CheckPoint Security Gateway
Nhóm 9:
Bùi Huy Hải - 08520108
Nguyễn Tấn Trọng - 08520426
Đinh Hoàng Việt - 08520464
I. Lý thuyết
I.1/ Giới thiệu về Check Point :
Check Point không phải phải người xa lạ trong cuộc cách mạng an toàn, an ninh
CNTT .Mười lăm năm trước, CP đã tạo ra công nghệ kiểm soát trạng thái toàn diện mà đến nay
vẫn còn là cơ sở của bức tường lửa mạnh mẽ nhất trong ngành. Sau đó, CP thay đổi căn bản
việc quản trị an ninh với chỉ một bàn điều khiển SmartCenter, các cổng an ninh đồng nhất
( unified security gateways) và chỉ một agent cho an ninh đầu cuối. Gần đây nhất, CP đã phân
phối Total Security (Giải pháp an ninh Toàn diện), cung cấp sự an toàn không thỏa hiệp, hạn
chế sự phức tạp và tăng cường hiệu năng hoạt động.
Với Kiến trúc Software Blade của Check Point, một cuộc cách mạng An toàn , An ninh
mới đã bắt đầu.
I.2/ Kiến trúc Check Point Software Blades
I.2.1/ Tại sao phải sử dụng kiến trúc Check Point Software Blades
Software blade là một khối kiến trúc an ninh logic có tính độc lập, modull hóa và quản
lý tập trung. Software Blades có thể được sẵn sàng và cấu hình theo một giải pháp dựa trên
những nhu cầu kinh doanh cụ thể. Và khi có nhu cầu, các blades bổ sung có thể được kích hoạt
để mở rộng an ninh cho cấu hình sẵn có bên trong cùng một cơ sở phần cứng.
Kiến trúc Software Blade của Check Point đề xuất một cách thức tốt hơn trong vấn đề
an ninh, cho phép các tổ chức nhìn nhận một cách hiệu quả các giải pháp mục tiêu , phù hợp
các nhu cầu an ninh doanh nghiệp đề ra. Toàn bộ các giải pháp được quản lý tập trung thông
qua bàn điều khiền duy nhất nhằm hạn chế sự phức tạp và quá tải vận hành. Với tư cách một
ứng cứu khẩn cấp các mối đe dọa, kiến trúc Software Blade của Check Point mở rộng các dịch
vụ một cách nhanh chóng và linh hoạt khi cần thiết mà không cần bổ sung phần cứng hay tăng
độ phức tạp.
Những lợi ích chính của Kiến trúc Check Point Software Blade:
o Tính linh hoạt - Cung cấp một mức độ an ninh phù hợp với mức độ đầu tư

o Khả năng điều khiển – Cho phép triển khai nhanh các dịch vụ an ninh. Tăng cường hiệu
suất làm việc thông qua quản trị blade tập trung.
o An Ninh Toàn diện – Cung cấp mức độ an ninh phù hợp, trên tất cả các điểm thực thi, và
toàn bộ các lớp mạng.
o Tổng giá thành sở hữu (TCO) thấp – Bảo vệ sự đầu tư thông qua củng cố và sử dụng hạ
tầng phần cứng đang có.
o Năng suất đảm bảo – Cho phép dự phòng tài nguyên nhằm bảo đảm các mức độ dịch vụ.
I.2.2/ Xây dựng một giải pháp an ninh bằng Sofrware Blades
Check Point’s Software Blade Architecture cho phép tùy biến các hệ thống được thiết lập
sẵn hoặc nhanh chóng chọn lựa các giải pháp căn bản được định trước.
Cho dù là thiết kế một giải pháp cho tổng hành dinh công ty, một trung tâm dữ liệu hay
văn phòng chi nhánh, việc thiết lập hệ thống sẽ gồm ba bước đơn giản:
Buớc 1: Chọn một Container Quản trị An ninh (Security Management Containers) hoặc
Container Cổng An ninh (Security Gateway Container).
Bước 2: Lựa chọn Software Blades cần thiết
Bước 3: Cấu hình và triển khai
Kết quả là một hệ thống cổng hoặc quản trị an ninh được cấu hình chính xác cho nhu cầu
kinh doanh cụ thể.
II.2.3/ Các loại Software Blade Containers :
Có 3 loại Software Blade Containers: Security Gateway Containers, Endpoint Security
Containers and Security management Containers.
Hiện tại có 5 Security Gateway Containers, có 4 Endpoint Security Containers, có 3
Security management Containers.
I.3/ Các loại Software Blades:
I.3.1/ Endpoint Security Software Blades
• Full Disk Encryption - Bảo đảm an ninh các ổ đĩa cứng hoàn toàn tự động và ẩn đi với
người dùng cuối. Dùng cơ chế xác thực khởi động (Multi-factor pre-boot authentication) để
định danh người dùng.
• Media Encryption - Cung cấp khả năng mã hóa thiết bị lưu trữ đa phương tiện. Khả năng
kiểm soát Port cho phép quản lí các Port thiết bị đầu cuối, bao gồm khả năng truy cập vào

hoạt đông của Port đó.
• Remote Access - Cung cấp cho người dùng truy cập một cách an ninh và liền lạc đến
mạng hay tài nguyên công ty khi người dùng di chuyển.
• Anti-Malware / Program Control - Phát hiện và xóa bỏ hiệu quả malware ở thiết bị đầu
cuối với bộ lọc đơn. Phần mềm kiểm soát chương trình chỉ cho phép các chương trình hợp
pháp và được cho phép chạy trên thiết bị đầu cuối.
• WebCheck - PBrowser sessions run in a secure virtual environment. Bảo vệ chống lại các
mối đe dọa trên nền web mới nhất bao gồm việc download, tấn công zero-day. Đưa trình
duyệt chạy trên môi trường ảo hóa an ninh.
• Firewall / Compliance Check - Bảo vệ bên trong và bên ngoài giúp ngăn chặn malware từ
những hệ thống đã bị nhiễ, khóa các cuộc tấn công có mục tiêu và ngăn chăn các luồng
traffic không mong muốn.
Kiến trúc Check Point Software Blade hỗ trợ sự chọn lựa đầy đủ và ngày càng gia
tăng của Sofrware Blades, trong đó mỗi blade cung cấp chức năng cổng an ninh modull hóa
hoặc quản trị an ninh. Do Software Blades có tính modull và có thể dịch chuyển, Software
Blades cho phép người dùng thiết kế chức năng cổng an ninh và quản trị một cách hiệu quả
và nhanh chóng cho những nhu cầu an ninh cụ thể và biến động. Các blades mới được cấp
phép nhanh chóng mà không cần thêm phần cứng mới.
I.3.2/ Security Gateway Software Blades
o Firewall -Trường lửa được thử thách nhất bảo vệ cho hơn 200 ứng dụng, giao thức và
dịch vụ với tính năng công nghệ kiểm soát thích ứng và thông minh nhất.
o IPsec VPN – kết nối an toàn cho văn phòng và người dùng cuối thông qua VPN Site-to-
Site được quản lý truy cập từ xa mềm dẻo.
o IPS – Giải pháp phòng chống xâm nhập IPS tích hợp hiệu năng cao nhất với tầm bao phủ
các nguy cơ tốt nhất
o Web Security – Bảo vệ tiên tiến cho toàn bộ môi trường Web đặc trưng bởi sự bảo vệ
mạnh nhất chống lại các tấn công tràn bộ đệm.
o URL Filtering – Bộ lọc Web thuộc hạng tốt nhất bao phủ hơn 20 triệu URLs, bảo vệ
người dùng và doanh nghiệp bằng cách cấm truy cập tới các trang Web nguy hiểm.
o Antivirus & Anti-Malware – Bảo vệ diệt virus hàng đầu bao gồm phân tích virus

