Hướng dẫn thực chiến] Cấu hình Check Point High Availability (ClusterXL) trên PNETLab
Chào anh em, hôm nay mình sẽ hướng dẫn chi tiết cách cấu hình cụm High Availability (HA) Active/Standby cho tường lửa Check Point NGFW. Bài lab này đặc biệt hữu ích để xử lý các bài toán định tuyến Inter-VLAN, cấu hình NAT (Hide NAT/Static NAT) tự động, và đảm bảo hệ thống web nội bộ luôn online 24/7 kể cả khi một Firewall bị "sập nguồn".1. Mô hình bài Lab (Topology)
Trước khi bắt tay vào cấu hình, anh em cần nắm rõ kiến trúc mạng. Mô hình của chúng ta bao gồm:- Cụm HA: 2 con Check Point Gateway (CP-GW-A và CP-GW-B) chạy ClusterXL.
- Quản trị: 1 máy Check Point Security Management Server (CP-SMS).
- Mạng nội bộ (3 VLAN chính):
- VLAN 20 (Office) - dải 10.10.20.0/24
- VLAN 30 (Guest) - dải 10.10.30.0/24
- VLAN 100 (Server) - dải 10.10.100.0/24 (Chứa Web-Server-Docker IP 10.10.100.20)
- Mạng External (WAN): Dùng IP Virtual (VIP) 10.120.170.66.
2. Bước 1: Khởi tạo Cluster & Bật Auto Proxy ARP
Một lỗi kinh điển anh em hay gặp là đi khai báo Proxy ARP thủ công trong Gaia Portal. Việc này cực kỳ dễ gây xung đột MAC Address khiến Firewall tự Drop gói tin của chính nó. Chuẩn doanh nghiệp là phải để SmartConsole tự làm việc này.Cách thực hiện:
1. Mở SmartConsole, vào Gateways & Servers -> Khởi tạo một Cluster mới (Thêm 2 node CP-GW-A và CP-GW-B vào).
2. Thiết lập Virtual IP (VIP) cho các cổng WAN và LAN tương ứng.
3. Cực kỳ quan trọng: Bấm vào Menu góc trái SmartConsole -> Chọn Global Properties -> Chọn tab NAT -> Tick chọn ô "Merge manual proxy ARP configuration". Thao tác này giúp Firewall tự động cập nhật bảng ARP khi có cấu hình NAT.
3. Bước 2: Thiết lập Security Policies (Luật bảo vệ)
Tường lửa sinh ra là để chặn, mặc định nó sẽ Drop tất cả (Cleanup rule). Chúng ta cần mở luồng (Accept) chính xác cho những dịch vụ cần thiết.Các luật anh em cần tạo theo đúng thứ tự (Top-down):
- Management Rule: Cho phép mạng quản trị (10.120.170.0/24) truy cập vào các Gateway trong Cluster và máy chủ SMS để cấu hình, quản lý.
- Office ra Internet: Cho phép mạng VLAN 20 (Net_Office) đi ra ngoài Internet (Any service). (Lưu ý: Trong thực tế doanh nghiệp, anh em nên siết lại các port cụ thể, nhưng với Lab thì để Any cho tiện test).
- Guest ra Internet: Giới hạn cho mạng VLAN 30 (Net_Guest) chỉ được dùng các dịch vụ thiết yếu: http, https, dns và đặc biệt nhớ mở thêm icmp (echo-request) để mạng Guest có thể Ping được ra ngoài Internet.
- Allow-Ping-Local: Chỉ mở ICMP (echo-request) nội bộ giữa các dải mạng LAN với nhau (sử dụng group Internal_Networks) để phục vụ Troubleshooting. Tuyệt đối không để Any -> Any để tránh bị Ping dò quét từ ngoài Internet.
- Public_Web_Server: Cho phép khách từ Internet (Any) truy cập vào địa chỉ IP Public của hệ thống (IP_WAN_Cluster) thông qua cổng Web được chỉ định (Rule này sẽ kết hợp với bước cấu hình Static NAT ở dưới để dẫn luồng vào tận Web Server nội bộ).
- Server_Ra_Internet: Cho phép bản thân con máy chủ nội bộ (Web-Server-Docker) được phép chủ động đi ra Internet để tải bản cập nhật, cài package hoặc phân giải tên miền thông qua các port http, https, domain-udp.
- Cleanup Rule: "Luật thép" bảo mật cuối cùng - Chặn (Drop) và ghi log toàn bộ các traffic lạ không khớp với 6 luật kể trên
4. Bước 3: Kiểm tra cơ chế NAT tự động
Thay vì phải NAT tay từng dải mạng, Check Point rất thông minh với cơ chế Automatic Hide NAT.- Chuyển sang tab NAT trong Security Policies.
- Anh em sẽ thấy hệ thống tự động sinh ra các luật cho CP_default_Office và Net_LAN_Noi_Bo. Firewall sẽ tự động giấu toàn bộ IP của máy trạm đằng sau IP WAN của cụm Cluster (VIP 10.120.170.66).
- Đối với con Web Server, anh em chỉ cần tạo một Static NAT chỉ định: Gọi vào IP VIP .66 port 8080 -> Trỏ thẳng về IP 10.10.100.20 (Docker) port 80.
5. Bước 4: Nghiệm thu & Test Failover (Rút nóng)
Cấu hình xong thì phải test xem hệ thống có thực sự chịu lỗi được không. Chúng ta sẽ làm bài test "Rút nguồn" con Firewall đang Active.Kịch bản test:
- Đứng từ máy Win-Guest-1 (VLAN 30), mở CMD gõ lệnh ping 8.8.8.8 -t để duy trì luồng mạng liên tục.
- Vào giao diện PNETLab, chuột phải vào node đang Active (ví dụ CP-GW-B) và bấm Stop (Giả lập cúp điện hoặc chết phần cứng).
- Kết quả mong đợi: Khung CMD ping sẽ bị rớt khoảng 4-5 nhịp (Request timed out). Đây là khoảng thời gian Failover Time để con CP-GW-A đang ở trạng thái Standby phát hiện sự cố, cướp quyền điều khiển, gửi Gratuitous ARP để cập nhật mạng.
- Sau 5 giây, gói tin Ping sẽ lập tức nổ Reply trở lại bình thường.
Tổng kết:Chỉ với 4 bước trên, anh em đã làm chủ hoàn toàn cụm HA Check Point, xử lý triệt để Routing/NAT, và cho phép Server an toàn nằm sau tường lửa. Chúc anh em thực hành thành công! Nếu có lỗi ICMP timeout hay xung đột ARP, cứ check lại Rule và bỏ ngay cấu hình Proxy ARP thủ công nhé.
Đính kèm
Bài viết liên quan
Được quan tâm
Bài viết mới