The Maestro
Moderator
Bài viết này sẽ nói về Security Group trên MHO và cách cấu hình SGroup trên MHO. Đây là điểm khác biệt giữa việc quản lý các Security Gateway theo cách truyền thống (High Availablity) và quản lý bằng thiết bị MHO.
So sánh giữa High Availability và Security Group
Yêu cầu thiết bị khi thêm vào Security Group
Tại mục Orchestrator -> Security Group -> New Security Group
Cấu hinh IP mgmt cho Security Group và Activation Key.
Option Install as VSX sẽ cấu hình Security Group hoạt động dưới dạng VSX Gateway, điều này sẽ giúp tạo ra các Firewall Ảo (VS), các VS sẽ độc lập về policy, vừa tận dụng được resource của các thiết bị trong Group. Option này sẽ phù hợp với mô hình triển khai Multi-tenancy (chia tách môi trường cho nhiều phân vùng DataCenter, DMZ, Production độc lập) nhưng vẫn muốn hệ thống có khả năng nâng cấp bằng cách cắm thêm thiết bị sau này.
Kéo thả thiết bị Check Point vào Gateways, kéo thả các Port vào Interfaces. Lưu ý: Bắt buộc mỗi SGroup phải có 1 port MGMT với các port Uplink tùy thuộc vào quy hoạch.
Nhấn Apply và Security Group tạo thành công như hình trên.
Sau khi tạo SGroup, ta có thể quản lý Group giống như 1 thiết bị Gateway đơn lẻ.
Cấu hình hostname, DNS, NTP, Route như 1 thiết bị Check Point bình thường.
Trên Smart Console của Security Management Server, thêm Security Group để có thể đẩy các Policy Layer xuống cho Group
Từ đây, Security Group sẽ được quản lý trên Smart Console của SMS, các policy sẽ được cấu hình và install trên Smart Console.
1. Giới thiệu về Security Group trên MHO
Một Security Group là một tập hợp logic gồm một hoặc nhiều thiết bị gateway vật lý (gọi là các Appliance hoặc Blades) được gom lại với nhau để hoạt động như một Firewall duy nhất, có một cấu hình duy nhất và một chính sách bảo mật (Security Policy) duy nhất. Trong Security Group, các thiết bị sẽ hoạt động ở trạng thái Active-Active do đó khi xảy ra sự cố 1 thiết bị trong Security Group, gần như sẽ không có downtime xảy ra trong quá trình vận hành.So sánh giữa High Availability và Security Group
Mô hình quản lý | High Availability | Security Group |
Trạng thái hoạt động | Active - Standby | Active - Active |
Hiệu năng | Dựa theo thiết bị đang Active | Tất cả các thiết bị trong Group chia sẻ Resource với nhau |
Số lượng thiết bị | Giới hạn ở 5 thiết bị | Lên đến 31 thiết bị trong 1 Security Group (tùy mã MHO) |
Ảnh hưởng khi có sự cố | Có downtime để thiết bị Standby lên chiếm quyền Active | Gần như không có downtime, Security Group tự loại thiết bị lỗi ra khỏi |
Tính mở rộng | Thay thế phần cứng | Cắm thêm thiết bị vào MHO và cấu hình thêm vào Security Group |
Ứng dụng | Trong mô hình vừa và nhỏ (doanh nghiệp) | Mô hình lớn như Enterprise, Data Center yêu cầu về bandwidth cao và downtime nhỏ nhất |
Yêu cầu thiết bị khi thêm vào Security Group
- Cùng Model với nhau (ví dụ như CP 9200), có thể gom được Model gần đời với nhau như 15000 Series và 16000 Series nhưng không khuyến khích dùng lâu dài trên môi trường Production
- Kết nối về downlink của MHO phải cùng tốc độ
- Đối với cấu hình Security Group ban đầu, firmware và hotfix phải được đồng bộ từ đầu nhưng đối với việc thêm thiết bị mới vào Security Group, thiết bị Master trong Group sẽ tự động đẩy cấu hình, policy, firmware, hotfix xuống với thiết bị mới -> đây là điểm tiện lợi mỗi khi mở rộng thêm thiết bị
- Về license, các thiết bị trong Security Group phải chạy cùng gói License (như SandBlast). Nếu có sự không đồng nhất về license thì các tính năng bảo mật nâng cao sẽ không hoạt động ổn định trên các luồng traffic khác nhau
2. Cách cấu hình Security Group trên Maestro Hyperscale Orchestrator
Tại mục Orchestrator -> Security Group -> New Security Group
Cấu hinh IP mgmt cho Security Group và Activation Key.
Option Install as VSX sẽ cấu hình Security Group hoạt động dưới dạng VSX Gateway, điều này sẽ giúp tạo ra các Firewall Ảo (VS), các VS sẽ độc lập về policy, vừa tận dụng được resource của các thiết bị trong Group. Option này sẽ phù hợp với mô hình triển khai Multi-tenancy (chia tách môi trường cho nhiều phân vùng DataCenter, DMZ, Production độc lập) nhưng vẫn muốn hệ thống có khả năng nâng cấp bằng cách cắm thêm thiết bị sau này.
Kéo thả thiết bị Check Point vào Gateways, kéo thả các Port vào Interfaces. Lưu ý: Bắt buộc mỗi SGroup phải có 1 port MGMT với các port Uplink tùy thuộc vào quy hoạch.
Nhấn Apply và Security Group tạo thành công như hình trên.
Sau khi tạo SGroup, ta có thể quản lý Group giống như 1 thiết bị Gateway đơn lẻ.
Cấu hình hostname, DNS, NTP, Route như 1 thiết bị Check Point bình thường.
Trên Smart Console của Security Management Server, thêm Security Group để có thể đẩy các Policy Layer xuống cho Group
Từ đây, Security Group sẽ được quản lý trên Smart Console của SMS, các policy sẽ được cấu hình và install trên Smart Console.
Sửa lần cuối:
Bài viết liên quan
Được quan tâm
Bài viết mới