HƯỚNG DẪN CONFIG FIREWALL NOKIA IP380 Mục lục 1. Giới thiệu 2. Mô hình lab cài đặt. 3. Các cấu hình cơ bản trên Nokia bằng Voyager web a. Cấu hình địa chỉ ip cho các interface b. Cấu hình HostName c. Cấu hình DNS server cho Nokia d. Cấu hình default gateway 4. Cài đặt sản phẩm checkpoint trên Nokia IP380 5. Cấu hình firewall checkpoint a. Cấu hình firewall b. Hạn chế băng thông người dùng c. Cấu hình VPN server trên Nokia d. Cấu hình Log server và Report 1. Giới thiệu Firewall Nokia sử dụng hệ điều hành IPSO(hiện thời Nokia IP380 chạy trên phiên bản IPSO 3.8.1), là HDH được viết dựa trên nền tảng UNIX. Với phần mềm checkpoint được cài đặt trên nó, Nokia trở thành một thiết bị security mạnh với các chức năng chính của 1 firewall và VPN. Phần mềm Check Point gồm có nhiều module, mỗi module đảm nhiệm một chức năng : + Floodgate-1 : Quản lý băng thông người dùng + UserAuthority : quản lý Group và User chung cho tất cả các module của CheckPoint + VPN-1&Firewall-1 : Module quản lý VPN và Firewall, Management. + Reporting module : kết hợp với Log module để xuất ra các báo cáo thống kê dưới dạng đồ họa. + Real time Monitor: giúp người giám sát thời gian thực firewall : throughput traffic , CPU… + Policy server: module quản lý các policy cho các remote client. Ngoài các moule trên còn nhiều module khác nữa, tùy thuộc vào từng ngữ cảnh cụ thể của các tổ chức mà mua licenses với các module khác nhau. 2. Mô hình lab cài đặt Software Checkpoint setup trên Nokia firewall theo 2 kiểu : Standalone và Distributed Setup Standalone : Checkpoint software với tất cả các module theo licenses của nó tất cả được cài đặt trên nokia firewall bao gồm Management module Internet NOKIA Firewall PC VPN-1&Firewall-1 & Management Server module Management client Setup Distributed: Checkpoint software với tất cả các module VPN-1&Firewall-1 với các module kèm theo cài đặt trên Nokia Firewall, không bao gồm Management module. Management module được cài đặt trên máy windows server 2003. NOKIA Firewall PC Internet VPN-1&Firewall-1 Management server & Management client Bài này hướng dẫn cấu hình firewall theo mô hình Distributed. 3. Cấu hình cơ bản trên Nokia firewall bằng Voyager web Nếu Nokia Firewall được cấu hình lần đầu tiên, khi start nokia lên , màn hình sẽ prompt các câu hỏi cho việc thiết đặt các cấu hình khởi tạo như: nhập password cho tài khoản admin, chọn lựa cách cấu hình firewall gồm 2 kiểu: web Voyager hoặc cấu hình theo dòng lệnh lynx. Sau khi ta chọn cách cấu hình firewall bằng web Voyager, ta sẽ được prompt để cấu hình các interface và DHCP server. Sau khi cấu hình khởi tạo hoàn tất, restart lại hệ thống và bắt đầu login vào Nokia firewall bằng 1 trong các địa chỉ đã được cấu hình ở trên., nhập username và password đã được set ở trên. a. Cấu hình địa chỉ ip cho các interface Sau khi login vào hệ thống, màn hình bên dưới hiển thị, chọn config Chọn Interface Configuration để cấu hình các interface của nokia firewall Tại màn hình Interface Configuration, ta chọn interface muốn cấu hình bằng cách nhấp lên đường link của nó. Các thông số cấu hình bao gồm : địa chỉ ip, half/full duplex, active/unactive, name. Sau khi cấu hình xong, chọn apply > save. Chú ý, sau khi cấu hình xong, phải save lại, nếu không cấu hình sẽ mất sau khi ta reset lại firewall. b. Cấu hình Hostname Sau bước cấu hình interface, ta nhấn nút up, để trở về trang trước trang đó, trong trường hợp này là trang config. Chọn link Host Address Assignment Trong bảng Static Host Entries, có ít nhất một mục là localhost được đang ký đến địa chỉ 127.0.0.1, không bao giờ xóa địa chỉ này. Thêm một name đến 1 trong các địa chỉ ip của 1 trong các interface(Interface External).Ngoài ra thêm danh sách các host mà nokia firewall thường xuyên phải giao tiếp. Apply > Save. c. Cấu hình DNS server cho Nokia Firewall Từ màn hình config chính, chọn link DNS Nhập địa chỉ DNS server, Apply > Save. d. Cấu hình default gateway Từ màn hình config chính, chọn static route Tại đây, ta thêm một default route để kết nối Nokia firewall ra internet Trên cột gateway, chọn on trên dòng default, Type next hop là Normal, Apply. Sau khi Apply, xuất hiện dòng gateway Type, chọn là Address, và nhấp địa chỉ của Next Hop kết nối ra internet Apply, Save . 4. Cài đặt sản phẩm Checkpoint trên Nokia. Các bước chuẩn bị trước khi cài đặt: a. Kiểm tra licenses cho sản phẩm: Có 2 loại license center và local. Tùy theo mô hình cài đặt mà ta chọn license thích hợp i. Với License center: Địa chỉ ip được đăng ký đến license là địa chỉ ip của management server(không phải địa chỉ ip của Enforcement), do đó 1 license center có thể gắn trên 1 Enforcement của một nokia firewall hoặc tháo ra để gắn vào một nokia firewall khác(thay đổi địc chỉ ip). ii. Với License Local: Địa chỉ ip của license gắn với địa chỉ ip của máy đáng chạy license đó. Nếu thay đổi địa chỉ ip, phải thay đổi license khác. b. Kiểm tra hostname đã được đang ký đến interface (Host Address Assignment ), và các hostname mà checkpoint nokia thường xuyên phải giao tiếp. c. Kiểm tra cấu hình DNS server cho Nokia Firewall. d. Lên kế hoạch cài đặt các module: chỉ cài đặt thành phần Enforcement module trong VPN-1&Firewall-1 Các module cần thiết cài đặt trên Nokia firewall và Management station: Nokia : Firewall-1 & VPN -1, User Authority, Smartview moniror, Policy server, Smartview Reportor – Add on, Floodgate. Windows 2003 station: Smartcenter + Log Server, SmartDaskboard, smartview Reportor Server, Floodgate – Add on. Sau khi cài đặt xong Management module và các module khác trên windows 2003, chương trình bắt buộc ta thiết lập các tham số chung sau: định nghĩa tài khoản Admin để quản trị Management module, cấu hình license cho management, GUI client … 5. Cấu hình Firewall checkpoint a. Cấu Hình Firewall Sau khi cài đặt các thành phần như đã được trình bày ở trên, sau khi đã hoàn tất các thủ tục trên, yêu cầu reboot lại firewall Nokia. A1. Thiết lập password SIC (Secure Internal Communication): để các module có thể giao tiếp được với nhau (management module và enforcement module ), ta phải thiếp lâp password SIC. Cách thiếp lập như sau: Vào console Nokia: Nhập lệnh cpconfig Chọn số 5 (Secure Internal Communication). Nhấn ENTER Thông qua các bước hướng dẫn để thiết lập password SIC Password SIC sẽ được nhập vào trong phần định nghĩa Checkpoint Gateway trong Management Station, để management server có thể giao tiếp được với Firewall, giao tiếp qua các port TCP 18190,18191, 18192 A2.Định nghĩa các thành phần mạng: khởi động SmartDaskboard, kết nối đến server Smartcenter. Nhập tài khoản admin để đi vào phần cấu hình hệ thống. Nếu lần đầu login: sẽ xuất hiện bản sau Các thành phần được định nghĩa là: + Checkpoint gateway: tại tab Network Object, nhấp phải chuột vào Checkpoint > new checkpoint > Gateway Xuất hiện bảng Checkpoint Gateway. Nhập các thông tin mà bảng Checkpoint gateway cần cung cấp như : Name, IP của gateway, check vào các module mà được cài đặt trên checkpoint gateway, Click vào Communication để nhập Password SIC, sau khi nhập Password SIC, click initialize, để kết nối đến firewall nokia, nếu hiện ra bảng dưới đây thì quá trình kết nối thành công Ngược lại, nếu có bất kỳ thông bào lỗi nào, hãy kiểm tra các kết nối mạng, hay có firewall giữa Management station và firewall module(communition SIC giao tiếp qua port 18191, 18192, 18190), sau khi kiểm tra, khởi tạo lại pasword SIC tại Nokia firewall và management station trở lại. [...]