Tài liệu hướng dẫn cấu hình tường lửa

TÀI LIỆU HƯỚNG DẪN CẤU HÌNH TƯỜNG LỬA
Phiên bản: 1.2
Ngày cập nhật: 31/01/2012

1


Tài liệu hướng dẫn cấu hình tường lửa

MỤC LỤC
1.

2.

3.

Triển khai với thiết bị UTM-1................................................................................................3
1.1.

Triển khai theo mơ hình Distributed..............................................................................3

1.2.

Triển khai theo mơ hình Standalone...............................................................................9

Triển khai với thiết bị IP.........................................................................................................12
2.1.

Upgrade boot manager cho thiết bị IP.........................................................................14

2.2.

Cài đặt gói tin CheckPoint R70....................................................................................16

Triển khai CheckPoint SecurePlatform.................................................................................19
3.1.

Triển khai theo mơ hình Distributed............................................................................19

3.2.

Triển khai theo mơ hình Standalone.............................................................................31

4.

Cài thành Phần quản trị trên WinServer 2003......................................................................35

5.

Đưa Firewall vào Smartcenter và tạo chính sách ban đầu...................................................43

6.

7.

8.

5.1.


Đưa Firewall vào thành phần quản trị.........................................................................43

5.2.

Thiết lập chính sách kiểm sốt truy cập.......................................................................46

Cấu hình Cluster.....................................................................................................................51
6.1.

Trên thiết bị chỉ cài thành phần Security Gateway......................................................51

6.2.

Trên thiết bị cài cả thành phần Security Management.................................................57

Mạng riêng ảo.........................................................................................................................58
7.1.

Cài đặt mạng riêng ảo theo mơ hình site to site...........................................................58

7.2.

Cài đặt mạng riêng ảo theo mơ hình client to site.......................................................69

Sao lưu dự phòng cho hệ thống tường lửa............................................................................75
8.1.

Với thành phần quản trị nằm trên thiết bị UTM-1, SercuPlatform..............................75

8.2.


Với thành phần quản trị nằm trên Windown.................................................................76

2


Tài liệu hướng dẫn cấu hình tường lửa

TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA

1. Triển khai với thiết bị UTM-1
1.1. Triển khai theo mơ hình Distributed

Trong phần thực hành này chúng ta sẽ cài đặt thành phần quản trị
Management

Module

(SmartCenter

Server)

trên

Server

2003

và


Enforcement Module (Firewall gateway) trên thiết bị UTM-1.

Mơ hình triển khai
Với thiết bị UTM-1 thì Interface Internal mặc định để connect cấu
hình https://192.168.1.1:4434. Login với account mặc định: admin,
password: admin.

3


Tài liệu hướng dẫn cấu hình tường lửa

Step1: Set User, Pass và Time
Khi Login thiết bị sẽ yêu cầu một pass mới và sẽ phải đặt lại pass cho
thiết bị (pass mới phải có độ khó bao gồm chữ in và các ký tự như:
Admin@123).
Sau khi đặt lại pass, chọn Next để tiếp tục

Xét time theo GMT+7 và chọn Apply rồi Next.

4


Tài liệu hướng dẫn cấu hình tường lửa

Step2: Cấu hình IP cho các Interface
Bước tiếp theo là cấu hình các giải mạng. chuột kép vào các Interface
cần cấu hình.

Sau khi cấu hình hết các Interface ta sẽ được như hình dưới đây.


5


Tài liệu hướng dẫn cấu hình tường lửa

Như trong hình trên ta thấy có thêm giải Secondary 192.168.1.1.
tích vào ơ có chứa giải mạng đấy và chọn remove IP.
Step3: Cấu hình Route và Default Route
Sau khi remove IP giải 192.168.1.1 thì trên máy client phải đổi IP
về giải 10.2.80.0 và login lại (https://10.2.80.4:4434). Khi login lại, chọn
Next cho qua bước này và đến bước tiếp (cấu hình routing).

Khi cấu hình routing chọn New. Trong đó ta sẽ thấy 2 lựa chọn
Route và Default route, cấu hình cái nào trước cũng được (như 2 hình dưới
đây).
Cấu hình Route

Cấu hình Default route

6


Tài liệu hướng dẫn cấu hình tường lửa

Sau khi cấu hình Route và Default route ta được như hình dưới,
chọn Next để sang bước tiếp theo.

Step4: cấu hình Hostname và DNS
Bước tiếp theo ta sẽ cấu hình Hostname và DNS


Step5: Lựa chọn các thành phần cài đặt
Trong bước này ta chọn mục 2 chỉ cài thành phần Gateway.
7


Tài liệu hướng dẫn cấu hình tường lửa

Next để chuyển sang bước tiếp (các bước tiếp theo ta cứ để mặc
định khơng cần chỉnh sửa gì và ấn Next).

Trong trường hợp chỉ có một thiết bị thì ta chọn Standard Gateway,
nếu có 2 thiết bị chạy Cluster với nhau thì chọn vào lựa chọn 2 (This
Gateway is a member of a Cluster)
Step6: Tạo SIC Key
Sau khi qua bước chọn loại Gateway đến bước quan trọng là tạo SIC
Key. Tạo SIC Key để cho Management và Gateway có thể nói chuyện được
với nhau.
SIC Key là một dãy các chữ số từ 0 đến 9, abc…. ( ví dụ: 123456).

8


Tài liệu hướng dẫn cấu hình tường lửa

Sau khi tạo SIC Key đến bước cuối cùng, chọn finish để bắt đầu
q trình cài đặt

Step7: Dùng dịng lệnh để bỏ chính sách mặc định ban đầu
Quá trình cài đặt sẽ mất khoảng 10’. Sau khi cài đặt xong Login

vào Firewall qua Console. Dùng lệnh fw unloadlocal để bỏ chính sách mặc
định trên Firewall.

1.2. Triển khai theo mơ hình Standalone

9


Tài liệu hướng dẫn cấu hình tường lửa

Mơ hình triển khai
Với mơ hình Standalone, là cài tất cả bao gồm SecureGateway và
Smartcenter trên cùng một thiết bị. Trong khi đó thành phần Smartconsole sẽ
được cài trên Client để quản lý Firewall qua Smartdashboad.
Với mơ hình StandAlone các bước cài đặt ban đầu khơng có gì khác
biệt cho tới Step5:. Trong bước này thay vì chọn vào Centrally Managed, ta
sẽ chọn vào lựa chọn đầu tiên (Locally Managed).

10


Tài liệu hướng dẫn cấu hình tường lửa

Sau khi chọn vào Locally Managed bỏ qua bước tiếp theo trong lựa
chọn cấu hình Cluster.

Chọn vào Finish để bắt đầu quá trình cài đặt

11



Tài liệu hướng dẫn cấu hình tường lửa

2. Triển khai với thiết bị IP
Với thiết bị IP ta chỉ cài thành Phần Security Gateway, thành phần
quản trị (Smartcenter) sẽ được cài trên Server.
Chú ý:
- Với thiết bị IP thông thường phiên bản IPSO trên thiết bị là IPSO4.2,
như vậy để cài CheckPoint R70 thì ta phải update IPSO từ 4.2 lên IPSO6.0
hoặc 6.2.
- Trước khi cài gói CheckPoint thì trên thiết bị phải được cấu hình tối
thiểu địa chỉ IP cho 2 Interfaces, trong đó có một Interface là External.
Step1: Cấu hình Hostname và lựa chọn phương thức cài đặt
Khởi động thiết bị IP nó sẽ yêu cầu bạn đặt Hostname và password
login vào thiết bị.

12


Tài liệu hướng dẫn cấu hình tường lửa

Step2: Cấu hình IP cho Interfaces
Trong lựa chọn cấu hình địa chỉ IP cần chú ý với phần cấu hình MAC,
độ dài MAC không phải 255.255… như thông thường mà ta sẽ dùng con số
như trong hình.

Step3: Cấu hình Speed cho Interfaces

13



Tài liệu hướng dẫn cấu hình tường lửa

Sau khi cấu hình IP đến phần cấu hình Speed (100M) và cấu hình Full
duplex.

