1. Mô hình bài Lab (Topology)
Mô hình lab của mình bao gồm các thành phần chính:- Vùng LAN: 3 VLAN (10 - Staff, 20 - SSH, 30 - Admin) chạy qua Core Switch L3.
- Vùng DMZ: Chứa Web Server và Win Server.
- Kết nối lõi: Switch L3 đấu Trunking (LACP) lên cổng bond của Firewall Check Point SGW-FW.
- Vùng WAN: Đám mây Internet đẩy ra ngoài.
2. Khởi tạo & Quản trị tập trung (Management)
Kiến trúc của Check Point chia làm 2 phần rõ rệt: SMS (Trạm điều khiển SmartConsole) và SGW (Tường lửa thực thi SGW-FW).Đầu tiên, mình phải khai báo để con SMS quản lý và đẩy cấu hình xuống con SGW.- Truy cập SmartConsole (kết nối vào IP của SMS).
- Tại tab Gateways & Servers, tiến hành Add con SGW-FW (IP 10.120.170.200) vào hệ thống.
- Thiết lập mật khẩu SIC để hai thiết bị báo trạng thái Trust (Tin cậy).
3. Khai báo cổng (Interfaces) & Trunking LACP trên Tường lửa
Khác với lab định tuyến thông thường, mô hình của mình dùng LACP kết nối giữa Core Switch và Firewall để tăng băng thông và dự phòng.- Truy cập giao diện Web Gaia Portal của SGW.
- Vào Network Management > Network Interfaces.
- Khai báo IP cho cổng WAN (Internet), cổng DMZ (eth3).
- Gom cổng tạo bond1 và chia các Sub-interface tương ứng với các VLAN nội bộ: bond1.10 (VLAN 10 - Staff), bond1.20 (VLAN 20 - SSH), bond1.30 (VLAN 30 - Admin).
4. Thiết lập Security Policy (SmartConsole)
Nguyên tắc của Firewall là đọc luật từ trên xuống (Top-Down). Mình đã cấu hình 4 rules chuẩn hóa cho mô hình này:- Mgmt_Access (Nằm trên cùng): Bắt buộc! Chỉ định dải mạng VPN (10.120.0.0/16) được phép truy cập vào quản trị Firewall.
- LAN_to_Internet: Mở luồng (Accept) cho toàn bộ 3 mạng LAN nội bộ (VLAN 10, 20, 30) đi ra Any (Internet).
- WAN_to_Web: Cho phép khách hàng từ ngoài mạng Any truy cập vào IP WAN mặt ngoài và IP của con Web_Server_DMZ bằng dịch vụ HTTP/HTTPS.
- Cleanup_rule: Luật chốt chặn dưới cùng. Mọi traffic "lạ" không khớp 3 luật trên đều bị Drop sạch.
5. Cấu hình NAT (Trái tim của bài Lab)
Phần này mình cover đủ cả 4 loại NAT thực tế cho doanh nghiệp (tận dụng tính năng Auto-NAT của Check Point):- DNAT - Port Forwarding (Luật Manual 1): Khách từ ngoài truy cập HTTP vào IP WAN của Firewall (10.0.137.16) sẽ được bẻ lái thẳng vào Web_Server (10.200.200.10) nằm trong DMZ.
- SNAT & DNAT - Static NAT 1-1 (Luật Auto S đỏ): Dịch IP tĩnh 1-to-1 cho Server. Mình cấu hình gán cứng IP Public ảo 10.0.137.99 ánh xạ thẳng vào con Winserver (10.200.200.20).
- SNAT - Hide NAT / PAT (Luật Auto H đỏ): Mình gom tất cả IP Private của 3 VLAN 10, 20, 30 (bật Hide behind Gateway) ẩn sau lưng cổng WAN của Firewall để đi ra Internet.
6. Chốt chặn Default Route & Nghiệm thu
- Bài Test 1: Mạng LAN ra Internet (SNAT) Mở CMD của PC nhân viên (VLAN 10), ping 10.10.10.1 (thông ra Gateway Tường lửa) và ping 10.0.137.254 (thông ra WAN mượt mà nhờ tắt Anti-spoofing).
- Bài Test 2: Khách hàng truy cập Server (DNAT) Từ máy Win đóng vai người dùng Internet ngoài mạng WAN, mở trình duyệt gõ [http://10.0.137.16](http://10.0.137.16) hoặc IP ảo 10.0.137.99. Firewall bẻ lái hoàn hảo vào DMZ.
Luồng đi trơn tru, Policy chặn chuẩn xác. Chúc anh em làm lab vui vẻ và có thêm nhiều kinh nghiệm Troubleshoot với Check Point nhé
Bài viết liên quan
Được quan tâm
Bài viết mới