch vụ trong khi cung vấp thoại chất lượng cao

Security Management Bkiles

Network Policy Management: Quin ly chinh séch an ninh mang toản điện cho cae céng Check Point va Blades théng qua SmartDashboard

Endpoint Policy Management: Trién khai, quản trị, giám sát tập trung và ép

buộc chính sách an ninh cho toản bộ các thiết bi dau cuôi trên toàn tố chức

qui mô bắt kỷ.

Monitoring: Cai nhin téng thế của mạng và an nh, cho phép xử lý nhanh chóng các thay đổi trong các sự kiện an ninh

Management Portal: Mỏ rộng chỉnh sách an toàn an ninh tới cáo nhóm bên

ngoài như lực hrợng hỗ trợ chẳng hạn trong khi vẫn bảo đảm kiểm soát chính

sách tập trưng

User Dirsctory: Chơ phép cdc céng Check Paint có tác đụng đòn bấy với các

kho thông tim người đùng trên cơ sở LDAP, hạn chế các núi ro liên quan việc

bảo trì và đồng bô bằng tay các kho dữ liệu dư thừa

IPS Event Analysis: Hệ thống quản lý sự kiện hoàn chỉnh cung cấp khả năng

dễ dàng cho việc áp dựng các công cụ chứng cứ, bao cáo

Proviaioning: Cimg ứng quản trị tập trung và dự phòng của cáo thiết bị an

ninh Check Point théng qua ban điều khiển quản trị đơn nhất

Roporling Chuyển phân lớn dữ liệu mụng và m nỉnh sang dạng đồ họa, các

báo cáo dễ hiểu

Event Correlation: So sanh va quản lý các sự kiện một cách tập trung và theo

thời gian thực đối với các thiết bị Check Point và của các hãng thủ 3

26

CHƯƠNG 3- KIỀM SOÁT TRUY CAP VÀ XÁC THUC TREN CHECK

POINT

3.1 Kiểm soát truy cập mạng

Check Point Security Gateway được đặt ở khu vực biên của hệ thông cần bảo

vệ nhằm theo đối và quản lý chặt chẽ mọi luông đữ liêu đi ra và vào mạng Người quan tri hệ thông có nhiệm vu dat ra những chính sách bảo mật để bảo vệ an toàn cho hệ thống cũng như quản lý sự truy cập trong mạng Chính sách bảo mật được

triển khai bằng tập hợp có thứ tự những quy tac (Rules) trong Security Rule Base,

một chính sách tốt là cơ sở tất yêu cho một hệ thông an toản

Rule Base là tât cả những hành đông không được cho phép sẽ bị chặn Rule

Base là tập hợp những quy tắc (Rules) định ra luông dữ liệu nào được phép đi qua

và luông dữ liệu nào bị câm

3.1.1 Các thành phần của Rule

Hinh 3.1: Céc thanh phén cita Rule

+ Source va Destination: Nguon va dich ciia ludng dit ligu, theo quy tắc của

Rule thỉ kết nỗi được thiết lập sẽ chấp nhận cả 2 chiều dữ liệu đi va vẻ

s# VPN: Được áp dụng cho mọi kết nội hay chỉ đảnh riêng cho kết nỏi VPN

em

s* Service: Đưa ra những giao thức, địch vụ sẽ áp dụng thông qua Rule

Action: Hanh dong dua ra cho két noi được đẻ cập đền thông qua Rule,

‘ Track: Những tùy chọn về việc ghi nhân lại hoạt động của Rule

s* Install On: Đây là một chức năng nhằm tạo sự thuận lợi trong việc quản lý của người quản trị Thành phân này chỉ ra nơi người quản trị cần triển khai Rule vừa tạo ra, có thể chỉ trên một Firewall riêng biệt hay tất ca Firewall của hệ thông

+ Time: Định ra thời gian có hiệu lực của Rule

27

Ngoài những Rule được tạo bởi người quản trị hệ thống, Seurily Gateway ufing

tạo ra những Rulz mặc định Rulc mặc định thường được dành cho những kể nói từ

Security Gateway cho cac dich vu điền khiển, cầu hình

3.1.2 Chéng gid mao dia chi

Chống giả mạo dia chi 1a Hacker tan céng vao hé théng thay déi dia chi 1P của gói tin nhằm mục đích xâm nhập trái phép vào bên trong hệ thẳng Cơ chế

chỗng giã mạo địa chỉ bảo đảm các gói tin có nguồn và đích đến ding vời mỗi cổng trén Security Gateway Một ví đu về giả mạo địa chỉ đó là người tấn công từ ngoài Intzmet, tức là công Extemal của Gateway gửi vào một gói tin có địa chỉ là dia chỉ

bên trong nang nội bộ th cơ chế chống giá dịa chí sẽ ngay lập tức chặn goi tin vi

nó không xuất phát từ cổng bên trong mà lá bền ngoài

3.2 Xác thực trên Check Point

3.2.1 Phương thức xác thực trên Check Point

$ LJser Authentication: Người quản trị hệ thông cập quyền che L/ser truy cập khi người đỏ ngôi trên bắt kỷ một máy tỉnh nào mả không ảnh trưởng đến các người dùng khác sử dung cing muấy tính User Authentication hoạt động trên vhe giao thie Telnel, FTP, HTTP vi dich vu RLOGIN,

