Check Point NGFW Thực hiện kiểm thử tính năng dự phòng NGFW

A

Anh Quốc

Intern

MỤC LỤC TỔNG QUAN​

1. Sơ đồ Topology và Quy hoạch địa chỉ IP
2. Hướng dẫn cấu hình hệ thống (Step-by-Step)
2.1. Thiết lập Security Policy chuẩn logic (Tránh lỗi Conflict)
2.2. Khai báo Network Management cho cụm ClusterXL
3. Kịch bản kiểm thử thực tế & Nghiệm thu kết quả
4. Kết luận


1. SƠ ĐỒ TOPOLOGY VÀ QUY HOẠCH ĐỊA CHỈ IP​

Hệ thống bao gồm cụm 2 Gateway chạy hệ điều hành Gaia R82 phối hợp ClusterXL, kết nối trực tiếp với vùng mạng LAN nội bộ và mạng WAN đi Internet ảo của PNETLab.

1779895045621.png

Quy hoạch IP chi tiết:
  • CP-SGW-1 (Node 1): 192.168.10.252 (LAN) - 10.120.170.200 (WAN). Mặc định làm Active.
  • CP-SGW-2 (Node 2): 192.168.10.253 (LAN) - 10.120.170.202 (WAN). Mặc định làm Standby.
  • Cụm ảo ClusterXL (VIP): 192.168.10.245 (LAN VIP) - 10.120.170.203 (WAN VIP).
  • PC-Client (VPC ảo): 192.168.10.10/24 - Trỏ Gateway về IP ảo VIP mặt LAN: 192.168.10.245.

2. HƯỚNG DẪN CẤU HÌNH NHANH (STEP-BY-STEP)​

2.1. Cấu hình Luật Security Policy chuẩn logic (Tránh lỗi Conflict)
Để mở luồng kiểm thử ICMP (Ping) mà không bị SmartConsole báo lỗi xung đột với Cleanup rule (chặn mọi thứ), ta cấu hình như sau:
  1. Vào Security Policies ➝ Click chuột phải dòng Cleanup rule ➝ Chọn New Rule Above.
  2. Services & Applications: Xóa Any, chọn đích danh icmp-proto.
  3. Action: Đổi sang Accept rồi bấm Publish.
1779895361099.png


2.2. Khai báo Network Management
Nhấp đúp cụm Cluster-HA, gán IP ảo VIP tương ứng cho mặt eth0 (WAN) và eth1 (LAN). Riêng cổng eth3 (đồng bộ chéo), chuyển Network Type sang trạng thái Sync.

1779895427127.png

3. KỊCH BẢN KIỂM THỬ THỰC TẾ & NGHIỆM THU KẾT QUẢ​

Trạng thái 1: Kiểm tra tính ổn định ban đầu
Gõ lệnh cphaprob state trên cả 2 con: SGW-1 báo ACTIVE, SGW-2 báo STANDBY (Sạch lỗi Active PNOTEs: None).

1779895591682.png


1779895637167.png


Trạng thái 2: Tạo sự cố hạ cấp (Failover)
  1. Mở PC-Client ping liên tục: ping 192.168.10.245 -t.
  2. Truy cập CLI của SGW-1 (Node Active), gõ lệnh hạ cấp mềm:[Expert@CP-SGW-1:0]# clusterXL_admin down
1779895744049.png


1779895782544.png


Trạng thái 3: Tận hưởng kết quả Zero-Downtime mỹ mãn
  • Trên PC-Client: Các gói tin ping liên tục không hề bị rớt một dòng timeout nào (0% Packet Loss). Thời gian phản hồi nhảy đều tăm tắp ~2ms.
  • Trên SGW-2: Gõ cphaprob state thấy nhảy vọt lên ACTIVE trơn tru, không một lỗi lầm!
1779895855735.png


4. KẾT LUẬN: Bài Lab thành công rực rỡ với tiêu chuẩn chuyển đổi dự phòng cấp độ Doanh nghiệp (Zero-Downtime Failover). Anh em nào triển khai gặp cản trở cứ thoải mái quăng lỗi xuống bình luận, mình sẽ cùng bốc thuốc nhé! Chúc anh em thực hiện thành công!
 
Bài viết liên quan
Hướng Dẫn Cấu Hình Dự Phòng Check Point NGFW bởi Anh Quốc,
Cấu hình NAT trên NGFW (Check Point): SNAT & DNAT bởi Anh Quốc,
CẤU HÌNH ROUTING STATIC ROUTE, OSPF VÀ GATEWAY TRÊN THIẾT BỊ NGFW CHECK POINT bởi Anh Quốc,
Dựng Security Management Server để quản lý thiết bị firewall bởi Anh Quốc,
DỰNG MÔ HÌNH TRIỂN KHAI CƠ BẢN VỚI FIREWALL CHECK POINT TRÊN PNETLab bởi Anh Quốc,
Cấu hình SSL VPN để truy cập an toàn qua trình duyệt web bởi Đăng Duy,
Được quan tâm
Cấu hình VPN IPsec SITE to SITE cho kết nối giữa các địa điểm khác nhau bởi Anh Quốc,
Hướng Dẫn Cấu Hình Dự Phòng Check Point NGFW bởi Anh Quốc,
Bài viết mới
Cấu hình VPN IPsec SITE to SITE cho kết nối giữa các địa điểm khác nhau bởi Anh Quốc,
Hướng Dẫn Cấu Hình Dự Phòng Check Point NGFW bởi Anh Quốc,
Cấu hình NAT trên NGFW (Check Point): SNAT & DNAT bởi Anh Quốc,
CẤU HÌNH ROUTING STATIC ROUTE, OSPF VÀ GATEWAY TRÊN THIẾT BỊ NGFW CHECK POINT bởi Anh Quốc,
Cấu hình Backup và Restore cấu hình thiết bị Firewall CheckPoint bởi Anh Quốc,
Dựng Security Management Server để quản lý thiết bị firewall bởi Anh Quốc,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top