CheckPoint [Chap 02] - Tìm hiểu về Checkpoint Firewall Deployment Architecture

TinhTran

Internship/Fresher
Aug 19, 2024
14
2
3
20
Thành phố Hồ Chí Minh


Ở phần trước thì mình đã có BLog về chủ đề "Checkpoint Firewall Architecture & Components" rồi nếu bạn nào chưa đọc qua thì click vào link bên dưới để xem lại giúp mình nhé.
Tiếp tục ở Blog này chúng ta sẽ tìm hiểu về Topic: Checkpoint Firewall Deployment Architecture



Mục lục
I. Khái quát sơ lược về Kiến trúc triển khai Checkpoint Firewall
II. Kiến trúc triển khai Checkpoint Firewall
1. Các thành phần chính trong "Checkpoint Firewall Deployment Architecture"
2. Mô hình triển khai
2.1. Dưới đây là một số mô hình triển khai cấu trúc Checkpoint Firewall
2.2. Một số thành phần cơ trong việc triển khai cấu trúc Checkpoint Firewall
III. Kết Luận



Topic : Checkpoint Firewall Deployment Architecture

I. Khái quát sơ lược về Kiến trúc triển khai Checkpoint Firewall


Trong thời đại số hóa hiện nay thì việc bảo mật mạng là một yếu tố cực kì quan trọng để bảo vệ các hệ thống thông tin, tài sản số của công ty, doanh nghiệp và một trong số đó sẽ là các giải pháp hàng đầu về bảo mật đó chính là Firewall là một trong những nhà cung cấp hàng đầu về bảo mật và cực kì linh hoạt. Chính vì vậy trong Blog này chúng ta sẽ cùng tìm hiểu về Kiến trúc triển khai Checkpoint Firewall như thế nào nhé.

II. Kiến trúc triển khai Checkpoint Firewall


Các bạn có biết tại sao người ta lại chọn Checkpoint không?
Mình nghĩ là vì Checkpoint cung cấp hoàng loạt các tính năng bảo mật từ cơ bản đến nâng cao như kiểm soát truy cập (Access Control), phòng chống xâm nhập IPS (Intrusion Prevention System), bảo vệ chống lại mã độc (Anti-Virus, Anti-Bot) bảo mật dữ liệu và bảo mật ứng dụng thông qua các VPN.

1. Các thành phần chính trong "Checkpoint Firewall Deployment Architecture"
Kiến trúc triển khai tường lửa Checkpoint Firewall bao gồm 3 phần chính: Security Gateway, Management Server, Smart Console

1724645638351.png

Hình minh các thành chính của Checkpoint Firewall​
+ Security Gateway:
- Chúng ta có thể hiểu "Security Gateway" là thành phần thực thi chính sách bảo mật mà Management Server đã triển khai và nó kiểm tra, giám sát và lọc các luồng dữ liệu ra vào mạng theo các quy tắc đã được định nghĩa.
- Đóng vai trò như một tường lửa, Security Gateway ngăn chặn các truy cập trái phép và bảo vệ mạng nội bộ khỏi các mối đe dọa tấn công từ bên ngoài và cả bên trong nó còn có khả năng bảo vệ hệ thống trước khi tấn công mạng
- Có khả năng lọc nội dung và ngăn chặn các phần mềm độc hại kiểm soát truy cập vào các trang web, ứng dụng... theo policy đã được Administrator cấu hình.

+ Management Server:
Management Server(hay còn được gọi là Security Management Server) trong kiến trúc của Checkpoint Firewall. Management Server như bộ não, hơi thở của Checkpoint Firewall vậy, nó là một thành phần trung tâm chịu trách nhiệm quản lý tập trung tất cả các Security Gateway và một số thành phần bảo mật khác trong hệ thống như Smart Console.
- Đây là nơi lưu trữ toàn bộ dữ liệu bao gồm Security Policy, Configuare... và nó đảm bảo rằng các chính sách này có thể được triển khai đồng nhất trên tất cả các Gateway
- Quản lí và ghi lại các thay đổi cấu hình để có thể kiếm soát được các thay đổi của hệ thống đồng thời hỗ trợ khả năng khôi phục(rollback) nếu cần thiết
- Cập nhật và bảo trì

+ SmartConsole:
- SmartConsole là giao diện người dùng đồ họa (GUI) cho phép quản trị viên cấu hình và quản lý các thành phần của hệ thống bảo mật Check Point, bao gồm cả Management Server và Security Gateway.
- Đây là phần mềm chính được sử dụng để cấu hình, giám sát bằng cách xem log và báo cáo và quản lý các thiết bị bảo mật của Checkpoint như firewall, VPN...
- Được thiết kế để cung cấp một giao diện người dùng trực quan và dễ sử dụng cho việc quản lý và cấu hình các thiết bị Checkpoint.
- Cho phép quản trị viên sử dụng nó để cấu hình và quản lí thiết bị gồm các Security Gateway à thiết bị khác trong mạng.

2. Mô hình triển khai
2.1. Dưới đây là một số mô hình triển khai cấu trúc Checkpoint Firewall:
+ Standalone Deployment:
Đây là mô hình duy nhất mà một máy chủ có thể kết hợp giữa cả Security Gateway và Management Server, và mô hình triển khai rất đơn giản, dễ quản lí và có chi phí cực kì thấp nhưng bù lại thì điểm yếu của mô hình này không mở rộng được và khi các Attacker tấn công vào thì sẽ có thể ảnh hưởng đến toàn bộ hệ thống.

+ Distributed Deployment:
Distributed Deployment là mô hình mà Security Management Server (SMS) và Security Gateway được triển khai khác máy chủ để có thể dễ dàng mở rộng và tăng cường khả năng quản lí nhiều Security Gateway từ một điểm vì là nó có thể mở rộng được nên nên khi triển khai sẽ khá phúc tạp.

+ ClusterXL Deployment
Đây là mô hình sử dụng nhiều Security Gateway để tạo thành một cụm gọi là "Cluster" sẽ có độ tin cậy cao hơn và khả năng chống tấn công cũng tốt hơn, mô hình này đảm bảo tính sẵn sàng cao, giảm thiểu được tối đa thời gian gián đoạn dịch vụ. Lưu ý trong mô hình này thì chi phí triển khai sẽ cao và đòi hỏi cấu hình cực kì phúc tạp.

+ Virtual Deployment:
Mô hình này thường được lựa chọn ưu tiên cho các môi trường ảo hóa, đây cũng là mô hình cung cấp các giải pháp linh hoạt và có thể mở rộng, vì trên môi trường ảo hóa nên sẽ tiết kiệm được chi phí phần cứng và dễ dàng quản lí nhưng việc triển khai trong môi trường ảo hóa yêu cầu điều chỉnh và cấu hình đặt biệt để đảm bao hiệu suất tối ưu.

+ High Availability (HA) Deployment:
Ở mô hình này là một trong những mô hình triển khai quan trọng của Checkpoint Firewall nó giúp đảm bảo tính sẵn sàng cao của hệ thống mạng, mô hình này được thiết kế để giảm thiểu thời gian gián đoạn dịch vụ đảm bảo rằng hệ thống được hoạt động trơn tru nay cả khi một thành phần trong hệ thống gặp sự cố.

1724645499873.png

VD: Triển khai Checkpoint với mô hình HA​
Kiến trúc cơ bản của HA
- Active/Standby Mode:
Chế độ phổ biến của HA hệ thống bao gồm hai hoặc nhiều Security Gateway hoạt đọng ở chế độ Active và các Gateway còn lại chờ ở chế độ Standby để khi mà Gateway Active gặp sự cố thì Gateway Standby sẽ tự động chuyển sang hoạt động để hệ thống không bị gián đoạn.
- Active/Active Mode
Ở chế động này cả hai Gateway đều hoạt động cùng lúc để có thể share công việc với nhau điều năng giúp tăng cường hiệu xuất và tính sẵn sàng của hệ thống tuy nhiên mô hình này sẽ đòi hỏi cấu hình phức tạp hơn.
Các bước chính để triển khai HA trên Checkpoint Firewall
+ Bước 1: Chuẩn bị
Bạn phải đảm bảo rằng hệ thống phải có đủ các kết nối tối thiếu giữa các Security Gateway và Management Server
Xác định và cấu hình các Virsual IP sẽ được sử dụng trong trường hợp chuyển đổi giữa các Gateway
+ Bước 2: Cấu hình Security Gateway
Cài đặt và cấu hình các Security Gateway trên từng máy chủ, bạn phải đảm bảo rằng các phiên bản, phần mềm và cấu hình đều đồng nhất trên tất cả các Gateway
+ Bước 3: Thiết lập Cluster
Sử dụng tính năng ClusterXL của Checkpoint để tạo thành một cụm giữa các Security Gateway
Xác định chế độ hoạt động của Cluster (Active/Standby or Active/Active)
+ Bước 4: Kiểm tra
Sau khi cấu hình thì bạn sẽ thực hiện các bài kiểm tra để đảm bảo rằng hệ thống đúng như cấu hình chưa
Giám sát và điều chỉnh các thông số nếu cần thiết để đảm bảo hệ thống được hoạt động tối ưu hiệu xuất.

2.2. Một số thành phần cơ trong việc triển khai cấu trúc Checkpoint Firewall
+ VPN
+ IPS
+ Identity Awareness

III. Kết Luận


Triển khai tường lửa Checkpoint không chỉ là việc cài đặt một giải pháp bảo mật, mà còn là việc xây dựng một kiến trúc bảo mật vững chắc, có khả năng mở rộng và đảm bảo tính liên tục cho hoạt động cho doanh nghiệp của bạn. Với sự linh hoạt và sức mạnh bảo mật của nó.
 

Attachments

  • 1724645541954.png
    1724645541954.png
    121.3 KB · Views: 0
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu