root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

config checkpoint active directory integration



Cấu hình Check Point tích hợp với Active Directory windows server 2012

- Các bạn có thể tham khảo thêm các bài lab khác về config Check Point tại đây:
http://svuit.vn/threads/tong-hop-cac-bai-ly-thuyet-va-lab-check-point-1234/

Config integrate Active Directory with Check Point



Tích hợp Active Directory trên windows server 2012R2 với Firewall Checkpoint

- Các bạn tham khảo lại bài viết trước của minhuit nhé: http://svuit.vn/threads/config-nat-and-policy-on-check-point-1019/

mình sẽ lấy sơ đồ và mô hình IP của bài trước để làm luôn cho bài viết này

- Trên giao diện SmartConsole các bạn tạo 1 Node cho Active Directory



  • Khai báo thông tin name và IP của Active Directory



  • Qua tab server và tiến hành add LDAP server mà bạn muốn tích hợp




  • Điền các thông tin như Profiles, Domain Name… như sau



  • Điền username và password của user trên AD có quyền cho phép Firewall Checkpoint query user trên AD được




  • Trên Active Directory 2012 R2 các bạn cần khai báo OU, Group, User… sử dụng cho Firewall




  • Các bạn add user “firewall” trên AD vào group Administrator để có quyền thực hiện Query trên AD



  • Tiếp theo quay trở lại giao diện SmartConsole của Checkpoint các bạn nhận “Fetch branches” để nó ra thông tin bên khung bên phải thì các bạn đã cấu hình đúng



  • Tab cuôi cùng mô tả các cơ chế xác thực



  • Bây giờ bạn qua tab “Users” trên giao diện Smartconsole của Firewall các bạn có thể tiến hành query user trên Active Directory



 
Last edited by a moderator:

config checkpoint active directory integration


Cấu hình Check Point tích hợp với Active Directory windows server 2012

- Các bạn có thể tham khảo thêm các bài lab khác về config Check Point tại đây:
http://svuit.vn/threads/tong-hop-cac-bai-ly-thuyet-va-lab-check-point-1234/

Config integrate Active Directory with Check Point


Tiến hành tạo các Rule với mục đích như sau:
  • Rule 1: Cho phép máy Active Directory được đi ra internet (mục đích là mở port DNS cho phép AD phân giải Domain của client truy cập ra internet)
  • Rule 2: Cho phép user “administrator” trong domain svuit.vn được đi internet
  • Rule 3: Cấm user “u1” đi internet
  • Rule 4: Cấm toàn bộ traffic khi gói tin không thỏa các Rule ở trên



  • Rule 3: Tạo rule số 3 để cấm user u1 truy cập ra bên ngoài.
    • Soure của Rule 3 thực hiện chọn user “u1” của domain svuit.vn



  • Action: drop. Gói tin khi thỏa điều kiện
  • Track: log. Có lưu log lại khi firewall xử lý gói tin thuộc rule này



  • Tương tự Rule 2 cho user “Administrator” chúng ta select đến user “administrator” thuộc domain svuit.vn và action “accept” cho phép traffic của Administrator đi ra bên ngoài.



  • Rule 1: Rule này là để máy DNS có thể truy cập ra bên ngoài internet. Điều này giúp các client có DNS server trỏ về DNS server (nằm trên AD) có thể truy cập ra bên ngoài nhờ sự phân giải tên miền của DNS server.




  • Sau khi chúng ta tạo các Rule xong chúng ta cần save cấu hình lại và cần nhấn “install policy” để áp phê cho các rule mới mà chúng ta đã tạo






Test

  • Bây giờ chúng ta sử dụng 1 máy tính đã join domain và login vào với user “administrator” để kiểm tra kết quả các rule chúng ta đã tạo



  • Chúng ta có thể thấy với user “administrator” có thể ping ra ngoài internet và truy cập web thành công




  • Tương tự bây giờ dùng 1 máy tính đã join domain khác và login vào với user “u1” để kiểm tra




  • Ở đây trên máy tính user “u1” không thể ping ra ngoài internet và không thể truy cập web ra bên ngoài




  • Bây giờ chúng ta quay lại giao diện “smart Console” để kiểm tra lại log mà firewall đã ghi về các hành động mà chúng ta đã test ở trên nhé




  • Ở đây chúng ta có thể thấy gói ping (ICMP) của user “administrator” có màu xanh được phép đi, còn gói ICMP của user “u1” thì bị drop có màu đỏ




  • Các bạn double click lên dòng log ICMP của user “administrator” chúng ta có thể thấy. Với user “administrator” các gói tin sẽ chịu ảnh hưởng bởi Rule số 2 và action của nó là “accept”




  • Ngược lại với gói tin của user “u1” bị chặn bởi rule số 3




  • Tương tự với các dòng log khi sử dụng giao thức http, https…


 
Last edited by a moderator:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu