Đang tải... (xem toàn văn)
Hướng dẫn cấu hình tưởng lửa Checkpoint
Tài liệu hướng dẫn cấu hình tường lửa Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft 11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612 1 TÀI LIỆU HƯỚNG DẪN CẤU HÌNH TƯỜNG LỬA Phiên bản: 1.0 Ngày cập nhật: 20/11/2007 Tài liệu hướng dẫn cấu hình tường lửa Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft 11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612 2 MỤC LỤC 1.1. Triển khai thành phần quản trị tập trung 3 1.1.1 Cài đặt CheckPoint VNP-1 3 1.1.2 Cài đặt SmartConsole Client 17 1.2. Thiết lập chính sách kiểm soát truy cập 23 1.2.1 Các khái niệm 23 1.2.2 Tạo một chính sách bảo mật 26 1.3. Xác định người dùng trên hệ thống tường lửa 39 1.3.1 Định nghĩa mẫu (template) người dùng 39 1.3.2 Tạo người dùng 42 1.3.3 Cài đặt Cơ sở dữ liệu người dùng 44 1.4. Dịch địa chỉ mạng (NAT) 45 1.4.1 Các khái niệm 45 1.4.2 Cấu hình dịch địa chỉ động 46 1.4.3 Cấu hình dịch địa chỉ tĩnh 49 1.5. Sao lưu dự phòng cho hệ thống tường lửa 51 1.5.1 Các thư mục, dữ liệu cần sao lưu 51 1.5.2 Thực hành việc sao lưu và phục hồi 52 1.6. Tối ưu hoá các luật kiểm soát 54 1.7. Mạng riêng ảo 55 1.7.1 Cài đặt mạng riêng ảo theo mô hình site to site 55 1.7.2 Cài đặt mạng riêng ảo theo mô hình client to site 69 Tài liệu hướng dẫn cấu hình tường lửa Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA 1.1. Triển khai thành phần quản trị tập trung 1.1.1 Cài đặt CheckPoint VNP-1 Mô hình triển khai Trong phần thực hành này chúng ta sẽ cài đặt thành phần quản trị Management Module (SmartCenter Server) và Enforcement Module (Firewall gateway) trên cùng một máy chạy hệ điều hành dành riêng SecurePlaform. Hình 1 Mô hình triển khai Cài đặt hệ điều hành SecurePlatform 1. Đưa đĩa cài đặt NGX SecurePlatform vào ổ CD và khởi động lại máy tính Sau khi khởi động, dòng chữ Welcome to Check Point sẽ xuất hiện trên màn hình. Nếu chúng ta không nhấn phím Enter trong 90 giây thì máy tính sẽ khởi động từ ổ đĩa cứng. 2. Nhấn phím Enter Chương trình cài đặt được nạp và các tùy chọn sau sẽ được hiển thị 11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612 3 Tài liệ u hướng dẫn cấu hình tường lửa Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft Hình 2: Danh sách driver Device List Nếu chúng ta chọn Device List, menu Harware Scan Details sẽ được hiển thị Add Driver Nếu chúng ta chọn Add Driver, menu Devices sẽ được hiển thị. Sẽ có những trường hợp mà phần cứng mới sẽ không tương thích với driver phiên bản cũ. Chúng ta có thể nhận được thông báo lỗi trong khi cài đặt nếu như hệ điều hành không thể tìm được diver phù hợp; có thể việc cài đặt được hoàn thành nhưng phần cứng sẽ hoạt động không đúng đắn. Tùy chọn Add Driver cho phép chúng ta bổ sung những driver cần thiết trong suốt quá trình cài đặt. 3. Chọn OK để tiếp tục việc cài đặt, hoặc nhấn Cancel để hủy bỏ Cửa sổ System Type xuất hiện. 11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612 4 Tài liệ u hướng dẫn cấu hình tường lửa Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft Hình 3: Loại hệ thống cài đặt 4. Lời nhắc What type of system would you like to install? xuất hiện, nhắc chúng ta loại hệ thống nào muốn cài đặt. Tùy theo loại license được mua, chọn một trong các lựa chọn sau: SecurePlatform SecurePlatform Pro – bao gồm Advanced Routing Suite và các tùy chọn nâng cao bổ sung (ví dụ xác thực người quản trị bằng RADIUS) Chọn OK, menu Keyboard Selection xuất hiện 5. Chọn một kiểu keyboard và chọn OK. Cửa sổ Networking Device xuất hiện 11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612 5 Tài liệ u hướng dẫn cấu hình tường lửa Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft Hình 4: Chọn Networking devive Trong cửa sổ Networking Device, sử dụng phím mũi tên lên xuống để chọn device. Đây là giao tiếp mạng, chúng ta chọn một giao tiếp với trạng thái link up để làm cổng giao tiếp cho việc quản trị. Chọn OK 6. Trong menu Network Interface Configuration, hãy xác định địa chỉ IP cho