Checkpoint [LAB 01] Triển khai Security Management Server và Security Gateway trên Checkpoint R81.20 (Mode Standalone)

Quoc Cuong

Internship/Fresher
Aug 19, 2024
41
8
8
20
Ho Chi Minh City
Mục lục:
I. Triển khai Checkpoint R81.20 Stand Alone trên VMware Workstation
II. Cấu hình các thông tin cơ bản trên Checkpoint R81.20

Trong bài viết này mình sẽ hướng dẫn các bạn cài đặt Checkpoint R81.20 trên Vmware Workstation, đầu tiên trong bước cài đặt cần chuẩn bị 1 file iso nếu chưa có hãy download tại đây và sau khi cài đặt xong thì mình sẽ cấu hình các thông tin cho nó.
1724423718893.png


Triển khai Security Management Server và Security Gateway trên Checkpoint R81.20
(Mode Standalone)

I. Triển khai Checkpoint R81.20 Stand Alone trên VMware Workstation

Bước 1: Bỏ file iso vào Vmware, ở đây mình dùng Vmware 16 pro
Từ Vmware chọn File -> New Virtual Machine Wizad
- Chọn Custom và Next, sau đó tùy chọn vào file iso vừa tải và ấn Next
1724419757108.png
1724419789117.png

- Đặt tên cho Firewall
1724420294283.png

- Điều chỉnh thông số CPU và Ram (Lưu ý: Vì đây là Checkpoint R81.20 nên nó yêu tối thiểu là 3GB bạn nên để 6-8GB để có thể đủ để chứa logs).
1724419861747.png
1724419883861.png

- Chọn Use Network Address translation (NAT) và cứ Next theo Recommended.
1724419996514.png
1724420031166.png

- Chỉnh thông số Disk size bạn nên để nhiều tại vì phần sau mình sẽ tạo Snapshot và file Backup nên sẽ tốn nhiều, sau khi xong ấn Next
1724420079216.png

- Review lại cấu hình, sau đó Finish.
1724420446113.png

Bước 2: Khởi động máy ảo và cài đặt
- Chọn Install GAIA on this system như hình:
1724420546097.png

- Sau khi máy ảo chạy thì hộp thoại hiện ra chọn OK và Chọn ngôn ngữ bàn phím US sau đó OK
1724420574542.png
1724420605589.png

- Nhập thông tin password của admin, tài khoản này để đăng nhập vào Firewall, SMS và SmartConsole sau đó tiếp tục cài đặt password cho Maintenance mode
1724420698215.png
1724420743487.png

Lưu ý: Sẽ có 1 bước chọn card mạng nữa nhưng vì máy mình chỉ để 1 card nên mặc định hệ thống sẽ tự hiểu và chọn card mạng đó.
- Nhập IP để truy cập vào Web GUI, sau đó OK và tiếp tục OK ở hộp thoại kế tiếp để continue cài đặt
1724420924088.png
1724420944882.png

- Quá trình cài đặt hệ thống, quá trình này mất khoảng 5p.
1724421017249.png

- Sau khi hệ thống được cài đặt ấn 1 phím bất kì và enter để hệ thống được khởi động lại
1724421058147.png

- Sau khi hệ thống khởi động lại nhập admin và password đã cài ở bước trước
1724421076407.png

Bước 3: Truy cập vào giao diện GUI.
- Sau khi hoàn thành tất cả các bước, hãy mở trình duyệt để truy cập Management IP. Nó sẽ yêu cầu xác nhận Certicate, chọn tiếp tục truy cập. Đăng nhập Web GUI bằng cách sử dụng admin và mật khẩu đã tạo.
1724421343119.png

1724421554830.png


II. Cấu hình các thông tin cơ bản trên Checkpoint R81.20

Sau khi đăng nhập lần đầu thì hệ thống sẽ hỗ trợ người dùng các thông tin cơ bản cho máy chủ.
- Tab First Time Configuration Wizard sẽ mở ra, click NEXT để tiếp tục.
1724421685070.png

- Ở cửa sổ Deployment Options chọn Continue with R81.20 congiguration, sau click NEXT để tiếp tục.
1724421713185.png

- Tại mục Management Connection, kiểm tra lại đúng card mạng và địa chỉ IP MGMT, IPv4 đã được cấu hình và không có kế hoạch sử dụng IPv6, vì vậy sẽ nhấp vào Next để tiếp tục.
1724421760138.png

- Ở mục Device Information đặt lại Host name cho dễ quản lý và click NEXT.
1724421786604.png

- Ở mục Date and Time Settings, chỉnh lại Timezone cho đồng bộ với hệ thống sau đó click NEXT.
1724421846260.png

- Tại mục Installation Type chọn vào Secuirty Gateway and/or Security Management.
1724421862972.png

- Ở mục Products, ở đây mình cấu hình ở dạng Standalone nên sẽ chọn cả 2, nếu bạn muốn triển khai nhiều gateway thì có thể click chọn Unit is a part of a cluster, sau đó ấn NEXT
1724421918552.png

- Tại mục Security Management Administrator, lựa chọn account dùng để đăng nhập, ở đây lựa chọn Use Gaia administrator: admin, nếu bạn muốn đăng nhập bằng tài khoản admin hoặc có thể chọn Define a new administrator để tạo một account khác:
1724421940942.png

- Ở mục SM Gui Clients, có thể chọn IP để truy cập vào GUI, sau đó NEXT,
1724421984021.png

- Ở mục cuối cùng này, bạn ấn Finish và Yes để tiến hành cài đặt
1724422011787.png

- Quá trình cài đặt.
1724425959402.png

Sau khi hệ thống được cài đặt và sẽ khởi động lại, quá trình khởi động tương đối lâu, nên cố gắng chờ nhé
Sau khi hệ thống đã được cài đặt xong, đăng nhập vào lại Firewall bằng admin và password
- Giao diện sau khi cấu hình Wizad:
1724425914090.png


Ở phần sau mình sẽ hướng dẫn cấu hình Snapshot, Backup và Restore trên Checkpoint R81.20.
 

Attachments

  • 1724420239135.png
    1724420239135.png
    16.9 KB · Views: 0
  • 1724420589467.png
    1724420589467.png
    50.5 KB · Views: 0
  • 1724420707933.png
    1724420707933.png
    39.1 KB · Views: 0
  • 1724420709976.png
    1724420709976.png
    39.1 KB · Views: 0
  • 1724421267801.png
    1724421267801.png
    33.6 KB · Views: 0
  • 1724421449735.png
    1724421449735.png
    25.9 KB · Views: 0
  • 1724421864959.png
    1724421864959.png
    39.9 KB · Views: 0
  • 1724422041013.png
    1724422041013.png
    36 KB · Views: 0
  • 1724422135527.png
    1724422135527.png
    24.9 KB · Views: 0
  • 1724422178743.png
    1724422178743.png
    28.9 KB · Views: 0
  • 1724422211730.png
    1724422211730.png
    66 KB · Views: 0
  • 1724422229487.png
    1724422229487.png
    77.8 KB · Views: 0
  • 1724423128972.png
    1724423128972.png
    36 KB · Views: 0
  • 1724423164768.png
    1724423164768.png
    77.8 KB · Views: 0
  • 1724423177443.png
    1724423177443.png
    77.8 KB · Views: 0
Last edited:
Cám ơn bài viết của bạn. Ở bước "Installation Type chọn vào Secuirty Gateway and/or Security Management" mình thấy hệ thống có hỗ trợ triển khai 2 mode, bạn có thể giải thích 1 chút về 2 mode này và trường hợp nào nên sử dụng mode nào không?
 
