Đầu tiên để chuẩn bị cho các bước cài đặt các bạn cần tải file iso cài đặt, lưu ý ở đây là Sercurity Gateway (SG) và Security Management Server (SMS) sẽ sử dụng chung 1 file iso nhưng chỉ khác nhau ở bước triển khai cài đặt nên các bạn chỉ cần tải 1 lần là đủ. Trong bài viết sẽ hướng dẫn cấu hình ClusterXL chế độ High Availability được chia thành 3 phần
Mục lục:
Mô hình giải pháp ClusterXL:
Mô tả:
Mô hình này được sử dụng để triển khai giải pháp ClusterXL nhằm đảm bảo tính dự phòng cho hệ thống mạng. Phân hoạch địa chỉ theo mạng như sau:
+ Mạng LAN có lớp mạng “172.168.1.0/24” có 1 PC kết nối với IP "172.168.1.150" và 1 Security Management để quản lý Cluster với địa chỉ "172.168.1.27". Gateway của lớp mạng sẽ trỏ về địa chỉ IP ảo của Cluster là "172.168.1.30"
+ Mạng đồng bộ Sync có lớp mạng "10.10.0.0/30" giữa 2 Gateway.
+ Trên Cluster địa chỉ của các cổng trên Security Gateway chính sẽ là 172.168.X.28 (Với x dựa theo các vùng mạng) và Security Gateway phụ sẽ là 172.168.X.29 (Với x dựa theo các vùng mạng). Gateway trên Firewall Check Point sẽ được trỏ đến địa chỉ “172.168.2.250” là địa chỉ của mạng Internet trong VMWare vSphere mục đích để giúp toàn bộ mạng nội bộ ra được Internet. Ngoài ra, còn được cấu hình một địa chỉ WAN ảo (VIP WAN) là “172.168.2.30” để thực hiện việc NAT cho mạng nội bộ.
- Ở đây mình sẽ triển khai trên máy ảo được tạo trên VMWare vSphere, các bạn chuẩn bị 1 máy ảo như thông tin sau và đưa file ISO đã tải trên vào:
- Chọn Install Gaia on this system như hình:
- Sau khi máy ảo chạy thì hộp thoại hiện ra chọn OK và Chọn ngôn ngữ bàn phím US sau đó OK
- Để mặc định thông tin Disk Size rồi bấm OK:
- Nhập thông tin password của admin, tài khoản này để đăng nhập vào Firewall, SMS và SmartConsole sau đó tiếp tục cài đặt password cho Maintenance mode
Lưu ý: Sẽ có 1 bước chọn card mạng nữa nhưng vì máy mình chỉ để 1 card nên mặc định hệ thống sẽ tự hiểu và chọn card mạng đó.
- Nhập IP để truy cập vào Web GUI, sau đó OK và tiếp tục OK ở hộp thoại kế tiếp để continue cài đặt
- Quá trình cài đặt hệ thống, quá trình này mất khoảng 5p.
- Sau khi hệ thống được cài đặt ấn 1 phím bất kì và enter để hệ thống được khởi động lại
- Sau khi hệ thống khởi động lại nhập admin và password đã cài ở bước trước
Bước 3: Truy cập vào giao diện GUI.
- Sau khi hoàn thành tất cả các bước, hãy mở trình duyệt để truy cập Management IP. Nó sẽ yêu cầu xác nhận Certicate, chọn tiếp tục truy cập. Đăng nhập Web GUI bằng cách sử dụng admin và mật khẩu đã tạo.
Khi đăng nhập lần đầu thì hệ thống sẽ hỗ trợ người dùng cài đặt những thông tin cơ bản cho máy SMS:
- Tab First Time Configuration Wizard sẽ mở ra, click NEXT để tiếp tục.
- Ở cửa sổ Deployment Options chọn Continue with R81.20 congiguration, sau click NEXT để tiếp tục.
- Tại mục Management Connection, kiểm tra lại đúng card mạng và địa chỉ IP MGMT, IPv4 đã được cấu hình và không có kế hoạch sử dụng IPv6, vì vậy sẽ nhấp vào Next để tiếp tục.
- Ở mục Device Information đặt lại Host name cho dễ quản lý và click NEXT.
- Ở mục Date and Time Settings, chỉnh lại Timezone cho đồng bộ với hệ thống sau đó click NEXT.
- Tại mục Installation Type chọn vào Secuirty Gateway and/or Security Management.
Nếu bạn đang quản lý một hệ thống mạng đơn giản hoặc vừa phải, chỉ cần một hoặc một vài Security Gateway và không có nhu cầu tách biệt quản lý, thì sử dụng chế độ này là phù hợp
Nếu bạn quản lý nhiều domain độc lập, quản lý một hệ thống mạng lớn, có nhiều chi nhánh, hoặc nhiều bộ phận cần tách biệt về quản lý chính sách bảo mật, Multi-Domain Server là lựa chọn phù hợp.
- Tại mục Products, tích chọn vào mục Security Management Server để tiến hành cài đặt SMS:
- Tại mục Security Management Administrator, lựa chọn account dùng để đăng nhập, ở đây lựa chọn Use Gaia administrator: admin, nếu bạn muốn đăng nhập bằng tài khoản admin hoặc có thể chọn Define a new administrator để tạo một account khác:
- Ở mục SM Gui Clients, có thể chọn IP để truy cập vào GUI, sau đó NEXT,
- Ở mục cuối cùng này, bạn ấn Finish và Yes để tiến hành cài đặt
- Quá trình cài đặt.
Bước 4: Đăng nhập lại vào GUI của SMS, và đây là giao diện GUI:
+ Network 1 là card mạng nối đến Internet
+ Network 2 là card mạng trong mạng LAN để quản lý SMS
+ Network 3 là đường Sync để đồng bộ giữa 2 Gateway
- Các bạn chuẩn bị 1 máy ảo như thông tin sau và đưa file ISO đã tải trên vào:
- Ở bước 2 này thì các bạn cũng làm tương tự như bước 1 bước 2 ở phần 1, nhưng ta sẽ chọn một cổng dùng để cấu hình IP và quản lý hệ thống, thường ta sẽ chọn cổng nội bộ (Sử dụng cổng kết nối đến lớp mạng LAN _ eth1)
Lưu ý phần IP MGMT các bạn đặt giống với mô hình:
- Khác ở bước chọn card mạng và Products
Thiết lập chỉnh lại địa chỉ IP của Card mạng quản lý Eth1 (Không cần thiết, do đã làm từ bước số 2) và thiết lập địa chỉ IP cho Card mạng WAN Eth0.
- Các bạn chọn Security Gateway, nếu các bạn dự định tạo cụm Cluster cho nhiều thiết bị SG thì các tích chọn Unit is anh part of anh cluster, còn nếu các bạn chỉ sử dụng 1 SG thì không cần tích chọn phần này:
- Thiết lập khóa cho SIC (Đây là khóa sử dụng để các thành phần trong hệ thống distributed có thể giao tiếp với nhau) để tích hợp với SMS.
- Xác nhận thông tin cài đặt và chờ quá trình cài đặt diễn ra, sau đó đăng nhập lại và xem giao diện của SG:
Sau khi kết thúc quá trình thiết lập Security Gateway đầu tiên, ta làm tương tự với Security Gateway thứ hai (Chú ý phải chỉnh lại địa chỉ đúng với mô hình mạng đã đề ra).
Mục lục:
Phần 1. Cài đặt Checkpoint SMS và Security Gateway
1. Install SMS
2. Install SG
Phần 2. Cài đặt ClusterXL mode HA active-standby
1. Triển khai Smart Console
2. Triển khai giải pháp ClusteXL HA
Phần 3. Thực nghiệm kiểm tra tính dự phòng và khả năng xuyên suốt (Transparent) của ClusterXL.
Cài đặt Checkpoint SMS và Security Gateway
Mô hình giải pháp ClusterXL:
Mô tả:
Mô hình này được sử dụng để triển khai giải pháp ClusterXL nhằm đảm bảo tính dự phòng cho hệ thống mạng. Phân hoạch địa chỉ theo mạng như sau:
+ Mạng LAN có lớp mạng “172.168.1.0/24” có 1 PC kết nối với IP "172.168.1.150" và 1 Security Management để quản lý Cluster với địa chỉ "172.168.1.27". Gateway của lớp mạng sẽ trỏ về địa chỉ IP ảo của Cluster là "172.168.1.30"
+ Mạng đồng bộ Sync có lớp mạng "10.10.0.0/30" giữa 2 Gateway.
+ Trên Cluster địa chỉ của các cổng trên Security Gateway chính sẽ là 172.168.X.28 (Với x dựa theo các vùng mạng) và Security Gateway phụ sẽ là 172.168.X.29 (Với x dựa theo các vùng mạng). Gateway trên Firewall Check Point sẽ được trỏ đến địa chỉ “172.168.2.250” là địa chỉ của mạng Internet trong VMWare vSphere mục đích để giúp toàn bộ mạng nội bộ ra được Internet. Ngoài ra, còn được cấu hình một địa chỉ WAN ảo (VIP WAN) là “172.168.2.30” để thực hiện việc NAT cho mạng nội bộ.
Phần 1. Cài đặt Checkpoint SMS và Security Gateway
1. Install SMS
Bước 1: Chuẩn bị môi trường. Đầu tiên ta tải file cài đặt từ trang: Checkpoint- Ở đây mình sẽ triển khai trên máy ảo được tạo trên VMWare vSphere, các bạn chuẩn bị 1 máy ảo như thông tin sau và đưa file ISO đã tải trên vào:
- Guest OS: Other 3.x Linux (64-bit)
- Compatibility: ESXi 7.0 U2 and later (VM version 17)
- CPU: 8 CPUs
- Memory: 16 GB
- Hard Disk: 200 GB (nên đặt là Thin Provision để không chiếm nhiều bộ nhớ hệ thống)
- Chọn Install Gaia on this system như hình:
- Sau khi máy ảo chạy thì hộp thoại hiện ra chọn OK và Chọn ngôn ngữ bàn phím US sau đó OK
- Để mặc định thông tin Disk Size rồi bấm OK:
- Nhập thông tin password của admin, tài khoản này để đăng nhập vào Firewall, SMS và SmartConsole sau đó tiếp tục cài đặt password cho Maintenance mode
Lưu ý: Sẽ có 1 bước chọn card mạng nữa nhưng vì máy mình chỉ để 1 card nên mặc định hệ thống sẽ tự hiểu và chọn card mạng đó.
- Nhập IP để truy cập vào Web GUI, sau đó OK và tiếp tục OK ở hộp thoại kế tiếp để continue cài đặt
- Quá trình cài đặt hệ thống, quá trình này mất khoảng 5p.
- Sau khi hệ thống được cài đặt ấn 1 phím bất kì và enter để hệ thống được khởi động lại
- Sau khi hệ thống khởi động lại nhập admin và password đã cài ở bước trước
Bước 3: Truy cập vào giao diện GUI.
- Sau khi hoàn thành tất cả các bước, hãy mở trình duyệt để truy cập Management IP. Nó sẽ yêu cầu xác nhận Certicate, chọn tiếp tục truy cập. Đăng nhập Web GUI bằng cách sử dụng admin và mật khẩu đã tạo.
Khi đăng nhập lần đầu thì hệ thống sẽ hỗ trợ người dùng cài đặt những thông tin cơ bản cho máy SMS:
- Tab First Time Configuration Wizard sẽ mở ra, click NEXT để tiếp tục.
- Ở cửa sổ Deployment Options chọn Continue with R81.20 congiguration, sau click NEXT để tiếp tục.
- Tại mục Management Connection, kiểm tra lại đúng card mạng và địa chỉ IP MGMT, IPv4 đã được cấu hình và không có kế hoạch sử dụng IPv6, vì vậy sẽ nhấp vào Next để tiếp tục.
- Ở mục Device Information đặt lại Host name cho dễ quản lý và click NEXT.
- Ở mục Date and Time Settings, chỉnh lại Timezone cho đồng bộ với hệ thống sau đó click NEXT.
- Tại mục Installation Type chọn vào Secuirty Gateway and/or Security Management.
Nếu bạn đang quản lý một hệ thống mạng đơn giản hoặc vừa phải, chỉ cần một hoặc một vài Security Gateway và không có nhu cầu tách biệt quản lý, thì sử dụng chế độ này là phù hợp
Nếu bạn quản lý nhiều domain độc lập, quản lý một hệ thống mạng lớn, có nhiều chi nhánh, hoặc nhiều bộ phận cần tách biệt về quản lý chính sách bảo mật, Multi-Domain Server là lựa chọn phù hợp.
- Tại mục Products, tích chọn vào mục Security Management Server để tiến hành cài đặt SMS:
- Tại mục Security Management Administrator, lựa chọn account dùng để đăng nhập, ở đây lựa chọn Use Gaia administrator: admin, nếu bạn muốn đăng nhập bằng tài khoản admin hoặc có thể chọn Define a new administrator để tạo một account khác:
- Ở mục SM Gui Clients, có thể chọn IP để truy cập vào GUI, sau đó NEXT,
- Ở mục cuối cùng này, bạn ấn Finish và Yes để tiến hành cài đặt
- Quá trình cài đặt.
Bước 4: Đăng nhập lại vào GUI của SMS, và đây là giao diện GUI:
2. Install Security Gateway
Bước 1: Tạo máy ảo sử dụng file cài đặt từ nguồn tại bước 1 ở Phần 1 (máy ảo này sẽ đóng vai trò là Security Gateway chính) với cấu hình:+ Network 1 là card mạng nối đến Internet
+ Network 2 là card mạng trong mạng LAN để quản lý SMS
+ Network 3 là đường Sync để đồng bộ giữa 2 Gateway
- Các bạn chuẩn bị 1 máy ảo như thông tin sau và đưa file ISO đã tải trên vào:
- Guest OS: Other 3.x Linux (64-bit)
- Compatibility: ESXi 7.0 U2 and later (VM version 17)
- CPU: 6 CPUs
- Memory: 12 GB
- Hard Disk: 200 GB (nên đặt là Thin Provision để không chiếm nhiều bộ nhớ hệ thống)
- Ở bước 2 này thì các bạn cũng làm tương tự như bước 1 bước 2 ở phần 1, nhưng ta sẽ chọn một cổng dùng để cấu hình IP và quản lý hệ thống, thường ta sẽ chọn cổng nội bộ (Sử dụng cổng kết nối đến lớp mạng LAN _ eth1)
Lưu ý phần IP MGMT các bạn đặt giống với mô hình:
- Khác ở bước chọn card mạng và Products
Thiết lập chỉnh lại địa chỉ IP của Card mạng quản lý Eth1 (Không cần thiết, do đã làm từ bước số 2) và thiết lập địa chỉ IP cho Card mạng WAN Eth0.
- Các bạn chọn Security Gateway, nếu các bạn dự định tạo cụm Cluster cho nhiều thiết bị SG thì các tích chọn Unit is anh part of anh cluster, còn nếu các bạn chỉ sử dụng 1 SG thì không cần tích chọn phần này:
- Thiết lập khóa cho SIC (Đây là khóa sử dụng để các thành phần trong hệ thống distributed có thể giao tiếp với nhau) để tích hợp với SMS.
- Xác nhận thông tin cài đặt và chờ quá trình cài đặt diễn ra, sau đó đăng nhập lại và xem giao diện của SG:
Sau khi kết thúc quá trình thiết lập Security Gateway đầu tiên, ta làm tương tự với Security Gateway thứ hai (Chú ý phải chỉnh lại địa chỉ đúng với mô hình mạng đã đề ra).
Attachments
Last edited: