1. Cài đặt.

SmartConsole là máy khách GUI dựa trên Windows. Để cài đặt nó, chúng ta cần có một gói cài đặt. Cách dễ nhất để có được nó là tải xuống từ SMS của chúng ta. Mở WebUI tới SMS trong môi trường lab (https://192.168.1.100) và đăng nhập.

Trên màn hình Tổng quan, nhấn “Download Now!” nút màu xanh lá cây ở đầu trang.

Tải gói cài đặt và bắt đầu cài đặt:

Trong cửa sổ bật lên chào mừng, hãy chấp nhận Checkpoint EULA và nhấn “Install”

Quá trình cài đặt sẽ mất một chút thời gian

Nhấn “Finish” ở cuối:

2. Kết nối đến SMS.

Khởi chạy ứng dụng SmartConsole. Bạn sẽ thấy màn hình đăng nhập của quản trị viên. Nếu bạn còn nhớ, trong quá trình cài đặt SMS, mình đã chọn sử dụng thông tin đăng nhập hệ điều hành để đăng nhập bằng SmartConsole. Nhập “admin” cho tên người dùng và mật khẩu quản trị viên Gaia cũng như địa chỉ IP của máy chủ SMS của bạn.

Xác nhận dấu vân tay SMS và nhấn “PROCEED”

Cửa sổ SmartConsole chính mở ra. Ở giữa có phần hướng dẫn “What’s New” mô tả chức năng cơ bản của ứng dụng SmartConsole.

Xem qua các màn hình hướng dẫn, đặc biệt nếu bạn đã quen với R77.30 SmartDashboard. SmartConsole R80.x có giao diện khá khác biệt.

Chế độ xem mặc định là Gateways and Servers, nơi bạn chỉ có một đối tượng duy nhất tại thời điểm này đó là SMS. Ở phần dưới cùng của màn hình, bạn sẽ thấy thông tin tóm tắt về nó: Trạng thái giấy phép, Lưỡi phần mềm đang hoạt động, mức sử dụng CPU và RAM. Để biết thêm thông tin, hãy nhấp vào liên kết Thông tin giấy phép và thiết bị.

Trong cửa sổ bật lên, chọn Device Status > System Information:

Bạn có thể xem thêm chi tiết về việc sử dụng tài nguyên:

Duyệt qua System Counters > System để xem lại cách trình bày đồ họa của các tài nguyên được sử dụng.

3. Kết nối đến GW.

Kết nối SG với SMS. Ở đầu SmartConsole, chọn New > Gateway.

Chọn “Wizard Mode” và tiếp tục.

Trong cửa sổ bật lên Wizard, chọn Open Server for Gateway Platform, nhập địa chỉ IP “192.168.1.254” rồi nhấn “Next”.

Nhập SIC – Mật khẩu dùng một lần mà chúng ta đã xác định trong quá trình cài đặt SG và nhấn “Next”:

Trong trường hợp bình thường, (SG đã hoạt động và mật khẩu SIC được nhập chính xác), bạn sẽ thấy màn hình hiện lên nhận kết quả cấu trúc liên kết.

Kiểm tra địa chỉ IP và mạng; sau đó nhấn “Close” và “Next”. Nhấn “Finish” để kết thúc Wizard.

Bây giờ bạn có thể thấy cửa sổ Check Point Security Gateway mới được xác định. Chọn “General Properties” và xem lại “Gateway Software Blade” có sẵn. Như bạn có thể thấy, tường lửa phần mềm Blade được đánh dấu theo mặc định. Không thay đổi bất kỳ cài đặt nào và nhấn “OK”.

Nhấn nút “Publish” ở đầu màn hình để cung cấp tất cả các thay đổi bạn đã thực hiện cho các quản trị viên khác.

Xác nhận bằng cách nhấn “Publish” trong cửa sổ bật lên.

Khi thao tác xuất bản kết thúc, bạn sẽ thấy chỉ báo “Status” màu xanh lục cho SG:

Phần sau, mình sẽ định cấu hình anti-spoofing và thiết lập Access Control policy mới và cài đặt nó trên Security Gateway.

1. Gaia Management Tools.

Để hoạt động bình thường, các thiết bị Checkpoint cần một số cài đặt cấp hệ điều hành: địa chỉ IP, thông số định tuyến, DNS, DHCP, SNMP, bản cập nhật hệ thống và cài đặt sao lưu. Các tham số hệ điều hành có thể được quản lý thông qua WebUI hoặc CLI.

2. WebUI.

Chúng ta đã được tiếp cận vào Gaia WebUI trong quá trình khởi tạo máy trong môi trường lab. Để truy cập WebUI, hãy mở trình duyệt web của bạn tới https://<địa chỉ IP của thiết bị>.

Gaia WebUI hỗ trợ các trình duyệt sau:

• Internet Explorer 8 or higher (including IE11).
• Microsoft Edge
• Chrome 14 or higher
• Firefox 6 or higher
• Safari 5 or higher

Bạn có thể kiểm tra xem trình duyệt của bạn có được hỗ trợ trong đường dẫn sau.

Hãy kết nối với Security Gateway mà ta đã cài đặt ở phần trước. Để làm như vậy, hãy mở https://192.168.1.254 từ PC LAB hoặc PC SmartConsole. Sau khi đăng nhập với tư cách quản trị viên, bạn sẽ đến trang Tổng quan.

Các cài đặt được chia thành các loại sau:

• Quản lý mạng
• Quản lý hệ thống
• Định tuyến nâng cao
• Quản lý người dùng
• Tính sẵn sàng cao
• BẢO TRÌ
• Nâng cấp (CPUSE)

3. Network Interface Setup.

Trong phần trước, mình chỉ thiết lập một giao diện mạng của Security Gateway, eth1. Chúng ta cần thiết lập hai giao diện khác, như trong phần thiết lập của mô hình lab.

Để làm như vậy, hãy đi tới Network Management > Network Interfaces. Tất cả các giao diện vật lý được hệ thống phát hiện đều được liệt kê ở đây.

Nhấp đúp chuột vào eth0. Trong cửa sổ bật lên, tích vào ô Enable để để kích hoạt nó. Và thiết lập địa chỉ IP tĩnh cho cổng eth0. Nhấn OK để kết thúc.

Đặt ip tĩnh cho đường WAN GW là 192.168.206.5/24

Thiết lập eth1 theo cách tương tự cho eth2:

Đặt ip tĩnh cho đường LAN xuống Server của GW 172.16.20.254/24

4. Setting Default Gateway.

Bây giờ, hãy thiết lập cổng mặc định. Đi tới Network Management > IPv4 Static Routes. Mục duy nhất ở đó là Mặc định.

Nhấp đúp vào nó và chọn Add Gateway > IP Address.

Nhập địa chỉ IP của cổng mặc định. Trong trường hợp của mình, nó là 192.168.206.1 (Gateway của Security Gateway).

Lưu ý: Hệ điều hành Gaia chỉ cho phép một phiên quản trị duy nhất ở chế độ ghi. Nếu bạn đóng cửa sổ trình duyệt mà không đăng xuất trước hoặc hết phiên do không hoạt động, bạn sẽ thấy cấu hình hệ thống bị khóa trong mục tiếp theo vào WebUI.

Để mở khóa cài đặt, chỉ cần nhấp vào biểu tượng khóa.

5. Gaia command line interface (CLI).

Có thể quản lý cài đặt hệ điều hành Gaia và một số thông số của các sản phẩm Checkpoint đã cài đặt thông qua CLI.

Có một số cách khác nhau để gọi Giao diện dòng lệnh:

• Từ WebUI, nhấp vào biểu tượng “Open Terminal” ở đầu màn hình:

ĐỔI HÌNH.

Cửa sổ Terminal với lời nhắc đăng nhập bật lên:

• Kết nối thiết bị đầu cuối cổng giao diện điều khiển
• Kết nối SSH
• Tùy chọn CLI trong SmartConsole

Hãy thử tùy chọn SSH. Mình đang sử dụng ứng dụng khách Putty SSH. Kết nối với địa chỉ IP GW (192.168.1.254). Đăng nhập với tư cách quản trị viên. Bạn sẽ thấy như sau:

Dòng lệnh kết thúc bằng ký hiệu “>” nghĩa là bạn đang ở trong Clish – Command Line Shell. Đây là shell mặc định trên Gaia OS, có các lệnh quản lý tham số OS: địa chỉ IP, giao diện, định tuyến, cài đặt DNS, v.v. Mặc dù Gaia OS dựa trên RedHat Linux nhưng cú pháp lệnh trong clish khác với bash.