Cám ơn bài viết của bạn. Ở bước "Installation Type chọn vào Secuirty Gateway and/or Security Management" mình thấy hệ thống có hỗ trợ triển khai 2 mode, bạn có thể giải thích 1 chút về 2 mode này và trường hợp nào nên sử dụng mode nào không?
- Cảm ơn vì câu hỏi của bạn, ở Security Gateway and/or Security Management.
+ Security Gateway là thành phần chịu trách nhiệm kiểm tra và bảo vệ lưu lượng mạng bằng cách thực thi các chính sách bảo mật như firewall, VPN, và nhiều chức năng bảo mật khác. Nó hoạt động như lớp bảo vệ đầu tiên, chặn các mối đe dọa từ bên ngoài trước khi chúng xâm nhập vào hệ thống mạng. Còn về Security Management đây là thành phần dùng để quản lý các Security Gateway. Nó cho phép bạn cấu hình, giám sát, và quản lý các chính sách bảo mật trên các gateway trong hệ thống của bạn. Nếu bạn cài đặt Security Management, nó sẽ thường được kết nối với SmartConsole để dễ dàng quản lý.
+ Multi-Domain Server: Đây là lựa chọn cho các môi trường phức tạp hơn, nơi bạn cần quản lý nhiều domain bảo mật khác nhau. Multi-Domain Server cho phép bạn quản lý nhiều domain (mỗi domain có thể có nhiều Security Gateway và chính sách bảo mật riêng) từ một giao diện duy nhất. Điều này hữu ích trong các môi trường lớn hoặc khi bạn cần tách biệt các chính sách bảo mật giữa các nhóm hoặc bộ phận khác nhau trong tổ chức.
- Nếu bạn đang quản lý một hệ thống mạng đơn giản hoặc vừa phải, chỉ cần một hoặc một vài Security Gateway và không có nhu cầu tách biệt quản lý, thì sử dụng chế độ này là phù hợp. Nếu bạn quản lý nhiều domain độc lập, quản lý một hệ thống mạng lớn, có nhiều chi nhánh, hoặc nhiều bộ phận cần tách biệt về quản lý chính sách bảo mật, Multi-Domain Server là lựa chọn phù hợp.
 
- Cảm ơn vì câu hỏi của bạn, ở Security Gateway and/or Security Management.
+ Security Gateway là thành phần chịu trách nhiệm kiểm tra và bảo vệ lưu lượng mạng bằng cách thực thi các chính sách bảo mật như firewall, VPN, và nhiều chức năng bảo mật khác. Nó hoạt động như lớp bảo vệ đầu tiên, chặn các mối đe dọa từ bên ngoài trước khi chúng xâm nhập vào hệ thống mạng. Còn về Security Management đây là thành phần dùng để quản lý các Security Gateway. Nó cho phép bạn cấu hình, giám sát, và quản lý các chính sách bảo mật trên các gateway trong hệ thống của bạn. Nếu bạn cài đặt Security Management, nó sẽ thường được kết nối với SmartConsole để dễ dàng quản lý.
+ Multi-Domain Server: Đây là lựa chọn cho các môi trường phức tạp hơn, nơi bạn cần quản lý nhiều domain bảo mật khác nhau. Multi-Domain Server cho phép bạn quản lý nhiều domain (mỗi domain có thể có nhiều Security Gateway và chính sách bảo mật riêng) từ một giao diện duy nhất. Điều này hữu ích trong các môi trường lớn hoặc khi bạn cần tách biệt các chính sách bảo mật giữa các nhóm hoặc bộ phận khác nhau trong tổ chức.
- Nếu bạn đang quản lý một hệ thống mạng đơn giản hoặc vừa phải, chỉ cần một hoặc một vài Security Gateway và không có nhu cầu tách biệt quản lý, thì sử dụng chế độ này là phù hợp. Nếu bạn quản lý nhiều domain độc lập, quản lý một hệ thống mạng lớn, có nhiều chi nhánh, hoặc nhiều bộ phận cần tách biệt về quản lý chính sách bảo mật, Multi-Domain Server là lựa chọn phù hợp.
Cám ơn bạn. Bạn cho mình hỏi thêm là nếu mình ban đầu đã cài SG cho server rồi sau đó mình có nhu cầu cài thêm SMS trên server đó luôn thì được không?
 
Cám ơn bạn. Bạn cho mình hỏi thêm là nếu mình ban đầu đã cài SG cho server rồi sau đó mình có nhu cầu cài thêm SMS trên server đó luôn thì được không?
Nếu bạn đã cài đặt Security Gateway (SG) trên một máy chủ và bây giờ muốn thêm Security Management Server (SMS) vào cùng máy chủ đó, bạn có thể thực hiện theo các bước sau:
+ Đảm bảo rằng máy chủ của bạn có đủ tài nguyên phần cứng (CPU, RAM, và ổ cứng) để hỗ trợ cả SG và SMS cùng một lúc. SMS yêu cầu nhiều tài nguyên hơn và có thể ảnh hưởng đến hiệu suất của SG nếu máy chủ không đủ mạnh.
+ Trước khi thực hiện bất kỳ thay đổi nào, hãy sao lưu cấu hình hiện tại của SG để phòng trường hợp có sự cố xảy ra trong quá trình cài đặt SMS.
- Để cài đặt SMS trên máy chủ đã có SG, bạn cần thực hiện các bước sau:
+ Sử dụng trình cài đặt GAiA của Checkpoint để bắt đầu quá trình cài đặt SMS. Bạn có thể tải trình cài đặt từ trang web chính thức của Checkpoint.
+ Trong quá trình cài đặt, bạn sẽ được yêu cầu chọn giữa việc cài đặt SG, SMS, hoặc cả hai. Chọn cài đặt SMS và làm theo hướng dẫn trên màn hình.
- Sau khi cài đặt, bạn cần cấu hình SMS để quản lý SG. Điều này bao gồm việc thiết lập các kết nối giữa SMS và SG, cấu hình chính sách, và thiết lập các tùy chọn quản lý.
 
Cám ơn bạn, việc cài đặt thêm SMS này có làm downtime thiết bị không vậy bạn?
Trong quá trình cài đặt SMS, có thể có một khoảng thời gian ngắn mà máy chủ cần khởi động lại hoặc cần phải thực hiện các thay đổi cấu hình. Điều này có thể dẫn đến một khoảng thời gian downtime nhỏ.
 
Khoảng thời gian ngắn là khoảng bao lâu vậy bạn?
Thường là ngắn, nhưng có thể dao động tùy thuộc vào nhiều yếu tố
+ Máy chủ có cấu hình phần cứng tốt hơn có thể giảm thiểu thời gian cài đặt và khởi động lại.
+ Các phiên bản phần mềm khác nhau có thể yêu cầu thời gian cài đặt và cấu hình khác nhau.
+ Nếu máy chủ đang hoạt động bình thường và không có vấn đề, thời gian downtime có thể ngắn hơn.
- Cài đặt SMS: Thường mất khoảng 15-30 phút. Trong thời gian này, máy chủ có thể cần khởi động lại hoặc áp dụng các thay đổi cấu hình, gây ra một khoảng thời gian downtime nhỏ.
- Khôi phục hoạt động: Sau khi cài đặt xong, máy chủ cần thêm khoảng 5-10 phút để hoàn tất cấu hình và khôi phục các dịch vụ hoạt động bình thường.
Những con số mình đưa ra dựa trên quá trình mình đã cài đặt, nếu bạn muốn con số chính xác hơn thì bạn có thể liên hệ với bộ phận hỗ trợ của Checkpoint.
 
  • Like
Reactions: HanaLink
Cám ơn câu trả lời của bạn, Vậy cho mình hỏi là nếu sau khi đã cài đặt SMS mà mình muốn gỡ SMS ra khỏi SG thì được không bạn (trừ trường hợp restore vì có thể gây mất dữ liệu được cấu hình sau khi đã cài đặt SMS)
 
Cám ơn câu trả lời của bạn, Vậy cho mình hỏi là nếu sau khi đã cài đặt SMS mà mình muốn gỡ SMS ra khỏi SG thì được không bạn (trừ trường hợp restore vì có thể gây mất dữ liệu được cấu hình sau khi đã cài đặt SMS)
Bạn có thể gỡ bỏ SMS khỏi máy chủ đã cài đặt SMS và SG. Tuy nhiên, quy trình này cần được thực hiện cẩn thận để tránh làm gián đoạn hệ thống hoặc mất dữ liệu cấu hình. Trước khi gỡ bỏ SMS, hãy sao lưu toàn bộ dữ liệu cấu hình quan trọng, gỡ bỏ SMS ra khỏi SG có thể thực hiện bằng cách chạy uninstall package trên hệ điều hành GAiA. Tuy nhiên, việc này cần được thực hiện cẩn thận để không ảnh hưởng đến các dịch vụ khác trên máy chủ. Bạn có thể tham khảo tài liệu Checkpoint chính thức về cách gỡ bỏ SMS mà không ảnh hưởng đến SG.
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu