1. MÔ HÌNH LAB & ĐIỀU KIỆN TIÊN QUYẾT
2.1. Kích hoạt tính năng Application Control trên GatewayĐể SGW có khả năng nhận diện traffic ở Layer 7, ta cần bật Software Blade tương ứng.
2.2. Mở khóa "Layer 7 Visibility" cho bảng Access Control
Bảng Policy mặc định chỉ xử lý Layer 4, cần cấp quyền để hiển thị các tùy chọn ứng dụng.
2.3. Cấu hình Luật Security Policy chuẩn logic (Tránh lỗi Shadowed Rule)
Để tường lửa giám sát được tên ứng dụng rõ ràng mà không bị giao thức mã hóa làm "mù" (như QUIC của Google/Facebook), ta xếp luật theo thứ tự ưu tiên từ trên xuống dưới:
2.4. Ép tải Database và Đẩy cấu hình (Install Policy)
Cần tải bộ "từ điển" ứng dụng mới nhất từ Check Point về và nạp xuống Gateway.
3. KỊCH BẢN KIỂM THỬ THỰC TẾ & NGHIỆM THU KẾT QUẢ
Trạng thái 1: Tạo traffic kiểm thử sạch
Mở máy tính PC-Client, khởi động trình duyệt bằng Tab Ẩn Danh (Incognito) để tránh lưu Cache cũ, sau đó truy cập vào các trang web như Facebook, YouTube.
Trạng thái 2: Kiểm tra Log hiển thị đích danh Application
- Môi trường: PNETLab.
- SMS (Management Server): 10.120.170.201 - Dùng để quản trị và đẩy cấu hình.
- SGW (Security Gateway): 10.120.170.200 - Trực tiếp kiểm soát traffic. Đã được cấu hình định tuyến tĩnh (Default Route) và phân giải tên miền (DNS 8.8.8.8) để kết nối với ThreatCloud.
- PC-Client (Windows ảo): 192.168.10.10/24 - Trỏ Gateway về IP của mặt LAN SGW (192.168.10.1).
2.1. Kích hoạt tính năng Application Control trên GatewayĐể SGW có khả năng nhận diện traffic ở Layer 7, ta cần bật Software Blade tương ứng.
- Nhấp đúp cụm SGW tại mục Gateways & Servers.
- Mở tab General Properties.
- Tại khu vực Network Security, tick chọn ô Application Control & URL Filtering rồi bấm OK.
2.2. Mở khóa "Layer 7 Visibility" cho bảng Access Control
Bảng Policy mặc định chỉ xử lý Layer 4, cần cấp quyền để hiển thị các tùy chọn ứng dụng.
- Vào Security Policies -> Click chuột phải dòng chữ Policy ở menu trái -> Chọn Edit Policy.
- Tại cửa sổ Layer Properties, tích chọn thêm ô Applications & URL Filtering.
2.3. Cấu hình Luật Security Policy chuẩn logic (Tránh lỗi Shadowed Rule)
Để tường lửa giám sát được tên ứng dụng rõ ràng mà không bị giao thức mã hóa làm "mù" (như QUIC của Google/Facebook), ta xếp luật theo thứ tự ưu tiên từ trên xuống dưới:
- Rule 1 (Block_QUIC): Source là dải LAN, Services chọn quic. Action cấu hình Drop để chặn giao thức QUIC của Google/Facebook, ép trình duyệt giáng cấp sử dụng tiêu chuẩn TCP/443 (HTTPS). Điều này giúp Firewall nhận diện tên ứng dụng chuẩn xác nhất.
- Rule 2 (Luật cho YouTube): Source là dải LAN_192.168.10.0, cột Services & Applications chọn đích danh YouTube. Action: Accept và Track chọn Log (bật kèm tính năng Accounting để thống kê dung lượng data).
- Rule 3 (Luật cho Facebook): Tương tự Rule 2, tạo một luật riêng biệt chỉ định đích danh ứng dụng Facebook. Action: Accept và Track: Log (kèm Accounting).
- Rule 4 (Monitor App Control - Phân giải tên miền): Cho phép dịch vụ dns đi qua để các máy trạm trong mạng LAN có thể phân giải tên miền khi lướt web. Action: Accept, Track: Log.
- Rule 5 (Cleanup rule): Nguyên tắc "Zero Trust" cơ bản của Firewall, cấu hình Drop toàn bộ traffic (Any - Any) nếu không khớp với bất kỳ luật nào ở trên để bảo vệ hệ thống.
2.4. Ép tải Database và Đẩy cấu hình (Install Policy)
Cần tải bộ "từ điển" ứng dụng mới nhất từ Check Point về và nạp xuống Gateway.
- Tại menu bên trái, cuộn xuống chọn mục Updates.
- Click Update Now tại phần Application Control và chờ đến khi hiện dấu tích xanh lục.
- Bấm Publish trên thanh công cụ để lưu nháp, sau đó bấm Install Policy để đẩy cấu hình xuống SGW.
3. KỊCH BẢN KIỂM THỬ THỰC TẾ & NGHIỆM THU KẾT QUẢ
Trạng thái 1: Tạo traffic kiểm thử sạch
Mở máy tính PC-Client, khởi động trình duyệt bằng Tab Ẩn Danh (Incognito) để tránh lưu Cache cũ, sau đó truy cập vào các trang web như Facebook, YouTube.
Trạng thái 2: Kiểm tra Log hiển thị đích danh Application
- Quay lại SmartConsole, vào tab Logs & Monitor -> Logs.
- Bấm Refresh để tải log mới nhất.
Bài viết liên quan
Được quan tâm
Bài viết mới