Check Point NGFW Cấu hình SSL VPN để truy cập an toàn qua trình duyệt web

Mục lục

I. Mô hình
II. Cấu hình
III. Kiểm tra kết quả

I. Mô hình

Tái sử dụng mô hình bài lab cấu hình cơ bản, LACP, VLAN, interface, policy, NAT, bổ sung thêm một máy kết nối tới internet làm người dùng truy cập từ xa. Nếu muốn đơn giản có thể tạo mô hình lab mới chỉ gồm Fw_GUI kết nối đến firewall Checkpoint, kết nối ra internet và một máy remote access kết nối với internet

II. Cấu hình chi tiết

1. Tạo tài khoản người dùng

Ở mục Objects bên phải, vào Users/Identities/User Groups, chuột phải để chọn New User Groups.

Đặt tên (và chú thích nếu cần), vì chưa có người dùng nào để thêm vào nên ta sẽ tạo tài khoản người dùng mới

Ở mục Objects bên phải, vào Users/Identities/Users, chuột phải để chọn New User

Thêm nhóm người dùng vào người dùng mới, đặt mật khẩu cho tài khoản

Ở mục Location, giới hạn dải ip người dùng (Source) hoặc giới hạn tài nguyên người dùng có thể truy cập được (Destination)

Ở mục Time, giới hạn thời gian người dùng có thể VPN

2. Cấu hình mobile access

Trên SmartConsole. vào Gateways & Servers, chọn gateway, vào Mobile access (bật blade của Mobile access nếu chưa có)

Mục tiêu chỉ cần vào trình duyệt web nên có thẻ bỏ qua thiết bị di động và desktops/laptops

Đổi ip trên URL thành ip cổng eth0 (cổng ra WAN) của firewall

Ở đây, cấu hình các ứng dụng web và dịch vụ mà người dùng sẽ truy cập thông qua web portal, cho phép thêm các đườngh link giúp người dùng truy cập nhanh một số web cụ thể
Nếu chỉ cần kết nối tới mạng thì có thể bỏ qua hết, chọn demo app
- Outlook Web App (OWA): Cho phép người dùng truy cập email công ty qua giao diện web Outlook ngay trên Portal SSL VPN.
- ActiveSync / Mobile Mail: Cho phép đồng bộ mail trên thiết bị di động.

Bước tiếp theo, là tích hợp AD server để có thể quản lý người dùng, bỏ qua vì ta chỉ cần demo truy cập vào SSL VPN

Tạo tài khoản kiểm thử để truy cập để hoàn tất

Lúc này ta đã có thể vào được SSL portal, tuy nhiên cần cấu hình thêm để truy cập được internet thông qua SSL VPN, ta cần cấu hình thêm trong SmartDashboard
Ở Manage & Settings, vào Blades/Mobile Access

Giao diện SmartDashboard xuất hiện, vào Mobile Access/Applications/Web Applications, chọn New để thêm mới cho phép vào được mọi x trong internet

Ở General Properties, đặt tên

Ở Authorized Locations, vào Manage/New/DNS Name để tạo một DNS mới

Đặt tên rồi chọn DNS Names/Add, đặt * (cho phép tất cả domain trên internet)

Cấu hình policy để gán web application vừa tạo cho người dùng, chọn đúng nhóm người dùng và application vừa tạo

Trở về SmartConsole, vào Security Policies/Policy, tạo rule cho phép từ gateway ra internet

III. Kiểm tra kết quả

Trên máy người dùng từ xa, truy cập vào đường link https://10.0.137.245/sslvpn, đăng nhập với tài khoản và mật khẩu đã tạo
Truy cập vào một trang web bất kỳ để kiểm tra kết nối

Truy cập thành công

Như vậy ta đã cấu hình thành công SSL VPN để người dùng có thể truy cập từ xa qua trình duyệt web