Ở hai Blog trước mình đã nói về "Checkpoint Firewall Architecture & Components" và "Checkpoint Firewall Deployment Architecture" tiếp theo chuỗi BLog thì hôm nay mình sẽ nói về "Checkpoint Firewall Deployment Mode & Packet Flow".
Mục lục
I. Giới thiệu
II. Một số chế độ triển khai nổi bật(Deployment Mode)
III. Luồng gói tin (Packet Flow)
IV. Kết luận
Topic: Checkpoint Firewall Deployment Mode & Packet Flow
I. Giới thiệu
Như mọi người đã biết thì Checkpoint Firewall là một trong những giải pháp bảo mật hàng đầu việc nó có thể sử dụng rộng rãi trong các doanh nghiệp, công ty để bảo vệ hệ thống mạng khỏi các mối đe dọa. Khi mà chúng ta hiểu rõ về các chế độ triển khai của Checkkpoint Firewall cũng như luồng xử lí gói tin (Packet flow) là cực kì quan trọng để có thể tối ưu hóa hệ thống bảo mật và hiệu xuất làm việc của hệ thống.
Bridge Mode
Ở chế độ Bridge Mode thì tường lửa sẽ hoạt động ở DataLink Layer nó như một cầu nối giữa hai phân đoạn mạng mà không cần phải changeIP, Ưu điểm ở mode này chính là dễ dàng triển khai, hoạt động trong trơn tru mà không làm ảnh hưởng đến trải nghiệm sử dụng mạng.
Standalone Mode
Khác với các mô hình triển khai khác mà chúng ta tìm hiểu thì ở mdoe này chỉ thường sử dụng ở các doanh nghiệp nhỏ hoặc thử nghiệm, vì ở Stadalone Mode là khi Checkpoint Firewall được triển khai trên một thiết bị duy nhất vừa thực hiện công việc quản lí Security Management Server và Security Gateway, ở mode này thì ưu điểm là dễ triển khai ít tốn kém và quản lí dễ dàng đi với đó thì mode này có khả năng mở rộng hạn chế và rủi ro cao nếu lữo máy chủ gặp sự cố thì sẽ ảnh hưởng đến toàn bộ hệ thống.
High Availability (HA)
Khi Checkpoint Firewall được cấu hình ở chế độ High Availability thì sẽ đmả bảo tính sẵn snà cao, các thiết bị có trong hệ thống có thể đồng bộ hoạt động nếu một thiết bị gặp sự cố thiết bị khác sẽ nối tiếp hoạt động mà không gây gián đoạn cho hệ thống
Distributed Deployment
Distributed Deployment thường được ưa chuộng trong các hệ thống lớn hơn vì triển khai như thế thì Security Gateway và Security Management có thể tách biệt nhau để có thể mở rộng hơn và quản lí một cách linh hoạt hơn, việc phân chia tải có thể giảm thiểu được tối đa khi gặp sự cố, nhưng đổi lại việc có thể mở rộng thì cách triển khai này sẽ tốn nhiều chi phí, thiết bị và đòi hỏi cấu hình phúc tạp hơn.
Tóm tắt quá trình luồng gói tin trong Checkpoint như sau:
II. Một số chế độ triển khai nổi bật(Deployment Mode)
Bridge Mode
Ở chế độ Bridge Mode thì tường lửa sẽ hoạt động ở DataLink Layer nó như một cầu nối giữa hai phân đoạn mạng mà không cần phải changeIP, Ưu điểm ở mode này chính là dễ dàng triển khai, hoạt động trong trơn tru mà không làm ảnh hưởng đến trải nghiệm sử dụng mạng.
Standalone Mode
Khác với các mô hình triển khai khác mà chúng ta tìm hiểu thì ở mdoe này chỉ thường sử dụng ở các doanh nghiệp nhỏ hoặc thử nghiệm, vì ở Stadalone Mode là khi Checkpoint Firewall được triển khai trên một thiết bị duy nhất vừa thực hiện công việc quản lí Security Management Server và Security Gateway, ở mode này thì ưu điểm là dễ triển khai ít tốn kém và quản lí dễ dàng đi với đó thì mode này có khả năng mở rộng hạn chế và rủi ro cao nếu lữo máy chủ gặp sự cố thì sẽ ảnh hưởng đến toàn bộ hệ thống.
