Tải bản đầy đủ (.pdf) (85 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

TÌM HIỂU FIREWALL TRÊN CHECKPOINT

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (7.35 MB, 85 trang )



KHOA KHOA HỌC VÀ CÔNG NGHỆ








BÁO CÁO
ĐỒ ÁN HƯỚNG NGÀNH


ĐỀ TÀI: TÌM HIỂU FIREWALL TRÊN CHECKPOINT








Người hướng dẫn : Thầy Đinh Ngọc Luyện
Lớp : VT071
Sinh viên : Nguyễn Quỳnh; MSSV: 070073
Phù Sử Hùng; MSSV: 070156




HK09.2
Tìm hiểu Firewall trên Checkpoint

Khoa Khoa Học Và Công Nghệ

Trang i


Lời Mở Đầu
Check point software technologies, công ty hàng đầu thế giới về an toàn an
ninh internet. Check point dẫn đầu thị trường an ninh thông tin toàn cầu trong lĩnh vực
tường lửa và mạng riêng ảo. Check Point cung cấp các giải pháp an ninh vành đai, an
ninh nội và an ninh trang web nhằm bảo vệ các thông tin kinh doanh, tài nguyên của
mạng doanh nghiệp cũng như các ứng dụng, các nhân viên làm việc từ xa, các chi
nhánh. Với công nghệ Stateful Inspection được phát minh Check Point Technology
làm trung tâm, OPSEC (Open Platform for Security) được hình thành và mở rộng
thêm sức mạnh các giải pháp của Check Point. Các giải pháp của Check Point được
bán, tích hợp và dịch vụ bởi hệ thống mạng lưới 1900 đối tác của Check Point ở 86
nước.
Đề tài của chúng tôi, chúng tôi chỉ nghiên cứu những tính năng Network
Access, Connectivity và CoreXL từ đó đưa ra một giải pháp bảo mật dựa trên Firewall
CheckPoint và các vấn đề đã nghiên cứu.


Tìm hiểu Firewall trên Checkpoint

Khoa Khoa Học Và Công Nghệ

Trang ii



Mục Lục
Lời Mở Đầu ................................................................................................................. i

Mục Lục ..................................................................................................................... ii

Phần 1: Network Access ............................................................................................. 6

I.

Access Control ................................................................................................ 6

1.

Sự cần thiết của Access Control .................................................................. 6

2.

Tổng quan về Access Control của Check Point Firewall ............................. 6

3.

Các thành phần của Rule ............................................................................. 6

4.

Công dụng đặc biệt của Access Control ...................................................... 7

5.


Cấu hình Access Control ............................................................................. 8

II.

Authentication .............................................................................................. 10

1.

Vai trò của User Authentication ................................................................ 10

2.

Tổng quan về User Authentication của Check Point Firewall .................... 10

3.

Các phương thức xác thực của Check Point Firewall ................................. 10

4.

Cấu hình phương thức xác thực trong Firewall Check Point ...................... 11

5.

Các cơ chế xác thực sử dụng trên Firewall Check Point ............................ 15

5.1

VPN-1 & Firewall-1 Password .......................................................... 16


5.2

OS Password ..................................................................................... 17

5.3

RADIUS ............................................................................................ 18

5.4

TACACS ........................................................................................... 19

5.5

S/Key................................................................................................. 19

5.6

SecurID ............................................................................................. 21

6.

Cấu hình các cơ chế xác thực .................................................................... 21

Phần 2 : Conectivity ................................................................................................. 26

I.

Network Address Tranlation ......................................................................... 26


1.

Địa Chỉ IP Private Và IP Public ................................................................ 26

2.

