Bài viết này sẽ hướng dẫn các bạn cách điều chỉnh QoS dựa trên MAC Address trên thiết bị Check Point Firewall.

2. Hướng dẫn cấu hình

Cấu hình gồm các bước:

– Bật tính năng QoS trên Check Point Firewall

– Điều chỉnh QoS dựa trên MAC Address của thiết bị

1. Bật tính năng QoS trên Check Point Firewall
   1. Vào phần Device -> Network -> Internet, chọn Edit

2. Vào phần Advanced, tích vào 2 ô Enable QoS (download) và Enable QoS (upload). Có thể điều chỉnh QoS mong muốn vào ô, sau đó ấn Save

3. Vào website để kiểm tra tốc độ download và upload

2. Điều chỉnh QoS dựa trên MAC Address của thiết bị
   1. Kiểm tra MAC Address trên thiết bị

2. Vào phần Access Policy -> QoS -> Policy -> New -> Top Rule

3. Vào phần Source -> New -> Network Object

4. Ở phần Type, chọn Device. Ở phần Host MAC address, điền MAC Address vào, lưu ý đổi các dấu “–“ thành “:”. Điền tên muốn đặt cho thiết bị đó. Sau đó ấn Save

5. Vào phần Guarantee/Limit -> Tích vào ô Guarantee/Limit -> Tích vào ô Limit. Điền số mong muốn. Sau đó ấn OK

6. Ấn Save

3. Kết quả

Tốc độ Download và Upload của thiết bị chỉ định đã bị giới hạn bởi Check Point Firewall.

Bài viết này sẽ hướng dẫn các bạn cách chặn các ứng dụng mong muốn trên thiết bị Check Point Firewall.

2. Hướng dẫn cấu hình

Cấu hình gồm các bước:

– Bật tính năng SSL Inspection

– Tạo group các ứng dụng muốn chặn

– Áp dụng các group đó vào Policy

1. Bật tính năng SSL Inspection
   1. Vào phần Access Policy -> SSL Inspection -> Policy, chọn SSL traffic inspection. Sau đó ấn Save

2. Tải CA Certificate về máy

3. Dùng tổ hợp phím Window + R, nhập mmc, nhấn OK

4. Ấn File -> Add/Remove Snap-ins

5. Chọn Certificates -> Computer account -> Next -> Finish -> OK

6. Ấn Certificates (Local Computer) -> Trusted Root Certification Authorities. Sau đó nhấp chuột phải vào Certificates -> All Tasks -> Import

7. Ấn Next -> Browse -> Chọn ca -> Open -> Next -> Finish

2. Tạo group các trang web muốn chặn
   1. Vào phần Users & Objects -> Applications & URLs -> New -> Application Group

2. Chọn các ứng dụng muốn chặn, sau đó ấn Save

3. Áp dụng các group đó vào Policy
   1. Vào phần Access Policy -> Firewall -> Policy -> New -> Top Rule

2. Ở phần Application / Service, hãy chọn group ứng dụng muốn chặn. Ở phần Action, chọn Block. Sau đó ấn Save

3. Kết quả

Lưu lượng khi đi tới các ứng dụng đã bị chặn bởi Check Point Firewall.

Với tính năng User Awareness bạn có thể cấu hình để xác định các nguồn nhằm lấy danh tính người dùng, cho mục đích ghi log và cấu hình. User Awareness sẽ giúp hiển thị log dựa trên người dùng thay vì dựa trên địa chỉ IP và thực thi kiểm soát truy cập cho người dùng và nhóm người dùng.

Để sử dụng User Awareness bạn phải cấu hình các phương pháp nhận dạng để lấy thông tin về người dùng và nhóm người dùng. Sau khi gateway có được danh tính của người dùng, các quy tắc dựa trên người dùng có thể được thực thi trên network traffic trong Access Policy.

User Awareness có thể sử dụng các nguồn sau để xác định người dùng:

+ Active Directory Queries: Truy vấn đến máy chủ AD (Active Directory) để lấy thông tin người dùng.

+ Browser-Based Authentication: Sử dụng cổng thông tin để xác thực người dùng được xác định cục bộ hoặc như một bản sao lưu cho các phương pháp nhận dạng khác.