... xuống database để report server thống kê Ta cấu hình như hình dưới đây Với cấu hình được setup ở trên, nếu file log có dung lượng vượt quá 500M thì file log sẽ được chuyển xuống database hoặc file log sẽ được đẩy xuống database vào mỗi tối (Midnight) Nếu đĩa đầy nó sẽ tự động xóa các file log cũ Để Thông tin URL xuất hiện trong Smartview Tracker, ta cấu hình như sau: Tại server log: + Stop server log... Nat.Ta cấu hình các yêu cầu trên theo hình dưới đây C4 Setup Office Mode và cấp Ip cho remote client Office mode cho phép gateway đăng ký địa chỉ ip trong(ip bên trong gateway) đến remote client khi remote client connected và authiticate thành công, làm cho remote client sau khi kết nối thành công đến VPN server thì remote client đó được xử lý giống như một client bên trong gateway Ta cấu hình như hình. .. user groups > Add group mà cho phép connect đến VPN user C6 Cấu hình SCV (Secure Configuration Verification) SCV cho phép server kiểm tra cấu hình phía client(chính sách bảo mật), để đơn giản hóa quá trình cài đặt, ta cho phép phía client có thể kết nối đến server VPN bất chấp có bảo mật hay không và log lại lại các kết nối đó để theo dõi Cấu hình theo bước sau: Policy > Global Properties > remote Access... với giao thông đó thì default rule sẽ được được apply Để thêm 1 sub-rule của 1 rule nào đó, nhấp phải chuột lên rule đó và chọn add sub-rule c Cấu Hình VPN server VPN có 2 kiểu để cấu hình : site to site và remote access, Trong giới hạn của bài này, ta chỉ cấu hình kiểu Remote Access C1 Tạo account user Trên tab Users, nhấp phải chuột vào user groups, chọn new group, đặt tên là VPN-group Nhấp phải vào... Verification(SCV) , chọn như hình bên dưới d Cấu hình Log server và Report Mặc định khi ta chọn cài đặt smartcenter thì log server đã được cài đặt theo gói này và ta có thể theo dõi log real time theo chương trình smartview Tracker Report server cho phép ta thống kê log theo từng ngày, từng giờ, trên từng dịch vụ… Ta cài đặt report server trên cùng management server Cấu hình log server để để đẩy file... client mổi khi client connect thành công Để có thể dễ dàng quản lý và dễ dàng cho người sử dụng, ta cấu hình cấp ip tĩnh cố định cho từng user khi user đó connect vào VPN server thành công Cách cấu hình như sau: Sửa file ipassignment theo định dạng của file nằm trong thư mục “/opt/CPfw1-R55/conf/” trên firewall nokia với định dạng như sau: Gateway Type Ip address Fwvasc addr 192.168.1.10 C5 Setup Remote...Trong bảng checkpoint gateway, chọn mục Topology nằm bên trái, Click Get > Interface with Topology, để lấy thông tin cấu hình interface trên checkpoint gateway > click ACCEPT Phần VPN Domain sẽ đươc giải thích trong phần cấu hình VPN Double Click vào interface mà kết nối ra internet, tại tab Topology, dịnh nghĩa interface này là interface kết nối ra internet – External... tab qos Để tab QOS xuất hiện theo mô hình mà ta đang cài đặt(Distributed), ta phải cài đặt module Floodgate trên Firewall Nokia( cài đặt chung với VPN-1 Pro or VPN-1 Net) và cài đặt floodgate_Add on trên management server Vd thêm một rule hạn chế băng thông của giao thông FTP với băng thông bảo đảm (guarantee) : 500Kps, băng thông tối đa : 1Mps trên rule 1 thuộc hình trên Floodgate quản lý băng thông... vpn –group + Tab Encryption : Click Edit, chọn như hình và nhập password cho account Click OK C2 Định nghĩa VPN Domain VPN Domain chứa đựng tất cả các host được bảo vệ bởi gateway mà ta cho phép remote client có thể giao tiếp thành công Định nghĩa VPN Domain: tại tab Network Object, double click vào checkpoint gateway và định nghĩa VPN domain như hình dưới đây C3 Setup kiểu VPN: trên trang VPN , click . này hướng dẫn cấu hình firewall theo mô hình Distributed. 3. Cấu hình cơ bản trên Nokia firewall bằng Voyager web Nếu Nokia Firewall được cấu hình lần đầu tiên, khi start nokia lên , màn hình. HostName c. Cấu hình DNS server cho Nokia d. Cấu hình default gateway 4. Cài đặt sản phẩm checkpoint trên Nokia IP380 5. Cấu hình firewall checkpoint a. Cấu hình firewall b. Hạn chế băng thông người. người dùng c. Cấu hình VPN server trên Nokia d. Cấu hình Log server và Report 1. Giới thiệu Firewall Nokia sử dụng hệ điều hành IPSO(hiện thời Nokia IP380 chạy trên phiên bản IPSO 3.8.1),