NAT trong CheckPoint Security Gateway ................................................. 27

2.1

Static NAT ........................................................................................ 27

2.2

Hide NAT .......................................................................................... 28

2.2.1

Automactic Hide NAT và Static NAT trên CheckPoint Firewall .... 30

Tìm hiểu Firewall trên Checkpoint

Khoa Khoa Học Và Công Nghệ

Trang iii


2.2.2

NAT Table Expiration trong Hide NAT ......................................... 30


2.3

NAT Rule Base ................................................................................. 31

2.4

Destination NAT và vấn đề routing ................................................... 32

2.4.1

Static Destination NAT on Server Side .......................................... 33

2.4.2

Static Destination NAT on Client Side .......................................... 34

2.5

Automatic Và Manual ARP Proxy .................................................... 34

3.

Cấu hình NAT trên Check Point Security Gateway ................................... 36

3.1

Cấu hình Global NAT ........................................................................ 36

3.2


Cấu hình Automactic NAT ................................................................ 38

3.2.1

Automatic NAT cho Node Object .................................................. 38

3.2.2

Automatic NAT cho một Network ................................................. 39

3.2.3

Sử dụng chức năng Hide behind Gateway trong chức năng
Automatic Hide NAT ................................................................................ 41

3.2.4

Cấu hình NAT cho Address Range Object ..................................... 42

3.3

Cấu hình Manual NAT ...................................................................... 44

3.3.1

Cấu hình host route ........................................................................ 44

3.3.2


Cấu hình Proxy ARP ...................................................................... 45

3.3.3

Tạo Object cho Manual NAT rule .................................................. 46

3.3.4

Tạo Manual NAT Rule ................................................................... 46

II.

ISP Redundancy............................................................................................ 48

1.

Tổng quan ISP Rundundancy .................................................................... 49

2.

Các chế động hoạt động của ISP Redundancy ........................................... 49

3.

Cách hoạt động của ISP Redundancy ........................................................ 50

3.1

Kết nối từ trong firewall ra internet .................................................... 50


3.2

Kết nối từ phía ngoài internet vào bên trong mạng ............................. 50

4.

Đổi trạng thái link theo yêu cầu và ISP redundancy script ......................... 52

5.

Triển khai ISP Redundancy ....................................................................... 52

6.

Cấu hình ISP Redundancy ......................................................................... 53

6.1

Domain và Địa chỉ IP ........................................................................ 53

6.2

Cấu hình Built-in mini DNS cho kết nối vào firewall ......................... 54

6.3

Cấu hình ISP Redundancy ................................................................. 55

Tìm hiểu Firewall trên Checkpoint


Khoa Khoa Học Và Công Nghệ

Trang iv


III.

ConnectControl – Server Load Balancing ................................................. 56

1.

Tổng quan về ConnectControl ................................................................... 56

2.

Các phương pháp dùng để cân bằng tải ..................................................... 57

3.

Cách hoạt động của ConnectControl ......................................................... 58

3.1

Packet Flow ....................................................................................... 58

3.2

Các loại logical server ....................................................................... 58

3.2.1


HTTP logical server ....................................................................... 59

3.2.2

Logical server dành cho các dịch vụ khác ...................................... 60

4.

Persistent server mode ............................................................................... 60

4.1

Persistent by server ............................................................................ 60

4.2

Persistent by service .......................................................................... 61

4.3

Persistent server timeout .................................................................... 61

4.4

Server Availability ............................................................................. 61

5.

Cấu hình ConnectControl .......................................................................... 62


IV.

Brigde Mode ............................................................................................. 63

1.

Tổng quan brigde mode............................................................................. 63

2.

Cấu hình.................................................................................................... 64

3.

Xem Interface được Brigde bằng Command Line...................................... 65

Phần 3 : CoreXL ....................................................................................................... 66

1.

Tổng quan về CoreXL ............................................................................... 66

1.1

Tổng quan về phân phối các vi xử lý.................................................. 66

1.2

Cấu hình mặc định của CoreXL ......................................................... 67


1.3

Xem cấu hình mặc định của CoreXL ................................................. 68

2.

Phân phối lại các vi xử lý .......................................................................... 68

2.1

Phân phối thêm một vi xử lý cho SND ............................................... 68

2.2

Giảm số lượng instance ..................................................................... 69

2.3

Phân phối vi xử lý còn lại cho SND ................................................... 70

2.3.1

Trong trường hợp có Performance Pack ......................................... 70

2.3.2

Trong trường hợp không có Performance Pack .............................. 70

3.


Phân phối vi xử lý cho việc ghi log ........................................................... 72

4.

fw affinity Script ....................................................................................... 73

Tìm hiểu Firewall trên Checkpoint

Khoa Khoa Học Và Công Nghệ

Trang v


Phần 4: Intrusion Prevention System – IPS ............................................................... 74

1.

Tổng quan về IPS trong Firewall Check Point ........................................... 74

2.

Phương thức hoạt động của Check Point IPS............................................. 74

3.

Mô phỏng các cách thức tấn công và ghi nhận hoạt động của IPS ............. 75

3.1


Port scan ............................................................................................ 75

3.2

DOS (Denial of Services) .................................................................. 78

Phần 5 : Giải pháp cho trường Đại học Hoa Sen ....................................................... 84

Tìm hiểu Firewall trên Checkpoint

Khoa Khoa Học Và Công Nghệ

Trang 6


Phần 1: Network Access
I. Access Control
1. Sự cần thiết của Access Control
Tài nguyên của hệ thống mạng có thể có rất nhiều thành phần bên trong nó bao gồm
networks, hosts, network services và các protocol. Từ đó đặt ra vấn đề về sự cần thiết
phải có một công cụ để người quản trị mạng có thể kiểm soát sự truy cập vào nguồn
tài nguyên của hệ thống. Access Control chỉ ra vùng nào có thể truy cập cũng như
phân quyền cho người truy cập như thế nào trên vùng tài nguyên đó. Đồng thời,
Access Control còn có thể xác thực người dùng nhằm kiểm soát việc ai quyền truy
cập.
2. Tổng quan về Access Control của Check Point Firewall
Check Point Security Gateway thường được đặt ở khu vực biên của hệ thống cần bảo
vệ nhằm theo dõi và quản lý chặt chẽ mọi luồng dữ liệu đi ra và vào mạng. Người
quản trị hệ thống có nhiệm vụ đặt ra những chính sách bảo mật để bảo vệ an toàn cho
hệ thống cũng như quản lý sự truy cập trong mạng. Chính sách bảo mật được triển

khai bằng tập hợp có thứ tự những quy tắc (rules) trong Security Rule Base, một chính
sách tốt là cơ sở tất yếu cho một hệ thống an toàn.
Nguyên lý cơ bản của Rule Base là tất cả những hành động không được cho phép sẽ bị
chặn. Rule Base là tập hợp những quy tắc (rules) định ra luồng dữ liệu nào được phép
đi qua và luồng dữ liệu nào bị cấm.
3. Các thành phần của Rule

Source và Destination: chỉ ra nơi xuất phát và nơi đến của luồng dữ liệu, một khi kết
nối đã được cho phép thì các gói tin trong kết nối đó sẽ được cho qua ở cả hai hướng
đi và về.
Tìm hiểu Firewall trên Checkpoint

Khoa Khoa Học Và Công Nghệ

Trang 7


VPN: chỉ định Rule được áp dụng cho mọi kết nối hay chỉ dành riêng cho kết nối
VPN.
 Service: định ra giao thức, dịch vụ hay ứng dụng cần quản lý thông qua Rule.
 Action: hành động định ra cho kết nối được đề cập đến thông qua Rule.
 Track: những tùy chọn về việc ghi nhận lại hoạt động của Rule
 Install On: đây là một chức năng nhằm tạo sự thuận lợi trong việc quản lý của
người quản trị. Thành phần này chỉ ra nơi người quản trị cần triển khai Rule
vừa tạo ra, có thể chỉ trên một Firewall riêng biệt hay tất cả Firewall của hệ
thống.
 Time: định ra thời gian có hiệu lực của Rule.
Ngoài những Rule được tạo bởi người quản trị, Security Gateway cũng tạo ra những
Rule mặc định. Rule mặc định thường được dành cho những kết nối từ Security
Gateway cho các dịch vụ điều khiển, cấu hình.

4. Công dụng đặc biệt của Access Control
Chống giả mạo địa chỉ: giả mạo địa chỉ là hiện tượng người tấn công thay đổi địa chỉ
IP của gói tin nhằm mục đích xâm nhập trái phép vào bên trong hệ thống. Cơ chế
chống giả mạo địa chỉ bảo đảm các gói tin có nguồn và đích đến đúng với mỗi cổng
trên Security Gateway. Một ví dụ về giả mạo địa chỉ đó là người tấn công từ ngoài
Internet, tức là cổng external của Gateway gửi vào một gói tin có địa chỉ là địa chỉ bên
trong mạng nội bộ thì cơ chế chống giả địa chỉ sẽ ngay lập tức chặn gói tin vì nó
không xuất phát từ cổng bên trong mà là bên ngoài.

Tìm hiểu Firewall trên Checkpoint

Khoa Khoa Học Và Công Nghệ

Trang 8


5. Cấu hình Access Control
Lab 1: Tạo một Rule trong Firewall Check Point
Bước 1: Vào tab Firewall trong Smart Dashboard, vào menu
Rule > Add Rule >
Bottom/Top


Bước 2: Tùy chỉnh các thành phần của Rule để thực hiện mục đích của người quản trị


Lab 2
: Cấu hình chống giả mạo địa chỉ cho cổng External của Gateway
Bước 1: Click chuột phải vào
Firewall Object > Edit > Topology

Tìm hiểu Firewall trên Checkpoint

Khoa Khoa Học Và Công Nghệ

Trang 9




Bước 2: Edit cổng External, qua tab Topology, check vào ô Perform Anti-Spoofing
based on interface topology



Bước 3: Lưu lại cấu hình.
Tìm hiểu Firewall trên Checkpoint

Khoa Khoa Học Và Công Nghệ

Trang 10


II. Authentication
1. Vai trò của User Authentication
User Authentication đảm bảo việc xác thực người dùng trong các kết nối tới tài
nguyên của hệ thống công ty. Người dùng được cấp quyền truy cập đúng với chức
trách và nhiệm vụ của họ đối với hệ thống mạng.
2. Tổng quan về User Authentication của Check Point Firewall
Check Point Security Gateway xác thực người dùng thông qua nhiều cơ chế xác thực
khác nhau. Đa số các cơ chế xác thực đều dựa trên nguyên tắc yêu cầu cung cấp tên

người dùng và mật khẩu nhưng khác nhau ở vị trí lưu trữ thông tin xác thực, có cơ chế
thông tin được lưu ngay trên Security Gateway trong khi số còn lại lưu thông tin trên
các server chứng thực như RADIUS, TACACS …
3. Các phương thức xác thực của Check Point Firewall
User Authentication: người quản trị có thể cấp quyền cho một cá nhân truy cập khi
người đó ngồi trên bất kỳ một máy tính nào mà không ảnh hưởng đến các người dùng
khác sử dụng cùng máy tính. User Authentication hoạt động trên các giao thức Telnet,
FTP, HTTP và dịch vụ RLOGIN.
Session Authentication: là một phương thức xác thực được dùng cho bất kỳ dịch vụ
nào và phương thức này yêu cầu người dùng cung cấp thông tin xác thực cho một
phiên làm việc. Đối với phương thức xác thực này cần phải có một chương trình cài
riêng trên máy của người dùng, vì thế phương thức xác thực này thường được sử dụng
đối với máy cá nhân tức là chỉ có một user sử dụng máy tính đó.
Client Authentication: phương thức này cho phép nhiều user thực hiện kết nối thông
qua việc xác thực phân quyền cho một địa chỉ IP hay một máy xác định. Ưu điểm
chính của Client Authentication chính là phương thức này có thể được sử dụng cho
việc kết nối không hạn chế và không yêu cầu user phải nhập lại tên và mật khẩu trong
quá trình làm việc. Tương tự như Session Authentication, Client Authentication cũng
được triển khai trên máy đơn.
Tìm hiểu Firewall trên Checkpoint

Khoa Khoa Học Và Công Nghệ

Trang 11


4. Cấu hình phương thức xác thực trong Firewall Check Point
Lab 1: Cấu hình User Authentication
Bước 1: Cấu hình Rule trong Firewall Check Point


Bước 2: Truy cập Web từ Client


Bước 3: Nhập thông tin xác thực

Tìm hiểu Firewall trên Checkpoint

Khoa Khoa Học Và Công Nghệ

Trang 12


Truy xuất trang Web www.google.com.vn thành công


Lab 2: Cấu hình Client Authentication
Bước 1: Cấu hình Rule trong Firewall Check Point

Bước 2: Tùy chỉnh Client Authentication




Tìm hiểu Firewall trên Checkpoint

Khoa Khoa Học Và Công Nghệ

Trang 13



Bước 3: Từ Client truy cập vào địa chỉ http://[IPfwCP]:900


Bước 4: Nhập thông tin xác thực


Từ bây giờ có thể truy xuất Web không cần đăng nhập lại
Tìm hiểu Firewall trên Checkpoint

Khoa Khoa Học Và Công Nghệ

Trang 14




Lab 3:
Cấu hình Session Authentication
Bước 1: Cấu hình Rule trong Firewall Check Point


Bước 2: Tùy chỉnh Session Authentication


Bước 3: Cài đặt Client Session Agent ở máy Client

Tìm hiểu Firewall trên Checkpoint

Khoa Khoa Học Và Công Nghệ


Trang 15


Bước 4: Từ máy Client truy cập Web

Nhập thông tin xác thực và người dùng sẽ truy cập thành công website

5. Các cơ chế xác thực sử dụng trên Firewall Check Point
Cơ chế xác thực định nghĩa loại cơ sở dữ liệu xác thực cũng như giao thức cần để kết
nối với cơ sở dữ liệu. Sau đây là những cơ chế có hỗ trợ trong Firewall Check Point.
 VPN-1 & Firewall-1 Password
 OS Password
 RADIUS
Tìm hiểu Firewall trên Checkpoint

Khoa Khoa Học Và Công Nghệ

Trang 16


 TACACS
 S/Key
 SecurID
Trong danh sách nêu trên chỉ có VPN-1 & Firewall-1 Password và S/Key là có cơ sở
dữ liệu xác thực nằm trên Security Gateway, còn lại các cơ chế khác đều có cơ sở dữ
liệu nằm bên ngoài.
5.1 VPN-1 & Firewall-1 Password
Đây là cơ chế xác thực do chính Firewall Check Point cung cấp. Cơ chế này xác thực
user dựa trên chính cơ sở dữ liệu được tạo ra trên Security Gateway. Chiều dài tên
user lên đến 100 ký tự số và chữ và mật khẩu phải có chiều dài nằm trong khoảng 4

tới 8 ký tự.

Tìm hiểu Firewall trên Checkpoint

Khoa Khoa Học Và Công Nghệ

Trang 17


Hình minh họa trên cho thấy cơ sở dữ liệu xác thực user không chỉ nằm trên
Management Server mà mỗi Module của hệ thống đều có lưu một bản sao của cơ sở
dữ liệu đó và có khả năng tự xác thực user mà không cần chuyển yêu cầu xác thực cho
cơ sở dữ liệu chính. Điều này giúp tăng hiệu suất hoạt động của hệ thống khi xác thực
user.
5.2 OS Password
Cơ chế xác thực thông qua OS Password cho phép các Module xác thực sử dụng chính
cơ sở dữ liệu xác thực của hệ điều hành để xác thực cho user. Một ví dụ đó là Module
xác thực sẽ lấy dữ liệu về user thông qua Security Account Management (SAM) nếu
Module đó đang hoạt động trên hệ điều hành Window Server.

Ta có thể nhận thấy cơ sở dữ liệu chính trên Management Server vẫn có lưu thông tin
về user và được chuyển cho các Module xác thực nhưng phần Password không xuất
hiện trên Management Server mà chỉ đề cập tới cơ chế được sử dụng là OS Password.
Thông qua việc xác định cơ chế xác thực là OS Password thì khi một user kết nối và
đưa ra một user name trùng với user name có cơ chế OS Password thì các Module xác
thực sẽ chuyển user name và password của user đó cho hệ điều hành để xác thực dự
Tìm hiểu Firewall trên Checkpoint

Khoa Khoa Học Và Công Nghệ


Trang 18


trên cơ sở dữ liệu của chính nó. Cơ chế này không được khuyến khích sử dụng vì hai
nguyên nhân:
Cơ sở dữ liệu xác thực user nằm trên hệ điều hành nên có thể được sử dụng để kết nối
thẳng vào Module xác thực gây nguy hiểm cho hoạt động của hệ thống.
Một hệ thống có thể có nhiều Module xác thực và nếu ta sử dụng cơ chế OS Password
thì phải đảm bảo dữ liệu user trên các Module đều phải đồng bộ, điều đó sẽ gây khó
khăn trong việc cấu hình cơ sở dữ liệu.
5.3 RADIUS
RADIUS là một cơ chế xác thực tập trung với cơ sở dữ liệu không nằm trên các
Module xác thực mà nằm trên một Module riêng biệt (RADIUS Server). Ưu điểm
chính của cơ chế RADIUS chính là xác thực tập trung khi hệ thống có nhiều Module
xác thực, tức là người quản trị chỉ cần cấu hình cơ sở dữ liệu user trên RADIUS
Server và các Module xác thực sẽ xác thực user dựa trên RADIUS Server.

Tương tự như OS Password, dữ liệu user vẫn xuất hiện trên cơ sở dữ liệu chính trên
Management Server nhưng không có Password và chỉ đề cập đến cơ chế xác thực là
Tìm hiểu Firewall trên Checkpoint

Khoa Khoa Học Và Công Nghệ

Trang 19


RADIUS. Khi một user kết nối với user name trùng với user name có cơ chế xác thực
là RADIUS thì các Module xác thực sẽ chuyển user name và password cho RADIUS
Server thông qua các giao thức được định nghĩa trước và có sử dụng Shared Secret
Key để bảo vệ thông tin chuyển qua.

5.4 TACACS

Về cách xác thực user bằng cơ chế TACACS thì hoàn toàn tương tự với cơ chế
RADIUS như hình minh họa đã thể hiện. TACACS và RADIUS đều nằm trong dịch
vu AAA (Authentication Authorization Accounting) nhưng TACACS, ngoài khả năng
xác thực tập trung, còn có thể quản lý và phân quyền trên những câu lệnh mà người
dùng cấu hình các Server đầu cuối như kết nối Telnet đến các router Cisco.
5.5 S/Key
S/Key là một cơ chế xác thực One-Time Password (OTP) tức là user sẽ sử dụng
password khác nhau cho mỗi lần xác thực. OTP đảm bảo an toàn cho việc chuyển dữ
liệu trong qua trình xác thực đặc biệt là trong những môi trường broadcast và thông tin
Tìm hiểu Firewall trên Checkpoint

Khoa Khoa Học Và Công Nghệ

Trang 20


được gửi dưới dạng cleartext, nói cách khác OTP làm cho việc Sniffing trở nên vô
nghĩa.

Khi user kết nối tới một thiết bị có yêu cầu xác thực bằng cơ chế S/Key thì S/Key
Server sẽ gửi lại một giá trị số và một nguyên liệu để thực hiện phép băm cùng với
Secret Key. Hai giá trị do S/Key Server gửi sẽ được đưa vào phần mềm tạo S/Key đặt
Tìm hiểu Firewall trên Checkpoint

Khoa Khoa Học Và Công Nghệ

Trang 21



trên máy người dùng đang kết nối. Giá trị số định ra số lần thực hiện phép toán băm
và giá trị này sẽ luôn kém một đơn vị so với lần xác thực trước. Còn nguyên liệu băm
sẽ được gộp chung với Secret Key nhập bởi người dùng để thực hiện phép băm.
Ưu điểm của cơ chế S/Key dễ thấy chính là tính bảo mật cao hơn so với các cơ chế
khác vì mật khẩu người dùng sẽ thay đổi sau mỗi lần xác thực. Hơn thế nữa đây là cơ
chế mà dữ liệu về password không nằm trong cơ sở dữ liệu xác thực nên nếu có xảy ra
trục trặc gì với cơ sở dữ liệu thì cũng sẽ không ảnh hưởng đến secret key của người
dùng. Tuy nhiên thì S/Key vẫn có nhược điểm, đó là máy khách truy cập cần phải có
một chương trình để tạo key (băm secret key và nguyên liệu).
5.6 SecurID
SecurID cũng là một cơ chế sử dụng One-Time Password (OTP) thế nhưng cơ chế này
hoàn toàn khác với S/Key. Cơ chế SecurID hoạt động dựa trên nguyên tắc là user phải
cung cấp một thiết bị điện tử với mã PIN để SecurID Server có thể cung cấp OTP
dùng cho xác thực. Đây chính là cơ chế được xem là tối tân và rất bảo mật vì người
dùng cần một thiết bị đặc biệt đồng thời phải cung cấp mã PIN để đăng nhập vào hệ
thống.
6. Cấu hình các cơ chế xác thực
Lab 1
: Cấu hình cơ chế xác thực bằng Check Point Password
Bước 1: Tạo User cho cơ chế xác thực bằng Firewall Password. Vào menu Manage >
Users & Administrators > New > User By Template > Default. Đặt tên cho User

Bước 2: Qua Tab Authentication > Check Point Password. Đặt Password cho user
Tìm hiểu Firewall trên Checkpoint

Khoa Khoa Học Và Công Nghệ

Trang 22




Bước 3: Lưu lại cấu hình bằng cách vào menu Policy > Install Database và Policy >
Install
Lab 2: Cấu hình cơ chế xác thực bằng RADIUS hoặc TACACS (hai cơ chế này
có cách cấu hình tương tự nhau nên nhóm chúng tôi chỉ thực hiện một bài Lab)
Bước 1: Tạo host RADIUS Server bằng cách vào menu
Manage > Network Objects
> New > Node > Host. Đặt tên, IP cho host RADIUS.


Bước 2: Tạo biểu tượng đại diện cho RADIUS Server bằng cách vào menu Manage >
Server and OPSEC Apllications > New > RADIUS. Tùy chỉnh các giá trị.
Tìm hiểu Firewall trên Checkpoint

Khoa Khoa Học Và Công Nghệ

Trang 23





Bước 3: Bật chức năng xác thực trên Firewall Check Point bằng cách click chuột phải
trên Gateway Object, chọn Edit > Authentication. Check vào các cơ chế muốn dùng.

Bước 4: Tạo User Group để xác thực bằng cơ chế RADIUS. Vào menu Manage >
Users & Administrators > New > User Group.
Tìm hiểu Firewall trên Checkpoint


Khoa Khoa Học Và Công Nghệ

Trang 24



Bước 5: Cấu hình để group radius-user được xác thực bằng RADIUS. Vào menu
Manage > Users & Administrators > New >External User Profile > Match All
users

Ở đây generic* đại diện cho những user
không nằm trong cơ sở dữ liệu của
Firewall Check Point, hay nói cách khác
khi user name không có trong cơ sở dữ
liệu nội bộ thì sẽ sử dụng các cơ chế xác
thực từ xa như RADIUS hay TACACS.
Cấu hình cơ chế Authentication và Member của generic*

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×