2. Network Diagram

Bài viết hôm nay sẽ hướng dẫn các bạn cấu hình đồng bộ user từ AD lên Checkpoint Firewall sử dụng user được đồng bộ để xác thực VPN Remote Access và cấu hình policy theo group user đã đồng bộ.

3.Hướng dẫn cấu hình.

Bước 1: Cấu hình Active Directory Queries.

Ví dụ: Trên AD Server có 3 group: Accounting, Sale và IT.

Mỗi group có 1 user là: John, Kane, Kevin.

Trên giao diện quản trị của Checkpoint > Access Policy > User Awareness > Blade Control.

Click chọn ON User Awareness > Click chọn Active Directory Queries > Configure…

Trong Active Directory Queries, click chọn Define a new Active Directory và điền các thông số sau:

• Domain: Điền tên domain của AD
• IPv4 address: Điền địa chỉ IP của AD Server
• User name: Điền user domain (Nên đùng user admin domain)
• Password: Nhập password user
• User DN: Điền FQDN user (Ex: CN=Administrator,CN=Users,DC=vacif,DC=local).

Click chọn Discover, nếu không có thông báo lỗi nào là bạn đã queries thành công. Click Apply.

Khi bạn click chọn lại Configure, domain “vacif.local” sẽ xuất hiện trong bảng Use existing Active Directory servers.

Tiếp theo bạn di chuyển xuống phần User & Objects > User Management > Authentication Servers > Active Directory.

Click chọn “Permissions for Active Directory users”, trong Grant remote access permissions to: click chọn “Selected AD user group” để có thể sử dụng các user group đã được đồng bộ để xác thực VPN Remote Access. Click Apply.

Bước 2: Add các User Group cho Remote Access Users.

Bạn di chuyển đến phần VPN > Remote Access > Remote Access Users > Edit Permissions > Active Directory.

Ở đây bạn sẽ thấy các User Group đã được đồng bộ từ AD.

Bạn click chọn các User Group bạn muốn dùng để xác thực. Click Apply.

Như vậy bạn đã add thành công 3 Group: Accounting, Sales và IT.

Note: Bạn sẽ không thể chọn add 1 user cụ thể từ AD, bạn chỉ có thể chọn group có chứa user đó.

Bước 3: Kiểm tra xác thực VPN Remote Access sử dụng User Syn từ AD.

Bạn có thể tham khảo cấu hình VPN Remote Access sử dụng Checkpoint VPN Client qua bài viết sau: https://www.thegioifirewall.com/checkpoint-firewall-huong-dan-cau-hinh-vpn-remote-access-cho-users-su-dung-checkpoint-vpn-clients/

Kiểm tra kết nối VPN user Kevin nằm trong Group Accounting: Kết nối thành công

Kiểm tra kết nối VPN user Kane nằm trong Group Sale: Kết nối thành công.

Kiểm tra kết nối VPN user John nằm trong Group Sale: Kết nối thành công.

Bạn cũng có thể tạo Policy riêng cho group trong Access Policy > Firewall > Policy > New Policy.

Trong Source > Active Directory > chọn Group (Ex: Accounting).

Với tính năng SSL Inspection bạn sẽ cho phép nhiều Software Blades khác nhau hỗ trợ kiểm tra SSL kiểm tra lưu lượng được mã hóa bởi giao thức Secure Sockets Layer (SSL). Để cho phép gateway kiểm tra các kết nối bảo mật, tất cả các endpoint phía sau gateway phải cài đặt gateway CA certificate.

Software Blades hỗ trợ SSL traffic inspection bao gồm:

• Application & URL Filtering
• IPS
• Anti-Virus
• Anti-Bot
• Threat Emulation

Bài viết sẽ hướng dẫn các bạn cấu hình SSL Inspection, cài đặt CA certificate trên máy trạm, cũng cấu hình bypass các traffic bạn tin tưởng khỏi sự kiểm tra của tính năng SSL Inspection.

2. Hướng dẫn cấu hình.

Bước 1: Bật SSL Inspection.

Trên giao diện quản trị của Checkpoint Firewall > Access Policy > SSL Inspection >Policy

Click chọn SSL traffic inspection để enable tính năng này.

Protocols to inspect chọn HTTPS.

Tiếp theo click chọn Download CA Certificate để tải xuống CA Certificate.

Bước 2: Cài đặt CA Certificate.

Trên máy trạm trong mạng LAN của Checkpoint Firewall. Nhấn tổ hợp phím Window + R. Gõ “mmc” để add CA Certificate vào Trust Root Certificate Authorities.

CLick chọn File > Add/Remove Snap-in..

Chọn mục Certificates trong bảng Available snap-in và click Add.

Chọn Computer Account > Next

Chọn Local computer > Finish.

Tiếp theo mở mục Certificates (Local Computer) > Trusted Root Certification Authorities > Certificate > Right click > All task > Import.

Click chọn Next > Browse chọn file CA Certificate đã tải xuống ở bước 1.

Chọn file Ca.crt > Open.

Click Next > chọn Place all certificates in the following store là “Trusted Root Certification Authorities”. Click Next.

Cuối cùng chọn Finish. Thông báo “The import was successful” bạn đã add CA certificate thành công.

Bước 3: Cấu hình Bypass các traffic khỏi SSL Inspection.

Bạn đi chuyển đến Log and Monitoring > Log > Security Logs. Bạn sẽ thấy tất cả các traffic đều bị HTTPS Inspect.

Hầu hết các trang web đều vẫn có thể truy cập được khi bật tính năng này như facebook.com

Nhưng cũng có những trang web không thể truy cập nếu bật tính năng SSL Inspection này như chat.zalo.me

Để bypass web chat.zalo.me khỏi SSL Inspection bạn cần add URL website này vào mục Exceptions.

Trong SSL Inspection > Exceptions >New.

Điền các thông số sau:

Source: LAN Network

Destination: Internet

Service: HTTPS

Category/Custom Application: Chọn New > URL.

Điền URL “chat.zalo.me”. CLick Apply.

Click Apply.

Truy cập lần nữa vào trang web chat.zalo.me, bạn đã truy cập vào trang web bình thường.

Kiểm tra Logs trên Checkpoint, bạn sẽ thấy log web chat.zalo.me đã được Bypass.

Với tính năng Browser-Based Authentication trên Checkpoint sử dụng giao diện web để xác thực người dùng trước khi họ có thể truy cập tài nguyên mạng hoặc Internet. Khi người dùng cố gắng truy cập một tài nguyên được bảo vệ, họ phải đăng nhập xác thực để tiếp tục truy cập.

2. Network Diagram.

Bài viết hôm nay sẽ hướng dẫn các bạn cấu hình tính năng Browser-Based Authentication trên Checkpoint Firewall để xác thực, cũng như tạo các policy theo người dùng trước khi truy cập Internet.

3. Hướng dẫn cấu hình.

Bước 1: Cấu hình Browser-Based Authentication.

Để enable tính năng Browser-Based Authentication trên giao diện quản trị của Checkpoint Firewall > Access Policy > User Awareness > Blade Control > Click chọn ON User Awareness.

Dưới phần Policy Configuration > click chọn Browser-Based Authentication > click Configure.

Trong Identification tab:

Bạn có thể chọn Block unauthenticated users when the captive portal is not applicable cho các user chưa được xác thực.

Specific destinations: Chọn Internet.

Chuyển qua Customization tab: Bạn có thể để mặc định, hoặc có thể dùng logo khác theo ý muốn bằng cách click chọn Upload.

Chuyển qua Advanced tab:

Portal Address: Điền địa chỉ IP sẽ dùng để làm trang xác thực user.

Session timeout: Cài đặt thời gian user có thể truy cập network hoặc Internet trước khi cần xác thực lại.

Sau cùng click Apply.

Bước 2: Tạo Users.

Trong giao diện quản trị của Checkpoint Firewall > User & Objects > User Awareness >User > New > Local User.

Trong Remote Access tab: Điền các thông số như hình dưới. Click Apply.

Ở đây mình tạo 2 user là John và Steven.

Bước 3: Kiểm tra cấu hình.

Bạn sử dụng máy tính trong mạng LAN của Checkpoint thử truy cập các trang web thì sẽ xuất hiện 1 trang web của Checkpoint yêu cầu xác thực thông tin người dùng trước khi được truy cập Internet.

Bạn điền Username và Password của John đã tạo ở bước 2. Click Log In.

Click chọn “I have read and agreed to the terms and conditions“. Click Next.

Khi đã xác thực thành công bạn sẽ truy cập internet bình thường. Sẽ hiện thông báo thời gian bạn có thể truy cập Internet bình thường trước khi cần phải xác thực lại.

Note: Bạn không được tắt trang xác thực này để duy trì việc truy cập Internet.

Bước 4: Tạo Policy xác thực theo User.

Tiếp theo mình sẽ tạo 1 policy cấm truy cập facebook đối với user John.

Trên giao diện quản trị của Checkpoint Firewall > User & Objects > Network Resources >Network Object Groups > New.

Điền tên cho Network Object Groups (Ex: Block_FB_VN) > New > Type: Domain Name > Domain: Facebook.com. Click Apply.

Để tạo Policy bạn đi đến Access Policy > Firewall > Policy > New > On Top.

Trong phần Source: chọn User tab > chọn John.

Destination: chọn Network Object Groups (Ex: Block_FB_VN).

Action: chọn Block.

Click Apply.

Đã tạo xong policy chặn truy cập facebook với user John.

Kiểm tra: Xác thực với user John và thử truy cập facebook, kết quả là không thể truy cập được. Nhưng các trang web khác vẫn truy cập bình thường.

Kiểm tra Log trên Checkpoint Firewall. Các traffic user John đều bị Drop.

Tiếp tục Login bằng user Steven thì truy cập facebook bình thường.

Kiểm tra Log trên Checkpoint Firewall. Log thể hiện user John đã log out và user Steven đã login thành công.

Trên Checkpoint Firewall cung cấp các Administrator Roles sau:

Super Administrator: Có tất cả các quyền cấu hình. Quản trị viên cấp cao có thể tạo quản trị viên mới được xác định và thay đổi quyền cho những người khác.

Read Only Administrator: Quyền hạn chế. Read Only Administrator không thể cập nhật cấu hình nhưng có thể thay đổi mật khẩu của riêng mình hoặc chạy báo cáo giám sát lưu lượng từ trang Tool.

Networking Administrator: Quyền hạn chế. Networking Administrator có thể cập nhật hoặc sửa đổi operating system settings. Và cũng có thể chọn service hoặc network object nhưng không thể tạo hoặc sửa đổi nó.

Mobile Administrator: Mobile administrators cho phép thực hiện tất cả các hoạt động mạng trên tất cả các giao diện. Có thể tự thay đổi mật khẩu của riêng mình, tạo báo cáo, reboot, thay đổi sự kiện và chính sách di động. Mobile administrators không thể đăng nhập hoặc truy cập vào WebUI.

Hai quản trị viên có write permissions không thể đăng nhập cùng một lúc. Nếu một quản trị viên đã đăng nhập, một thông báo sẽ hiển thị. Bạn có thể chọn đăng nhập với Read-Only permission hoặc tiếp tục. Nếu bạn tiếp tục quá trình đăng nhập, phiên quản trị viên đầu tiên sẽ tự động kết thúc.

2. Hướng dẫn cấu hình.

Bước 1: Tạo các Administrator Roles.

Trên trang quản trị của Checkpoint Firewall > Device > System > Administrators > New.

Vì đã có mặc định Super Admin, nên ta sẽ tạo thêm các Administrator Roles còn lại.

Ở đây mình sẽ tạo thêm Administrator Roles là Read-Only Admin và Networking Admin.

Bạn có thể tinh chỉnh các yêu cầu cho các Administrator Roles trong Security Setting.

Đã tạo xong các Administrator Roles.

Bước 2: Kiểm tra các quyền của Administrator Roles.

Read-Only Admin: Đăng nhập bằng user admin John.

Thử cập nhật các Firewall Policy sẽ nhận được thông báo không có quyền để cấu hình.

Tiếp theo là Networking Admin: Đăng nhập với user admin Steven

Thử cập nhật các Firewall Policy sẽ nhận được thông báo không có quyền để cấu hình.

User Steven chỉ có quyền chỉnh sửa trong phần Device > Network.

Bước 3: Cấu hình cho Mobile Admin.

Trên trang quản trị của Checkpoint Firewall > Device > System > Administrators > New.

Tạo user admin Mark với admin role là Mobile Admin.

Tiếp theo click chọn Mobile Pairing Code.

Select administrator: chọn user admin Mark > click chọn Generate.

Trên thiết bị Mobile của admin Mark, download ứng dụng CheckPoint WatchTower.

Tiếp theo điền tên và cung cấp email để đăng kí tài khoản.

Bạn mở email đã đùng để đăng kí trước đó, sẽ nhận được 1 email của Checkpoint có chứa dòng code token để xác thực.

Copy và paste code trong email vào mục Code như hình dưới.

Click Continue và tạo Password đăng nhập cho WatchTower. Cuối cùng click Activate.

Click Add Gateway. Bạn sẽ Scan mã QR ở phần Mobile Pairing Code đã tạo.

Tiếp theo nhập Admin Name là Mark và password đã tạo ở trên. Kết nối thành công thì giao diện CheckPoint WatchTower sẽ hiển thị như hình dưới.

Click chọn Settings bạn có thể kiểm tra các thông số cơ bản đã cấu hình của thiết bị Checkpoint.

Click chọn icon dấu 3 chấm. Sẽ có các tùy chọn như Reboot và Additional Gateway Settings.

Tiếp tục click chọn Additional Gateway Settings. Bạn có thể đăng nhập quyền super admin để chỉnh sửa cấu hình thiết bị trên giao diện Mobile.

Với tính năng VPN Remote Access bạn có thể thiết lập các kết nối được mã hóa an toàn giữa các thiết bị như thiết bị di động, máy tính để bàn tại nhà và máy tính xách tay cũng như tổ chức thông qua Internet.

Để truy cập từ xa, bạn phải xác định người dùng trong hệ thống bằng thông tin đăng nhập và đặt quyền cho người dùng được chỉ định. Thiết bị phải có thể truy cập được từ Internet.

Các phương thức Checkpoint hỗ trợ để VPN:

Check Point VPN clients: Để kết nối máy tính xách tay và máy tính để bàn

Mobile client: Để kết nối điện thoại thông minh và máy tính bảng

SSLVPN: Để kết nối thông qua SSL VPN

Windows VPN Client: Để kết nối thông qua VPN Client (L2TP)

2. Network Diagram

Bài viết hôm nay sẽ hướng dẫn các bạn cấu hình VPN Remote Access cho người dùng truy cập từ xa vào mạng nội bộ sử dụng Checkpoint VPN Client cài đặt trên máy tính người dùng với Checkpoint Firewall.

3. Hướng dẫn cấu hình

Bước 1: Tạo tên DDNS cho IP PPPOE trên Modem.

Note: Như mô hình ở trên do Modem quay PPPOE, Checkpoint Firewall chỉ là lớp mạng local do Modem cấp nên ta không thể cấu hình VPN với IP WAN của Checkpoint Firewall.

Nên bạn cần tạo 1 tên miền DDNS cho IP PPPOE (IP: 115.78.xx.xx) này (Ex: vpncheckpoint.ddns.net), kể cả là IP động hay IP tĩnh để kết nối VPN thành công.

Note: Nếu là mô hình Checkpoint đứng ra quay số PPPOE thì không cần đăng kí tên miền này. Bạn có thể cấu hình VPN Remote Access từ Bước 3.

Bạn có thể tạo 1 tài khoản tạo tên miền DDNS miễn phí như No-IP để sử dụng.

Trong khi tạo tên miền DDNS bạn cần tạo username để add tên miền này lên Checkpoint Firewall.

Bước 2: Enable DDNS trên Checkpoint Firewall.

Trên giao diện quản trị của Checkpoint Firewall > Device > System > DDNS & Device Access.

Click chọn “Connect to the applicance by name from the Internet (DDNS)”.

Cung cấp các thông tin như hình dưới:

Provider: chọn no-ip

User name: Nhập tên user đã tạo trên tài khoản No-ip

Password: Nhập password đăng kí tài khoản No-IP

Host name: Nhập tên miền đã cấu hình với IP PPPOE ở bước 1.

Bước 3: Tạo User VPN Remote Access.

Trên giao diện quản trị của Checkpoint Firewall > VPN > Remote Access > Remote Access Users > Add.

Điền các thông số cho user như hình dưới.

Click chọn “Remote Access Permissions”. Click Apply.

Nếu bạn yêu cầu bảo mật cao bạn có thể đổi port của SSL VPN (mặc định: 443), còn không bạn có thể để mặc định. Tiếp tục Bước 4.

Bạn có thể đổi port SSL VPN, di chuyển đến Device > Advanced > Advanced Settings. Bạn search “SSL VPN“.

Tìm và click chọn dòng “VPN Remote Access – Remote Access Port“.

Bạn đổi port như hình dưới.

Nếu đã đổi port như mô hình ở trên ta cần mở port 4435 trên modem. Để modem có thể forwarding traffic VPN.

Check port đã mở thành công hay chưa với các trang web check port open như yougetsignal.com

“Port 4435 is open on….” là đã mở port thành công.

Bước 4: Tải và cài đặt Checkpoint VPN Clients.

Trên giao diện quản trị của Checkpoint Firewall > VPN > Remote Access > Remote Control. Click ON Remote Access.

Trong phần Checkpoint VPN Clients, click How to connect…

Tại đây sẽ hướng dẫn bạn cách cấu hình Checkpoint VPN Client. Click “here” để đi trang tải Checkpoint VPN Client.

Click chọn “Remote Access (VPN) Clients product page”.

Chuyển qua mục “Downloads” và chọn các trang gần cuối để tìm phiên bản Checkpoint VPN Client mới nhất

Click chọn “E86.30 Checkpoint…..for Windows”

Click chọn Download.

Mở phần mềm Checkpoint VPN Client vừa tải xuống để cài đặt xuống máy. Click Next.

Chọn Endpoint Security VPN. CLick Next.

Click Install.

Sau khi cài xong, click chọn Finish.

Bước 5: Cấu hình Site cho Checkpoint VPN Client.

Click chọn icon ổ khóa màu vàng trong taskbar, bảng thông báo hiện lên click Yes.

Click Next.

Trong Server address or Name: Điền tên miền DDNS + Port đã cấu hình ở bước 1. Click Next.

Bạn đợi để thiết lập site kết nối.

Chọn Next.

Chọn kiểu xác thực là Username and Password. Click Next.

Thiết lập site kết nối thành công. CLick Finish.

Click Yes.

Nhập Username và Password đã tạo ở bước 3. Click chọn Connect.

Bạn đợi để thiết lập kết nối.

VPN Remote Access đã kết nối thành công với status là “Connected”.

Bước 6: Kiểm tra.

Bạn có thể đăng nhập vào Checkpoint Firewall sau khi VPN thành công.

Check trên Checkpoint Firewall phần “Connected Remote Users” đã thấy xuất hiện user John kết nối.

Kiểm tra trên máy user John đã nhận đúng IP 172.16.10.2.

Với VPN Site to Site, bạn có thể tạo các đường hầm VPN kết nối với các remote site. Site to Site VPN có thể kết nối hai mạng được phân tách bằng Internet thông qua một đường hầm VPN được mã hóa an toàn. Điều này cho phép kết nối an toàn liền mạch giữa hai mạng trong cùng một tổ chức mặc dù chúng cách xa nhau về vật lý.

2. Network Diagram

Bài viết hôm nay sẽ hướng dẫn các bạn cấu hình VPN site to site trên thiết bị Checkpoint Firewall kết nối với site Sophos XG230.

3. Hướng dẫn cấu hình.

Bước 1: Cấu hình VPN site to site trên Checkpoint

Trên giao diện quản trị của Checkpoint Firewall > VPN > Site to site > Blade Control. Click On Site to Site VPN.

Di chuyển xuống phần VPN Sites > New.

Trong phần New VPN Site. điền các thông số sau:

Site name: Điền tên kết nối VPN bạn muốn.

Connection Type: chọn hostname or IP address.

IP address: Điền IP WAN của SOPHOS XG site

Authentication: chọn Pre-Shared secret.

Passwword + Confirm: Điền và nhập lại pre-share key (Bạn sẽ tự tạo key này, key sẽ được sử dụng lại để cấu hình tạo kết nối bên Sophos site)

Trong Remote Site Encryption Domain chọn New.

Chọn Type là Network

Network address: Điền remote network của bên Site Sophos

Object name: Đặt tên cho remote network. Click Apply.

Bạn có thể add nhiều LAN Network bằng cách tiếp tục click chọn New để tạo.

Chuyển qua Encryption tab. Bạn điền các thông số IKE (Phase 1) và IPsec (Phase 2) đã thống nhất giữa 2 site như hình dưới.

Chuyển qua Advanced tab. Chọn Encryption Method là IKEv2. Cuối cùng click chọn Apply.

Đã cấu hình xong VPN bên Site Checkpoint.

Bước 2: Cấu hình VPN site to site trên Sophos XG.

2.1. Cấu hình IPsec Profiles.

Trên giao diện quản trị Sophos XG > Configure > Site to Site VPN > IPsec Profiles.

Để tạo IPsec Profile click Add.

Trong IPsec Profile, điền các thông số sau:

Name: Điền tên cho profile

Key Exchange: chọn IKEv2

Authentication Mode: chọn Main Mode.

Điền các thông số Phase 1 và 2 như đã thống nhất giữa 2 site. Click Save.

2.2. Cấu hình tạo Local Network và Remote Network.

Tiếp theo tạo các Local Network bên Sophos Site (LAN_SOPHOS) và Remote Network (LAN_CHECKPOINT) bên Checkpoint Site.

2.3 Cấu hình kêt nối IPsec VPN site to site.

Trên giao diện quản trị Sophos XG > Configure > Site to Site VPN > IPsec > Add.

Trong Genaral Setting, điền các thông số sau:

Name: Điền tên cho kết nối VPN bạn muốn

Connection type: chọn Site-to-site

Gateway type: Respond only.

Click chọn Active on save và Create firewall rule.

Kéo xuống phần Encryption:

Profile: chọn IPsec Profile đã tạo ở bước 2.1

Authentication type: chọn Preshared key.

Nhập và xác nhận preshared key như đã cấu hình bên Checkpoint site.

Kéo xuống phần Gateway settings:

Listenning interface: chọn IP port WAN của Sophos site

Gateway address: Điền IP WAN bên Checkpoint site

Local Subnet: Chọn LAN_SOPHOS đã tạo ở bước 2.2

Remote Subnet: Chọn LAN_CHECKPOINT đã tạo ở bước 2.2

Click Save.

2.4 Active kết nối VPN site to site

Dưới mục Status phần Active click chọn icon chấm đỏ và click OK.

Đã kết nối VPN Site to Site thành công khi Status phần Active và Connection đều hiện chấm màu xanh.

Kiểm tra bên Checkpoint Site. Đi đến phần VPN Tunnels kiểm tra Status là Active là kết nối VPN thành công.

Để kiểm tra kết nối giữa 2 site. Bạn sử dụng 1 máy bên Checkpoint Site ping đến 1 máy bên Sophos Site.

Kết quả ping thành công.

Với tính năng VPN Remote Access bạn có thể thiết lập các kết nối được mã hóa an toàn giữa các thiết bị như thiết bị di động, máy tính để bàn tại nhà và máy tính xách tay cũng như tổ chức thông qua Internet.

Để truy cập từ xa, bạn phải xác định người dùng trong hệ thống bằng thông tin đăng nhập và đặt quyền cho người dùng được chỉ định. Thiết bị phải có thể truy cập được từ Internet.

Các phương thức Checkpoint hỗ trợ để VPN:

Check Point VPN clients: Để kết nối máy tính xách tay và máy tính để bàn

Mobile client: Để kết nối điện thoại thông minh và máy tính bảng

SSLVPN: Để kết nối thông qua SSL VPN

Windows VPN Client: Để kết nối thông qua VPN Client (L2TP)

2. Network Diagram

Bài viết hôm nay sẽ hướng dẫn các bạn cấu hình VPN Remote Access cho người dùng truy cập từ xa vào mạng nội bộ sử dụng Mobile Client cài đặt trên điện thoại hoặc máy tính bảng của người dùng với Checkpoint Firewall.

Với cấu hình VPN Remote Access bạn có thể tham khảo trước bài biết: https://www.thegioifirewall.com/checkpoint-firewall-huong-dan-cau-hinh-vpn-remote-access-cho-users-su-dung-checkpoint-vpn-clients/

3. Hướng dẫn cấu hình.

Bước 1: Tạo User VPN Remote Access.

Trên giao diện quản trị của Checkpoint Firewall > VPN > Remote Access > Remote Access Users > Add.

Điền các thông số cho user như hình dưới.

Click chọn “Remote Access Permissions”. Click Apply.

Bước 2: Tải và cài đặt Mobile Clients.