High Availability (HA)
Khi Checkpoint Firewall được cấu hình ở chế độ High Availability thì sẽ đmả bảo tính sẵn snà cao, các thiết bị có trong hệ thống có thể đồng bộ hoạt động nếu một thiết bị gặp sự cố thiết bị khác sẽ nối tiếp hoạt động mà không gây gián đoạn cho hệ thống
Distributed Deployment
Distributed Deployment thường được ưa chuộng trong các hệ thống lớn hơn vì triển khai như thế thì Security Gateway và Security Management có thể tách biệt nhau để có thể mở rộng hơn và quản lí một cách linh hoạt hơn, việc phân chia tải có thể giảm thiểu được tối đa khi gặp sự cố, nhưng đổi lại việc có thể mở rộng thì cách triển khai này sẽ tốn nhiều chi phí, thiết bị và đòi hỏi cấu hình phúc tạp hơn.
III. Luồng gói tin (Packet Flow)
Tóm tắt quá trình luồng gói tin trong Checkpoint như sau:
Ingress - Nhận gói tin
Khi một gói tin đi vào Checkpoint Firewall qua một interface nó sẽ được nhận tiếp đó Firewall nào đã nhận được gói tin sau đó kiểm tra các thông số như giao diện nhận, giao thức, địa chỉ IP và định tuyến.
Packet Parsing - Phân tích gói tin
Firewall có trách nhiệm phân tích gói tin để trích xuất các thông tin cần thiết như:
+ Source IP và Destination IP
+ Source port và Destiantion port
+ Giao thức: TCP, UDP, ICMP. . .
Security Policy Lookup - Kiểm tra chính sách bảo mật
Firewall kiểm tra bản trạng thái (State Table) để xác định xem gói tin này thuộc kết nối hiện tại hay kết nối mới. Gói tin sau đó sẽ được kiểm tra dựa trên các chính sách bảo mật được cấu hình. Checkpoint sử dụng một cơ chế gọi là "Unified Policy" để kiểm tra gói tin dựa trên các quy tắc bảo mật, NAT (Network Address Translation) và các dịch vụ khác.
Checkpoint sẽ có trách nhiệm kiểm tra xem các gói tin có tuân thủ các quy tắc bảo mật mà Administrator đã cấu hình hay không.
Stateful Inspection - Kiểm tra trạng thái
Checkpoint sử dụng kỹ thuật kiểm tra trạng thái (Stateful Inspection) để theo dõi các phiên làm việc. Mỗi gói tin được đối chiếu với bảng trạng thái (State Table) để xác định xem nó thuộc về một phiên đã được cho phép trước đó hay không nếu gói tin không phù hợp với bất kì phiên nào thì nó sẽ bị chặn.
+ Mode Allow: Nếu gói tin khớp với một quy tắc hệ thống sẽ cho phép nó tiếp tục được xủe lí
+ Mode Deny: Nếu gói tin khớp vớim ột quy tắc chặn nó sẽ bị chặn và Firewall có thể gửi một thông báo lỗi ICMP (nếu được cấu hình) cho nguồn gốc gói tin.
NAT Processing
Nếu gói tin cần được chuyển đổi địa chỉ mạng, nó sẽ trải qua quá trình NAT. Checkpoint Firewall có thể thực hiện cả NAT nguồn (Source NAT) và NAT đích (Destination NAT) dựa trên cấu hình của người quản lí.
Quality of Service(QoS) - Chất lượng dịch vụ
Nếu hệ thống đã được cấu hình QoS (Quality of Service) thì gói tin sẽ được xử lý theo các quy định về băng thông và độ ưu tiên để có thể đảm bảo tối ưu chất lượng và dịch vụ mạng cho người sử dụng.
Egress - Phát gói tin
Cuối cùng, nếu gói tin vượt qua tất cả các bước kiểm tra, nó sẽ được gửi đi qua giao diện đích. Trong quá trình này, gói tin có thể được mã hóa nếu có cấu hình VPN.