Session Authentication: La mdt phương thức xác thực được dùng cho bất kỳ

dịch vụ nào và phương Thúc này yêu cầu người dùng cung cấp thông tin xác

thực cho một phiền làm việc Đổi với phương thức xác thực này cần phải có

một chương trinh cài riểng trên máy của người ding, vi thé phương thức xác

thực này thường được sử dụng đổi với máy cá nhân tức lá chi c6 mét User str

dụng máy lĩnh đỏ

+ Client Authentication: Phuong thite này cho phép nhiều User thực điện kết

nổi thông qua việc xác thực phân quyền cho một địa chỉ IP hay một máy xác định Ưu điểm chỉnh của Client Authentication chính là phương thức này có thể được sử đụng cho việc kết nỗi không hạn chế và không yêu câu User phải

nhập lại tên và mật khẩu trong quá trinh lam việc Tương tự như 5ession

Authentioation, Cliznt Aufhzntication cũng được triển khai trên mày đơn

3.2.2 Cơ chế xác thực trên Check Point

3.2.2.1 VPN-1& Firewall-1 Password

Đây lá cơ chế xác thực do chỉnh Check Point cung cấp Cơ chế này xác thực

User dựa trên chỉnh cơ sớ dữ liệu được fao ra trên Security Gateway Chiéu dai tên

User lên đến 100 ký tự số và chữ và mật khẩu phải có chiêu dài nằm trong khoảng 4

tới 8 ky tr

3.2.2.2 OS Password

Cơ chế xác thực thông qua OS Password cho phép các Module xác thực sử dụng chính cơ sở đử liệu xác thực của hệ điều hành để xác thực chơ User Một vỉ dụ

đỏ là Module xác thục sẽ lấy dữ lều vẻ User thông qua Security Account

Management (SAM) néu Module dé đang hoạt động trên hệ diéu hanh Window

Ruđins là một cơ chế xác thực tập trang với cơ sở đữ liệu không nằm trên các

Modnlc xác thực mả năm trên một Modulc riêng biệt ŒRadius Server) Ưu điểm

chỉnh của cơ chế Radius chính là xác thực tập trung khi hệ thống có nhiền Module

xác thực, tức là người quăn trị chỉ cần cấu hình cơ sở đữ liệu User trên Radins Server vi che Module xác thực sẽ xác thực Lser đưa trên Radins Server

Khi một L/ser kết nổi với UIsermame trừng với LIsername có cơ chế xác thực

Ta Radius Un cic Module xéie thực số chuyên Tñsorname và Password cho Radins

Server thông qua tác giao thức được dink nghia trước và có sử dụng Siared SecrsL Key dé bao vệ thông tin chuyến qua

3.2.2.4 Tacacs

Tavaes thì hoàn toàn tương fut voi co ché Radius déu nim trong dich vu AAA

(Authentication Authorization Accounting) nhumg Tacacs, ngoai kha ning xe thute

29

lập trung, còn có thể quản lý và phân quyền trên những câu lệnh rà người đùng cầu

hình các Server dâu cuỗi như kết nỗi Telnet dén cae Router Cisco

3.2.2.5 SecmrID

SecurID cũng là mét co ché sit dung One-Time Password (OTP) Ca ché

SecurlD hoat ding dia trên nguyên tắc là User phải cung cấp một thiết bị điền tử với mã PIN để Sectmll) Server có thễ cung cấp CYFP dùng cho xác thục Dây chính

là sơ chế được xem là tôi tân và rất bão mật vì người dừng cần một thiết bi dac biệt đồng thời phải cung cập mã PIN để đăng nhập vào hệ thẳng.

CHƯƠNG 4 - PHƯƠNG THỨC KÉT NÓI TRÊN CIECK POINT

4.1 Internet Service Provider (ISP) Rundundancy

Chức năng 1SP Redundancy cho phép kết nổi Internet được duy trí liên tục

và nó thể thục hiện trên Check Point Security Ciateway khi đó nhiễu Interface két nổi đến nhiều ISP khác nhau và chức năng ISP Redundaney là một chức năng có sẵn trên Security Gateway mà không cân phải mưa thêm bất cử thiết bị phần cứng chuyên đụng nào

ISP Redundancy liên tục giám sát các đường Link từ đó có thể chuyển hưởng các kết nỗi theo hưởng tối nhất ISP Redundaney hoạt động ở 2 chế độ sau đây:

© Load Sharing

© Primary/ Backup

4.1.1 Hoạt động của ISP Redundancy

Chức năng ISP Redimdancy hoat đông hiện quả nhất cho kết nỗi từ phía ngoài vào, Sccurily Galoway sẽ xử H các kết nỗi lừ bên trong ruạng ra Internet thea cách sau đây:

+ Primary’ Backup: Két n6i bằng dường Link chính và chuyến sang đường

Link dự phòng khi đường Link chỉnh xảy ra sự cố Khi đường Link chính

phục hẻi thì những kết nỗi mới sẽ theo hưởng đường Link chính và những

kết nỗi hiện tại sẽ theo đường Link phụ cho đến khi các kết nỗi nảy hoàn tắt

Load Sharing: Str dung đồng thời tất cả đường Link, kết nỗi sẽ được phân

phối ngấu nhiên theo từng lánk Khi một lrong các [ánk bị xây ra sự cổ thì

cáo kết nổi mới sẽ đi [heo các đường Tảnk còn lại Trong Mode Load Sharing

thi kết nỗi vào hưởng bên trong sẽ được chuyển hướng qua lại giữa các Link

bằng việc chuyển đổi kết qua quary DNS từ bên ngoài ISP Redundancy giám sát các đường Link liên tuc, để giám sát đường Link Check Point

Security Gateway sẽ kiểm tra cổng giao tiếp hiển có đang hoạt động hay

không và chuyển IDefault Route hưởng ra ISP thích hợp

31

4.1.2 Kết nối từ trong Firewall ra Internet

Trong chế độ Load Sharing, những kết nôi sẽ được phân phổi ngẫu nhiên

giữa các đường Link Intemet Trong chế độ Primary/ Backup thì các kết nỗi chỉ đi

ra theo duéng Link chinh (Active)

Hide NAT sẽ được sử dụng đề thay đổi địa chỉ Source IP của gói tin, gói tin

đi ra bằng Interface nảo thì sẽ được NAT bằng IP của Interiace đỏ, điều này sẽ lâm

cho goi tin trả về sẽ đi theo công giao tiếp mả nó đã đi ra Hide NAT lúc nảy phải được câu hình bởi người dùng

4.1.3 Kết nói từ phía ngoài Internet vào bên trong mạng

Khi Client kết ni từ phía bền ngoài vào một Server bên trong mạng, lúc nảy Static Destination NAT sé duoc cau hinh bởi người dùng cho IP của Server bên

trong Nếu có 2 đường Link Internet thì lúc này Server (HTTP, FTP Server ) bén

trong được NAT cùng lúc với 2 địa chỉ IP Public

Hình 4.1: Mô hình két néi Internet qua Check Point

Khi Client bén ngoai truy cap đến Server bằng mét trong 2 dia chi IP Pubic

Quá trình ISP Redanduney cho kết nôi từ bên ngoài được xử lý như sau:

Client tir phia ngoai Query tên miễn abc.com khi do DNS Query sé di đến

Check Point Security Gateway, trong Check Point Security Gateway co san mét

Mini-DNS lúc này Check Point Security Gateway sé giit lai DNS query trước khi

32

no di dén DNS Server va sé thay mat DNS Server tra li DNS cho Client Nếu trong

Mini-DNS đã được câu hinh tén mién abe.com, Check Point Security Gateway sé

trả lời lại DNS query như sau:

+ Primary/ Backup: Check Point Security Gateway sé tra lời lại với IP của duong Primary Link (Active Link)

Load Sharing: Check Point Security Gateway sé trả lại cùng lúc 2 địa chi IP (117.6.80.123; 118.70.80.123) va lan lượt hoán đổi chúng Nếu trong trường hợp DNS không thể phân giải tên miễn abc.com thì nó sẽ chuyển DNS query

đến DNS Server 172.167.1.2 Khi Client nhân được IP sau khi phân giải tên

miền thì lúc nảo nỏ sẽ tiến hành kết nỗi đến địa chỉ IP mà nó nhân được Trén Check Point Security Gateway can cau hinh Static Destination NAT

cho IP 172.167.1.1

4.2 NAT trong Check Point Security Gateway

NAT 1a sw thay 4di dia chi IP này bằng một địa chỉ IP khác, NAT có thé thay

đổi cả địa chỉ Source IP lẫn Destination IP

Check Point Security Gateway ho tro 2 loai NAT sao đây

Static NAT: Méi dia chi IP Private sé duge chuyén thinh một địa chỉ IP

Public Static NAT cé thé chuyên đổi một dãy các địa chỉ IP Private thanh

một đấy các địa chi IP Public theo dang chuyén d6i 1:1

Hide NAT: Mét địa chỉ IP Public sẽ được dùng đại điện cho nhiều IP Private

bên trong mạng Hids NAT là đạng chuyển đổi nhiễu địa chi IP Private thành mét dia chi IP Public va két nỗi chỉ có thể được bắt đầu từ phía trong của Firewall Check Point dimg cac khai niệm sau đây để định nghĩa cho các đôi

tượng được NAT trong mang : Network , Node, Address Range, Dynamic

Object NAT có thể được câu hình để tự động trên một Network Object

(Automatic NAT), điều này có nghĩa là khi một Network Object được tạo ra

thi NAT Rules sẽ được tư động phát sinh và thêm vào NAT Rule Base (Automatic Hide NAT hoặc Static NAT) Ngoài ra, người dùng có thể tự tạo Rule (Manual NAT)

33

NAT Rule tạo bởi người dùng thì sẽ lĩnh hoạt hơn so với việc tạo tự động

Người dùng có thể thực hiện việc chuyển đổi theo Service hoặc theo Destination

Port Numbers Port Number Tranlation là một đạng của Static NAT, trong do mot

Port của một địa chỉ IP này sẽ được chuyên đổi thành Port của một địa chỉ IP khác

4.2.1 Automactic Hide NAT va Static NAT trén CheckPoint Firewall

Check Point cung cấp cho người dùng chức năng Automatic Hide NAT cho

phép tự đông cau hình chức năng NAT cho các mạng bên trong Firewall Litc nao bắt kỉ kết nội nào từ phía bên trong mạng đều được động NAT

Ngoài ra Check Point cũng cung cấp chức năng Automatic Static Source va

Static Destination NAT cho phép viée cau hinh static NAT trén timg host

4.2.2 NAT Rule Base

Check Point quan ly NAT bing Rule, tap hợp tắt cả các NAT Rule được gọi

la NAT Rule Base

Hinh 4.2: NAT Rule Base trong Check Point Security Gateway

MAT Rule được chia làm 2 thành phẩm:

s# Original Packet: Gồm các điều kiện đành cho gói tin, nêu gói tin thỏa các

điểu kiên này thì Rule sẽ được sử dụng

s* Translated Packet: Hành đông sẽ thực hiện sau khi gói tin đã thỏa điều kiện ở

trên

Mỗi phần của một NAT Rule sẽ được chia làm các thành phẩn sao đây:

Source: IP source ctia goi tin ban đầu và IP souree của gói tin sau khi chuyên đổi

s* Destination: IP Destination của gói tin ban đầu và IP đestination của gói tin

sau khi chuyển déi

s* Service: Service hoặc Port của gói tin trước và sau khi chuyển đổi Khi

Eirewall nhận một gói tin, Firewall sẽ tiền hành so sánh với Rule đầu tiên

34

trơng NAT Rule Base, vii cit ne thé Firewall tidp tục so sốnh với các sau đó

Ja Rule thir 2, 3 và đến hết Khi các điều kiện của một Rulc đã thỏa mãn thì

Firewall sẽ ngừng kiểm tra va sit dung NAT Rule dé

Automatic Rule duoc xét theo độ tr tiễn sau:

& Static NAT Rule lic nao cing dec wu tién tude Hide NAT Rule

© NAT tai mét Host (Node) trang mạng được ưu tiên so với NAT một đây IP hay ca mét Network

4.2.3 C4u hinh NAT trén Check Point Security Gateway

Automatic NAT là phương pháp để cầu hình nhất và dé triển khai và thường

it bị lỗi khi cấu hình

Manual NAT có tỉnh phúc tạp và thường khó cầu bình hơn nhưng có tính linh hoạt cao

4 Kiểm soát được sự chuyén déi dia chi source IP va Destination IP

4 Chuyển đổi cả Source IP va Destination 1P cùng lúc

Static IDastination MAT có để chuyển đổi thao Service cụ thể va theo 1

hướng

4.23.1 Automatic NAT chu Node Object

Trong phân này, theo sơ đỗ trén ta sé minh hoat chitc nding Automatic Static NAT Một máy chủ Web có tên Intemal_Web (172.167.1.1) duge dat trong ving DMZ với địa chi IP la dia chi Private dé Client ban ngoai có thế truy cập vào và Intemal Web có thé truy cập ra Internet ta cần phái cần hình Stabie NAT cho Intemal_Web với địa chỉ IP là 117.6.172.123