Nếu bạn muốn truy cập bash Linux, bạn cần vào chế độ Expert. Vào chế độ Expert yêu cầu mật khẩu “Expert” khác với mật khẩu người dùng.

Cú pháp Clish CLI rất đơn giản và có thể được mô tả dưới dạng Hoạt động > Tính năng > Tham số.

Chúng ta hãy xem một số ví dụ:

• show commands – Để xem tất cả các lệnh mà người dùng có quyền chạy;
• show commands feature <TAB> – Để xem danh sách tất cả các tính năng;
• show commands feature VALUE – Để hiển thị tất cả các lệnh cho một tính năng cụ thể;
• show commands op <SPACE> <TAB> – Để hiển thị tất cả các hoạt động có thể;
• show commands [op VALUE] [feature VALUE] – Để hiển thị tất cả các lệnh cho mỗi thao tác, cho mỗi tính năng.

Dưới đây là bốn lệnh thao tác được sử dụng thường xuyên nhất: hiển thị, đặt, thêm, xóa. Bạn có thể biết thêm chi tiết về Clish Gaia R81.20 Administration Guide

6. Practicing CLISH.

Mở phiên SSH tới Security Gateway và đăng nhập với tư cách quản trị viên. Gõ lệnh show rồi nhấn Tab hai lần. Bạn sẽ thấy tất cả các tính năng có sẵn:

Có một số tùy chọn ở đây, nhưng mình sẽ bắt đầu bằng việc xem lại cấu hình, việc này có thể được thực hiện bằng cách gõ lệnh “show configuration”. Bạn sẽ thấy tất cả cài đặt cấu hình Gaia ở đầu ra, bao gồm cả những cài đặt liên quan đến giao diện mạng:

Đừng bao giờ thử đặt bất kỳ tham số Gaia OS nào bằng các công cụ Linux tiêu chuẩn. Các cài đặt này sẽ không tồn tại khi khởi động lại và sẽ bị ghi đè bởi các thay đổi cấu hình clish hoặc WebUI.

Để truy cập bash, bạn cần vào chế độ chuyên gia, bạn thực hiện bằng cách gõ lệnh “Expert”. Bạn sẽ được yêu cầu đặt mật khẩu chuyên gia bằng lệnh “set Expert-password”:

Đặt mật khẩu chuyên gia và nhập lại chuyên gia, sau đó nhập mật khẩu đã định cấu hình.

Dấu nhắc CLI sẽ thay đổi từ “>” thành “#”

Các công cụ và lệnh Linux tiêu chuẩn hiện đã có sẵn đầy đủ.

Phần 5 này đến đây là kết thúc. Trong phần tiếp theo, mình sẽ cài đặt SmartConsole và bắt đầu định cấu hình hệ thống bảo mật bao gồm Security Management Server và Security Gateway.

1. Deployment.

Như đã đề cập trong phần đầu tiên mà tôi đã viết, Security Gateway có thể được triển khai theo ba tùy chọn khác nhau:

• Check Point Security Appliance.
• Open Server.
• A Virtual Machine.

 Lưu ý: trong phần thực hành của bài giảng này, mình sẽ cài đặt Security Gateway trong môi trường lab của mình dưới dạng máy ảo.

2. Check Point Security Appliance.

Với Checkpoint, có bốn loại Security Gateway Appliances.

• Small and Medium Business,
• Enterprise,
• High End Enterprise and Data Center,
• Large Data Centers and Telcos, also known as Scalable Platforms (SP).

Lưu ý: Các thiết bị SMB và SP sử dụng hệ điều hành và phần mềm khác nhau và không nằm trong bài lab này.

Tương tự như những gì mà mình đã lưu ý trước đây đối với trường hợp triển khai Smart-1, Check Point Security Gateway được cài đặt sẵn ít nhất một phiên bản phần mềm Check Point Gaia.

3. Open Server / virtual machine.

Nếu bạn đang triển khai Security Gateway trên Máy chủ mở hoặc dưới dạng máy ảo, hãy tham khảo Danh sách tương thích phần cứng để đảm bảo tùy chọn triển khai của bạn được Checkpoint hỗ trợ. Quy trình cài đặt cho máy chủ mở và máy ảo thực tế giống hệt nhau.