Sau khi xác nhận lại các thơng tin đã chính sác ta cần phải khởi động
lại thiết bị.
2.1. Upgrade boot manager cho thiết bị IP

Trước hết vào giao diện web cấu hình thiết bị như một FTP server như
sau:
Step1: Enable FTP Access & Allow Network Login
Vào Configuration>Security and Access> Network Access and
Services check vào Allow FTP access

14


Tài liệu hướng dẫn cấu hình tường lửa

Step2: Đưa gói tin IPSO6.2 vào thiết bị
Từ giao diện web vào Configuration > System Configuration>
Images> Upgrede Image

Nhập những thông tin cần thiết về URL của file IPSO.tgz (ver
6.2) và username password để đăng nhập vào FTP server. Check vào Deactivate the Installed Packgaes After Upgrade để sau khi gói IPSO.tgz được
đẩy lên thiết bị nó sẽ được cài đặt. Click Apply.
Click Continue sau đó click Apply.
15



Tài liệu hướng dẫn cấu hình tường lửa

Step3: Upgrade Image
Click vào link Upgrade Image Status cửa sổ IPSO Image Mangement
hiện ra thông một thông báo.
Khi upgrade thành công quay lại Manage Images để kiểm tra lại
và chọn “Last Image Downloaded” và Reboot thiết bị để hoàn tất việc
upgrade IPSO 6.2. Bây giờ thiết bị của quý khách đã sẵn sàng chạy Check
Point R70.
2.2. Cài đặt gói tin CheckPoint R70

Để có thể đưa gói tin vào thiết bị thì ta cần dựng một FTP Server trên
Client, có chứa gói tin CheckPoint.
Step1: Đưa gói tin vào thiết bị
Khi khởi động lại thiết bị, login vào thiết bị với account: admin, pass
được khởi tạo trong trong bước cấu hình Hostname.
Sau khi login, dùng câu lệnh newpkg để lựa chọn phương thức đưa
gói tin vào thiết bị. Chọn lựa chọn 2 đưa gói tin vào thiết bị thơng qua FTP
Server như hình vẽ.

16


Tài liệu hướng dẫn cấu hình tường lửa

Step2: Cài đặt gói tin
Sau khi đưa gói tin vào thiết bị thì chọn 1 để tiến hành cài đặt mới gói
tin CheckPoint. Khi thiết bị thơng báo Successfully thì ta phải khởi động lại

thiết bị.

Step3: Cài đặt thành phần CheckPoint
Dùng câu lệnh cpconfig để bắt đầu cài đặt.

17


Tài liệu hướng dẫn cấu hình tường lửa

Lựa chọn thành phần cài đặt Security Gateway (lựa chọn 2).

Step4: Tạo SIC Key

Sau khi tạo SIC Key xong thì khởi động lại thiết bị, dùng console để
console vào thiết bị dùng lệnh fw unloadlocal để bỏ chính sách mặc định ban
đầu.
18


Tài liệu hướng dẫn cấu hình tường lửa

3. Triển khai CheckPoint SecurePlatform
3.1. Triển khai theo mơ hình Distributed

Step1: Đưa đĩa cài đặt NGX SecurePlatform vào ổ CD và khởi động
lại máy tính
Sau khi khởi động, dịng chữ Welcome to Check Point sẽ xuất hiện
trên màn hình. Nếu chúng ta khơng nhấn phím Enter trong 90 giây thì máy
tính sẽ khởi động từ ổ đĩa cứng.

Nhấn phím Enter
Chương trình cài đặt được nạp và các tùy chọn sau sẽ được hiển thị

Hình 2: Danh sách driver
Chọn OK để tiếp tục việc cài đặt, hoặc nhấn Cancel để hủy bỏ
Cửa sổ System Type xuất hiện.
Step2: Lựa chọn loại hệ thống muốn cài đặt

19


Tài liệu hướng dẫn cấu hình tường lửa

Lời nhắc What type of system would you like to install? xuất hiện,
nhắc chúng ta loại hệ thống nào muốn cài đặt.
Tùy theo loại license được mua, chọn một trong các lựa chọn sau:
Security Gateway
Security Gateway Pro – bao gồm Advanced Routing Suite và các tùy
chọn nâng cao bổ sung (ví dụ xác thực người quản trị bằng RADIUS)
Chọn OK, menu Keyboard Selection xuất hiện
Step3: lựa chọn Interface để cấu hình IP
Cửa sổ Networking Device xuất hiện
Error: Reference source not found
Trong cửa sổ Networking Device, sử dụng phím mũi tên lên xuống để
chọn device. Đây là giao tiếp mạng, chúng ta chọn một giao tiếp với trạng
thái link up để làm cổng giao tiếp cho việc quản trị. Chọn OK
Step4: Cấu hình IP cho Interfaces

20