Trên giao diện quản trị của Checkpoint Firewall > VPN > Remote Access > Remote Control. Click ON Remote Access.

Trong phần Mobile Clients, click How to connect…

Tại đây sẽ hướng dẫn bạn cách cấu hình Mobile Client. Đầu tiên trên điện thoại hoặc máy tính bảng của user bạn cần tải phần mềm Checkpoint Mobile tương ứng.

Ex: Với điện thoại Android bạn vào CH Play tải ứng dụng “Checkpoint Capsule VPN”.

Sau khi cài đặt xong click “Mở”.

Click Continue.

Name: Điền tên cho kết nối VPN

Server: Điền tên miền DDNS đã cấu hình. Click Create.

Click chọn “Trust” và chọn xác thực kiểu là Username and Password.

Nhập Usernamr và Password đã cấu hình ở bước 1. Click Connect. Kết quả đã kết nối thành công.

Chuyển qua Detail tab. Các thông tin kết nối sẽ hiển thị tại đây.

Với Local Network sẽ cho phép bạn thiết lập và cấu hình các kết nối switches, tạo vlan, bridge port hoặc wireless network.

+ Cấu hình Switch giữa các cổng LAN cục bộ có sẵn và mạng không dây. Traffic cổng này không được giám sát hoặc kiểm tra.

+ Cấu hình nhiều bridge port các cổng. Các traffic trong bridge port luôn được thiết bị giám sát và kiểm tra.

+ Tạo và cấu hình các VLAN trên bất kỳ cổng LAN hoặc DMZ nào.

+ Tạo và cấu hình các đường hầm VPN (VTI) có thể được sử dụng để tạo các quy tắc định tuyến nhằm xác định lưu lượng nào được định tuyến qua đường hầm và do đó cũng được mã hóa (Route based VPN).

2. Hướng dẫn cấu hình.

2.1 Cấu hình tạo VLAN.

Trên giao diện quản trị của Checkpoint Firewall > Device > Network > Local Network > New > Vlan.

Trong New VLAN > Configuration: Điền các thông số sau

Vlan ID: Điền vlan id bạn muốn tạo.

Local Network port: chọn 1 port trên Checkpoint để cấu hình cho VLAN.

Assigned to: chọn Separate Network.

Local IP address: điền ip gateway của VLAN.

DHCPv4 Server: chọn Enable.

Ip address range: Điền dải ip bạn muốn cấp cho VLAN

Chuyển qua DHCPv4 Settings tab, bạn có thể để mặc định.

Khi đã tạo xong VLAN bạn cần enable cổng LAN để có thể sử dụng. Chọn cổng LAN đã cấu hình (Ex: LAN6), click Enable.

Khi cổng LAN6.100 hiện trạng thái đã “UP” thì bạn đã cấu hình xong VLan, bây giờ chỉ cần bạn gắn switch vào cổng LAN6 access Vlan là đã có thể sử dụng.

2.2 Cấu hình tạo Bridge Port.

Trên giao diện quản trị của Checkpoint Firewall > Device > Network > Local Network > New > Bridge

Trong New Bridge > Configuration: click chọn các cổng LAN bạn cần Bridge.

Name: Điền tên bạn muốn cho cổng Bridge.

Local IPv4 address: Điền ip gateway cho cổng bridge.

DHCPv4 Server: chọn Enable.

IP address range: Điền dải ip bạn muốn cấp cho cổng Bridge.

Chuyển qua DHCPv4 Settings tab, bạn có thể để mặc định.

Click Apply. Đã tạo xong Port Bridge.

Để kiểm tra bạn có thể gắn dây mạng lần lượt vào LAN7 và LAN8 để xem Checkpoint sẽ cấp cùng lớp IP hay không.

Cả 2 cổng đều cấp IP lớp 192.168.201.0 như đã cấu hình.

2.3 Cấu hình Switch Port.

Trên giao diện quản trị của Checkpoint Firewall > Device > Network > Local Network > New > Switch.

Trong New Bridge > Configuration: click chọn các cổng LAN bạn cần.

Local IPv4 address: Điền ip gateway cho cổng.

DHCPv4 Server: chọn Enable.

IP address range: Điền dải ip bạn muốn cấp.

Click Apply. Đã tạo xong Switch Port.

Kiểm tra thiết bị đã nhận đúng dải IP đã cấu hình.