Đề tài Khai thác và triển khai phần mềm tường lửa Checkpoint

ng bảo mật, chất lượng dịch vụ và quản lý mạng đối với mạng IP rộng lớn. 3.3. Các kiểu cấu trúc: 3.3.1.Kiến trúc Dual-homed host firewall: Hình 3.3.1: Sơ đồ kiến trúc Dual–homed Host Dual–homed Host là hình thức xuất hiện đầu tiên trong cuộc đấu để bảo vệ mạng nội bộ. Dual–homed Host là một máy tính có hai giao tiếp mạng: một nối với mạng cục bộ và một nối với mạng ngoài (Internet). Hệ điều hành của Dual–homed Host được sửa đổi để chức năng chuyển các gói tin (packet forwarding) giữa hai giao tiếp mạng này không hoạt động. Để làm việc được với một máy trên Internet, người dùng ở mạng cục bộ trước hết phải login vào Dual–homed Host, và từ đó bắt đầu phiên làm việc. Ưu điểm của Dual–homed Host: • Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt. • Dual–homed Host chỉ yêu cầu cấm khả năng chuyển các gói tin, do vậy, thông thường trên các hệ Unix, chỉ cần cấu hình và dịch lại nhân (kernel) của hệ điều hành là đủ. Nhược điểm của Dual–homed Host: • Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng như những hệ phần mềm mới được tung ra thị trường. • Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản thân nó, và khi Dual–homed Host đó bị đột nhập, nó sẽ trở thành đầu cầu lý tưởng để tấn công vào mạng nội bộ. Đánh giá về kiến trúc Dual–homed Host: Để cung cấp dịch vụ cho những người sử dụng (user) bên trong (internal network) có một số giải pháp như sau: Kết hợp với các proxy server cung cấp những proxy service Cấp các account cho user trên máy dual–homed host này và khi mà người sử dụng muốn sử dụng dịch vụ từ Internet hay dịch vụ từ mạng bên ngoài (external network) thì họ phải truy nhập (login) vào máy này trước. Nếu dùng phương pháp cấp account cho user trên máy dual–homed host thì user không thích sử dụng dịch vụ phiền phức như vậy, vì mỗi lần họ muốn sử dụng dịch vụ thì phải logi in vào máy khác (dual–homed host) khác với máy của họ đây là vấn đề rất là không trong suốt với người sử dụng. Nếu dùng proxy server : Khó có thể cung cấp được nhiều dịch vụ cho người sử dụng vì phần mềm proxy server và proxy client không phải loại dịch vụ nào cũng có sẵn. Khi số dịch vụ cung cấp nhiều thì khả năng đáp ứng của hệ thống có thể giảm xuống vì tất cả các proxy server đều đặt trên cùng một máy. Một khuyết điểm cơ bản của hai mô hình trên nữa là: khi mà máy dual–homed host nói chung cũng như các proxy server bị đột nhập vào. Người tấn công (attacker) đột nhập vào được qua nó thì lưu thông bên trong internal network bị attacker này thấy hết điều này thì hết sức nguy hiểm. Trong các hệ thống mạng dùng ethernet hoặc token ring thì dữ liệu lưu thông trong hệ thống có thể bị bất kỳ máy nào nối vào mạng đánh cắp dữ liệu cho nên kiến trúc trên chỉ thích hợp với một số mạng nhỏ. 3.3.2. Kiến trúc Screened host firewall: Kiến trúc này kết hợp 2 kỹ thuật đó là Packet Filtering và Proxy Services. Packet Filtering: Lọc một số loại dịch vụ mà hệ thống muốn cung cấp sử dụng proxy server, bắt người sử dụng nếu muốn dùng dịch vụ thì phải kết nối đến proxy server mà không được bỏ qua proxy server để nối trực tiếp với mạng bên trong/bên ngoài (internal/external network), đồng thời có thể cho phép “pháo đài” (bastion host) mở một số kết nối với internal/external host. Proxy Service: bastion host sẽ chứa các proxy server để phục vụ một số dịch vụ hệ thống cung cấp cho người sử dụng qua proxy server. Hình 3.3.2: Sơ đồ kiến trúc Screened Host Đánh giá một số ưu, khuyết điểm chính của kiến trúc Screened Host: Screened Host: Đã tách chức năng lọc các gói IP và các proxy server ở hai máy riêng biệt. Packet Filtering chỉ giữ chức năng lọc gói nên có thể kiểm soát, cũng như khó xảy ra lỗi (tuân thủ qui tắc ít chức năng). Proxy Servers được đặt ở máy khác nên khả năng phục vụ (tốc độ đáp ứng) cũng cao. Cũng tương tự như kiến trúc dual–homed host khi mà packet filtering system cũng như bastion host chứa các proxy server bị đột nhập vào (người tấn công đột nhập được qua các hàng rào này) thì lưu thông của internal network sẽ bị người tấn công thấy và điều này là rất nguy hiểm. Từ khuyết điểm chính của 2 kiến trúc trên ta có kiến trúc thứ 3 sau đây khắc phục được phần nào khuyết điểm đó. 3.3.3. Kiến trúc Screened-subnet host firewall: Hình3.3.3: Sơ đồ kiến trúc Screened Subnet Host Với kiến trúc này, hệ thống này bao gồm hai packet–filtering router và một bastion host (hình 3.3.3). Kiến trúc này có độ an toàn cao nhất vì nó cung cấp cả mức bảo mật network và application trong khi định nghĩa một mạng perimeter network. Để tăng độ an toàn trong internal network, kiến trúc screen subnet ở trên sử dụng thêm một mạng DMZ (DMZ hay perimeter network) để che phần nào lưu thông bên trong internal network. Tách biệt internal network với Internet. Mạng trung gian (DMZ) đóng vai trò như một mạng nhỏ, cô lập đặt giữa Internet và mạng nội bộ. Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ và sự truyền trực tiếp qua mạng DMZ là không thể được. Với những thông tin đến, router ngoài (exterior router) chống lại những sự tấn công chuẩn (như giả mạo địa chỉ IP) và điều khiển truy nhập tới DMZ. Nó chỉ cho phép hệ thống bên ngoài truy nhập bastion host. Router trong (interior router) cung cấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ bastion host. Với những thông tin đi, router trong điều khiển mạng nội bộ truy nhập tới DMZ. Nó chỉ cho phép các hệ thống bên trong truy nhập bastion host. Quy luật filtering trên router ngoài yêu cầu sử dụng dịch vụ proxy bằng cách chỉ cho phép thông tin ra bắt nguồn từ bastion host. Ưu điểm: • Kẻ tấn công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host và router trong. • Bởi vì router ngoài chỉ quảng bá mạng trung gian (DMZ Network) tới Internet, hệ thống mạng nội bộ là không thể nhìn thấy (invisible). Chỉ có một số hệ thống đã được chọn ra trên DMZ là được biết đến bởi Internet qua bảng định tuyến (routing table) và DNS (Domain Name Server). • Bởi vì router trong chỉ quảng cáo DMZ network tới mạng nội bộ, các hệ thống trong mạng nội bộ không thể truy nhập trực tiếp vào Internet. Điều nay đảm bảo rằng những user bên trong bắt buộc phải truy nhập Internet qua dịch vụ proxy. Đánh giá về kiến trúc Screened Subnet Host: Đối với những hệ thống yêu cầu cung cấp dịch vụ nhanh, an toàn cho nhiều người sử dụng đồng thời cũng như khả năng theo dõi lưu thông của mỗi người sử dụng trong hệ thống và dữ liệu trao đổi giữ các người dùng trong hệ thống cần được bảo vệ thì kiến trúc cơ bản trên phù hợp. Sử dụng 2 screening router : exterior router và interior router. Áp dụng qui tắc dư thừa có thể bổ sung thêm nhiều mạng trung gian (DMZ hay perimeter network) càng tăng khả năng bảo vệ càng cao. Ngoài ra, còn có những kiến trúc biến thể khác như: sử dụng nhiều bastion host, ghép chung router trong và router ngoài, ghép chung bastion host và router ngoài … 3.4. Các thành phần của Firewall & cơ chế hoạt động: Một Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây: • Bộ lọc gói (Packet–Filter) • Cổng ứng dụng (Application–level Gateway hay Proxy Server) • Cổng mạch (Circuite level Gateway) 3.4.1.Bộ lọc gói (Packet Filter) a. Nguyên lý hoạt động Hình 3.4.1: Sơ đồ làm việc của Packet Filtering Firewall hoạt động chặt chẽ với giao thức TCI/IP và làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS...) thành các gói dữ liệu (data paket) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các Packet và những con số địa chỉ của chúng. Bộ lọc gói cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc gói hay không. Các luật lệ lọc gói này là dựa trên các thông tin ở đầu mỗi packet (packet header ), dùng để cho phép truyền các packet đó ở trên mạng. Đó là: • Địa chỉ IP nơi xuất phát ( IP Source address) • Địa chỉ IP nơi nhận (IP Destination address) • Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) • Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) • Cổng TCP/UDP nơi nhận (TCP/UDP destination port) • Dạng thông báo ICMP (ICMP message type) • Giao diện Packet đến (Incomming interface of Packet) • Giao diện Packet đi (Outcomming interface of Packet) Nếu luật lệ lọc gói được thoả mãn thì packet được chuyển qua Firewall. Nếu không, packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP...) được phép mới chạy được trên hệ thống mạng cục bộ. b. Ưu điểm và hạn chế của hệ thống Firewall sử dụng bộ lọc gói Ưu điểm: • Đa số các hệ thống Firewall đều sử dụng bộ lọc gói. Một trong những ưu điểm của phương pháp dùng bộ lọc gói là chi phí thấp vì cơ chế lọc gói đã được bao gồm trong mỗi phần mềm router. • Ngoài ra, bộ lọc gói là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả. Hạn chế: • Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp; nó đòi hỏi người quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể mà họ có thể nhận trên mỗi trường. Khi đòi hỏi vể sự lọc càng lớn, các luật lệ về lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển. • Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc gói không kiểm soát được nội dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu. 3.4.2. Cổng ứng dụng (Application–Level Gateway) a. Nguyên lý hoạt động: Hình 3.4.2: Kết nối giữa người dùng (Client) với Server qua Proxy Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách thức gọi là proxy service (dịch vụ đại diện). proxy service là các bộ code đặc biệt cài đặt trên cổng ra (gateway) cho từng ứng dụng. Nếu người quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua Firewall. Ngoài ra, proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà người quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác. Một cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm bảo an ninh của một bastion host là: Bastion host luôn chạy các version an toàn (secure version) của các phần mềm hệ thống (operating system). Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào hệ điều hành (operating system), cũng như là đảm bảo sự tích hợp Firewall. Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể bị tấn công. Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host. Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password hay smart card. • Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một số các máy chủ nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống. • Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại. • Mỗi proxy đều độc lập với các proxy khác trên bastion host. Điều này cho phép đơn giản quá trình cài đặt một proxy mới, hay tháo gỡ một proxy đang có vấn đề. Ví dụ: Telnet Proxy Ví dụ một người dùng bên ngoài (gọi là outside client) muốn sử dụng dịch vụ telnet để kết nối vào hệ thống mạng qua môt bastion host có telnet proxy. Quá trình xảy ra như sau: 1. Outside client đó telnets đến bastion host. Bastion host kiểm tra mật khẩu (password), nếu hợp lệ thì outside client được phép vào giao diện của telnet proxy. Telnet proxy cho phép một tập nhỏ những lệnh của telnet, và quyết định những máy chủ nội bộ nào outside client được phép truy nhập. 2. Outside client chỉ ra máy chủ đích và telnet proxy tạo một kết nối của riêng nó tới máy chủ bên trong và chuyển các lệnh tới máy chủ dưới sự uỷ quyền của outside client. Outside client thì tin rằng telnet proxy là máy chủ thật ở bên trong, trong khi máy chủ ở bên trong thì tin rằng telnet proxy là client thật. b. Ưu điểm và hạn chế Ưu điểm: • Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được bởi các dịch vụ. • Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khoá. • Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống. • Luật lệ filltering (lọc) cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc gói. Hạn chế: • Yêu cầu các users biến đổi (modify) thao tác, hoặc modify phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch vụ proxy. 3.4.3.Cổng vòng (Circuit–Level Gateway) Hình 3.4.3: Kết nối qua cổng vòng (Circuit–Level Gateway). Cổng vòng là một chức năng đặc biệt có thể thực hiện đươc bởi một cổng ứng dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc gói nào. Hình 3.4.3 minh hoạ một hành động sử dụng nối telnet qua cổng vòng. Cổng vòng đơn giản chuyển tiếp kết nối telnet qua Firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục telnet nào. Cổng vòng làm việc như một sợi dây, sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống Firewall, nó che dấu thông tin về mạng nội bộ. Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các nhà quản trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một bastion host có thể được cấu hình như là một hỗn hợp cung cấp cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài. 3.5. Các loại Firewall trong thực tế: Trong thực tế các công ty cần tăng tính bảo mật băng cách sử dụng các Firewall phần cứng thường dùng các dòng của cisco như: Cisco PIX: các loại như PIX 5501, 5515, 5530… Cisco ASA: như ASA 5510, ASA 5520, ASA 5550… Cisco Firewall Services Module(FWSM) như Cisco catalyst router 6000, 6500 ,7000 series switchs. Chương IV: Firewall Check point 4.1.Tổng Quan Check Point Check Point Software Technologies (NASDAQ - CHKP) Công ty hàng đầu thế giới về an toàn an ninh Internet. Check Point được khẳng định là người dẫn đầu thị trường an ninh thông tin toàn cầu trong cả lĩnh vực Tường lửa và Mạng riêng ảo (VPN). Với dòng sản phẩm Next Generation, công ty cung cấp một dải rộng các giải pháp an ninh Vành đai (Perimeter), an ninh Nội bộ (Internal) và an ninh trang Web nhằm bảo vệ các thông tin kinh doanh, tài nguyên của mạng doanh nghiệp cũng như các ứng dụng, các nhân viên làm việc từ xa, các chi nhánh và các mạng extranet đối tác. Với công nghệ nổi tiếng Stateful Inspection được phát minh và đăng ký bản quyền bởi Check Point Technology làm trung tâm, OPSEC (Open Platform for Security) được hình thành và mở rộng thêm sức mạnh các giải pháp của Check Point. OPSEC là một tổ chức liên minh công nghiệp tích hợp và tạo tương thích các sản phẩm an toàn an ninh tốt nhất “best-of-breed” từ hơn 350 công ty dẫn đầu. Công nghệ bảo vệ toàn diện đa tầng bao gồm trên vành đai (Perimeter), nội bộ (Internal) và Web.  Công nghệ của hãng CheckPoint đảm bảo an toàn cho hệ thống mạng với khả năng phân tích sâu & phát hiện tấn công trên các giao thức mạng, công nghệ mang tính sáng tạo thông minh được nhiều doanh nghiệp lựa chọn, làm cho hệ thống có khả năng an toàn an ninh một cách thông minh, sáng tạo. Công nghệ của hãng CheckPoint bao gồm các công nghệ sau: - Kiểm soát trạng thái: Cung cấp mức độ cao nhật về an toàn an ninh, có khả năng phân tích từ lớp mạng đến lớp ứng dụng trong mô hình OSI. Công nghệ thông tin trên tầng ứng dụng: Cung cấp khả năng phát hiện và phòng chống tấn công trên mức ứng dụng - Đối phó các đoạn mã nguy hiểm: Cung cấp khả năng phát hiện & khóa tấn công dạng tràn bộ đệm(Buffer OverFlow) - Công nghệ SMART: Xây dựng trình quản lý thông minh, hiệu quả, đơn giản cho người quản trị quản lý hệ thống an toàn an ninh. - Bảo vệ toàn diện truy cập (Total Accesss Protector): Bảo vệ cho tất cả máy tính cá nhân truy xuất trong mạng doanh nghiệp - SecureXL: hỗ trợ khả năng tăng tốc độ với chi phí thấp nhất Các giải pháp của Check Point được bán, tích hợp và dịch vụ bởi hệ thống mạng lưới 1900 đối tác của Check Point ở 86 nước. Hơn 80% của 500 công ty hàng đầu thế giới (Foturne) sử dụng các giải pháp của Check Point. Perimeter Security Xây dựng pháo đài bảo vệ vành đai Check Point bảo vệ hệ thống mạng vành đai và tài nguyên thông tin với giải pháp dẫn đầu thị trường an toàn an ninh vành đai. Giải pháp đảm bảo chỉ người dùng hợp lệ mới có khả năng truy xuất tài nguyên mạng. CheckPoint có thể phát hiện & ngăn chặn tấn công và cấm người dùng không hợp lệ kết nối & truy xuất tài nguyên hệ thống. 4.1.1. Perimeter Security VPN-1 Power Dùng cho các doanh nghiệp trên 500 người sử dụng. CheckPoint VPN-1 Power cung cấp cho bạn giải pháp an ninh thông minh và tin cậy chống lại tấn công của Hacker đồng thời đảm bảo tính an toàn cao cho giao dịch thương mại của doanh nghiệp. VPN-1 Power  tích hợp công nghệ tường lửa, mạng riêng ảo với công nghệ phát hiện & phòng chống xâm nhập trái phép, VPN-1 Power hỗ trợ các hệ thống đòi hỏi khắc khe  tốc độ xử lý của hệ thống tường lửa mà không cần sử dụng thêm các module tích hợp SecureXL. VPN-1 Power được quản lý bằng SmartCenter. CheckPoint’ SmartCenter là giải pháp quản trị tập trung, cung cấp khả năng quản lý đồng nhất cho mọi nền tảng áp dụng về an toàn an ninh của hãng CheckPoint. VPN-1 Power hỗ trợ dịch vụ cập nhật tấn công mới SmartDefense, cho phép ngăn chặn tấn công mới bằng cách cập nhật & cấu hình phòng thủ tấn công theo thời gian thực. VPN-1 UTM Dùng cho doanh nghiệp quy mô từ 50-500 người dùng VPN-1 UTM cung cấp giải pháp an toàn an ninh đa chức năng hỗ trợ tính năng tường lửa, mạng riêng ảo với công nghệ IPSEC hay SSL, phát hiện & phòng chống xâm nhập trái phép, phòng chống virus, phần mềm phòng chống gián điệp trên một nền tảng một ứng dụng duy nhất. VPN-1 UTM được hỗ trợ bởi CheckPoint’ SmartCenter, cung cấp khả năng quản trị tập trung và phần mềm hỗ trợ dịch vụ SmartDefense, cho phép chống lại tấn công mới bằng cách cung cấp khả năng cập nhật & cấu hình phòng thủ tấn công theo thời gian thực. VPN-1 UTM Edge Áp dụng cho chi nhánh, văn phòng từ xa có số lượng người dùng đến 100. Thiết bị an toàn an ninh chuyên dụng tích hợp VPN-1 UTM Edge cho phép bảo vệ các kết nối từ xa. VPN-1 UTM Edge tích hợp các tính năng firewall,Hỗ trợ tích hợp tính năng WLAN và ADSL Modem, VPN, phòng chống xâm nhập và phòng chống virus trong cùng một thiết bị để bảo vệ các chi nhánh. Để đơn giản trong việc quản trị các chi nhánh, các thiết bị này được quản trị tập trung từ một trung tâm cùng với các giải pháp an toàn an ninh khác của Check Point. Công nghệ SMART(Security Management Architecture) cho phép các quản trị viên IT triển khai giải pháp an toàn an ninh đồng bộ giữa các chi nhánh từ một trung tâm. VPN-1 UTM Edge Wireless Datasheet VPN-1 UTM Edge Wireless(W) - Thiết bị an toàn an ninh cung cấp chức năng giống như thiết bị VPN-1 UTM Edge X và cung cấp khả năng an toàn an ninh cao nhất cho hệ thống mạng Wireless. VPN-1 Edge W hỗ trợ nhiều ứng dụng về an toàn an ninh bao gồm hỗ trợ 802.1x, IPSEC trên WLAN, RADIUS, WPA2 và xác thực WEP. Thiết bị được thiết kế chuyên cho giao tiếp mạng WLAN. Từ  quản trị có thể thiết lập chính sách đặc thù của mạng WLAN. Thiết bị có khả năng bảo vệ trước các tấn công của Hacker, của người dùng vào hệ thống mạng chung cũng như tấn công vào các ứng dụng. VPN-1 VSX Enterprise VPN-1 Power VSX cung cấp hệ thống an toàn an ninh ảo, cho phép các nhà cung cấp dịch vụ, doanh nghiệp có hệ thống mạng ảo có khả năng tạo 250 hệ thống an toàn an ninh ảo bao gồm tính năng firewall, VPN và phát hiện & phòng chống xâm nhập trái phép trên một nền máy chủ duy nhất. VPN-1 Power VSX hỗ trợ dịch vụ SmartDefense, cho phép chống lại tấn công mới bằng cách cập nhật & cấu hình phòng thủ tấn công theo thời gian thực. VPN-1 SecureClient Cung cấp truy xuất tài nguyên và bảo vệ máy tính từ xa cho người dùng di động, kết nối VPN. VPN-1 SecureClient mở rộng tính năng VPN đến người dùng từ xa bằng khả năng quản lý truy cập mạng. VPN-1 SecureClient mã hoá và xác thực dữ liệu an toàn và cho phép người quản trị thực thi chính sách an toàn an ninh cho Desktop. Safe @ Office for Small Business Thiết kế cho doanh nghiệp nhỏ đến 100 người dùng Thiết kế cho các doanh nghiệp nhỏ, CheckPoint Safe@Office là thiết bị hỗ trợ đa tính năng (UTM) cho phép chống lại tấn công của Hacker và tấn công từ chối dịch vụ (DoS) đến tấn công giả mạo (phising) và Virus. Safe@Office hỗ trợ VPN cho phép người dùng từ xa kết nối an toàn vào hệ thống, bạn có thể gia tăng khả năng đáp ứng và đảm bảo an toàn giao dịch thương mại mà không ảnh hưởng đến an toàn an ninh mạng. Firewall-1 CheckPoint Firewall-1 là một sản phẩm hàng đầu cho giải pháp an ninh của CheckPoint Software Technologies Ltd. CheckPoint Firewall-1 là một bộ các thành phần an ninh tích hợp các tính năng tập hợp đầy đủ điều khiển truy cập, kiểm chuẩn chứng thực, ánh xạ địa chỉ, an toàn nội dung, kiểm tra giám sát,... Sản phẩm này cho phép định nghĩa và triển khai chính sách an ninh bảo vệ tất cả tài nguyên doanh nghiệp trên diện rộng một cách dễ dàng và nhanh chóng. CheckPoint Firewall-1 triển khai theo mô hình kiến trúc 3 lớp trên cơ sở công nghệ Stateful Inspection và kiến trúc OPSEC (Open Platform for Security) cho phép đưa ra giải pháp có khả năng mở rộng mạnh mẽ, đồng thời thỏa mãn yêu cầu tích hợp và quản lý tập trung trên mọi phương diện. Phương thức cấu hình và triển khai đa dạng của CheckPoint Firewall cho phép dễ dàng tìm ra cách giải quyết phù hợp nhất cho các yêu cầu của doanh nghiệp bao gồm lập phương án sử dụng DMZ, cấu trúc đa lớp hệ thống firewall. Firewall-1 GX An toàn an ninh cho mạng GPRS và  UMTS Hỗ trợ cho hạ tầng an toàn an ninh theo công nghệ 2.5G, hay 3G. Firewall-1 GX là phần mềm dẫn đầu về an toàn an ninh cho hệ thống thiết kế hạ tầng không dây theo chuẩn GPRS- 2.5G và UMTS-(3G). Firewall-1 GX là sản phẩm bảo vệ hạ tầng không dây theo chuẩn GPRS và UMTS khỏi tấn công nguy hiểm từ hệ thống mạng bên ngoài. Với Firewall-1 GX, Người diều hành mạng có thế đảm bảo cho khách hàng sử dụng hệ thống thông tin di động trực thuộc khỏi các nguy cơ an toàn an ninh và các tấn công vào hệ thống. 4.1.2.Internal Security Cô lập hoạt động nguy hiểm trước khi gây ra ảnh hưởng cho hệ thống mạng Check Point bảo vệ mạng và người dùng cuối khỏi những nguy cơ từ bên trong mạng. Giải pháp của chúng tôi trợ giúp bạn chống lại tấn công của worms, tấn công của Hacker nội bộ và việc khai thái lỗ hỗng nguy hiểm đến từ máy laptop và thiết bị di động khác. Integrity SecureClient Bảo vệ người dùng từ xa hiệu quả CheckPoint Intergrity SecureClient kết hợp giải pháp dẫn đầu thị trường là SecureClient & Intergrity đem đến cho người dùng từ xa khả năng bảo vệ endpoint, và thực thi chính sách truy xuất mạng trên một giải pháp. Kết hợp nhiều tính năng trên một gói đảm bảo khả năng triển khai & quản lý dễ dàng, khả năng quản lý tập trung cho tất cả sản phẩm của CheckPoint. Integrity Datasheet CheckPoint Intergrity cung cấp cơ chế quản trị tập trung về an toàn an ninh cho người dùng cuối và khả năng điều khiển, đánh giá truy xuất mạng dựa trên công nghệ của ZoneLab, công nghệ được đánh giá hành đầu về an toàn an ninh cho máy tính cá nhân. CheckPoint Intergrity cung cấp cơ chế  tự động cập nhật  tính năng phòng chống virus và bảng vá về hệ điều hành, ứng dụng, thực thi cô lập phát tán của trojan horses và các loại malware khác, phòng chống chương trình gián điệp, chặn đứng tấn công của Hacker, đảm bảo cho quản trị hệ thống và người dùng có thể thực thi kết nối thật sự an toàn vào hệ thống mạng của doanh nghiệp. Integrity Desktop Datasheet Phát triển trên công nghệ của ZoneAlarm, công nghệ được khẳng định đẳng cấp về tường lửa cá nhân. Sản phẩm Intergrity Desktop cung cấp cho khách hàng khả năng phòng chống trước tấn công của các loại worms, virus, spyware, và tấn công của Hacker. Intergrity Desktop cho phép điều khiển và quyết định chương trình nào có thể truy xuất mạng, giảm thiểu tác động của người quản trị đến người dùng. Intergrity Desktop là công cụ trợ giúp và phòng chống tấn công xác định và chưa xác định rõ nguồn gốc vào hệ thống PC của doanh nghiệp. Integrity Anti-Spyware Datasheet CheckPoint Intergrity Anti-Spyware có khả năng phát hiện, cô lập, loại bỏ Trojan horses, phần mềm bắt phím và các phần mềm nguy hiểm khác khỏi máy tính cá nhân. Phần mềm thực thi chính sách chống lại tấn công của phần mềm gián điệp, loại bỏ nguy cơ bị rò rỉ thông tin mật, giảm thời gian của IT tiêu tốn cho việc an toàn an ninh của người dùng cuối. Intergrity AntiSpyware có thể ngăn tấn công mới nhất của phần mềm gián điệp trước khi nó gây ra hiểm họa bởi vì CheckPoint có thể nhận báo cáo của hàng ngàn PC kết nối trên thế giới. Thành phần này là một module trong bộ sản phẩm về Intergrity, Intergrity giảm phần triển khai và bảo dưỡng do không cần đầu tư máy chủ quản lý và phần mềm Client riêng biệt. Integrity Advanced Server Datasheet Thành phần Intergrity Advanced Server bổ sung cho SmartCenter và Provider-1 tạo kiến trúc Cluster nhằm đem đến khả năng về tính sẵn sàng cao nhất, tin cậy và hiệu quả về đầu tư phần cứng. Thành phần này  có khả năng quản trị tập trung, cơ chế quản trị đa tầng cho các tổ chức khác nhau, tổ chức có địa lý khác nhau và điều khiển với chi phí thấp nhất Integrity IM(Instant Messaging) Security Datasheet Cung cấp cơ chế thực thi chính sách cho người dùng cuối, mã hóa thông điệp và khả năng bảo vệ  trên mức giao thức. Kết hợp với sản phẩm Intergrity, CheckPoint Intergrity IM đảm bảo tính bí mật và đảm bảo an toàn trong giao tiếp của IM,  thành phần này thực thi chính sách dựa trên an toàn an ninh người dùng cuối, bảo vệ trên mức giao thức do đó cung cấp an ninh hoàn chỉnh cho các thông điệp mà không cần tác động của máy chủ hay gateway. Integrity Clientless Security Intergity Clientless Security(ICS) giảm nhẹ rủi ro do máy tính không được quản lý và không an toàn kết nối vào hệ thống web của doanh nghiệp. Thành phần ứng dụng có thể thực thi chính sách tuân thủ an toàn an ninh, nhằm mục đích ngăn chặn phần mềm bắt phím key logger), người dùng mạng nguy hiểm, các loại malware nguy hiểm được mã hóa. ICS có thể  triển khai dễ dàng, yêu cầu quản trị đơn giản, do đó giảm tải công việc cho quản trị hệ thống. InterSpect Datasheet CheckPoint InterSpect là thiết bị an toàn an ninh nội bộ cung cấp cơ chế chống phát tán của các loại worms hay tấn công vào ứng dụng được phát tán bên trong mạng nội bộ. InterSpect kết hợp khả năng phát hiện & phòng chống xâm nhập trái phép, phân đoạn mạng và khả năng điều khiển truy cập của các host, InterSpect đạt giải thưởng về an toàn an ninh cho mạng LAN. InterSpect được xây dựng với yêu cầu đồng nhất về an toàn an ninh cho hệ thống mạng nội bộ. Ngoài ra, InterSpect hỗ trợ dịch vụ SmartDefense, cho phép chống lại tấn công mới bằng cơ chế cập nhật & cấu hình theo thời gian thực 4.1.3. Web Security  Với giải pháp an toàn an ninh cho Web, người dùng từ xa, người dùng di động có thể kết nối an toàn vào hệ thống mạng bằng SSL VPN.  Hệ thống an toàn an ninh web triển khai tại gateway  ngăn chặn tấn công vào hệ thống web và  ứng dụng web tạo môi trường bảo vệ toàn diện cho hệ thống Web. Connectra Datasheet SSL VPN CheckPoint Connectra là giải pháp an toàn an ninh web hoàn chỉnh, Connectra hỗ trợ SSL VPN kết hợp giải pháp bảo vệ người dùng cuối (endpoint) đồng thời hỗ trợ phát hiện phòng chống xâm nhập trên một nền thiết bị duy nhất. Bằng sự kết hợp của SSL VPN và an toàn an ninh trên một giải pháp, một tổ chức doanh nghiệp có thể triển khai hiệu quả SSL VPN an toàn và đảm bảo kết nối an ninh  cho người dùng từ xa nhằm mục tiêu đảm bảo tính an toàn và toàn vẹn thông tin cho bất cứ doanh nghiệp nào sử dụng giải pháp của Checkpoint. Web Intelligence Datasheet Web Intelligence là công nghệ tường lửa ứng dụng web cung cấp giải pháp bảo vệ toàn diện cho hệ thống web. Web Intelligence này được hỗ trợ trên các phần mềm VPN-1 UTM, VPN-1 Power, VPN-1 UTM Edge và Connectra,  tạo bảo vệ đa tầng bao gồm khả năng bảo vệ cho hệ thống mạng, hệ điều hành, Web Server và hệ thống back-end SSL Network Extender Datasheet SSL VPN là giải pháp kết nối từ xa hiệu quả vì giải pháp này không cần IT nâng cấp hay quản lý phần mềm cài trên Client- Tất cả những gì người dùng cần là sử dụng trình duyệt Web và người dùng từ xa vẫn có thể kết nối ứng dụng mạng. SSL Network Extender là giải pháp tích hợp cho người dùng từ xa, trong khi công nghệ IPSEC yêu cầu kết nối trên nền tảng IP, SSL Network Extender có thể thêm chức năng SSL trên nền tảng IPSEC do đó giảm nhẹ triển khai & gia tăng đáng kể khả năng linh hoạt cho người dùng từ xa. SSL Network Extender cũng được hỗ trợ trên Connectra 4.1.4. Management  Eventia Analyzer Eventia Analyzer cung cấp cơ chế quản lý và đánh giá tương quan các sự kiện an toàn an ninh theo thời gian thực giữa sản phẩm an toàn an ninh của CheckPoint và thiết bị hãng thứ 3. Phần mềm thực hiện tự động phối hợp, đánh giá tương quan của dữ liệu,  không những giảm tối thiểu thời gian phân tích dữ liệu mà còn cô lập và xác định độ ưu tiên của nguy cơ an toàn an ninh theo thời gian thực.  Eventia Reporter Eventia Reporter là phần mềm thu thập đánh giá & tạo báo cáo từ các thiết bị an toàn an ninh. Eventia Reporter tạo cho tổ chức tầm nhìn có thể tối ưu chính sách an toàn an ninh, khả năng tái lập hệ thống và khảo sát các khả năng nguy cơ gây ảnh hưởng đến  an toàn an ninh hệ thống.  SmartCenter Đối diện với các nguy cơ & hiểm họa tấn công ngày càng tinh vi, hệ thống an toàn an ninh ngày nay được tổ chức trên nhiều lớp từ vành đai đến bên trong mạng và tận người dùng cuối. Bài toán đặt ra cho bạn làm sao có thể quản lý được tất cả, SmartCenter là giải pháp trợ giúp bạn điều khiển, cấu hình, quản lý và giám sát trên tất cả các lớp trong mô hình triển khai an toàn an ninh phức tạp SmartPortal SmartPortal là trình quản lý giúp đội  quản lý an toàn an ninh có thể mở rộng khả năng theo dõi chính sách an toàn an ninh, trạng thái của sản phẩm CheckPoint và hoạt động của người quản trị theo trình quản lý Portal. SmartView Monitor SmartView Monitor™ cho phép người quản trị dễ dàng phân tích hiệu năng hệ thống nhờ cung cấp các hình ảnh trực quan của các thuộc tính phản ánh hiệu năng thông suốt như là băng thông, round trip time, các gói tin bị mất…. Provider-1 Provider -1 cung cấp giải pháp quản lý an toàn an ninh đồng nhất hỗ trợ trên môi trường hệ thống phân đoạn đa chính sách (multi-policy). Provider -1 hỗ trợ ISP xây dựng hệ thống quản lý chính sách an toàn an ninh cho hàng ngàn khách hàng khác nhau trên một môi trường duy nhất. Đối với doanh nghiệp có trung tâm điều hành mạng, Provider-1 đơn giản hóa chính sách an toàn an ninh bằng cách phân đoạn quản lý thành các chính sách con(sub- policy) theo địa lý, chức năng và nhóm khác. SiteManager-1 Nhà cung cấp dịch vụ vó thể cung cấp dịch vụ cho các doanh nghiệp quy mô trung bình với SiteManager-1. Sử dụng cùng công nghệ như Provider-1, SiteManager-1 cung cấp trình quản lý tập trung và hợp nhất chính sách khác nhau cho nhiều khách hàng, , gia tăng hiệu quả giảm chi phí tiêu tốn cho quản trị hệ thống. Cluster XL ClusterXL cung cấp cơ chế đảm bảo tính sẵn sàng cao và chia sẽ tải đảm bảo hệ thống hoạt động liên tục. ClusterXL có khả năng gia tăng tốc độ xử lý bằng khả năng phân bố lưu thông giữa các thành phần gateway hoạt động ở chế độ Cluster. CluserXL đảm bảo hệ thống hoạt động ở chế độ sẵn sàng cao nếu một thành phần bị lỗi, tất cả kết nối được chuyển đến thành phần thiết kế dự phòng , đảm bảo không bị gián đoạn hệ thống. CluserXL có thể kết hợp thành phần quản lý của CheckPoint và các điểm thực thi một cách đơn giản. Connect Control Connect Control, thành phần bổ sung cho VPN-1/Firewall-1. ConnectControl cung cấp cơ chế cân bằng tải kết nối đế nhiều máy chủ ứng dụng trong khi tất cả kết nối này trong suốt với người dùng. ConnectControl là giải pháp hiệu quả làm gia tăng lưu thông mà không cần đầu tư hệ thống máy chủ đắt tiền và tất cả người dùng hài lòng với khả năng đáp trả ngắn nhất. FloodGate-1 FloodGate-1 là giải pháp kiểm soát băng thông (QoS) mạng cho VPN, mạng WAN và kết nối internet. FloodGate-1 tối ưu hiệu suất mạng bằng khả năng gán quyền ưu tiên cho các ứng dụng mạng và người dùng quan trọng. Người dùng gia tăng hiệu suất làm việc với tốc độ cao. FloodGate -1 có thể triển khai độc lập hay tích hợp với VPN-1/FireWall-1. Endpoint Security Bảo vệ người dùng cuối (endpoint) chống lại tấn công của Hacker, Worms, Spyware, và những mối nguy hiểm có khả khả năng phát tán đến máy tính cá nhân. Giải pháp của Check Point cung cấp cơ chế quản trị tập trung, khả năng thực thi chính sách bảo vệ toàn diện đến người dùng cuối . 4.1.5.High-end Security An toàn an ninh trên mức tinh cậy, khả năng quản lý & triển khai dễ dàng, Giải pháp CheckPoint  giúp các doanh nghiệp, tổ chức, ISP lớn nhất thế giới thực thi, xây dựng giải pháp an toàn an ninh thông minh, toàn diện. Provider-1 Enterprise Provider-1 for Enterprise Datasheet Provider -1 cung cấp giải pháp quản lý an toàn an ninh đồng nhất, hỗ trợ trên môi trường hệ thống phân đoạn đa chính sách (multi-policy). Provider -1 hỗ trợ ISP xây dựng hệ thống quản lý chính sách an toàn an ninh cho hàng ngàn khách hàng khác nhau trên một môi trường duy nhất. Đối với doanh nghiệp có trung tâm điều hành mạng, Provider-1 đơn giản hóa chính sách an toàn an ninh bằng cách phân đoạn quản lý thành các chính sách con(sub- policy) theo địa lý, chức năng và nhóm.  Provider-1 Service Providers Quản lý để nhà cung cấp dịch vụ và doanh nghiệp lớn. VPN-1 VSX VPN-1 / Firewall-1 VSX Datasheet VPN-1 Power VSX cung cấp hệ thống an toàn an ninh ảo cho phép các nhà cung cấp dịch vụ, doanh nghiệp có hệ thống mạng ảo có khả năng tạo 250 hệ thống an toàn an ninh ảo bao gồm tính năng firewall, VPN và phát hiện & phòng chống xâm nhập trái phép trên một nền máy chủ duy nhất. VPN-1 Power VSX hỗ trợ dịch vụ SmartDefense, cho phép chống lại tấn công mới bằng cách cập nhật & cấu hình phòng thủ tấn công theo thời gian thực..   VPN-1 VSX Enterprise VPN-1 VSX Enterprise Datasheet VPN-1 Power VSX cung cấp hệ thống an toàn an ninh ảo cho phép các nhà cung cấp dịch vụ, doanh nghiệp có hệ thống mạng ảo có khả năng tạo 250 hệ thống an toàn an ninh ảo bao gồm tính năng firewall, VPN và phát hiện & phòng chống xâm nhập trái phép trên một nền máy chủ duy nhất. VPN-1 Power VSX hỗ trợ dịch vụ SmartDefense, cho phép chống lại tấn công mới bằng cách cập nhật & cấu hình phòng thủ tấn công theo thời gian thực.. Firewall-1 GX An toàn an ninh cho mạng GPRS và UMTSFirewall-1 GX Datasheet. Hỗ trợ cho hạ tầng an toàn an ninh theo công nghệ 2.5G, hay 3G. Firewall-1 GX là phần mềm dẫn đầu về an toàn an ninh cho hệ thống thiết kế hạ tầng không dây theo chuẩn GPRS- 2.5G và UMTS-(3G). Firewall-1 GX là sản phẩm bảo vệ hạ tầng không dây theo chuẩn GPRS và UMTS khỏi tấn công nguy hiểm từ hệ thống mạng bên ngoài. Firewall-1 GX, Người điều hành mạng có thế đảm bảo cho khách hàng trực thuộc khỏi các nguy cơ an toàn an ninh tấn công vào hệ thống. 4.1.6. .Intrusion Prevention Check Point IPS là một hệ thống phòng chống xâm nhập (IPS) chuyên dụng , cung cấp sự bảo vệ cho những trường hợp quan trọng thiết yếu với khả năng quản lý và phân tích chứng cứ độc đáo và triển khai linh hoạt. “Cỗ máy’” phát hiện tổng hợp IPS Hybrid Detection Engine cung cấp sự phát hiện và phòng ngừa tại vành đai mạng trong khi kiến trúc IPS Dynamic Shielding Archtecture thực hiện các chức năng phát hiện trước để bảo vệ bên trong mạng. Tính năng ngăn ngừa bổ sung có được thông qua Confidence Indexing, mang lại sự linh hoạt trong triển khai hệ thống phòng ngừa trên toàn mạng. Toàn bộ các chức năng của IPS được điều khiển bởi hệ thống quản trị tập trung mạnh mẽ , sẵn sàng hỗ trợ các hình thức triển khai từ nhỏ đến lớn. IPS được hỗ trợ bởi dịch vụ SmartDefense Services, nhằm chống lại các nguy cơ mới bằng cách cập nhật và cấu hình hệ thống bảo vệ theo thời gian thực. 4.2. Cài đặt Cài đăt Checkpoint VPN-1 NGX Mô hình triển khai Hình 4.2. 1 Mô hình triển khai Trong phần thực hành này ta sẽ cài đặt và quản trị SmartCenter và SmartConsole trên cùng 1 máy chạy hệ điều hành Windows server 2003. Đưa đĩa cài đặt CheckPoint_NGX_R65_Suite_Windows vào ổ CD rồi chạy file Setup.exe, giao diện cài đặt sẽ hiện như sau, chọn Forward để tiếp tục. Hình 4.2. 2. Giao diện cài đặt. Sau khi chọn Forward sẽ hiện lên cửa sổ về chính sách của nhà sản xuất. Ở đây ta chọn I accept the terms of the license agreement chọn tiếp Forward để tiếp tục cài đặt Hình 4.2. 3. Chính sách của nhà sản xuất. Chọn tiếp Forward để tiếp tục cài đặt Sau khi ấn Forward màn hình lựa chọn cài đặt các tính năng cho FW Checkpoit. Check Point Power: Lựa chọn này áp dụng cho quy mô mạng lớn. Check Point UTM: Lựa chọn này áp dụng với mạng cỡ vừa và nhỏ. Hình 4.2. 4 Lựa chọn tính năng cho Firewall Click Forward để tiếp tục. Trong phần này ta chọn New Install để tiến hành cài đặt mới. Hình 4.2. 5 Lựa chọn cài đặt Chọn Forward Màn hình lựa chọn các thành phần của Firewall xuất hiện ta chọn VPN-1 UTM, SmartCenter, SmartConsole. Chọn Forward để tiếp tục. Hình 4.2. 6. Lựa chọn các thành phần của Firewall. Màn hình thông báo tiếp theo xuất hiện, chọn Primary SmartCenter nhấn Forward để tiếp tục. Hình 4.2.7. Cài đặt Primary SmartCenter Chọn Forward để tiếp tục, màn hình thông báo xác nhận cài đặt hiện ra Hình 4.2. 8. Xác nhận cài đặt Click Forward Hình 4.2. 9 Xác nhận các thành phần cài đặt. Chọn Forward Các bước tiếp theo của quá trình cài đặt ta chỉ cần chọn Next, OK và cuối cùng là Finish để kết thúc quá trình cài đặt. Hình 4.2.20. Quá trình cài đặt bắt đầu Cài đặt SmartConsole Hình 4.2.21 Cài đặt SmartConsole Hình 4.2.22. Các thành phần sẽ được cài đặt. Nhập licenses của sản phẩm Hình 4.2.23. Nhập licenses sản phẩm Sau khi cài đặt xong, bước tiếp theo của ta la add User quản trị Firewall.Click Next để tiếp tục Hình 4.2.24. User name và pasword của người quản trị Chọn Add… à nhập vào thông tin user name và pasword của người quản trị. Click Next để tiếp tục Tại đây ta nhập vào địa chỉ của máy mà ta cho phép Console tới nhằm bảo vệ an toàn cho Firewall. Trong trường hợp này ta cho phép mọi máy đều có thể truy cập tới được FW. Hình 2.25. Nhập hostname mà bạn muốn cho phép truy nhập tới FW Hình 2.26. Finish đêt kết thúc quá trình cài đạt cho SmartConsole Hình 4.2. 27. Nhấn Finish để kết thúc quá trình cài đặt  4.3 Tạo một chính sách bảo mật Khởi động SmartDashboard Từ menu Start chọn Program >Checkpoint Smart Console R60 Chọn SmarthDashboard từ menu Smart Console. Màn hình login xuất hiện Hình 4.3.1 Login và SmartDashboard Hình 4.3.2. Giao diện chính của SmartDashboard Hãy nhập thông tin đã được thiết lập từ bước trước như sau: Username: admin Password: abc123 SmartCenter Server: địa chỉ IP của fwabc Chọn OK, và màn hình Wellcome to checkpoint smartdashboard xuất hiện. Nhấn vào nút Approve. Vì đây là lần đầu tiên smartdashboard kết nối vào máy chủ SmartCenter, nên chúng ta phải xác nhận địa chỉ IP của SmartCenter và fingerprint. Giao diện chính của SmartDarhbroad xuất hiện Định nghĩa các đối tượng cơ bản: Để tạo một chính sách, trước hết chúng ta phải tao các đối tượng thể hiện cấu hình mạng của chúng ta. Trong bài thực hành nay, đối tượng thể hiện tường lửa của chúng ta fwabc đã tạo được mặc định. Xem thuộc tính đối tượng tường lửa. Từ cây danh sách đối tượng trong SmathDashBroad, chọn Network Object > Checkpoint. Hình 4.3.3. Xem các thuộc tính tường lửa Click chuột phải vào fwabc và chọn Edit. Hãy xem các thông tin về tường lửa Click OK để đóng. Hình 4.3.4. Thuộc tính tường lửa. Chú ý không thay đổi tên của đối tượng do hệ thống tạo ra. Việc thay đổ sẽ ảnh hưởng tới vấn đề xác thực, và điều này có thể gây ra sự cố khi Login và cài đặt chính sách. Tạo đối tượng Webserver. Từ cây đối tượng Click chuột phải vào biểu tượng Node. Hình 4.3.5. Tạo đối tượng host Chọn New Nodes > Host, màn hình Host Node xuất hiện và chúng ta nhập các thông tin như sau: Hình 4.3.6. Thuộc tính đối tương web Server Tạo đối tượng mạng từ cây đối tượng, click chuột phải vào biểu tượng Netwoks Hình 4.3.7 Đối tượng mạng Chọn New Network… Màn hình Netwok Properties hiện ra, nhập thông tin như dưới đây: Hình. 4.3.8 Thuộc tính đối tượng mạng LAN_0 Chọn OK Chọn Menu File > Save. Tạo các luật cơ bản Bây giờ chúng ta sẽ thực hành tạo các tập luật cơ bản với yêu cầu sau: - Cho phép người dùng bên trong truy cập Internet. - Cho phép truy cập http từ bên ngoài Internet đi vào máy chỉ webserver. - Định nghĩa các luật cơ bản. Tạo gói chính sách Từ thanh menu chọn File>New. Màn hình New policy Package hiện ra. Chúng ta sẽ nhập thông tin như màn hình dưới đây. Hình 4.3.9. Gói chính sách Chọn OK và tập luật rỗng xuất hiện. Tạo luật Clean Up. Chọn Rules>add Rule>Top, một luật mặc định xuất hiện trong tập luật. Hình 4.3.10. Luật mặc định tạo ra. Nhấn chuột phải cốt Track, hộp menu xuất hiện. Chọn Log. Chấp nhận các tùy chọn mặc định khác cho trường VPN, Install On, và Time. Click đúp vào trường name của luật, và màn hình sau xuất hiện. Hình 4.3.11. Tên luật Nhập Clean Up Rule trong hôp Rule và Click vào OK. Xác nhận luật Clean Up được tạo như sau: Hình 4.3.12. Xác nhận luật Clean Up Tạo luật Stealth. Click chuột phải vào cột No của luật Clean Up Chọn add Rule>Above từ hộp menu. Hệ thống sẽ tạo một luật mới mặc định trên luật Clean Up. Dùng các thông tin sau để cấu hình luật Stealth. Name Stealth Rule Scource: any Action: DROP Track: Log Service: Any Action: DROP Track: Log Click chuột và cột Destination và Menu Destination xuất hiện. Chọn Add và màn hình add Object xuất hiện. Hình 4.3.13.Xác nhận luật Stealth Chọn đối tượng fwabc, cà Click OK. Xác nhận luật Stealth mới được tạo như sau: Hình 4.3.14. Đối tượng mạng đưa vào. Định nghĩa luật cho webserver. Định nghĩa một luật cho phép bất kỳ máy nào từ bên ngoài có thể truy cập webserver. Chọn luật Stealth. Từ Menu Rules chọn add rule>Below. Sử dụng thông tin dưới đây để cấu hình luật webserver. Name: webserver rule Source: any Destination: www.myweb.cp Service: http Action: ACCEPT Track: Log Xác nhận luật mới được tạo như sau: Hình 4.3.15.Xác nhận luật webserver Định nghĩa luật để truy cập Internet Tạo một luật cho phép bất kỳ máy bên trong có thể truy cập ra Internet. Chọn webserver rule Từ menu rules, chọn add rule>Below. Sử dụng thông tin dưới đây để cấu hình luật truy cập Internet: Name: Access internet Source: LAN_0 Destination: any Service: http Action: ACCEPT Track: Log Xác nhận luật mới như sau: Hình 4.3.16.Luật truy cập Internet Cài đặt chính sách:  Từ thanh menu chọn Policy>Install. Hộp thoại cần báo SmarthDashBoard xuất hiện chọn họp Check box: Don’t show this message again. Click OK và hộp Install Policy xuất hiện. Xác nhận ràng fwabc có trong trường Installation Targets hình sau và Click OK để cài đặt chính sách. Sau khi chính sách được cài đặt Click vào nút Close để quay về SmarthDashboard. Hình 4.3.17.Cài đặt chính sách Xác định người dùng trên hệ thống tường lửa Định nghĩa mẫu (Template) người dùng. Việc định nghĩa và phân quyền cho người dùng có thể tốn rất nhiều thời gian. Thay vì tạo mới hoàn toàn một người dung, chúng ta có thể tạo sãn một mẫu để có thể dùng khi tạo người dùng. Tạo nhóm. Từ thanh menu chọn manage> User and administrator. Màn hình User and administrator hiện ra. Hình 4.3.18. Định nghĩa người dùng và quản trị. Chọn New> User Group Hộp Group Properties hiện ra va nhập thông tin như sau: Hình 4.3.19 Định nghĩa nhóm người dùng. Chọn OK, và nhóm người dùng Vanphong xuất hiện trong hộp User and Administrator Tạo mẫu người dùng. Từ hộp User and administrator, chọn nút New. Chọ New>template. Hộp new template hiện ra. Trong trường Template nam, nhập template_vanphong. Chọn vào thẻ Personal Dùng các thông tin sau để cấu hình cho thẻ. Expiration Date: Accept Default Setting. Comment: Manager Color: Blue. Chọn vào thẻ Group Hình 4.3.20. Định nghĩa thuộc tính của template. Chọn đối tượng nhóm vanphong từ trường available Groups. Click vào nút add, đối tượng vanphong xuất hiện trong trường belongs to groups. Chọn thẻ Authentication,và chọn Checkspoint password từ menu thả xuống. Chú ý: mật khẩu sẽ được tạo khi người dùng. Hình 4.3.21. Định nghĩa thuộc tính xác thực của template. Các tham số của các thẻ giữ mặc đinh, chọn OK để tạo mẫu người dùng. Tạo người dùng. Từ hộp User and Administrator, chọn nút New. Chọn new> user by template>template_vanphong. Hình 4.3.22. Tạo người dùng mới với login name Nhập quanghoa vào trường login name. Chọn vào thẻ Authentication. Hình 4.3.23. Tạo password cho người dùng mới. Gõ vào trường password: abc123. Chọn OK. Cài đặt cơ sở dữ liệu người dùng. Từ hộp User and Aministrator, chọ nút Action. Hình 4.3.24. Thực hiện cài đặt CSDL Chọn Install vào hộp Install Database hiện ra. Chọn OK. Chọn Close để quay về mục User and Administrator. Chọn Close để quay về Smart DashBoard. Dịnh địa chỉ mạng (NAT). Các khái niệm. Hiều về dịch địa chỉ mạng. Dịnh đỉa chỉ mạng là các địa chỉ IP được ánh xạ từ một dải IP này sang 1 địa chỉ IP khác, trong suốt với người dùng. Chuyển dịnh địa chỉ mạng có thể chuyển dịch nhiều địa chỉ sang 1 địa chỉ duy nhất. Đây là một phương pháp để kết nối miền với địa chỉ nội bộ tới thế giới bên ngoài. Địa chỉ bên ngoài này được dùng để các máy bên trong kết nối ra bên ngoài và nó sẽ che dấu địa chỉ bên trong. Tường lửa sử dụng số hiệu cổng của kết nốid để phân biệt các máy bên trong. Dịch địa chỉ động là quan hệ 1-nhiều giữa 1 địa chỉ bên ngoài và các địa chỉ được che bên trong. Dịch địa chỉ động thường được dùng khi các máy với địa chỉ ở mạng bên trong muốn kết nối ra internet thông qua 1 địa chỉ bên ngoài và bên ngoài sẽ không biết địa chỉ bên trong của các máy đó. Dịch địa chỉ tĩnh. Địa chỉ tĩnh là quan hệ 1-1 giữa 1 địa chỉ bên trong với 1 địa chỉ bên ngoài. Bởi vì đây là quan hê 1-1, nên cứ 1 địa chỉ bên trong cần 1 địa chỉ riêng bên ngoài. Dịch địa chỉ tĩnh khi các máy bên ngoài muốn truy nhập vào máy bên trong qua địa chỉ ngoài của nó, VD như webserver, mail server có thể truy cập từ bên ngoài. Cấu hình dịch địa chỉ động. Trong SmartDashBoard, Click đúp vào đối tương LAN_0 từ biểu tượng Network trong cây đối tượng Hình 4.3.25. Tạo đối tượng Network LAN_0 Hộp Network Properties xuất hiện Hình 4.3.26. Định nghĩa các thuộc tính của LAN_0 Chọn thẻ NAT Nhập thông tin từ hình sau: Với cấu hình trên, chúng ta dang dịch địa chỉ mạng LAN_0 ra địa chỉ IP của tường lửa. Để dịch địa chỉ ra 1 IP bên ngoài khác, chúng ta chọn vào trường Hide Behind IP Address, và nhập địa chỉ IP bên ngoài đó vào trong trường này. Chọn OK để quay về SmartDash Board. Xem và cài đặt các luật NAT. Sau khi chúng ta cấu hình chuyển dịch địa chỉ động các luật NAT động tự động được tạo ra. Chọn vào thẻ Address Translation trong SmartDashBoard để xem các luật NAT Chọn vào thẻ Security. Chọn Policy > Install để tài đặt chính sách Cấu hình dịch địa chỉ tĩnh. Click chuột phải vào đối tượng www.myweb.cp. Trong cây đối tượng Chọn mục NAT từ danh sách thuộc tính Chọn OK để tiếp tục Xem luật NAT tĩnh Sau khi chúng ta cấu hình chuyển dịch địa chỉ tĩnh, các luật NAT tĩnh tự động được tạo ra. Chọn vào thẻ Address Translation trong SmartDashBoard để xem các luật NAT Chọn Policy > Install để cài đặt chính sách. Tối ưu hóa các luật kiểm soát. Khi tạo luật có những nguyên tắc chúng ta cần thực hiện để đảm bảo chính sách của chúng ta tối ưu nhất về mặt quản lý, tính hiệu quả và hiệu năng tường lửa. Đặt tên và chú thích đầy đủ các luật Các luật tổng quát cho mục đính chung thường đặt ở dưới, các luật cụ thể hơn thường đặt ở trên. Đặt các luật thường hay xảy ra hơn ở bên trên các luật ít được dùng hơn. Đặt Log thường yêu cầu thời gian để xử lý do đó không nên đặt Log cho những gì mà chúng ta không có ý định đọc. Giảm thiểu tính phúc tạp của luật. Càng nhiều luật thì càng mất nhiều thời gian đển xử lý. Các luật phức tạp như các luật chứa nhiều đối tượng bên trong sẽ được bên dịch thành chính sách kích thước lớn. Sử dụng các đối tượng Network, địa chỉ IP thay vì sử dụng các đối tượng host LỜI CẢM ƠN