Cấu hình Malware Prevention dựa trên Signature trên Check Point R82
Tiếp nối series cấu hình Threat Prevention trên Check Point R82, trong bài viết này mình sẽ triển khai tính năng Malware Prevention dựa trên signature, bao gồm các blade chính như Anti-Virus, Anti-Bot và Anti-Spam.Mục tiêu của bài lab là cấu hình Gateway có khả năng nhận diện và ngăn chặn các traffic độc hại dựa trên database signature được cập nhật từ ThreatCloud. Phần nghiệm thu sẽ tập trung vào tình huống Anti-Virus chặn file test malware qua HTTP.
1. Mô hình triển khai
Mô hình lab sử dụng các thành phần sau:| Thành phần | IP / Subnet | Vai trò |
|---|---|---|
| Security Management Server | 10.120.170.201 | Quản lý Gateway bằng SmartConsole |
| Security Gateway | 10.120.170.200 | Firewall kiểm soát traffic |
| Internet Gateway | 10.120.170.250 | Đường ra Internet/update signature |
| LAN Internal | 192.168.10.0/24 | Mạng nội bộ |
| Client PC | 192.168.10.10 | Máy Windows dùng để test |
2. Kích hoạt các Software Blade cần thiết
Trên SmartConsole, truy cập:Gateways & Servers → Double-click vào Gateway SGW
Tại tab General Properties, tick chọn các blade sau:
- Anti-Bot
- Anti-Virus
- Anti-Spam & Email Security
3. Cập nhật Malware Signature Database
Các tính năng Anti-Virus và Anti-Bot hoạt động dựa trên database nhận diện malware/signature từ Check Point ThreatCloud. Vì vậy, cần đảm bảo Gateway đã được cập nhật database mới nhất.Truy cập:
Security Policies → Custom Policy Tools → Updates
Tại các mục Anti-Virus, Anti-Bot và các thành phần Threat Prevention liên quan, chọn:
Mã:
Update NowSau khi update thành công, trạng thái sẽ hiển thị Gateway đã được cập nhật mới nhất.
4. Truy cập Custom Policy
Tiếp theo cần truy cập vào khu vực Custom Policy của Threat Prevention để tạo rule áp dụng profile này cho traffic đi qua Gateway.Trên giao diện SmartConsole, thực hiện theo đường dẫn:
Security Policies → Threat Prevention → Custom Policy
5. Cấu hình Anti-Virus và Anti-Bot trong Profile
Click chuột phải vào Optimized → chọn Clone hoặc Edit profile đã tạo → đặt tên Poptech_Malware_Block.Sau đó kiểm tra các blade cần bật:
- Anti-Virus
- Anti-Bot & Advanced DNS
- Anti-Spam & Email Security
Cấu hình gợi ý:
| Mục | Giá trị |
|---|---|
| High Confidence | Prevent |
| Medium Confidence | Prevent |
| Low Confidence | Detect |
| Track | Log |
6. Tạo Threat Prevention Policy
Tiếp theo, điền thông tin vào rule để áp dụng profile vừa cấu hình cho traffic đi qua Gateway.Truy cập:
Security Policies → Threat Prevention → Custom Policy
Tạo rule với thông tin mẫu:
| Cột | Giá trị |
|---|---|
| Name | Malware_Prevention |
| Protected Scope | Any |
| Protection/Site/File/Blade | N/A |
| Action | Poptech_Malware_Block |
| Track | Log, Packet Capture, Forensics |
| Install On | SGW |
7. Install Policy xuống Gateway
Sau khi tạo rule xong, chọn:Mã:
Install PolicyTick chọn layer Threat Prevention, chọn đúng Gateway SGW - 10.120.170.200, sau đó bấm Install.
Chờ hệ thống báo trạng thái:
Mã:
Succeeded
8. Kiểm tra Anti-Virus chặn file test malware
Để kiểm tra, sử dụng máy Client PC có IP 192.168.10.10 trong mạng LAN nội bộ. Máy client đã được NAT qua Gateway để truy cập Internet.Trên trình duyệt của máy client, truy cập đường link test malware qua HTTP, ví dụ trang test EICAR/WICAR.
Lưu ý quan trọng:
Nếu test bằng HTTPS mà chưa bật HTTPS Inspection, firewall có thể không nhìn thấy nội dung bên trong phiên SSL/TLS. Khi đó Anti-Virus có thể không chặn được file test. Vì vậy trong bài lab này, mình sử dụng link HTTP để kiểm tra đúng khả năng nhận diện signature của Anti-Virus.
Kết quả mong muốn:
- File test malware không tải xuống được.
- Trình duyệt hiển thị trang cảnh báo Check Point UserCheck.
- Gateway thực hiện hành động Prevent.
9. Kiểm tra log trên SmartConsole
Quay lại SmartConsole, vào:Mã:
Logs & MonitorTại ô tìm kiếm, nhập:
Mã:
blade:"Anti-Virus"Hoặc tìm theo action:
Mã:
action:"Prevent"Log nghiệm thu cần có các thông tin sau:
| Trường | Kết quả |
|---|---|
| Blade | Anti-Virus |
| Action | Prevent |
| Source | 192.168.10.10 |
| Destination | Server chứa file test |
| Protection / Malware Name | EICAR hoặc malware test signature |
| Track | Log |
10. Kết luận
Sau khi cấu hình Malware Prevention trên Check Point R82, Gateway có thể phát hiện và ngăn chặn malware dựa trên signature thông qua các blade như Anti-Virus, Anti-Bot và Anti-Spam.Trong bài lab này, tính năng Anti-Virus đã chặn thành công file test malware qua HTTP và ghi nhận log đầy đủ trên SmartConsole với action là Prevent.
Một số điểm cần lưu ý khi triển khai thực tế:
- Phải bật đúng các blade Anti-Virus, Anti-Bot, Anti-Spam trên Gateway.
- Database signature cần được update thành công.
- Threat Prevention Profile nên để action là Prevent.
- Rule Threat Prevention phải gắn đúng profile.
- Phải Publish và Install Policy xuống Gateway.
- Với traffic HTTPS, nên triển khai thêm HTTPS Inspection để firewall có thể kiểm tra nội dung mã hóa.
Bài viết liên quan
Được quan tâm
Bài viết mới