Mục lục:
I. Cấu hình Sections
II. Cấu hình Inline layer và Sub-policy
III. Cấu hình Policy Package
IV. Kết luận
- Tạo Section:
Trong SmartConsole, mở tab Security Policies chọn vào policy, chọn 1 rule và chọn New Section Title Above
Đặt tên cho Sections để phân biệt với các nhóm khác.
Quản lý Section:
- Bạn có thể kéo thả các rules vào trong các Sections để nhóm chúng lại với nhau.
- Sections có thể được mở rộng hoặc thu gọn để dễ dàng điều hướng và quản lý.
Tạo 1 Section khác, chọn New Section Title Below:
Đặt tên cho Section
Cut và pass rule LAN access DMZ qua section vừa tạo hoặc cũng có thể kéo thả qua.
Tạo ra một section khác: Kéo rule và thả xuống section vừa tạo
Các rule được chia nhỏ vào các nhóm section riêng biệt để dễ quản lý
- Thay vì tạo ra một danh sách dài các quy tắc phức tạp, Inline Layer cho phép bạn nhóm các quy tắc liên quan lại với nhau, giúp cho việc quản lý và hiểu rõ cấu hình chính sách dễ dàng hơn.
Chọn vào 1 rule sau đó ở phần Action chọn Inline Layer => New layer.
Đặt tên cho Inline, click chọn Multiple policies and rules can be this layer
Ở tab advanced chọn Drop sau đó OK
Sau khi OK sẽ xuất hiện rule 1.1 nằm trong rule 1
Mình sẽ chuyển các Services & Applications của rule 1 thành Any bỏ đi những cái cũ để chuyển nó thành sub-policy để dễ quản lý
Cấu hình Sub-Policy
Ấn vào rule 1.1 sau đó New Rule Above để tạo ra rule ở trên rule này.
Cấu hình rule như hình cho phép tất cả các lưu lượng DNS (cả UDP và TCP trên cổng 53) từ mạng LAN đi ra Internet thông qua Firewall
Tạo tiếp 1 rule => New Rule Below
Cho phép mạng LAN ra Internet sử dụng các dịch vụ web.
Cho phép lưu lượng ICMP Echo Request (ping) được gửi từ mạng LAN ra ngoài Internet, giúp kiểm tra kết nối mạng.
Các sub-policy trong rule 1 (LAN Internet):
=> Như vậy đã cấu hình các quy tắc con cho lớp nội tuyến Firewall Checkpoint. Bạn cũng có thể tạo ra các sub policy tương tự cho các Rule khác.
- Nếu bạn có các chính sách riêng cho môi trường sản xuất và môi trường kiểm thử, bạn có thể tạo hai Policy Package khác nhau, mỗi cái chứa các chính sách riêng biệt cho từng môi trường.
Do ở đây là môi trường ảo hóa nên mình chỉ có 1 Gateway nhưng mình cũng sẽ nói cụ thể khi bạn có 2 hoặc nhiều Gateway để cài policy ánh xạ trực tiếp đến Gateway đó.
Chọn như hình:
Chọn Manage policies and layer:
Chọn như hình:
Đặt tên cho Policy
Ví dụ bạn có 2 Gateway thì đặt là FW1 và chọn Gateway 1 để dễ quản lý
Tại mục Installation Targets chọn Specific gateways, ở đây nếu bạn đặt tên FW1 thì ở đây chọn Gateway 1 ứng với tên cho dễ nhận biết.
Còn mình thì chỉ có 1 con Server tích hợp cả Gateway nên mình chọn vào nó.
Xong khi OK thì màn hình sẽ xuất hiện Policy Package vừa tạo
Đã tạo ra 1 Policy Package mới, bây giờ đã có thể tùy chỉnh policy trên Gateway này, như đã nói thì nếu đây là FW1 thì bạn sẽ cấu hình policy ánh xạ trực tiếp đến Gateway đó sao cho phù hợp với chính sách đưa ra, còn nếu có FW2, FW3 thì cũng tương tự.
