Check Point NGFW Cấu hình dự phòng NGFW theo cơ chế: Active/Passive

Hướng dẫn thực chiến] Cấu hình Check Point High Availability (ClusterXL) trên PNETLab​

Chào anh em, hôm nay mình sẽ hướng dẫn chi tiết cách cấu hình cụm High Availability (HA) Active/Standby cho tường lửa Check Point NGFW. Bài lab này đặc biệt hữu ích để xử lý các bài toán định tuyến Inter-VLAN, cấu hình NAT (Hide NAT/Static NAT) tự động, và đảm bảo hệ thống web nội bộ luôn online 24/7 kể cả khi một Firewall bị "sập nguồn".

1. Mô hình bài Lab (Topology)​

Trước khi bắt tay vào cấu hình, anh em cần nắm rõ kiến trúc mạng. Mô hình của chúng ta bao gồm:

  • Cụm HA: 2 con Check Point Gateway (CP-GW-A và CP-GW-B) chạy ClusterXL.
  • Quản trị: 1 máy Check Point Security Management Server (CP-SMS).
  • Mạng nội bộ (3 VLAN chính):
    • VLAN 20 (Office) - dải 10.10.20.0/24
    • VLAN 30 (Guest) - dải 10.10.30.0/24
    • VLAN 100 (Server) - dải 10.10.100.0/24 (Chứa Web-Server-Docker IP 10.10.100.20)
  • Mạng External (WAN): Dùng IP Virtual (VIP) 10.120.170.66.

1783300286430.png


2. Bước 1: Khởi tạo Cluster & Bật Auto Proxy ARP​

Một lỗi kinh điển anh em hay gặp là đi khai báo Proxy ARP thủ công trong Gaia Portal. Việc này cực kỳ dễ gây xung đột MAC Address khiến Firewall tự Drop gói tin của chính nó. Chuẩn doanh nghiệp là phải để SmartConsole tự làm việc này.

Cách thực hiện:
1. Mở SmartConsole, vào Gateways & Servers -> Khởi tạo một Cluster mới (Thêm 2 node CP-GW-A và CP-GW-B vào).
1783300384141.png


2. Thiết lập Virtual IP (VIP) cho các cổng WAN và LAN tương ứng.
1783300414685.png


3. Cực kỳ quan trọng: Bấm vào Menu góc trái SmartConsole -> Chọn Global Properties -> Chọn tab NAT -> Tick chọn ô "Merge manual proxy ARP configuration". Thao tác này giúp Firewall tự động cập nhật bảng ARP khi có cấu hình NAT.
1783300700141.png


1783302307308.png


3. Bước 2: Thiết lập Security Policies (Luật bảo vệ)​

Tường lửa sinh ra là để chặn, mặc định nó sẽ Drop tất cả (Cleanup rule). Chúng ta cần mở luồng (Accept) chính xác cho những dịch vụ cần thiết.

Các luật anh em cần tạo theo đúng thứ tự (Top-down):
  • Management Rule: Cho phép mạng quản trị (10.120.170.0/24) truy cập vào các Gateway trong Cluster và máy chủ SMS để cấu hình, quản lý.
  • Office ra Internet: Cho phép mạng VLAN 20 (Net_Office) đi ra ngoài Internet (Any service). (Lưu ý: Trong thực tế doanh nghiệp, anh em nên siết lại các port cụ thể, nhưng với Lab thì để Any cho tiện test).
  • Guest ra Internet: Giới hạn cho mạng VLAN 30 (Net_Guest) chỉ được dùng các dịch vụ thiết yếu: http, https, dns và đặc biệt nhớ mở thêm icmp (echo-request) để mạng Guest có thể Ping được ra ngoài Internet.
  • Allow-Ping-Local: Chỉ mở ICMP (echo-request) nội bộ giữa các dải mạng LAN với nhau (sử dụng group Internal_Networks) để phục vụ Troubleshooting. Tuyệt đối không để Any -> Any để tránh bị Ping dò quét từ ngoài Internet.
  • Public_Web_Server: Cho phép khách từ Internet (Any) truy cập vào địa chỉ IP Public của hệ thống (IP_WAN_Cluster) thông qua cổng Web được chỉ định (Rule này sẽ kết hợp với bước cấu hình Static NAT ở dưới để dẫn luồng vào tận Web Server nội bộ).
  • Server_Ra_Internet: Cho phép bản thân con máy chủ nội bộ (Web-Server-Docker) được phép chủ động đi ra Internet để tải bản cập nhật, cài package hoặc phân giải tên miền thông qua các port http, https, domain-udp.
  • Cleanup Rule: "Luật thép" bảo mật cuối cùng - Chặn (Drop) và ghi log toàn bộ các traffic lạ không khớp với 6 luật kể trên

1783301929018.png


4. Bước 3: Kiểm tra cơ chế NAT tự động​

Thay vì phải NAT tay từng dải mạng, Check Point rất thông minh với cơ chế Automatic Hide NAT.

  1. Chuyển sang tab NAT trong Security Policies.
  2. Anh em sẽ thấy hệ thống tự động sinh ra các luật cho CP_default_Office và Net_LAN_Noi_Bo. Firewall sẽ tự động giấu toàn bộ IP của máy trạm đằng sau IP WAN của cụm Cluster (VIP 10.120.170.66).
  3. Đối với con Web Server, anh em chỉ cần tạo một Static NAT chỉ định: Gọi vào IP VIP .66 port 8080 -> Trỏ thẳng về IP 10.10.100.20 (Docker) port 80.
Lưu ý: Không cần tạo thêm bất kỳ luật NAT thủ công nào cho việc ra Internet của mạng nội bộ nữa, cứ để "Auto" làm việc!
1783302134072.png

5. Bước 4: Nghiệm thu & Test Failover (Rút nóng)​

Cấu hình xong thì phải test xem hệ thống có thực sự chịu lỗi được không. Chúng ta sẽ làm bài test "Rút nguồn" con Firewall đang Active.

Kịch bản test:
  1. Đứng từ máy Win-Guest-1 (VLAN 30), mở CMD gõ lệnh ping 8.8.8.8 -t để duy trì luồng mạng liên tục.
  2. Vào giao diện PNETLab, chuột phải vào node đang Active (ví dụ CP-GW-B) và bấm Stop (Giả lập cúp điện hoặc chết phần cứng).
  3. Kết quả mong đợi: Khung CMD ping sẽ bị rớt khoảng 4-5 nhịp (Request timed out). Đây là khoảng thời gian Failover Time để con CP-GW-A đang ở trạng thái Standby phát hiện sự cố, cướp quyền điều khiển, gửi Gratuitous ARP để cập nhật mạng.
  4. Sau 5 giây, gói tin Ping sẽ lập tức nổ Reply trở lại bình thường.
Để kiểm tra trạng thái của Firewall sau khi Failover, anh em mở CLI của con Gateway còn sống và gõ lệnh: cphaprob stat. Nó sẽ báo trạng thái chuyển từ Standby sang ACTIVE.
1783302260244.png


Tổng kết:Chỉ với 4 bước trên, anh em đã làm chủ hoàn toàn cụm HA Check Point, xử lý triệt để Routing/NAT, và cho phép Server an toàn nằm sau tường lửa. Chúc anh em thực hành thành công! Nếu có lỗi ICMP timeout hay xung đột ARP, cứ check lại Rule và bỏ ngay cấu hình Proxy ARP thủ công nhé.
 

Đính kèm

  • 1783300836143.png
    1783300836143.png
    71.5 KB · Lượt xem: 0
Back
Top