CheckPoint Config integrate Active Directory with Check Point

root

root

Specialist

config checkpoint active directory integration



Cấu hình Check Point tích hợp với Active Directory windows server 2012

- Các bạn có thể tham khảo thêm các bài lab khác về config Check Point tại đây:
http://svuit.vn/threads/tong-hop-cac-bai-ly-thuyet-va-lab-check-point-1234/

Config integrate Active Directory with Check Point



Tích hợp Active Directory trên windows server 2012R2 với Firewall Checkpoint
- Các bạn tham khảo lại bài viết trước của minhuit nhé: http://svuit.vn/threads/config-nat-and-policy-on-check-point-1019/

mình sẽ lấy sơ đồ và mô hình IP của bài trước để làm luôn cho bài viết này

- Trên giao diện SmartConsole các bạn tạo 1 Node cho Active Directory


  • Khai báo thông tin name và IP của Active Directory



  • Qua tab server và tiến hành add LDAP server mà bạn muốn tích hợp




  • Điền các thông tin như Profiles, Domain Name… như sau



  • Điền username và password của user trên AD có quyền cho phép Firewall Checkpoint query user trên AD được




  • Trên Active Directory 2012 R2 các bạn cần khai báo OU, Group, User… sử dụng cho Firewall




  • Các bạn add user “firewall” trên AD vào group Administrator để có quyền thực hiện Query trên AD



  • Tiếp theo quay trở lại giao diện SmartConsole của Checkpoint các bạn nhận “Fetch branches” để nó ra thông tin bên khung bên phải thì các bạn đã cấu hình đúng



  • Tab cuôi cùng mô tả các cơ chế xác thực



  • Bây giờ bạn qua tab “Users” trên giao diện Smartconsole của Firewall các bạn có thể tiến hành query user trên Active Directory



 
Sửa lần cuối bởi điều hành viên:
Bài viết liên quan
[LT]Check Point Quantum Rugged 1575RWLTE – Giải pháp bảo mật mạnh mẽ cho mạng công nghiệp bởi minhtu,
Cách thêm RAM cho Checkpoint Gateway dòng 5000 (5400, 5600 và 5800) bởi HanaLink,
Cách sử dụng tcpdump trên Checkpoint để kiểm tra gói CCP bởi HanaLink,
Cách để reset SIC cho Checkpoint Security Gateway bởi HanaLink,
(Lab 02) Cài đặt Checkpoint Smart Console R81.10 và tích hợp Checkpoint Security Gateway vào Security Management Server bởi HanaLink,
(Lab 01) Cài đặt Checkpoint Security Gateway và Management Server trên R81.10 (Mode Distributed) bởi HanaLink,
Được quan tâm
[LT] Tìm hiểu tính năng (SandBlast Threat Emulation, Threat Prevention, Next Generation Firewall) bởi minhtu,
Bài viết mới
[LT] Tìm hiểu tính năng (SandBlast Threat Emulation, Threat Prevention, Next Generation Firewall) bởi minhtu,
[LT]Check Point Quantum Rugged 1575RWLTE – Giải pháp bảo mật mạnh mẽ cho mạng công nghiệp bởi minhtu,
Cách thêm RAM cho Checkpoint Gateway dòng 5000 (5400, 5600 và 5800) bởi HanaLink,
Cách sử dụng tcpdump trên Checkpoint để kiểm tra gói CCP bởi HanaLink,
Cách để reset SIC cho Checkpoint Security Gateway bởi HanaLink,
(Lab 02) Cài đặt Checkpoint Smart Console R81.10 và tích hợp Checkpoint Security Gateway vào Security Management Server bởi HanaLink,

config checkpoint active directory integration


Cấu hình Check Point tích hợp với Active Directory windows server 2012

- Các bạn có thể tham khảo thêm các bài lab khác về config Check Point tại đây:
http://svuit.vn/threads/tong-hop-cac-bai-ly-thuyet-va-lab-check-point-1234/

Config integrate Active Directory with Check Point


Tiến hành tạo các Rule với mục đích như sau:
  • Rule 1: Cho phép máy Active Directory được đi ra internet (mục đích là mở port DNS cho phép AD phân giải Domain của client truy cập ra internet)
  • Rule 2: Cho phép user “administrator” trong domain svuit.vn được đi internet
  • Rule 3: Cấm user “u1” đi internet
  • Rule 4: Cấm toàn bộ traffic khi gói tin không thỏa các Rule ở trên



  • Rule 3: Tạo rule số 3 để cấm user u1 truy cập ra bên ngoài.
    • Soure của Rule 3 thực hiện chọn user “u1” của domain svuit.vn



  • Action: drop. Gói tin khi thỏa điều kiện
  • Track: log. Có lưu log lại khi firewall xử lý gói tin thuộc rule này



  • Tương tự Rule 2 cho user “Administrator” chúng ta select đến user “administrator” thuộc domain svuit.vn và action “accept” cho phép traffic của Administrator đi ra bên ngoài.



  • Rule 1: Rule này là để máy DNS có thể truy cập ra bên ngoài internet. Điều này giúp các client có DNS server trỏ về DNS server (nằm trên AD) có thể truy cập ra bên ngoài nhờ sự phân giải tên miền của DNS server.




  • Sau khi chúng ta tạo các Rule xong chúng ta cần save cấu hình lại và cần nhấn “install policy” để áp phê cho các rule mới mà chúng ta đã tạo






Test

  • Bây giờ chúng ta sử dụng 1 máy tính đã join domain và login vào với user “administrator” để kiểm tra kết quả các rule chúng ta đã tạo



  • Chúng ta có thể thấy với user “administrator” có thể ping ra ngoài internet và truy cập web thành công




  • Tương tự bây giờ dùng 1 máy tính đã join domain khác và login vào với user “u1” để kiểm tra




  • Ở đây trên máy tính user “u1” không thể ping ra ngoài internet và không thể truy cập web ra bên ngoài




  • Bây giờ chúng ta quay lại giao diện “smart Console” để kiểm tra lại log mà firewall đã ghi về các hành động mà chúng ta đã test ở trên nhé




  • Ở đây chúng ta có thể thấy gói ping (ICMP) của user “administrator” có màu xanh được phép đi, còn gói ICMP của user “u1” thì bị drop có màu đỏ




  • Các bạn double click lên dòng log ICMP của user “administrator” chúng ta có thể thấy. Với user “administrator” các gói tin sẽ chịu ảnh hưởng bởi Rule số 2 và action của nó là “accept”




  • Ngược lại với gói tin của user “u1” bị chặn bởi rule số 3




  • Tương tự với các dòng log khi sử dụng giao thức http, https…


 
Sửa lần cuối bởi điều hành viên:
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top