4. Cài đặt Software Gateway.

Trong phòng môi trường lab của mình, mình sẽ cài đặt Security Gateway dưới dạng máy ảo. Sau đây là mô hình bài lab:

Mình sẽ triển khai GW dưới dạng VM trên môi trường ảo hóa ESXi với các thông số như sau:

• Virtual Machine Name: GW
• Guest OS family: Other
• Guest OS version: Other 64-bit
• CPU: 2
• RAM: 8GB
• Hard disk: 80GB
• Network Adapter: VM Network
• Network Adapter: Port_LAN
• Network Adapter: Port_LAN_1
• CD/DVD Drive 1: Check_Point_R81.20_T634.iso

Khi bạn khởi động máy, máy sẽ khởi động từ tệp ảnh ISO DVD và màn hình sau xuất hiện:

Lưu ý có ba NIC khác nhau được xác định. Luồng cài đặt ban đầu rất giống với quá trình cài đặt SMS được trình bày trong bài phần trước. Sự khác biệt duy nhất là về cấu hình giao diện.

Ở bước này, chọn NIC chia sẻ mạng với Lab User PC (Port_LAN). Trong trường hợp của mình, đó là eth1. Thiết lập IP là 192.168.1.254/24 và để trống cài đặt Cổng mặc định.

Tiếp tục cài đặt và khởi động lại.

5. Initializing Security Gateway.

Trong trình duyệt của bạn, kết nối với https://192.168.1.254 và đăng nhập bằng người dùng quản trị viên và mật khẩu bạn đã xác định trong quá trình cài đặt. Khởi động Trình hướng dẫn cấu hình lần đầu tiên và chọn “Tiếp tục với cấu hình R81.20”.

Để nguyên cài đặt giao diện eth1.

Wizard sẽ khuyên bạn thiết lập các giao diện khác. Bỏ qua chúng tại thời điểm này bằng cách nhấn Next. Mình sẽ thiết lập các mạng khác sau này.

Trong menu Thông tin thiết bị, thiết lập tên máy chủ của máy (GW), tên miền (checkpoint.local) và Máy chủ DNS chính (8.8.8.8):

Để Ngày và Giờ làm mặc định và nhấn “Next”.

Chọn “Cổng bảo mật và/hoặc Quản lý bảo mật” cho Loại cài đặt và nhấn Next.

Đối với phần này, chỉ chọn Security Gateway. Nhấn “Next” để tiếp tục.

Chọn không cho IP được gán động (DIAP) và nhấn “Next”:

Phần cuối cùng của Wizard là về SIC – Truyền thông nội bộ an toàn. Nói một cách ngắn gọn, tất cả các phần của Hệ thống bảo mật dựa trên Check Point đều đang sử dụng kênh được mã hóa TLS để kết nối với nhau. Đường hầm này được gọi là SIC. Nó sử dụng mã hóa dựa trên chứng chỉ. Chứng chỉ do Máy chủ quản lý cấp và được khởi tạo bằng khóa kích hoạt mà chúng tôi đang xác định ở bước này.

Nhấn Finish để kết thúc quá trình khởi tạo. Máy sẽ khởi động lại.

Sau khi khởi động lại, bạn sẽ có thể đăng nhập vào Gaia WebUI, giống như trường hợp SMS trong phần trước mà mình đã hướng dẫn.

Xin chúc mừng, bạn đã hoàn tất cài đặt và cấu hình ban đầu thành công hai thành phần chính của hệ thống bảo mật Check Point: Security Management và Security Gateway.

Lần tới, Mình sẽ tiếp tục định cấu hình hệ thống của mình và sẽ hoạt động với Gaia WebUI và CLI.

Trong bài viết này, mình sẽ đề cập đến việc cài đặt và cấu hình ban đầu Security Management Server.

2. Deployment Options.

Máy chủ quản lý bảo mật (SMS) có thể được triển khai theo hai tùy chọn khác nhau: Thiết bị Smart-1 Appliance hoặc máy Open Server.

2.1. Smart-1 Appliance.

Check Point cung cấp nhiều loại thiết bị Smart-1 Appliance được chia thành hai nhóm:

• Enterprise (Smart-1 405, 410, 225, 525)
• High End Enterprise (Smart-1 3050, 5050, 3150, 5150)

Sự khác biệt chính giữa hai loại là về số lượng cổng bảo mật mà thiết bị đó có thể quản lý. Càng quản lý nhiều tường lửa thì yêu cầu về hiệu suất đối với thiết bị máy chủ quản lý về CPU, RAM và kích thước ổ cứng càng lớn.

2.2. Open Server.

Trong trường hợp triển khai Open Server, bạn cài đặt SMS trên máy chủ vật lý chuyên dụng hoặc dưới dạng máy ảo với Gaia OS. Nếu bạn chọn máy chủ vật lý, hãy kiểm tra đáp ứng phần cứng sau 

Triển khai SMS dưới dạng máy ảo cũng là một lựa chọn phổ biến. Triển khai sản xuất SMS VM được hỗ trợ trên một số phiên bản ESXi, Hyper-V và KVM. 

3. Quá trình cài đặt.

Quy trình cài đặt Smart-1 Appliance và Open Servers có chút khác biệt về chi tiết. Hãy nói ngắn gọn về việc triển khai thiết bị trước khi đề cập đến tùy chọn Open Server.

3.1. Smart-1 Deployment.

Theo mặc định, thiết bị Smart-1 Appliance được cài đặt sẵn ít nhất một phiên bản phần mềm Check Point Gaia. Trong hầu hết các trường hợp, tất cả những gì bạn cần là khởi tạo nó. Tuy nhiên, nếu bạn muốn tạo lại hình ảnh cho thiết bị hoặc cài đặt phiên bản phần mềm khác với cài đặt mặc định sẵn có của nhà sản xuất, hãy xem sk65205 để biết các công cụ và chi tiết.

3.2. Deploying SMS as a VM.

Mình sẽ triển khai SMS dưới dạng VM trên môi trường ảo hóa ESXi với các thông số như sau:

• Virtual Machine Name: SMS
• Guest OS family: Other
• Guest OS version: Other 64-bit
• CPU: 2
• RAM: 8GB
• Hard disk: 80GB
• Network Adapter: Port_LAN
• CD/DVD Drive 1: Check_Point_R81.20_T634.iso

Khi bạn khởi động máy, máy sẽ khởi động từ tệp ảnh ISO DVD và màn hình sau xuất hiện:

Chọn “Cài đặt Gaia trên hệ thống này” để bắt đầu quá trình cài đặt. Nó bao gồm sáu bước:

Tiến hành cài đặt bằng cách nhấn “OK”

Chọn ngôn ngữ bàn phím từ menu và nhấn “OK” lần nữa

Phân vùng ổ cứng. Trong thực tế khi triển khai Open Server, việc dựa vào phân vùng Gaia mặc định thường là an toàn. Tuy nhiên, nếu cần, bạn có thể thay đổi kích thước cho các phân vùng System-root và Logs.

Trong quá trình triển khai SMS, hãy luôn thiết lập nhật ký làm phân vùng lớn nhất. Trong bài lab này mình sẽ thiết lập System-root cho 15GB, chỉ để lại 15GB cho nhật ký.

Thiết lập mật khẩu quản trị viên ban đầu. Bạn có thể chọn mật khẩu của riêng mình.

Thiết lập địa chỉ IP, mặt nạ mạng và cổng mặc định.

Xác nhận các thông số thiết lập và bắt đầu cài đặt bằng cách nhấn “OK”.

Đến đây, thì mình đã hoàn tất việc cài đặt.

4. Cài đặt ban đầu.

Mặc dù, như đã đề cập ở trên, việc cài đặt/tạo lại hình ảnh của thiết bị Smart-1 Appliance và Open Server là khác nhau, First Time Wizard lần đầu giống hệt nhau trong cả hai trường hợp.

Để tiếp tục, chúng ta cần thiết lập địa chỉ IP máy chủ Windows (PC) là 192.168.1.20 và subnet mask là (255.255.255.0).

Sau khi địa chỉ IP được đặt, bạn có thể kết nối với trình duyệt tới https://192.168.1.100. Rất có thể bạn sẽ thấy cảnh báo bảo mật “Chứng chỉ không hợp lệ”. Cài đặt Gaia mặc định sử dụng chứng chỉ tự ký nên bạn có thể bỏ qua thông báo và kết nối. Bạn sẽ thấy lời nhắc xác thực.

Nhập tên người dùng quản trị viên và mật khẩu bạn đã chọn trước đó bạn đã đặt. Bạn sẽ thấy màn hình chào mừng. Nhấn nút “Next”.

Chọn “Tiếp tục với cấu hình R80.10” và nhấn Tiếp theo:

Không thay đổi cài đặt kết nối quản lý và tiếp tục bằng cách nhấn Tiếp theo:

Thiết lập Tên máy chủ – SMS, Tên miền – checkpoint.local và máy chủ DNS – 8.8.8.8, sau đó nhấn Tiếp theo:

Bạn có thể để cài đặt ngày giờ mặc định. Do mình đang ở HCM nên mình để time zone là GMT +7:00

Trên màn hình loại cài đặt, chọn tùy chọn đầu tiên – Cổng bảo mật và/hoặc Quản lý bảo mật, sau đó nhấn “Next”

Trên màn hình sản phẩm chỉ chọn tùy chọn quản lý bảo mật và nhấn “Next”

Mình sẽ sử dụng cài đặt quản trị viên Gaia cho tài khoản quản trị viên mặc định của quản lý bảo mật:

Mình cũng sẽ để lại cài đặt “Địa chỉ IP bất kỳ” mặc định cho danh sách máy khách GUI:

Cuối cùng, xác nhận tất cả các cài đặt và nhấn Finish để bắt đầu quá trình cấu hình.

Quá trình này mất 10 đến 15 phút:

Sau khi hoàn tất, chúng tôi có quyền truy cập vào Gaia OS WebUI:

Trong bài giảng tiếp theo, mình sẽ mô tả việc cài đặt và cấu hình ban đầu của Security Gateway.

Note: Trong trường hợp tài nguyên rất hạn chế, bạn có thể sử dụng 5GB, nhưng hãy nhớ rằng yêu cầu tối thiểu đối với RAM SMS là 8GB.

Trước khi đi sâu hơn để hiểu rõ về lý thuyết, chúng ta cần xây dựng một môi trường để thực hành. Chúng ta sẽ cùng tìm hiểu theo mô hình sau đây.

2. Virtual Lab.

Bố cục lab ảo được trình bày theo sơ đồ dưới đây.

Trong bài lab bao gồm 5 máy ảo

• Security Management Server (SMS)
• Security Gateway (SG)
• PC người dùng
• PC có SmartConsole
• Windows Server (Active Directory và IIS được bật)

3. Virtualization platform.

Trong bài lab lần này thì tôi sẽ cài đặt và sử dụng trên môi trường ESXI, bạn cũng có thể cài đặt và sử dụng trên môi trường Virtual box hoặc VMware Workstation để làm nền tảng ảo hóa cho mô hình trên.

4. Installation Software Images.

Để cài đặt và thiết lập tất cả các máy Checkpoint, bạn cần có tệp ISO R81.20 Check Point. Bạn có thể tìm nó ở đây.

Bạn cũng sẽ cần cài đặt máy Windows Client (Windows 7 trở lên) và Windows Server (2012 trở lên).

5. Hardware Requirements

Yêu cầu phần cứng tối thiểu để cài đặt Gaia R80.10 Open Server được liệt kê trong đường link này:

Check Point Software Technologies (Gọi tắt là Check Point) là một công ty hoạt động độc quyền trong lĩnh vực An toàn thông tin và bao gồm 4 lĩnh vực chính:

• An ninh mạng trên phạm vi và bên trong Data Centers.
• Bảo mật đám mây: Public, Private and Hybrid.
• Bảo mật điểm cuối cho cả Windows và Mac.
• Bảo mật di động dành cho thiết bị Android và iOS.

Trong bài viết này, tôi sẽ nói về các giải pháp An ninh mạng với Checkpoint.

2. Network Defense: Kiến trúc 3 thành phần.

Sản phẩm chính của Checkpoint là giải pháp an ninh mạng – Next Generation Firewall (NGFW). Khi làm việc với nó, bạn sẽ gặp 3 thành phần chính đó là: Security Gateway, Security Management Server và SmartConsole.

• Security Gateway (SG) thường được triển khai trên vành đai để kiểm soát và bảo mật lưu lượng truy cập bằng khả năng tường lửa và ngăn chặn mối đe dọa.
• Security Management Server (SMS) dùng để xác định và kiểm soát các chính sách bảo mật trên SG. Và cũng có thể được sử dụng như một máy chủ nhật ký với hệ thống lập chỉ mục nhật ký (SmartLog) và sự kiện tích hợp (SmartEvent – ​​giải pháp tương tự SIEM cho các sản phẩm Checkpoint). Thông thường, SMS là thành phần chính của quản lý trung tâm với nhiều Security Gateway đang hoạt động. Tuy nhiên, bạn cần có SMS ngay cả khi hệ thống bảo mật của bạn chỉ có một Security Gateways duy nhất.
• SmartConsole là công cụ quản trị GUI để kết nối với SMS. Thông qua công cụ này, quản trị viên bảo mật có thể chuẩn bị và áp dụng các chính sách bảo mật cho Security Gateways.

Quy trình quản trị bao gồm các bước sau:

• Quản trị viên bảo mật mở SmartConsole và kết nối với Security Management Server.
• Security Administrator thay đổi chính sách bảo mật hiện có (hoặc xác định chính sách mới) và áp dụng thay đổi đó bằng cách nhấn nút Cài đặt chính sách.
• Security Management Server xác minh tính nhất quán của chính sách để tránh các lỗi logic, biên dịch nó và gửi gói chính sách kết quả đến Security Gateway.
• Security Gateway nhận chính sách đã biên dịch và áp dụng chính sách đó cho lưu lượng mạng đi qua cổng.

3. Operating Systems

Trong quá khứ, Công nghệ phần mềm Check Point được định hướng cho các hệ điều hành khác nhau: SUN, AIX, HP-OS, nhiều phiên bản khác nhau của Linux và Windows, IPSO, Nền tảng bảo mật (SPLAT) và các hệ điều hành khác. Hiện nay, ba thành phần của Checkpoint đang sử dụng Hệ điều hành sau:

Windows – chỉ dành cho SmartConsole. SG và SMS không thể triển khai trên Windows.

Gaia – Hệ điều hành riêng của Checkpoint dựa trên RH Enterprise Linux đã được tăng cường. Gaia sẽ là trọng tâm của một số tài liệu khác vì đây là tùy chọn chính khi triển khai cả SMS và SG trên nền tảng máy chủ mở và các thiết bị Check Point.

Lưu ý: Các thiết bị SMB checkPoint dựa trên bộ xử lý ARM đang sử dụng Hệ điều hành nhúng Gaia, đây là phiên bản rút gọn và tối ưu hóa của Gaia.

Software Versions

Hiện tại, Checkpoint hỗ trợ ba phiên bản phần mềm chính của sản phẩm:

• R77.30
• R80.10
• R80.20

R77.30 dự kiến ​​sẽ ngừng hỗ trợ vào tháng 5 năm 2019. R80.20 được phát hành vào cuối tháng 9 năm 2018.

4. Deployment option.

Có các tùy chọn triển khai khác nhau cho hệ thống bảo mật mạng dựa trên các sản phẩm Checkpoint:

• Check Point Security Appliance. Tùy chọn này bao gồm cả phần cứng và phần mềm cần thiết để chạy hệ thống bảo mật mạng Checkpoint.
• Open Server. Hệ điều hành Gaia có thể được triển khai trên các máy chủ được chứng nhận cụ thể từ danh sách tương thích phần cứng có sẵn trên trang web Check Point.
• A Virtual Machine. Gaia hỗ trợ VMware ESX và các nền tảng đám mây công cộng phổ biến nhất: AWS, Azure, Google Cloud, Alibaba và Oracle.

5. Standalone and Distributed Deployment.

Security Gateway và Security Management Server đều có thể được triển khai trên cùng một phần cứng của VM (Standalone):

hoặc dưới dạng thành phần khác nhau (Distributed Deployment).

• Standalone tiết kiệm nhưng cũng hạn chế, đặc biệt khi nói về hiệu suất.
• Distributed là tùy chọn triển khai và phổ biến nhất dành cho khách hàng của Checkpoint. Đối với một số chức năng cụ thể, chẳng hạn như SmartEvent, việc triển khai phân tán là bắt buộc.

6. Gateway Deployment.

Security Gateway được triển khai ở Routed Mode hoặc Bridge Mode.

• Routed Mode là phổ biến nhất. Trong trường hợp này, Security Gateway bảo mật thực hiện định tuyến L3 khi chuyển tiếp lưu lượng được Chính sách bảo mật cho phép
• Bridge Mode có thể được triển khai mà không thay đổi cấu trúc liên kết mạng, để kiểm soát lưu lượng trên Lớp 2. Một số chức năng bị hạn chế trong chế độ này.

7. Check Point Software Blades

Một trong những câu hỏi thường gặp nhất mà những người mới bắt đầu có là về thuật ngữ “Software Blades”. Nói một cách dễ hiểu, Checkpoint đang sử dụng thuật ngữ này cho các tính năng cụ thể của sản phẩm của mình.

Security Gateways và Management Servers có bộ sưu tập các phần mềm liên quan mà người ta có thể bật hoặc tắt khi được yêu cầu, tùy thuộc vào giấy phép. Sự kết hợp của những điều đó xác định tính năng cụ thể của sản phẩm Checkpoint.

Tôi sẽ đề cập đến hầu hết các Software Blades và chức năng của chúng trong các tài liệu tiếp theo.

7.1. Security Gateway Software Blades

• Firewall – Chức năng lọc bảo mật cơ bản
• IPSec VPN – chức năng tạo mạng riêng ảo Site to Site dựa trên IPSec
• Mobile Access – Giải pháp VPN điểm cuối SSL và IPSec
• Application Control & URL Filtering – Giải pháp bảo mật nâng cao để kiểm soát lưu lượng URL Web và ứng dụng thông qua cổng
• Data Loss Prevention – Ngăn chặn trước thông tin nhạy cảm rò rỉ khỏi tổ chức, hướng dẫn người dùng về quy trình xử lý dữ liệu phù hợp và cho phép khắc phục trong thời gian thực
• IPS – Hệ thống ngăn chặn xâm nhập
• Anti-Bot  – Phát hiện và ngăn chặn hoạt động của mối đe dọa liên tục nâng cao (APT) trong mạng được bảo vệ
• Anti-Virus – Quét AVI nhanh chóng để tải xuống và tải lên qua Security Gateways
• Threat Emulation  – Giải pháp Sandboxing để tải xuống và đính kèm email
• Threat Extraction – Kỹ thuật xóa nội dung hoạt động khỏi các bản tải xuống và tệp đính kèm nhằm ngăn ngừa nhiễm phần mềm độc hại ngẫu nhiên và APT
• AntiSpam & Email Security – bảo vệ email
• Identity Awareness – Cung cấp khả năng hiển thị danh tính của người dùng cuối và máy chủ Active Directory cụ thể mà họ đang kết nối. Điều này cho phép các chính sách bảo mật được thực thi dựa trên mọi sự kết hợp giữa người dùng, máy cụ thể hoặc mạng.
• Content Awareness – Kiểm soát các loại tệp dữ liệu nội dung cụ thể đi qua Security Gateways
• QoS – Chất lượng dịch vụ, chức năng định hình lưu lượng và ưu tiên
• Monitoring – Giám sát thời gian thực về hiệu suất và các chỉ số lưu lượng cho Security Gateways.

7.2. Security Management Server Software Blades

• Network Policy Management – tạo và quản lý các chính sách bảo mật SG
• Endpoint Policy Management – tạo và quản lý Chính sách bảo mật điểm cuối
• Logging & Status – chức năng ghi nhật ký và hợp nhất nhật ký trung tâm
• Workflow – Chức năng Chu trình quản lý thay đổi với khả năng kiểm tra và phê duyệt các hoạt động quản lý chính sách nhất định
• User Directory – Quản lý người dùng và tích hợp với các giải pháp xác thực bên ngoài
• Provisioning – Công cụ bảo trì tập trung
• Compliance – Công cụ tuân thủ tự động để kiểm tra các biện pháp thực hành tốt nhất và bảo mật
• SmartEvent — Công cụ quản lý sự kiện bảo mật và tương quan nhật ký

8. Kết luận.

Trong bài viết này, Tôi đã giới thiệu cho bạn các thuật ngữ và khái niệm chính của dòng sản phẩm Check Point Network Security. Trong các bài viết tiếp theo, tôi sẽ đề cập đến quy trình cài đặt và cấu hình ban đầu cho cả Security Gateway  và Security Management Server.