1.Overview
Với tính năng Browser-Based Authentication trên Checkpoint sử dụng giao diện web để xác thực người dùng trước khi họ có thể truy cập tài nguyên mạng hoặc Internet. Khi người dùng cố gắng truy cập một tài nguyên được bảo vệ, họ phải đăng nhập xác thực để tiếp tục truy cập.
2. Network Diagram.
Bài viết hôm nay sẽ hướng dẫn các bạn cấu hình tính năng Browser-Based Authentication trên Checkpoint Firewall để xác thực, cũng như tạo các policy theo người dùng trước khi truy cập Internet.
3. Hướng dẫn cấu hình.
Bước 1: Cấu hình Browser-Based Authentication.
Để enable tính năng Browser-Based Authentication trên giao diện quản trị của Checkpoint Firewall > Access Policy > User Awareness > Blade Control > Click chọn ON User Awareness.
Dưới phần Policy Configuration > click chọn Browser-Based Authentication > click Configure.
Trong Identification tab:
Bạn có thể chọn Block unauthenticated users when the captive portal is not applicable cho các user chưa được xác thực.
Specific destinations: Chọn Internet.
Chuyển qua Customization tab: Bạn có thể để mặc định, hoặc có thể dùng logo khác theo ý muốn bằng cách click chọn Upload.
Chuyển qua Advanced tab:
Portal Address: Điền địa chỉ IP sẽ dùng để làm trang xác thực user.
Session timeout: Cài đặt thời gian user có thể truy cập network hoặc Internet trước khi cần xác thực lại.
Sau cùng click Apply.
Bước 2: Tạo Users.
Trong giao diện quản trị của Checkpoint Firewall > User & Objects > User Awareness >User > New > Local User.
Trong Remote Access tab: Điền các thông số như hình dưới. Click Apply.
Ở đây mình tạo 2 user là John và Steven.
Bước 3: Kiểm tra cấu hình.
Bạn sử dụng máy tính trong mạng LAN của Checkpoint thử truy cập các trang web thì sẽ xuất hiện 1 trang web của Checkpoint yêu cầu xác thực thông tin người dùng trước khi được truy cập Internet.
Bạn điền Username và Password của John đã tạo ở bước 2. Click Log In.
Click chọn “I have read and agreed to the terms and conditions“. Click Next.
Khi đã xác thực thành công bạn sẽ truy cập internet bình thường. Sẽ hiện thông báo thời gian bạn có thể truy cập Internet bình thường trước khi cần phải xác thực lại.
Note: Bạn không được tắt trang xác thực này để duy trì việc truy cập Internet.
Bước 4: Tạo Policy xác thực theo User.
Tiếp theo mình sẽ tạo 1 policy cấm truy cập facebook đối với user John.
Trên giao diện quản trị của Checkpoint Firewall > User & Objects > Network Resources >Network Object Groups > New.
Điền tên cho Network Object Groups (Ex: Block_FB_VN) > New > Type: Domain Name > Domain: Facebook.com. Click Apply.
Để tạo Policy bạn đi đến Access Policy > Firewall > Policy > New > On Top.
Trong phần Source: chọn User tab > chọn John.
Destination: chọn Network Object Groups (Ex: Block_FB_VN).
Action: chọn Block.
Click Apply.
Đã tạo xong policy chặn truy cập facebook với user John.
Kiểm tra: Xác thực với user John và thử truy cập facebook, kết quả là không thể truy cập được. Nhưng các trang web khác vẫn truy cập bình thường.
Kiểm tra Log trên Checkpoint Firewall. Các traffic user John đều bị Drop.
Tiếp tục Login bằng user Steven thì truy cập facebook bình thường.
Kiểm tra Log trên Checkpoint Firewall. Log thể hiện user John đã log out và user Steven đã login thành công.