=> Mỗi Policy Package có thể được áp dụng cho một hoặc nhiều Gateway. Điều này giúp bạn dễ dàng kiểm soát chính sách bảo mật trên các phần khác nhau của mạng, với các Gateway có yêu cầu bảo mật khác nhau.
- Inline Layer giúp quản lý và kiểm soát lưu lượng mạng một cách chi tiết hơn trong một phần cụ thể của chính sách tổng thể.
- Một Policy Package cho phép bạn quản lý và áp dụng các cấu hình bảo mật khác nhau trên các nhóm thiết bị cụ thể, giúp dễ dàng điều chỉnh và triển khai chính sách bảo mật phù hợp cho từng môi trường hoặc hệ thống cụ thể.
I. Cấu hình Sections
II. Cấu hình Inline layer và Sub-policy
III. Cấu hình Policy Package
IV. Kết luận
[LAB 04] Cấu hình Sections, Inline layers, Sub-Policy và Policy Package
I. Cấu hình Sections
Tiếp nối từ cấu hình policy, tạo rules ở phần trước, tiếp đến tạo các Sections giúp chia nhỏ các rules thành các nhóm riêng biệt để quản lý
- Tạo Section:
Trong SmartConsole, mở tab Security Policies chọn vào policy, chọn 1 rule và chọn New Section Title Above
Đặt tên cho Sections để phân biệt với các nhóm khác.
Quản lý Section:
- Bạn có thể kéo thả các rules vào trong các Sections để nhóm chúng lại với nhau.
- Sections có thể được mở rộng hoặc thu gọn để dễ dàng điều hướng và quản lý.
Tạo 1 Section khác, chọn New Section Title Below:
Đặt tên cho Section
Cut và pass rule LAN access DMZ qua section vừa tạo hoặc cũng có thể kéo thả qua.
Tạo ra một section khác: Kéo rule và thả xuống section vừa tạo
Các rule được chia nhỏ vào các nhóm section riêng biệt để dễ quản lý
II. Cấu hình Inline layer và Sub-Policy
- Inline Layers là các Sub-Policy nằm bên trong một policy chính. Chúng cho phép bạn kiểm soát chi tiết hơn các quy tắc trong một quy tắc cụ thể (parent rule) mà không cần phải chia nhỏ toàn bộ policy, hoạt động như một tập hợp các quy tắc con (child rules) nằm bên trong một quy tắc chính (parent rule).- Thay vì tạo ra một danh sách dài các quy tắc phức tạp, Inline Layer cho phép bạn nhóm các quy tắc liên quan lại với nhau, giúp cho việc quản lý và hiểu rõ cấu hình chính sách dễ dàng hơn.
Chọn vào 1 rule sau đó ở phần Action chọn Inline Layer => New layer.
Đặt tên cho Inline, click chọn Multiple policies and rules can be this layer
Ở tab advanced chọn Drop sau đó OK
Sau khi OK sẽ xuất hiện rule 1.1 nằm trong rule 1
Mình sẽ chuyển các Services & Applications của rule 1 thành Any bỏ đi những cái cũ để chuyển nó thành sub-policy để dễ quản lý
Cấu hình Sub-Policy
Ấn vào rule 1.1 sau đó New Rule Above để tạo ra rule ở trên rule này.
Cấu hình rule như hình cho phép tất cả các lưu lượng DNS (cả UDP và TCP trên cổng 53) từ mạng LAN đi ra Internet thông qua Firewall
Tạo tiếp 1 rule => New Rule Below
Cho phép mạng LAN ra Internet sử dụng các dịch vụ web.
Cho phép lưu lượng ICMP Echo Request (ping) được gửi từ mạng LAN ra ngoài Internet, giúp kiểm tra kết nối mạng.
Các sub-policy trong rule 1 (LAN Internet):
=> Như vậy đã cấu hình các quy tắc con cho lớp nội tuyến Firewall Checkpoint. Bạn cũng có thể tạo ra các sub policy tương tự cho các Rule khác.
III. Cấu hình Policy Package
- Policy Package là một nhóm các chính sách bảo mật (Security Policies) và các đối tượng liên quan, được đóng gói để quản lý và triển khai một cách nhất quán trên các Gateway. Điều này hữu ích khi bạn có nhiều chính sách khác nhau cần triển khai trên nhiều Gateway hoặc bạn cần kiểm soát riêng biệt các chính sách cho các môi trường khác nhau.- Nếu bạn có các chính sách riêng cho môi trường sản xuất và môi trường kiểm thử, bạn có thể tạo hai Policy Package khác nhau, mỗi cái chứa các chính sách riêng biệt cho từng môi trường.
Do ở đây là môi trường ảo hóa nên mình chỉ có 1 Gateway nhưng mình cũng sẽ nói cụ thể khi bạn có 2 hoặc nhiều Gateway để cài policy ánh xạ trực tiếp đến Gateway đó.
Chọn như hình:
Chọn Manage policies and layer:
Chọn như hình:
Đặt tên cho Policy
Ví dụ bạn có 2 Gateway thì đặt là FW1 và chọn Gateway 1 để dễ quản lý
Tại mục Installation Targets chọn Specific gateways, ở đây nếu bạn đặt tên FW1 thì ở đây chọn Gateway 1 ứng với tên cho dễ nhận biết.
Còn mình thì chỉ có 1 con Server tích hợp cả Gateway nên mình chọn vào nó.
Xong khi OK thì màn hình sẽ xuất hiện Policy Package vừa tạo
Đã tạo ra 1 Policy Package mới, bây giờ đã có thể tùy chỉnh policy trên Gateway này, như đã nói thì nếu đây là FW1 thì bạn sẽ cấu hình policy ánh xạ trực tiếp đến Gateway đó sao cho phù hợp với chính sách đưa ra, còn nếu có FW2, FW3 thì cũng tương tự.
=> Mỗi Policy Package có thể được áp dụng cho một hoặc nhiều Gateway. Điều này giúp bạn dễ dàng kiểm soát chính sách bảo mật trên các phần khác nhau của mạng, với các Gateway có yêu cầu bảo mật khác nhau.
IV. Kết luận
1. Section:
- Section là một cách để tổ chức các quy tắc bảo mật trong Check Point bằng cách nhóm các quy tắc liên quan vào các phần (sections) riêng biệt. Điều này giúp tăng tính rõ ràng và dễ quản lý khi có nhiều quy tắc khác nhau. Một Section thường chứa các quy tắc có cùng mục đích hoặc liên quan đến một nhóm dịch vụ hoặc ứng dụng cụ thể.2. Inline Layer và Sub-Policy:
- Inline Layer là một lớp (layer) của các quy tắc bảo mật nằm bên trong một quy tắc chính (parent rule). Khi một Inline Layer được kích hoạt, nó mở ra một tập hợp các quy tắc con (Sub-Policy) mà áp dụng cho lưu lượng khớp với quy tắc cha.- Inline Layer giúp quản lý và kiểm soát lưu lượng mạng một cách chi tiết hơn trong một phần cụ thể của chính sách tổng thể.
3. Policy Package:
- Policy Package là một tập hợp các chính sách (policies) mà bạn áp dụng lên các thiết bị Checkpoint Security Gateway. Policy Package bao gồm các quy tắc bảo mật, NAT, VPN và các cài đặt liên quan khác.- Một Policy Package cho phép bạn quản lý và áp dụng các cấu hình bảo mật khác nhau trên các nhóm thiết bị cụ thể, giúp dễ dàng điều chỉnh và triển khai chính sách bảo mật phù hợp cho từng môi trường hoặc hệ thống cụ thể.
Attachments
Last edited:
