Tải bản đầy đủ (.pdf) (75 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Hướng dẫn cấu hình tưởng lửa Checkpoint

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.07 MB, 75 trang )

Tài liệu hướng dẫn cấu hình tường lửa

Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft
11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612
1










TÀI LIỆU HƯỚNG DẪN CẤU HÌNH TƯỜNG LỬA
Phiên bản: 1.0
Ngày cập nhật: 20/11/2007
Tài liệu hướng dẫn cấu hình tường lửa

Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft
11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612
2
MỤC LỤC
1.1. Triển khai thành phần quản trị tập trung 3
1.1.1 Cài đặt CheckPoint VNP-1 3
1.1.2 Cài đặt SmartConsole Client 17
1.2. Thiết lập chính sách kiểm soát truy cập 23
1.2.1 Các khái niệm 23
1.2.2 Tạo một chính sách bảo mật 26
1.3. Xác định người dùng trên hệ thống tường lửa 39


1.3.1 Định nghĩa mẫu (template) người dùng 39
1.3.2 Tạo người dùng 42
1.3.3 Cài đặt Cơ sở dữ liệu người dùng 44
1.4. Dịch địa chỉ mạng (NAT) 45
1.4.1 Các khái niệm 45
1.4.2 Cấu hình dịch địa chỉ động 46
1.4.3 Cấu hình dịch địa chỉ tĩnh 49
1.5. Sao lưu dự phòng cho hệ thống tường lửa 51
1.5.1 Các thư mục, dữ liệu cần sao lưu 51
1.5.2 Thực hành việc sao lưu và phục hồi 52
1.6. Tối ưu hoá các luật kiểm soát 54
1.7. Mạng riêng ảo 55
1.7.1 Cài đặt mạng riêng ảo theo mô hình site to site 55
1.7.2 Cài đặt mạng riêng ảo theo mô hình client to site 69

Tài liệu hướng dẫn cấu hình tường lửa

Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft
TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA

1.1. Triển khai thành phần quản trị tập trung
1.1.1 Cài đặt CheckPoint VNP-1
Mô hình triển khai
Trong phần thực hành này chúng ta sẽ cài đặt thành phần quản trị
Management Module (SmartCenter Server) và Enforcement Module (Firewall
gateway) trên cùng một máy chạy hệ điều hành dành riêng SecurePlaform.

Hình 1 Mô hình triển khai

Cài đặt hệ điều hành SecurePlatform

1. Đưa đĩa cài đặt NGX SecurePlatform vào ổ CD và khởi động lại máy
tính
Sau khi khởi động, dòng chữ Welcome to Check Point sẽ xuất hiện trên
màn hình. Nếu chúng ta không nhấn phím Enter trong 90 giây thì máy tính sẽ
khởi động từ ổ đĩa cứng.
2. Nhấn phím Enter
Chương trình cài đặt được nạp và các tùy chọn sau sẽ được hiển thị
11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612
3
Tài liệ u hướng dẫn cấu hình tường lửa

Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft

Hình 2: Danh sách driver

Device List
Nếu chúng ta chọn Device List, menu Harware Scan Details sẽ được
hiển thị
Add Driver
Nếu chúng ta chọn Add Driver, menu Devices sẽ được hiển thị. Sẽ có
những trường hợp mà phần cứng mới sẽ không tương thích với driver phiên bản
cũ. Chúng ta có thể nhận được thông báo lỗi trong khi cài đặt nếu như hệ điều
hành không thể tìm được diver phù hợp; có thể việc cài đặt được hoàn thành
nhưng phần cứng sẽ hoạt động không đúng đắn. Tùy chọn Add Driver cho phép
chúng ta bổ sung những driver cần thiết trong suốt quá trình cài đặt.

3. Chọn OK để tiếp tục việc cài đặt, hoặc nhấn Cancel để hủy bỏ
Cửa sổ System Type xuất hiện.
11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612
4

Tài liệ u hướng dẫn cấu hình tường lửa

Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft

Hình 3: Loại hệ thống cài đặt

4. Lời nhắc What type of system would you like to install? xuất hiện,
nhắc chúng ta loại hệ thống nào muốn cài đặt.
Tùy theo loại license được mua, chọn một trong các lựa chọn sau:
SecurePlatform
SecurePlatform Pro – bao gồm Advanced Routing Suite và các tùy
chọn nâng cao bổ sung (ví dụ xác thực người quản trị bằng RADIUS)
Chọn OK, menu Keyboard Selection xuất hiện

5. Chọn một kiểu keyboard và chọn OK.
Cửa sổ Networking Device xuất hiện
11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612
5
Tài liệ u hướng dẫn cấu hình tường lửa

Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft

Hình 4: Chọn Networking devive

Trong cửa sổ Networking Device, sử dụng phím mũi tên lên xuống để
chọn device. Đây là giao tiếp mạng, chúng ta chọn một giao tiếp với trạng thái
link up để làm cổng giao tiếp cho việc quản trị. Chọn OK

6. Trong menu Network Interface Configuration, hãy xác định địa chỉ
IP cho giao tiếp quản trị, xác định netmask và defaut gateway.


Hình 5: Cấu hình giao diện mạng

11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612
6
Tài liệu hướng dẫn cấu hình tường lửa

Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft
7. Trong menu HTTPS Server Configuration, xác định việc cho phép
hay không việc cấu hình SecurePlatform qua giao diện Web

Hình 6: Cấu hình cổng console https

8. Chọn OK để tiếp tục
Menu Confirmation xuất hiện

9. Chọn OK để tiếp tục và Cancel để hủy

Cảnh báo: Việc cài đặt sẽ fortmat lại ổ cứng và toàn bộ dữ liệu sẽ bị xóa.

10. Chọn OK để hoàn thành việc cài đặt
Hệ thống sẽ khởi động lại. Đảm bảo là chúng ta đã đưa đĩa CD ra khỏi ổ.

Cài đặt gói phần mềm NGX trên SecurePlatform
Sau khi cài đặt hệ điều hành và đã khởi động lại máy tính, các bước cần
thực hiện tiếp theo như sau:
• Cấu hình các thông số mạng
• Áp dụng license
11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612
7

Tài liệu hướng dẫn cấu hình tường lửa

Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft
• Chọn gói phần mềm nào sẽ được cài

1. Cấu hình login hệ thống
• Sau khi khởi động, lời nhắc login hiện ra. Gõ admin và nhấn phím
Enter
• Tại lời nhắc password : gõ admin và nhấn phím Enter
• Tại lời nhắc Enter new password : Gõ mật khẩu và nhấn phím
Enter
• Tại lời nhắc Enter new password (again) : Gõ lại mật khẩu
chúng ta đã nhập ở trên, và nhấn phím Enter
• Tại lời nhắc Enter new user name : Gõ lại tên user và nhấn
Enter, hoặc nhấn luôn Enter nếu không thay đổi

2. Cấu hình với Wizard
• Lời nhắc [cpmodule]# được hiển thị. Gõ sysconfig tại dấu nhắc và
gõ Enter. Trình Configuration Wizard được nạp

Hình 7: Trình wizard

11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612
8
Tài liệu hướng dẫn cấu hình tường lửa

Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft
• Ở phía dưới màn hình là lời nhắc Your choice : Gõ n tại dấu nhắc
và nhấn Enter để tiếp tục


3. Cấu hình host name
• Menu Network Configuration được hiển thị. Tại dấu nhắc Your
choice, gõ 1 và nhấn Enter

Hình 8: Cấu hình host name

• Tại lời nhắc Enter host name prompt: Gõ tên tường lửa, ví dụ:
fwabc, nhấn Enter
• Tại lời nhắc Enter IP…: Gõ địa chỉ IP bên ngoài của fwabc và
nhấn Enter
• Nhấn tiếp Enter để tiếp tục
• Tại lời nhắc Your choice: Gõ e và nhấn phím Enter để quay về
menu Network Configuration.

4. Cấu hình tên miền
• Trong màn hình Network Configuration, tại lời nhắc Your
choice: gõ 2 và nhấn phím Enter để bắt đầu cấu hình tên miền
11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612
9
Tài liệu hướng dẫn cấu hình tường lửa

Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft
• Menu Choice an action hiển thị, tại lời nhắc Your choice: gõ 1
và nhấn phím Enter.
• Tại lời nhắc Enter domain name: gõ fwabc.cp và nhấn Enter
• Nhấn Enter để tiếp tục
• Tại lời nhắc Your choice: gõ e và nhấn Enter để quay về menu
Network Configuration

5. Cấu hình giao tiếp bên trong

• Trong màn hình Network Configuration, tại lời nhắc Your
choice: gõ 4 và nhấn phím Enter để bắt đầu cấu hình các kết nối
mạng

Hình 9: Cấu hình giao tiếp bên trong

• Menu Choose a network connection configuration hiển thị, tại
lời nhắc Your choice: gõ 2 và nhấn Enter
• Menu Choose a connection to configure hiển thị, tại lời nhắc
Your choice: gõ 2 và nhấn Enter
• Tại lời nhắc Your choice: gõ 1 và nhấn Enter
11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612
10
Tài liệu hướng dẫn cấu hình tường lửa

Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft
• Tại lời nhắc Enter IP address, gõ địa chỉ IP bên trong của fwabc
và nhấn Enter
• Khi có lời nhắc, gõ netmask cho mạng trong của fwabc và nhấn
Enter
• Nhấn tiếp Enter để dùng địa chỉ quảng bá mặc định
• Nhấn tiếp Enter để tiếp tục
• Tại lời nhắc Your choice: gõ e và nhấn Enter để quay về menu
Network configuration.

6. Xác nhận default gateway đã được đặt
• Trong màn hình Network configuration, tại lời nhắc Your choice,
gõ 5 và nhấn Enter

Hình 10: Cấu hình default gateway


• Menu Choose a routing configuration hiển lên. Tại lời nhắc
Your choice, gõ 2 và nhấn Enter
• Xem xét lại thông tin và xác nhận liệu đã đúng
• Tại lời nhắc Your choice, gõ e và nhấn Enter để quay về menu
Network Configuration
11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612
11
Tài liệu hướng dẫn cấu hình tường lửa

Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft
11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612
12
• Menu Network Configuration hiển thị. Tại lời nhắc Your choice:
gõ n và nhấn Enter để bắt đầu việc cấu hình thời gian và ngày
tháng.

7. Cấu hình time-zone
• Menu Choose a time and date configuration hiển thị. Tại lời
nhắ Your choice: gõ 1 và nhấn Enter.
• Tại dấu nhắc #?, gõ con số tương ứng với khu vực và nhấn Enter
• Tại dấu nhắc #? Gõ con số tương ứng với quốc gia và nhấn Enter
• Tại dấu nhắc #? Gõ con số tương ứng với time-zone và nhấn
Enter
• Tại dấu nhắc #?, gõ 1 và nhấn Enter để xác nhận thông tin là chính
xác. Quay về menu Choose a time and date configuration

8. Cấu hình ngày tháng
• Menu Choose a time and data configuration hiển thị. Tại dấu
nhắc Your choice: gõ 2 và nhấn Enter

• Khi có lời, gõ ngày tháng theo khuôn dạng: MM-DD-YYY (Tháng-
Ngày-Năm) và nhấn Enter

9. Bỏ qua việc Import cấu hình sản phẩm
• Menu Import Check Point Products configuration hiển thị
• Chúng ta đang thực hiện việc cài đặt Check Point VPN-1 mới, do
vậy không có file cấu hình được import. Tại lời nhắc Your choice,
gõ n và nhấn Enter để tiếp tục
10. Chấp nhận thỏa thuận về bản quyền
• Màn hình Welcome to the Check Point Suite hiển thị. Gõ n để
tiếp tục
Tài liệu hướng dẫn cấu hình tường lửa

Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft
• Màn hình License Agreement hiển thị. Sử dụng phím space bar
để xem nội dung
• Khi có dấu nhắc, gõ y và nhấn phím Enter để chấp thuận các điều
khoản về thỏa thuận bản quyền.
• Màn hình Checking for Previous Installation hiển thị. Chúng ta
đang cài đặt mới do vậy không cần thực hiện hành động nào nữa.

11. Chọn sản phẩm cần cài đặt
• Màn hình Product Selection hiển thị.
• Gõ 2 để chọn CheckPoint Express và gõ n để tiếp tục
• Màn hình Installation Options hiển thị. Gõ 1 để chọn New
Installation và gõ n để tiếp tục.

Hình 11: Chọn cài đặt mới hay nâng cấp

• Màn hình Select Products hiển thị. Gõ 1 để chọn VPN-1 Pro

• Gõ 3 để chọn SmartCenter, gõ n để tiếp tục
• Màn hình SmartCenter Type selection hiển thị. Gõ 1 để chọn
Primary SmartCenter, và gõ n để tiếp tục
11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612
13
Tài liệu hướng dẫn cấu hình tường lửa

Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft
• Màn hình Validation hiển thị. Xem lại các sản phẩm được liệt kê
và xác nhận rằng VPN-1 và SmartCenter được chọn, và gõ n để
tiếp tục

Hình 12: Chọn sản phẩm cài đặt


Việc cài đặt VPN-1 Pro bắt đầu, không cần thực hiện hành động nào nữa.

12. Cấu hình người quản trị
Dòng chữ Welcome to Check Point Configuration Program hiển thị.
Tại cuối màn hình là dấu nhắc hỏi chúng ta có muốn đưa license. Đối với lớp
thực hành này, chúng ta sẽ dùng license thử nghiệm, do vậy không cần phải đưa
license vào.
11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612
14
Tài liệu hướng dẫn cấu hình tường lửa

Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft

Hình 13: Cấu hình người quản trị


• Tại dấu nhắc, gõ n và nhấn Enter
• Tại cuối màn hình, dấu nhắc hỏi chúng ta có muốn tạo một người
quản trị. Gõ y và nhấn Enter
• Tại lời nhắc Administrator name: gõ admin và nhấn Enter
• Tại lời nhắc Password: gõ abc123 và nhấn Enter
• Tại lời nhắc Verify Password: gõ abc123 và nhấn Enter

13. Cấu hình GUI Client
Tại cuối màn hình, lời nhắc đang nhắc chúng ta tạo các máy trạm cho
console. Tại dấu nhắc, gõ y và nhấn Enter
11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612
15
Tài liệu hướng dẫn cấu hình tường lửa


Hình 14: Cấu hình GUI Client

• Gõ IP của máy trạm mà sẽ dùng để quản trị firewall và nhấn Enter
Chú ý gõ Any để chấp nhận bất kỳ IP máy trạm nào.
• Nhấn Ctrl + D để kết thúc
• Khi có dấu nhắc, gõ y và nhấn Enter để xác nhận địa chỉ IP là
chính xác.

14. Bỏ qua cấu hình nhóm
• Tại cuối màn hình, dấu nhắc đang hỏi chúng ta xác định một tên
nhóm. Nhấn Enter để chấp nhận nhóm superuser mặc định.
• Khi có dấu nhắc, gõ y và nhấn Enter

15. Khởi động lại máy
• Ở phía trên cùng màn hình có dòng chữ nhắc chúng ta khởi động lại

máy để hoàn thành việc cài đặt. Nhấn Enter để tiếp tục.
• Tại dấu nhắc [fwabc]#, gõ reboot và nhấn Enter
• Tại lời nhắc Are you sure? gõ y và nhấn Enter

Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft
11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612
16
Tài liệu hướng dẫn cấu hình tường lửa

Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft

1.1.2 Cài đặt SmartConsole Client
SmartConsole là thành phần dùng để quản trị tường lửa từ các máy trạm.
• Đưa đĩa CD thứ hai (NGX CD2) vào ổ đĩa.
• Màn hình chào đón xuất hiện. Chọn Next để tiếp tục.
• Chú ý nếu màn hình chào đón không xuất hiện, hãy vào đĩa CD và
chạy file setup.exe

Hình 15: Màn hình bắt đầu quá trình cài đặt Console client

Màn hình về thỏa thuận bản quyền xuất hiện. Chọn I accept the terms of
the license agreement
11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612
17
Tài liệu hướng dẫn cấu hình tường lửa

Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft

Hình 16: Chấp nhận bản quyền


Màn hình về lựa chọn sản phẩm xuất hiện. Hãy chọn Check Point
Enterprise/Pro và chọn vào Next
11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612
18
Tài liệu hướng dẫn cấu hình tường lửa


Hình 17: Loại sản phẩm cài đặt

Màn hình về chọn kiểu cài đặt xuất hiện. Chọn New Installation

Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft
11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612
19
Tài liệu hướng dẫn cấu hình tường lửa


Hình 18: Cài đặt mới
Màn hình về lựa chọn các thành phần xuất hiện. Chỉ chọn duy nhất
SmartConsole, bỏ chọn tất cả các checkbox khác.

Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft
11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612
20
Tài li ệu hướng dẫn cấu hình tường lửa

Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft

Hình 19: Chọn SmartConsole
Màn hình thông báo thành phần được chọn xuất hiện. Xác nhận chỉ có

SmartConsole được liệt kê. Chọn Next để tiếp tục
11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612
21
Tài liệu hướng dẫn cấu hình tường lửa

Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft

Hình 20: Thông báo sản phẩm được chọn

Màn hình thông báo vị trí thư mục cài đặt xuất hiện. Chúng ta hãy giữ
nguyên vị trí mặc định và chọn Next để tiếp tục
11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612
22
Tài liệu h ướng dẫn cấu hình tường lửa

Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft

Hình 21: Chọn thư mục cài đặt
Màn hình về các thành phần client nào sẽ được chọn. Hãy để tất cả các
checkbox được chọn. Chọn Next để tiếp tục
Quá trình cài đặt bắt đầu thực hiện
Khi quá trình cài đặt đã thực hiện xong hãy lần lượt nhấn các nút OK,
Finish để hoàn thành việc cài đặt

1.2. Thiết lập chính sách kiểm soát truy cập
1.2.1 Các khái niệm
Chính sách bào mật là gì?
Chính sách bảo mật là một tập hợp các luật định nghĩa an ninh bảo mật
cho hệ thống mạng của chúng ta. Trong Firewall Check Point, chính sách bảo
mật được định nghĩa qua một tập luật – Rule Base. Tập luật bao gồm các luật

riêng rẽ hình thành nên chính sách bảo mật của chúng ta. Nếu chúng ta thiết lập
chính sách bảo mật không tốt, thì hệ thống tường lửa sẽ bị giới hạn và không
được sử dụng một cách hiệu quả.
11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612
23
Tài liệu hướng dẫn cấu hình tường lửa

Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft
Các thành phần của luật gồm có đối tượng mạng, người dùng, nhóm, dịch
vụ, tài nguyên, và hành động. Khi một chính sách được định nghĩa, chúng ta có
thể triển khai chính sách cho các thiết bị tường lửa trên toàn hệ thống mạng của
chúng ta.

Tập luật (Rule base)
Tập luật là một tập hợp các luật kiểm soát theo thứ tự. Mỗi luật được định
nghĩa cho một phiên kết nối, nó xác định nguồn, đích, dịch vụ và hành động
được áp dụng cho phiên kết nối đó. Luật cũng xác định thông tin về kết nối sẽ
được ghi lại như thế nào. Các sự kiện xảy ra sẽ được ghi nhật ký-log và có thể
tạo ra một thông báo cảnh báo. Hình sau là một ví dụ về tập luật.

Hình 22: Ví dụ về tập luật

Mỗi một luật trong tập luật sẽ xác định những gói tin nào sẽ khớp với nó
dựa trên điều kiện Source (nguồn), Destination (đích), Service (dịch vụ), và
Time (thời gian) gói tin được kiểm tra. Khi một luật khớp với gói tin thì hành
động trong Action sẽ được áp dụng. Các thông tin về kết nối có thể được ghi
log, hoặc một cảnh báo được đưa ra, tùy vào việc cấu hình trong trường Track.

Các tham số của luật
 No.: Số thứ tự của luật, luật đầu tiên có số thứ tự là 1

 Name: Tên luật
 Source: Tập hợp các đối tượng mạng, mô tả điểm bắt đầu của kết nối
11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612
24
Tài liệu hướng dẫn cấu hình tường lửa

Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft
11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612
25
 Destination Tập hợp các đối tượng mạng, mô tả điểm đến của kết nối
 VPN— Nếu cần thiết, định nghĩa kết nối sẽ được mã hóa trong kênh
VPN.
 Service—Một tập hợp các đối tượng dịch vụ, mô tả kết nối sẽ sử dụng
giao thức, cổng gì.
 Action—Gồm các hành động được định nghĩa trước, xác định tường
lửa sẽ phải làm gì với gói tin nếu luật nàykhớp với gói tin đó.
 Track—Gồm các tùy chọn được định nghĩa trước, xác định có ghi log
hoặc đưa ra cảnh báo nếu kết nối khớp với luật.
 Install On— Xác định tường lửa nào sẽ áp dụng luật này.
 Time— (tùy chọn) xác định thời gian mà luật sẽ được áp dụng.
 Comment—Cho mục đích quản lý, cho phép chúng ta ghi những chú
tích, mô tả luật.
Hiểu về thứ tự của luật
Tường lửa kiểm tra các gói tin bằng cách so sánh chúng với chính sách,
chỉ với một luật tại một thời điểm. Trong tập luật, luật sẽ được so sánh theo thứ
tự từ trên xuống. Nếu kết nối khớp với một luật thì hành động trong luật đó sẽ
được áp dụng và kết thúc. Nếu kết nối không khớp với bất kỳ luật nào sẽ bị hủy.

Các luật cơ bản
Có 2 luật cơ bản mà hầu hết những người quản trị đều dùng, đó là

Cleanup và Stealth, đây là những luật rất cơ bản và rất quan trọng trong vấn đề
àn toàn bảo mật và ghi nhật ký thông tin.

Luật Cleanup
Tường lửa Check Point hoạt động theo nguyên tắc là mặc định cấm tất các
kết nối mà không được phép. Tường lửa sẽ hủy tất cả kết nối mà không nằm
trong quy định của bất kỳ luật nào, do vậy cách để theo dõi, theo vết được các
gói tin bị hủy là tạo một luật Cleanup, luật này sẽ ghi log những kết nối bị hủy.
Luật Cleanup nằm ở dưới cùng trong tập luật và sẽ “quét dọn” tất cả các kết nối
mà không nằm trong phạm vi của bất kỳ luật nào khác bằng cách ghi log và thực
hiện hành động Drop (bỏ gói tin).

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×