Checkpoint Firewall là một giải pháp bảo mật mạnh mẽ với nhiều chế độ triển khai linh hoạt. Việc hiểu rõ các chế độ triển khai và luồng xử lý gói tin giúp bạn thiết lập và quản lý hệ thống bảo mật một cách hiệu quả nhất. Khi cấu hình Firewall Checkpoint luôn phải nhớ kiểm tra các chính sách bảo mật và kiểm tra trạng thái phiên để đảm bảo không có lỗ hổng bảo mật nào tồn tại trong hệ thống nhé.
Khi một gói tin đi vào Checkpoint Firewall qua một interface nó sẽ được nhận tiếp đó Firewall nào đã nhận được gói tin sau đó kiểm tra các thông số như giao diện nhận, giao thức, địa chỉ IP và định tuyến.
Packet Parsing - Phân tích gói tin
Firewall có trách nhiệm phân tích gói tin để trích xuất các thông tin cần thiết như:
+ Source IP và Destination IP
+ Source port và Destiantion port
+ Giao thức: TCP, UDP, ICMP. . .
Security Policy Lookup - Kiểm tra chính sách bảo mật
Firewall kiểm tra bản trạng thái (State Table) để xác định xem gói tin này thuộc kết nối hiện tại hay kết nối mới. Gói tin sau đó sẽ được kiểm tra dựa trên các chính sách bảo mật được cấu hình. Checkpoint sử dụng một cơ chế gọi là "Unified Policy" để kiểm tra gói tin dựa trên các quy tắc bảo mật, NAT (Network Address Translation) và các dịch vụ khác.
Checkpoint sẽ có trách nhiệm kiểm tra xem các gói tin có tuân thủ các quy tắc bảo mật mà Administrator đã cấu hình hay không.
Stateful Inspection - Kiểm tra trạng thái
Checkpoint sử dụng kỹ thuật kiểm tra trạng thái (Stateful Inspection) để theo dõi các phiên làm việc. Mỗi gói tin được đối chiếu với bảng trạng thái (State Table) để xác định xem nó thuộc về một phiên đã được cho phép trước đó hay không nếu gói tin không phù hợp với bất kì phiên nào thì nó sẽ bị chặn.
+ Mode Allow: Nếu gói tin khớp với một quy tắc hệ thống sẽ cho phép nó tiếp tục được xủe lí
+ Mode Deny: Nếu gói tin khớp vớim ột quy tắc chặn nó sẽ bị chặn và Firewall có thể gửi một thông báo lỗi ICMP (nếu được cấu hình) cho nguồn gốc gói tin.
NAT Processing
Nếu gói tin cần được chuyển đổi địa chỉ mạng, nó sẽ trải qua quá trình NAT. Checkpoint Firewall có thể thực hiện cả NAT nguồn (Source NAT) và NAT đích (Destination NAT) dựa trên cấu hình của người quản lí.
Quality of Service(QoS) - Chất lượng dịch vụ
Nếu hệ thống đã được cấu hình QoS (Quality of Service) thì gói tin sẽ được xử lý theo các quy định về băng thông và độ ưu tiên để có thể đảm bảo tối ưu chất lượng và dịch vụ mạng cho người sử dụng.
Egress - Phát gói tin
Cuối cùng, nếu gói tin vượt qua tất cả các bước kiểm tra, nó sẽ được gửi đi qua giao diện đích. Trong quá trình này, gói tin có thể được mã hóa nếu có cấu hình VPN.
IV. Kết luận
Checkpoint Firewall là một giải pháp bảo mật mạnh mẽ với nhiều chế độ triển khai linh hoạt. Việc hiểu rõ các chế độ triển khai và luồng xử lý gói tin giúp bạn thiết lập và quản lý hệ thống bảo mật một cách hiệu quả nhất. Khi cấu hình Firewall Checkpoint luôn phải nhớ kiểm tra các chính sách bảo mật và kiểm tra trạng thái phiên để đảm bảo không có lỗ hổng bảo mật nào tồn tại trong hệ thống nhé.
Checkpoint Firewall giải pháp "An toàn tuyệt đối, kiểm soát tối ưu"
Tham khảoChap01:
Chap02:
Last edited: