Chào mọi người, bài viết này mình sẽ hướng dẫn chi tiết các bước cấu hình tính năng VPN Remote Access (Mobile Access) trên tường lửa Check Point, kết hợp đồng bộ và xác thực người dùng tập trung thông qua máy chủ Active Directory (Windows Server).
Bài Lab này cực kỳ hữu ích cho các bạn đang muốn tối ưu hóa việc quản lý người dùng thay vì phải tạo tài khoản Local thủ công trên Firewall.
Dùng để nhóm các người dùng được phép VPN lại với nhau, giúp dễ dàng quản lý quyền trên Firewall sau này.
Click chuột phải vào Users đã tạo sau đó chọn Add to a group ...
Điền tên Group đã tạo vào mục Enter the object names to selects. Sau đó chọn Check Names, nếu có dấu gạch dưới tên Group thì chính xác.
Vào Group đã tạo kiểm tra xem đã cho Users chưa
2. Tắt Windows Defender Firewall (Dành cho môi trường Lab):
2. Đồng bộ nhánh thư mục (Fetch Branches):
2. Chuyển đổi cơ chế Mobile Access Policy:
3. Tạo Access Role (Nhóm quyền trên Firewall):
2. Kiểm tra kết nối và Giám sát:
Chúc các bạn cấu hình thành công! Mọi thắc mắc trong quá trình làm Lab mọi người cứ để lại bình luận bên dưới nhé.
Bài Lab này cực kỳ hữu ích cho các bạn đang muốn tối ưu hóa việc quản lý người dùng thay vì phải tạo tài khoản Local thủ công trên Firewall.
MỤC LỤC
I. CẤU HÌNH TRÊN WINDOWS SERVER (ACTIVE DIRECTORY)- Tạo Group và User trên Active Directory
- Tắt Windows Defender Firewall (Dành cho môi trường Lab)
- Khai báo máy chủ LDAP Account Unit
- Đồng bộ nhánh thư mục (Fetch Branches)
- Cập nhật Topology và bật tính năng
- Chuyển đổi cơ chế Mobile Access Policy
- Tạo Access Role (Nhóm quyền trên Firewall)
- Viết luật cho phép truy cập VPN
- Kiểm tra kết nối và Giám sát
I. CẤU HÌNH TRÊN WINDOWS SERVER (ACTIVE DIRECTORY)
1. Tạo Group và User trên Active Directory:Dùng để nhóm các người dùng được phép VPN lại với nhau, giúp dễ dàng quản lý quyền trên Firewall sau này.
- Bước 1: Đăng nhập vào Window server sau đó nhấn Tool và mở Active Directory Users and Computers (dsa.msc).
- Bước 2: Tạo một Group mới (VD: VPN_Users) bằng cách lick chuột phải vào thư mục Users sau đó chọn New -> Group.
- Bước 3: Tạo User mới (VD: quocanh). Lưu ý: Tích chọn "Password never expires" để tránh lỗi kẹt xác thực đổi mật khẩu qua Web Portal.
- Bước 4: Add User quocanh vào Group VPN_Users.
Click chuột phải vào Users đã tạo sau đó chọn Add to a group ...
Điền tên Group đã tạo vào mục Enter the object names to selects. Sau đó chọn Check Names, nếu có dấu gạch dưới tên Group thì chính xác.
Vào Group đã tạo kiểm tra xem đã cho Users chưa
2. Tắt Windows Defender Firewall (Dành cho môi trường Lab):
- Bước 1: Mở firewall.cpl > Chọn Turn Windows Defender Firewall on or off.
- Bước 2: Tích Turn off cho toàn bộ Profile để tường lửa Check Point có thể thoải mái truy vấn LDAP (Port 389) mà không bị chặn.
II. KHAI BÁO VÀ ĐỒNG BỘ AD TRÊN CHECK POINT (SMARTCONSOLE)
1. Khai báo máy chủ LDAP Account Unit:- Bước 1: Ở cột Objects bên phải > Chọn More object types > User/Identity > New LDAP Account Unit.
- Bước 2: Tab General: Đặt tên (VD: AD_VPNLAB) và nhập Domain (vpnlab.local).
- Bước 3: Tab Servers: Bấm Add để thêm Host máy chủ AD (IP: 10.0.0.10).
- Bước 4: Tại ô Login DN, nhập chuẩn xác đường dẫn gốc để Check Point có quyền đọc thư mục: CN=Administrator,CN=Users,DC=vpnlab,DC=local (Không dùng định dạng email). Nhập Password của Windows Server.
2. Đồng bộ nhánh thư mục (Fetch Branches):
- Bước 1: Chuyển sang tab Objects Management > Chọn Server vừa tạo.
- Bước 2: Bấm Fetch branches. Hệ thống đổ về dòng DC=vpnlab,DC=local là kết nối LDAP thành công.
III. KÍCH HOẠT VPN BLADES & TẠO ACCESS ROLE
1. Cập nhật Topology và bật tính năng:- Bước 1: Vào Gateways & Servers > Đúp chuột vào tường lửa Gateway.
- Bước 2: Ở mục Network Management > Bấm Get Interfaces > Get Interfaces With Topology để nhận diện cổng Trong/Ngoài.
- Bước 3: Ở mục General Properties > Tích chọn 3 ô: IPsec VPN, Mobile Access, và Identity Awareness (Chỉ chọn Remote Access, tắt AD Query).
2. Chuyển đổi cơ chế Mobile Access Policy:
- Bước 1: Cuộn xuống mục Mobile Access ở menu trái.
- Bước 2: Tại phần Policy Source, chọn nút tròn Unified Access Policy để đồng bộ luật VPN với bảng luật chung. Đảm bảo ô Web - SSL VPN... bên dưới đã được tích.
3. Tạo Access Role (Nhóm quyền trên Firewall):
- Bước 1: Cột Objects bên phải > New > More object types > User/Identity > Access Role (Đặt tên Role_VPN_Users).
- Bước 2: Chuyển sang tab Users > Chọn Specific users/groups > Add nhánh mạng AD vpnlab.local và chọn Group VPN_Users.
IV. TẠO SECURITY POLICY & KIỂM TRA KẾT QUẢ
1. Viết luật cho phép truy cập VPN:- Bước 1: Vào Security Policies > Thêm một Rule mới.
- Bước 2: Cấu hình thông số Rule:
- Source: Role_VPN_Users
- VPN: RemoteAccess
- Action: Accept
- Track: Log
- Bước 3: Bấm Publish và Install Policy xuống Gateway.
2. Kiểm tra kết nối và Giám sát:
- Bước 1: Đóng vai người dùng, mở trình duyệt truy cập https://[IP_WAN_Firewall]/sslvpn.
- Bước 2: Đăng nhập bằng tên tài khoản AD.
- Bước 3 (Ghi điểm): Quay lại SmartConsole > Chọn ứng dụng Tunnel & User Monitoring (SmartView Monitor). Mở mục Users để thấy hệ thống đã ghi nhận User đang Active.
Chúc các bạn cấu hình thành công! Mọi thắc mắc trong quá trình làm Lab mọi người cứ để lại bình luận bên dưới nhé.
Bài viết liên quan
Được quan tâm
Bài viết mới