heuristic, ngăn chặn virus, sâu và các malware khác tại cổng.
o Anti-Spam & Email Security – Bảo vệ đa hướng cho hạ tầng thư tín, ngăn chặn spam,
bảo vệ các servers và hạn chế tấn công qua email.
o Advanced Networking – Bổ sung định tuyến động, hỗ trợ multicast và Quality of Service
(QOS) cho các cổng an ninh.
o Acceleration & Clustering – Công nghệ được cấp bằng SecureXL và ClusterXL cung cấp
sự kiểm soát packet nhanh như chớp, tính sẵn sàng cao và cân bằng tải.
o Voice over IP - Có hơn 60 phòng thủ ứng dụng VoIP và các phương pháp QoS tiên tiến
bảo vệ hạ tầng VoIP khỏi các cuộc tấn công như dạng tấn công từ chối dịch vụ trong khi
cung cấp thoại chất lượng cao.
I.3.3/ Security Management Software Blades
o Network Policy Management – Quản lý chính sách an ninh mạng toàn diện cho các cổng
Check Point và blades thông qua SmartDashboard, là bàn điều khiển đơn hợp nhất.
o Endpoint Policy Management – Triển khai, quản trị, giám sát tập trung và ép buộc chính
sách an ninh cho toàn bộ các thiết bị đầu cuối trên toàn tổ chức qui mô bất kỳ.
o Logging & Status – Thông tin toàn diện ở dạng nhật ký (logs) và bức tranh toàn cảnh của
những thay đổi trên các cổng, các kênh (tunnels), những người dùng từ xa và các hoạt động
bảo mật.
o Monitoring – Cái nhìn tổng thể của mạng và năng xuất an ninh, cho phép ứng xử nhanh
chóng các thay đổi trong mẫu lưu thông và các sự kiện an ninh.
o Management Portal – Mở rộng tầm nhìn dựa trên trình duyệt của các chính sách an toàn
an ninh tới các nhóm bên ngoài như lực lượng hỗ trợ chẳng hạn trong khi vẫn bảo đảm kiểm
soát chính sách tập trung.
o User Directory – Cho phép các cổng Check Point có tác dụng đòn bẩy với các kho thông
tin người dùng trên cơ sở LDAP, hạn chế các rủi ro liên quan việc bảo trì và đồng bộ bằng
tay các kho dữ liệu dư thừa.
o IPS Event Analysis – Hệ thống quản lý sự kiện hoàn chỉnh cung cấp khả năng nhìn thấy
các tình thế, dễ dàng cho việc áp dụng các công cụ chứng cứ, báo cáo.
o Provisioning – Cung ứng quản trị tập trung và dự phòng của các thiết bị an ninh Check
Point thông qua bàn điều khiển quản trị đơn nhất.

o Reporting – Chuyển phần lớn dữ liệu mạng và an ninh sang dạng đồ họa, các báo cáo dễ
hiểu.
o Event Correlation – So sánh và quản lý tương quan các sự kiện một cách tập trung và
theo thời gian thực đối với các thiết bị Check Point và của các hãng thứ 3.
I.3/ Các công nghệ hiện tại của Check Point Security Gateways:
Thiết bị an ninh CP(CP Security Appliances) : là phần cứng tích hợp tất cả các phần
mềm cần thiết (software blades) để tạo ra sản phẩm nhằm cung cấp giải pháp trọn gói cho
Doanh nghiệp ở mức An ninh Gateways.
Các thiết bị tương ứng với các mô hình lớn nhỏ cho công ty:
Môi trường Thiết bị hỗ trợ
Trung tâm dữ
liệu -
Data center
• 61000 Security System
• 21400 Appliance
• IAS Bladed Hardware
Doanh nghiệp
lớn –
Large
Enterprise
• 12000 Appliance
• Power-1 Series
• IP Appliances
• IAS-D Appliances
• IAS-M Appliances
Doanh nghiệp
vừa và nhỏ -
Medium-Sized
Business
• 4000 Appliance

• UTM-1 Series
Văn phòng nhỏ
và chi nhánh -
Small Business
& Branch
Office
• 2200 Appliance
• Series 80 Appliance
• UTM-1 Edge
• Safe@Office Appliances
• Cloud-Managed Security Service
Công nghệ ảo
hóa -
Virtualized
• VSX
Thiết bị chuyên
dụng -
Dedicated
• DLP: DLP-1
Appliance
• IPS: IPS-1
Phần mềm an ninh CP (Security Software Blades) : là các thành phần an ninh linh hoạt
và độc lập, được kết hợp lại với nhau để xây dựng an ninh tại Gateway. Các phần mềm này
được mua riêng độc lập hay được mua thành các gói cài sẵn.
Các phần mềm an ninh tại Gateway:
• Firewall
• IPSec VPN
• Mobile Access
• Identity Awareness
• Application Control

