Check Point NGFW [Firewall II - 02 - lab]: Triển khai firewall ở chế độ bridge mà không thay đổi cấu trúc mạng

T0ri28 · 14/04/2025

Trong nhiều hệ thống mạng hiện hữu, việc thay đổi cấu trúc IP hoặc thiết kế lại topology để chèn thêm firewall là điều không khả thi hoặc gây gián đoạn dịch vụ. Do đó, triển khai firewall ở chế độ bridge mode là một giải pháp lý tưởng để chèn firewall vào giữa mạng nhằm giám sát và kiểm soát lưu lượng mà không làm thay đổi địa chỉ IP hoặc cấu trúc mạng hiện tại.

Bài lab này thực hiện việc triển khai firewall Check Point ở chế độ bridge giữa hai máy ảo (VPC1 và VPC2), nhằm mục tiêu giám sát lưu lượng trao đổi giữa chúng mà vẫn giữ nguyên cấu trúc mạng như ban đầu.

Mục lục

I. Mô hình
II. Yêu cầu
III. Cấu hình
IV. Kiểm tra yêu cầu

I. Mô hình

II. Yêu cầu

Chèn firewall vào giữa VPC1 và VPC2 mà không cần thay đổi địa chỉ IP
Giám sát giao tiếp giữa 2 VPC

III. Cấu hình

Đầu tiên, ta vào web gui, tạo bridge group, thêm những cổng ethernet dự định sẽ chuyển thành chế độ bridge, như mô hình thì sẽ là cổng eth14 và eth15

Sau đó, ta tạo 1 rule để mạng bridge này có thể giao tiếp được với nhau, và checkpoint sẽ đứng giữa giám sát lưu lượng giao tiếp giữa 2 VPC

IV. Kiểm tra yêu cầu

VPC1 và VPC2 hoạt động như 1 switch

Giám sát giao tiếp giữa 2 VPC
Ta thực hiện ping lẫn nhau giữa VPC1 và VPC2, mỗi lần thực hiện lệnh ping gồm 5 lần ping, như hình dưới ta có thể thấy tổng tộng có 10 gói ICMP request giao tiếp giữa 2 PC

Kết luận

Sau khi cấu hình hoàn tất, firewall đã hoạt động đúng trong chế độ bridge: VPC1 và VPC2 có thể giao tiếp bình thường như được kết nối qua một switch, mà không cần thay đổi địa chỉ IP nào. Đồng thời, firewall đã có thể giám sát các gói tin ICMP giữa hai VPC, xác nhận rằng toàn bộ lưu lượng đã đi qua và được ghi nhận bởi thiết bị bảo mật.

Bài lab chứng minh rằng chế độ bridge là một phương án hiệu quả khi cần bổ sung chức năng bảo mật vào hệ thống mạng mà không ảnh hưởng đến hạ tầng hiện tại.

HanaLink · 15/04/2025

Cho mình hỏi có những lưu ý hay ưu nhược điểm gì khi cấu hình các cổng trên firewall Checkpoint thành mode Bridge này không?

T0ri28 · 21/04/2025

HanaLink nói:
Cho mình hỏi có những lưu ý hay ưu nhược điểm gì khi cấu hình các cổng trên firewall Checkpoint thành mode Bridge này không?

Em xin trả lời:

Ưu điểm:
- Triển khai dễ dàng: Bridge Mode hoạt động ở tầng 2 của mô hình osi, cho phép triển khai firewall mà không cần thay đổi cấu trúc IP hiện tại của mạng
Nhược điểm:
- 1 vài tính năng sẽ không được hỗ trợ (NAT, VPN, Dynamic Routing (OSPF/BGP/RIP), Mobile Access Blade,...).
- Khó khăn trong quản lý và giám sát: Do firewall không có địa chỉ IP trong Bridge Mode, việc quản lý và giám sát có thể gặp khó khăn, phức tạp hơn
Lưu ý khi cấu hình:
- Không gán địa chỉ IP cho các cổng dự định sẽ cấu hình bridge
- Không sử dụng management interface trong bridge
- Một Bridge chỉ nên chứa hai cổng phụ để tránh giảm hiệu suất và bị lặp giống trong STP

Check Point NGFW [Firewall II - 02 - lab]: Triển khai firewall ở chế độ bridge mà không thay đổi cấu trúc mạng

T0ri28

Intern

Mục lục

I. Mô hình

II. Yêu cầu

III. Cấu hình

IV. Kiểm tra yêu cầu

Kết luận

HanaLink

Administrator

T0ri28

Intern

Check Point NGFW [Firewall II - 02 - lab]: Triển khai firewall ở chế độ bridge mà không thay đổi cấu trúc mạng

T0ri28

Intern

Mục lục​

I. Mô hình​

II. Yêu cầu​

III. Cấu hình​

IV. Kiểm tra yêu cầu​

Kết luận​

HanaLink

Administrator

T0ri28

Intern

Mục lục

I. Mô hình

II. Yêu cầu

III. Cấu hình

IV. Kiểm tra yêu cầu

Kết luận