giao tiếp quản trị, xác định netmask và defaut gateway. Hình 5: Cấu hình giao diện mạng 11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612 6 Tài liệu hướng dẫn cấu hình tường lửa Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft 7. Trong menu HTTPS Server Configuration, xác định việc cho phép hay không việc cấu hình SecurePlatform qua giao diện Web Hình 6: Cấu hình cổng console https 8. Chọn OK để tiếp tục Menu Confirmation xuất hiện 9. Chọn OK để tiếp tục và Cancel để hủy Cảnh báo: Việc cài đặt sẽ fortmat lại ổ cứng và toàn bộ dữ liệu sẽ bị xóa. 10. Chọn OK để hoàn thành việc cài đặt Hệ thống sẽ khởi động lại. Đảm bảo là chúng ta đã đưa đĩa CD ra khỏi ổ. Cài đặt gói phần mềm NGX trên SecurePlatform Sau khi cài đặt hệ điều hành và đã khởi động lại máy tính, các bước cần thực hiện tiếp theo như sau: • Cấu hình các thông số mạng • Áp dụng license 11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612 7 Tài liệu hướng dẫn cấu hình tường lửa Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft • Chọn gói phần mềm nào sẽ được cài 1. Cấu hình login hệ thống • Sau khi khởi động, lời nhắc login hiện ra. Gõ admin và nhấn phím Enter • Tại lời nhắc password : gõ admin và nhấn phím Enter • Tại lời nhắc Enter new password : Gõ mật khẩu và nhấn phím Enter • Tại lời nhắc Enter new password (again) : Gõ lại mật khẩu chúng ta đã nhập ở trên, và nhấn phím Enter • Tại lời nhắc Enter new user name : Gõ lại tên user và nhấn Enter, hoặc nhấn luôn Enter nếu không thay đổi 2. Cấu hình với Wizard • Lời nhắc [cpmodule]# được hiển thị. Gõ sysconfig tại dấu nhắc và gõ Enter. Trình Configuration Wizard được nạp Hình 7: Trình wizard 11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612 8 Tài liệu hướng dẫn cấu hình tường lửa Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft • Ở phía dưới màn hình là lời nhắc Your choice : Gõ n tại dấu nhắc và nhấn Enter để tiếp tục 3. Cấu hình host name • Menu Network Configuration được hiển thị. Tại dấu nhắc Your choice, gõ 1 và nhấn Enter Hình 8: Cấu hình host name • Tại lời nhắc Enter host name prompt: Gõ tên tường lửa, ví dụ: fwabc, nhấn Enter • Tại lời nhắc Enter IP…: Gõ địa chỉ IP bên ngoài của fwabc và nhấn Enter • Nhấn tiếp Enter để tiếp tục • Tại lời nhắc Your choice: Gõ e và nhấn phím Enter để quay về menu Network Configuration. 4. Cấu hình tên miền • Trong màn hình Network Configuration, tại lời nhắc Your choice: gõ 2 và nhấn phím Enter để bắt đầu cấu hình tên miền 11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612 9 Tài liệu hướng dẫn cấu hình tường lửa Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft • Menu Choice an action hiển thị, tại lời nhắc Your choice: gõ 1 và nhấn phím Enter. • Tại lời nhắc Enter domain name: gõ fwabc.cp và nhấn Enter • Nhấn Enter để tiếp tục • Tại lời nhắc Your choice: gõ e và nhấn Enter để quay về menu Network Configuration 5. Cấu hình giao tiếp bên trong • Trong màn hình Network Configuration, tại lời nhắc Your choice: gõ 4 và nhấn phím Enter để bắt đầu cấu hình các kết nối mạng Hình 9: Cấu hình giao tiếp bên trong • Menu Choose a network connection configuration hiển thị, tại lời nhắc Your choice: gõ 2 và nhấn Enter • Menu Choose a connection to configure hiển thị, tại lời nhắc Your choice: gõ 2 và nhấn Enter • Tại lời nhắc Your choice: gõ 1 và nhấn Enter 11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612 10 [...]... (04).9331612 17 Tài liệu hướng dẫn cấu hình tường lửa Hình 16: Chấp nhận bản quyền Màn hình về lựa chọn sản phẩm xuất hiện Hãy chọn Check Point Enterprise/Pro và chọn vào Next Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft 11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612 18 Tài liệu hướng dẫn cấu hình tường lửa Hình 17: Loại sản phẩm cài đặt Màn hình về chọn kiểu... (04).9331612 19 Tài liệu hướng dẫn cấu hình tường lửa Hình 18: Cài đặt mới Màn hình về lựa chọn các thành phần xuất hiện Chỉ chọn duy nhất SmartConsole, bỏ chọn tất cả các checkbox khác Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft 11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612 20 Tài liệu hướng dẫn cấu hình tường lửa Hình 19: Chọn SmartConsole Màn hình thông báo... liệu hướng dẫn cấu hình tường lửa Hình 20: Thông báo sản phẩm được chọn Màn hình thông báo vị trí thư mục cài đặt xuất hiện Chúng ta hãy giữ nguyên vị trí mặc định và chọn Next để tiếp tục Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft 11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612 22 Tài liệu hướng dẫn cấu hình tường lửa Hình 21: Chọn thư mục cài đặt Màn hình. .. (04).9331612 28 Tài liệu hướng dẫn cấu hình tường lửa Hình 25: Xem thuộc tính của tường lửa • Click chuột phải vào fwabc, và chọn Edit • Hãy xem các thông tin về tường lửa Hình 26: Thuộc tính của tường lửa Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft 11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612 29 Tài liệu hướng dẫn cấu hình tường lửa • Click OK để đóng Chú ý... Tài liệu hướng dẫn cấu hình tường lửa Hình 13: Cấu hình người quản trị • Tại dấu nhắc, gõ n và nhấn Enter • Tại cuối màn hình, dấu nhắc hỏi chúng ta có muốn tạo một người quản trị Gõ y và nhấn Enter • Tại lời nhắc Administrator name: gõ admin và nhấn Enter • Tại lời nhắc Password: gõ abc123 và nhấn Enter • Tại lời nhắc Verify Password: gõ abc123 và nhấn Enter 13 Cấu hình GUI Client Tại cuối màn hình, ... (04.)9331613, Fax: (04).9331612 15 Tài liệu hướng dẫn cấu hình tường lửa Hình 14: Cấu hình GUI Client • Gõ IP của máy trạm mà sẽ dùng để quản trị firewall và nhấn Enter Chú ý gõ Any để chấp nhận bất kỳ IP máy trạm nào • Nhấn Ctrl + D để kết thúc • Khi có dấu nhắc, gõ y và nhấn Enter để xác nhận địa chỉ IP là chính xác 14 Bỏ qua cấu hình nhóm • Tại cuối màn hình, dấu nhắc đang hỏi chúng ta xác định một... liệu hướng dẫn cấu hình tường lửa Hình 29: Tạo đối tượng mạng • chọn New Network… • Màn hình Network Properties hiện ra, và nhập thông tin như dưới đây Hình 30: Thuộc tính đối tượng mạng LAN_0 • Chọn OK • Chọn menu file > save Tạo các luật cơ bản Công ty cổ phần phát triển phần mềm và hỗ trợ công nghệ - Misoft 11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612 32 Tài liệu hướng dẫn. .. mềm và hỗ trợ công nghệ - Misoft 11 Phan Huy Chú- Hoàn Kiếm- Hà Nội, Tel: (04.)9331613, Fax: (04).9331612 11 Tài liệu hướng dẫn cấu hình tường lửa • Menu Network Configuration hiển thị Tại lời nhắc Your choice: gõ n và nhấn Enter để bắt đầu việc cấu hình thời gian và ngày tháng 7 Cấu hình time-zone • Menu Choose a time and date configuration hiển thị Tại lời nhắ Your choice: gõ 1 và nhấn Enter • Tại... (04).9331612 25 Tài liệu hướng dẫn cấu hình tường lửa Luật Cleanup được thiết lập như hình sau: Source Destination Service Action Track Any Any Any Drop Install On Time Log Policy Targets Any Hình 2: Luật Cleanup Luật Cleanup phải được đặt dưới cùng, bên dưới tất cả các luật khác Luật Stealth Luật Stealth ngăn chặn người dùng kết nối trực tiếp vào tường lửa, phòng chống lại các tấn công lên tường lửa Với luật... Tài liệu hướng dẫn cấu hình tường lửa Hình 32: Luật mặc định được tạo ra • Nhấn chuột phải vào cột Track, hộp menu xuất hiện • Chọn Log • Chấp nhận các tùy chọn mặc định khác cho trường VPN, Install On, và Time • Kích đúp vào trường Name của luật, và màn hình sau xuất hiện Hình 33: Tên luật • Nhập Cleanup Rule trong hộp Rule Name, và click vào OK Xác nhận luật Cleanup mới được tạo như sau Hình 34: . Bỏ qua việc Import cấu hình sản phẩm • Menu Import Check Point Products configuration hiển thị • Chúng ta đang thực hiện việc cài đặt Check Point VPN-1 mới, do vậy không có file cấu hình được. 1.1.1 Cài đặt CheckPoint VNP-1 Mô hình triển khai Trong phần thực hành này chúng ta sẽ cài đặt thành phần quản trị Management Module (SmartCenter Server) và Enforcement Module (Firewall gateway). NGX SecurePlatform vào ổ CD và khởi động lại máy tính Sau khi khởi động, dòng chữ Welcome to Check Point sẽ xuất hiện trên màn hình. Nếu chúng ta không nhấn phím Enter trong 90 giây thì máy tính