Part 3 – Cài đặt Security Management Server.

  1. Giới thiệu.

Trong bài viết này, mình sẽ đề cập đến việc cài đặt và cấu hình ban đầu Security Management Server.

  1. Deployment Options.

Máy chủ quản lý bảo mật (SMS) có thể được triển khai theo hai tùy chọn khác nhau: Thiết bị Smart-1 Appliance hoặc máy Open Server.

2.1. Smart-1 Appliance.

Check Point cung cấp nhiều loại thiết bị Smart-1 Appliance được chia thành hai nhóm:

  • Enterprise (Smart-1 405, 410, 225, 525)
  • High End Enterprise (Smart-1 3050, 5050, 3150, 5150)

Sự khác biệt chính giữa hai loại là về số lượng cổng bảo mật mà thiết bị đó có thể quản lý. Càng quản lý nhiều tường lửa thì yêu cầu về hiệu suất đối với thiết bị máy chủ quản lý về CPU, RAM và kích thước ổ cứng càng lớn.

2.2. Open Server.

Trong trường hợp triển khai Open Server, bạn cài đặt SMS trên máy chủ vật lý chuyên dụng hoặc dưới dạng máy ảo với Gaia OS. Nếu bạn chọn máy chủ vật lý, hãy kiểm tra đáp ứng phần cứng sau 

Triển khai SMS dưới dạng máy ảo cũng là một lựa chọn phổ biến. Triển khai sản xuất SMS VM được hỗ trợ trên một số phiên bản ESXi, Hyper-V và KVM. 

  1. Quá trình cài đặt.

Quy trình cài đặt Smart-1 Appliance và Open Servers có chút khác biệt về chi tiết. Hãy nói ngắn gọn về việc triển khai thiết bị trước khi đề cập đến tùy chọn Open Server.

3.1. Smart-1 Deployment.

Theo mặc định, thiết bị Smart-1 Appliance được cài đặt sẵn ít nhất một phiên bản phần mềm Check Point Gaia. Trong hầu hết các trường hợp, tất cả những gì bạn cần là khởi tạo nó. Tuy nhiên, nếu bạn muốn tạo lại hình ảnh cho thiết bị hoặc cài đặt phiên bản phần mềm khác với cài đặt mặc định sẵn có của nhà sản xuất, hãy xem sk65205 để biết các công cụ và chi tiết.

3.2. Deploying SMS as a VM.

Mình sẽ triển khai SMS dưới dạng VM trên môi trường ảo hóa ESXi với các thông số như sau:

  • Virtual Machine Name: SMS
  • Guest OS family: Other
  • Guest OS version: Other 64-bit
  • CPU: 2
  • RAM: 8GB
  • Hard disk: 80GB
  • Network Adapter: Port_LAN
  • CD/DVD Drive 1: Check_Point_R81.20_T634.iso

Khi bạn khởi động máy, máy sẽ khởi động từ tệp ảnh ISO DVD và màn hình sau xuất hiện:

Chọn “Cài đặt Gaia trên hệ thống này” để bắt đầu quá trình cài đặt. Nó bao gồm sáu bước:

Tiến hành cài đặt bằng cách nhấn “OK

Chọn ngôn ngữ bàn phím từ menu và nhấn “OK” lần nữa

Phân vùng ổ cứng. Trong thực tế khi triển khai Open Server, việc dựa vào phân vùng Gaia mặc định thường là an toàn. Tuy nhiên, nếu cần, bạn có thể thay đổi kích thước cho các phân vùng System-root và Logs.

Trong quá trình triển khai SMS, hãy luôn thiết lập nhật ký làm phân vùng lớn nhất. Trong bài lab này mình sẽ thiết lập System-root cho 15GB, chỉ để lại 15GB cho nhật ký.

Thiết lập mật khẩu quản trị viên ban đầu. Bạn có thể chọn mật khẩu của riêng mình.

Thiết lập địa chỉ IP, mặt nạ mạng và cổng mặc định.

Xác nhận các thông số thiết lập và bắt đầu cài đặt bằng cách nhấn “OK”.

Đến đây, thì mình đã hoàn tất việc cài đặt.

  1. Cài đặt ban đầu.

Mặc dù, như đã đề cập ở trên, việc cài đặt/tạo lại hình ảnh của thiết bị Smart-1 Appliance và Open Server là khác nhau, First Time Wizard lần đầu giống hệt nhau trong cả hai trường hợp.

Để tiếp tục, chúng ta cần thiết lập địa chỉ IP máy chủ Windows (PC) là 192.168.1.20 và subnet mask là (255.255.255.0).

Sau khi địa chỉ IP được đặt, bạn có thể kết nối với trình duyệt tới https://192.168.1.100. Rất có thể bạn sẽ thấy cảnh báo bảo mật “Chứng chỉ không hợp lệ”. Cài đặt Gaia mặc định sử dụng chứng chỉ tự ký nên bạn có thể bỏ qua thông báo và kết nối. Bạn sẽ thấy lời nhắc xác thực.

Nhập tên người dùng quản trị viên và mật khẩu bạn đã chọn trước đó bạn đã đặt. Bạn sẽ thấy màn hình chào mừng. Nhấn nút “Next”.

Chọn “Tiếp tục với cấu hình R80.10” và nhấn Tiếp theo:

Không thay đổi cài đặt kết nối quản lý và tiếp tục bằng cách nhấn Tiếp theo:

Thiết lập Tên máy chủ – SMS, Tên miền – checkpoint.local và máy chủ DNS – 8.8.8.8, sau đó nhấn Tiếp theo:

Bạn có thể để cài đặt ngày giờ mặc định. Do mình đang ở HCM nên mình để time zone là GMT +7:00

Trên màn hình loại cài đặt, chọn tùy chọn đầu tiên – Cổng bảo mật và/hoặc Quản lý bảo mật, sau đó nhấn “Next

Trên màn hình sản phẩm chỉ chọn tùy chọn quản lý bảo mật và nhấn “Next

Mình sẽ sử dụng cài đặt quản trị viên Gaia cho tài khoản quản trị viên mặc định của quản lý bảo mật:

Mình cũng sẽ để lại cài đặt “Địa chỉ IP bất kỳ” mặc định cho danh sách máy khách GUI:

Cuối cùng, xác nhận tất cả các cài đặt và nhấn Finish để bắt đầu quá trình cấu hình.

Quá trình này mất 10 đến 15 phút:

Sau khi hoàn tất, chúng tôi có quyền truy cập vào Gaia OS WebUI:

Trong bài giảng tiếp theo, mình sẽ mô tả việc cài đặt và cấu hình ban đầu của Security Gateway.

Note: Trong trường hợp tài nguyên rất hạn chế, bạn có thể sử dụng 5GB, nhưng hãy nhớ rằng yêu cầu tối thiểu đối với RAM SMS là 8GB.