• IPS
• DLP
• Web Security
• URL Filtering
• Anti-Bot
• Antivirus & Anti-Malware
• Anti-Spam & Email Security
• Advanced Networking
• Acceleration & Clustering
• Voice over IP (VoIP)
• Security Gateway Virtual Edition
Giải pháp truy cập từ xa:
• Endpoint Security with Remote Access
• Mobile Access Software Blade
• Check Point GO
Bảo mật ảo hóa (Virtualization Security ) : cung cấp giải pháp an ninh và toàn diện cho
môi trường ảo hóa
2 công nghệ bảo mật ảo hóa:
- Bảo mật đám mây: Virtual Appliance for Amazon Web Services
- Giải pháp cho di động: Firewall-1 GX
IV/ Download CheckPoint NGX R65:
(lúc demo down file torrent mà kiếm không thấy)
Down direct link tại địa chỉ: hp://storage.asm.md/inst/system/OS/
II. Mô hình triển khai
II.1/ Mô hình giả lập:
II.2/ Vai trò các máy trong mô hình:
• CheckPoint R65: firewall trong mô hình 3 chân làm nhiệm vụ lọc gói tin(cấm/cho phép),
VPN, IPS, xác thực người dùng truy cập Internet…
• Web Server: Là WebServer làm nhiêm vụ cho các máy bên tron Internal hay ngoài
Internet truy cập vào lấy dữ liệu.

• ActiveDirectory : là máy quản lý user, và tích hợp Active Directory vào trong
CheckPoint.
• SmartConsole: là máy nội bộ trong Internal, dùng cấu hình CheckPoint, test các rule trên
CheckPoint.
II.3/ Những tính năng chính sẽ triển khai trên mô hình:
1. Cài đặt Check Point R65.
2. Cài đặt SmartConsole, WebServer, DomainController.
3. Tích hợp AD vào trong CheckPoint.
4. Thiết lập và test các rule trên Firewall CheckPoint.
5. Web Filtering.
6. IPS(SmartDefence).
III. Triển khai ứng dụng
III.1/ Các bước triển khai mô hình:
III.1.1/ Cài đặt và cấu hình CheckPoint R65:
Cài đặt:
Cài đặt card mạng đầu tiên cho CheckPoint(eth0):
Cấu hình:
+ User/Pass mặc định là admin/admin. Sau khi login vào hệ thống thay đổi password và tên
đăng nhập
+ Thay đổi password ở mode EXPERT
+ Để vào cấu hình CheckPoint dùng lệnh SYSCONFIG
Bấm n để tiếp tục cấu hình, đặt host name:
Đặt tên Domain name:
+ Cấu hình 3 interface trên CheckPoint theo hình vẽ:
Card eth0:
Card eth1:
Card eth2:
+ Cấu hình Interface cho phép quản lí CheckPoint:
+ Sau đó cài đặt thời gian, rồi chọn công nghệ: Check Point Power:
Rồi chọn tiếp các cài đặt trong đó: VPN-1 Power và SmartCenter

CP đòi add licence : do không có nên chọn no, CP sẽ có hạn dùng là 15 ngày. CP hỏi thêm vào
admin quản lí, chọn yes và thêm vào.
Cuối cùn là cài certificate:
III.1.2/ Download và cài đặt SmartConsole:
Vào giao diện Web để download với địa chỉ 172.16.1.1:
Vào phần Product Configuration -> DownloadSmartConsole:
Nếu cài đặt xong , bấm vào SmartDashBoadr sẽ ra hộp thoại xác nhận:
Nếu bấm Ok xác nhận mà báo lỗi thì chỉnh lại user admin hoặc GUI client trên CP R65 trong
mục cpconfig rồi khởi động lại CP. Nếu cài đặt thành công sẽ hiển thị:
III.1.3/ Cài đặt Web Server:
Tạo file index.htm trong thư mục wwwroot với nội dung:
III.1.4/ Cài đặt Domain Controller(trên máy Active Directory)
Sau khi cài xong, trong ADUC tạo cấu trúc OU và users như sau:
 user viet/123 để CP query AD
 group nhom9 để xác thực người dùng truy cập internet chứa 2 user trong/123 và
hai/123
III.2/Các tính năng trong CP R65:
III.2.1 Tích hợp Active Directory vào CheckPoint R65
Đầu tiên phải cài certificate cho Active Directory để AD và CP tin tưởng lẫn nhau trong quá
trình truyền dữ liệu giữa 2 bên:
Tạo 1 node cho máy Active Directory
Enable SmartDirectory (LDAP) trên CheckPoint