Bài viết này sẽ hướng dẫn các bạn sử dụng SmartConsole để tạo và quản lý security policies trên thiết bị firewall Check Point. - Có tất cả 4 loại security policies : Access Control : Firewall, Application Control & URL Filtering, Content Awareness, and Mobile Access Software Blades. Threat Prevention : IPS, Anti-Virus, Threat Emulation, and Threat Extraction Software Blades. Desktop Security : This is not enabled by default and only relevant for Remote Access VPN clients. QoS : Only relevant if the QoS blade is enabled. - Trong phần này chúng ta chỉ đề cập Access Control. Access Control policy là primary security policy, bạn phải cài đặt trên Security gateway, nó phải thiết lập trước các Security Policy khác như Threat Prevention, Desktop Security. Access Policy có thể gồm nhiều Software Blades : Firewall, Application Control, Identity Awareness, và Content Awareness. - Trong bài viết này chỉ đề cập đến Firewall blade. Trước khi thiết lập Access Control security policy, chúng ta cần thực hiện các bước sau : Cài đặt Anti-Spoofing và Security Zones cho Network Interfaces của Security Gateway. Tạo network objects các thành phần trong hệ thống : Networks, Hosts, Servers, Groups,… Tạo Access Control Security Policy rule. 1.Anti-Spoofing và Security Zones : - Double-click lên Security Gateway trong SmartConsole và chọn Network Management tab. Hiện tại đang có 3 interface eth0, eth1, và eth2. - Double-click lên eth0, chọn Modify để thiết lập như hình phía dưới. - Chọn OK, sau đó tiếp tục thiết lập eth1 như hình phía dưới. - Chọn OK, sau đó tiếp tục thiết lập eth2 như hình phía dưới. 2.Network objects : - Objects được quản lý thông qua Objects Panel nằm phía bên phải cửa sổ SmartConsole. - Ta sẽ tạo network objects gọi là LanNetwork, trong Object Panel, chọn New > Network. - Trong cửa sổ mở ra , thiết lập object name (LanNetwork), IP address and Mask. - Phần NAT (Network Address Translation) tạm thời chưa cấu hình. - Tương tự tạo Host object DMZ-Srv (172.16.20.100), bằng cách chọn New > Host. Có thể thay đổi màu đại diện của object ở góc trên phía bên trái. 3.Tạo Access Control Policy : - Đi đến Security Policies > Access Control > Policy. Hiện tại chỉ có 1 rule duy nhất Any > Any > Drop được gọi là Cleanup rule, thường nằm dưới cuối của bảng policy để đảm bảo tất cả các kết nối không phù hợp với các rule bên trên sẽ bị drop. Tại Track chọn Log cho Cleanup rule. - Thêm new access rule, bằng cách chọn Add Rule above icon. - Rule này sẽ cho phép truy cập HTTPS và SSH từ LAN đến Security Gateway và SMS. - Điền “Mgmt” trong trường Name, chọn LanNetwork object như Source, và thêm SMS và SG tại Destination,cuối cùng thêm HTTPS và SSH tại Services & Applications. - Thay đổi Action đến Accept và chọn Track đến Log . Khi tạo xong ta sẽ được như hình dưới. - Để bảo vệ Security System từ những truy cập không được phép, chúng ta sẽ tạo Stealth rule. Click phải lên Mgmt Rule và chọn New Rule > Below. - Và tạo rule mới như sau : Name: Stealth Source: Any Destination: SMS, GW Services & Applications: Any Action: Drop Track: Log - Sau khi tạo xong ta sẽ được như hình dưới. - Để tránh ghi log những services không cần thiết, chúng ta có thể tạo Trash rule, nằm dưới Stealth rule , với Any cho cả Source and Destination, thêm udp-high-ports, bootp, NBT, và rip services đến Services & Application. Để tránh logging để Track tại mặc định là None. - Phía dưới Trash rule, thêm rule tên Internet for Local Network. Cho http, https, ftp, và dns tại Services and Applications. Sau khi tạo xong ta sẽ được như hình dưới. - Cuối cùng tạo rule cho phép truy cập từ LanNetwork đến DMZ-Srv với Any service. - R80.x Security Management Server cho phép nhiều quản trị viên thực hiện các thay đổi song song. Để thay đổi của bạn hiển thị các quản trị viên khác. Bạn cần publish chúng bởi nhấn chọn Publish tại đầu cửa sổ SmartConsole. - Chúng ta cần apply Security Policy. Chọn Install Policy tại góc trên phía bên trái cửa sổ SmartConsole. - Một cửa sổ hiện ra có thông tin số cấu hình thay đổi bởi tài khoản admin. Chọn Publish& Install. - Khi những thay đổi được Publish, chúng ta sẽ thấy cửa sổ Install Policy, bỏ chọn Threat Prevention và nhấn Install. - Bạn sẽ nhìn thấy quá trình cài đặt Policy tại góc dưới bên tay trái của cửa sổ SmartConsole. - Khi quá trình cài đặt hoàn tất, bạn sẽ nhìn thấy thông báo thành công. - Khi đó từ Lab User PC có thể truy cập http và ping đến DMZ-Srv. - Chọn DMZ Access rule trong SmartConsole và chọn Logs tab. Bạn sẽ nhìn thấy access logs của rule này. - Hiện tại chúng ta sẽ chưa truy cập được internet do chưa cấu hình NAT, chúng ta sẽ cấu hình trong phần kế tiếp. !!! Cám ơn các bạn đã theo dõi bài viết !!!
