Đồ án Tìm hiểu Firewall Trên Checkpoint

nation của gói tin ban đầu và IP destination của gói tin sau khi chuyển dổi.  Service : Service hoặc port của gói tin trước và sau khi chuyển đổi. Khi firewall nhận một gói tin, firewall sẽ tiến hành so sánh với rule đầu tiên trong NAT Rule Base, và cứ như thế firewall tiếp tục so sánh với các sau đó là rule thứ 2, 3 và đến hết. Khi các điều kiện của một rule đã thõa thì firewall sẽ ngừng kiểm tra và sử dụng NAT Rule đó. Automatic Rule được xét theo độ ưu tiên sao đây : 1. Static NAT rule lúc nào cũng được ưu tiên trước Hide NAT rule. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 32 2. NAT tại một host (Node) trong mạng được ưu tiên so với NAT một dãy IP hay cả một Network. Bidirectional NAT Bidirectional NAT chỉ được áp dụng cho Automatic NAT rules trong NAT Rule Base. Bidirectional NAT cho phép một connection có thể thỏa đồng thời 2 Automatic NAT Rule. Khi Automatic NAT được sử dụng cho một Network, Automatic NAT Rule sẽ được tự động phát sinh trong NAT Rule Base. Nếu địa chỉ Source thỏa một Automatic NAT Rule, firewall sẽ tiếp tục tìm tiếm trong NAT Rule Base xem có một Automatic NAT Rule nào thỏa địa chỉ Destination IP hay không. Nếu có một Rule thứ 2 thỏa thì 2 Rule sẽ cùng được áp dụng, nghĩa là cả địa chỉ Source IP và Destination IP sẽ cùng được chuyển đổi. Nếu trong lúc bắt đầu kiểm tra rule nếu 1 Munual NAT Rule được thỏa thì firewall sẽ không tiến hành kiểm tra nữa và sẽ áp dụng rule đó. 2.4 Destination NAT và vấn đề routing Trong những phiên bản trước của CSG khi cấu hình Destination NAT người dùng phải chú ý hai điều sao đây để đảm bảo NAT hoạt động đúng như yêu cầu :  Destination NAT đòi hỏi phải cấu hình chung với routing của hệ điều hành  Cần thiết phải cấu hình ARP Proxy cho IP được NAT Trong những phiên bản Check Point mới đây đã có những cải tiến sau đây :  NAT diễn ra trực tiếp tại Client Side  Không cầu cấu hình ARP cho IP được NAT Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 33 2.4.1 Static Destination NAT on Server Side Địa chỉ 199.1.1.1 là địa chỉ IP Public đã được NAT cho 10.1.1.1 dưới dạng Static Destination NAT. Một truy cập bắt đầu từ phía Client Side và đi đến Enforcement Module. Đối với NAT ở phía Server Side, hệ điều hành sẽ tiếp nhận gói tin và xét bảng routing table trước khi tiến hành NAT. Do xét bảng routing table trước nên gói tin lúc này sẽ đi ngược ra cổng HPTX2, do mạng 199.1.1.0/24 là mạng kết nối trực tiếp với nó. Để giải quyết vấn đề này cần một static route để chuyển gói tin đi đúng hướng, ta có thể route theo dạng như sao route add 199.1.11./32 gw 10.1.1.1 . Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 34 2.4.2 Static Destination NAT on Client Side Trong trường hợp này, kết nối cũng đi từ phía Client Side, nhưng trong trường hợp này NAT ở phía Client Side thì Enforcement Module sẽ tiến hành NAT trước sau đó sẽ tiến hành bản xét bảng routing table của hệ điều hành. 2.5 Automatic Và Manual ARP Proxy ARP là giao thức cơ bản của mạng ethernet, chức năng của ARP là phương thức phân giải địa chỉ động giữa địa chỉ lớp network và địa chỉ lớp datalink. Trong mạng ethernet giao tiếp giữa các host không chỉ sử dụng địa chỉ IP mà dựa vào địa chỉ MAC. Do đó hai máy trong mạng muốn liên lạc với nhau bằng địa chỉ IP trước hết chúng phải biết địa chỉ MAC của nhau, lúc đó ARP là giao thức được sử dụng. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 35 Trong CSG, đa số các card giao tiếp là card Ethernet, do đó giao thức ARP được sự dụng rất thường xuyên, do đó khi cấu hình NAT ta cần chú ý các vấn đề giửa ARP và NAT. 1. Một gói tin được gửi từ ngoài mạng đến địa chỉ 199.1.1.1 – là một địa chỉ Public được NAT bởi Enforcement Module (CSG). 2. Border Router nhận được gói tin và dựa vào bảng routing table và sẽ chuyển gói tin ra cổng Ethernet0 đi đến Enforcement Module. 3. Do là mạng Ethernet nên Border Router tiến hành request địa chỉ MAC của IP 199.1.1.1 4. Trong trường hợp này đúng ra máy mang IP 199.1.1.1 sẽ trả lời địa chỉ MAC, nhưng do IP này là IP được NAT bởi Enforcement Module, nên lúc này Enforcement Module sẽ reply lại với MAC của chính nó. 5. Border router nhận được gói tin ARP reply, nó sẽ dùng địa chỉ MAC của Enforcement Module để làm destination MAC gửi đến địa chỉ 199.1.1.1 Việc trả lời ARP request cho một địa chỉ đã NAT là do chức năng Proxy ARP của CheckPoint R70. Với những trường hợp NAT rule là Manual thì người dùng phải cấu hình bằng tay địa chỉ ARP cho những địa chỉ đã NAT theo đường dẫn $FWDIR\state\local.arp. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 36 Khi người dùng sử đụng chức automatic NAT rule thì chức Enforcement Module thì chức năng automatic ARP sẽ được sử dụng để reply địa chỉ MAC cho IP được NAT. 3. Cấu hình NAT trên Check Point Security Gateway Automatic NAT là phương pháp dễ cấu hình nhất và dễ triển khai và thường ít bị lỗi khi cấu hình, đồng thời Check Point cũng hổ trợ chức năng Automatic ARP cho Automatic Static NAT. Manual NAT có tính phức tạp và thường khó cấu hình hơn nhưng có tính linh hoạt cao. Những chức năng sau đây chỉ có thể thực hiện được khi sử dụng Manual NAT.  Kiểm soát được sự chuyển đổi địa chỉ source IP và destination IP  Chuyển đổi cả source IP và destination IP cùng lúc  Static destination NAT có để chuyển đổi theo service cụ thể và theo 1 hướng 3.1 Cấu hình Global NAT Check Point Security Gateway định nghĩa nhiều thông số khác nhau và có hiệu lực trên toàn Security Gateway. Các thông số này được cấu hình thông qua SmartDashboard: Policy Global Properties sau chọn NAT-Network Address Transtaltion. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 37 Allow bi-directional NAT: Khi CSG nhận được gói tin có cả phần source IP thỏa một Automatic Rule và destination IP thỏa một Automatic Rule khác thì cả phần phần source và destination IP đều được chuyển đổi. Translate destination on client side: Khi chức năng này được bật thì khi CSG nhận được một gói tin kết nối từ phía ngoài, lúc này destination nat sẽ được thực hiện sau đó gói tin sẽ được route theo bảng routing table của hệ điều hành. Điều này trái ngược với destination NAT ở phía server side (gói tin sẽ được route trước khi NAT). Automatic ARP configuration: Chức này cho phép Security Gateway sẽ tự động trả lời những gói ARP request để tìm địa chỉ MAC của những địa chỉ đã NAT. Chức năng Automatic ARP chỉ thực hiện với các Automactic NAT rule, với Manual rule thì người dùng phải tự cấu hình trong file local.arp. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 38 3.2 Cấu hình Automactic NAT 3.2.1 Automatic NAT cho Node Object Ở phần này, theo sơ đồ trên ta sẽ minh hoạt chức năng Automatic Static NAT. Nyweb01 là một web server được đặt trong vùng DMZ với địa chỉ IP là địa chỉ private để Client bên ngoài có thể truy cập vào và nyweb01 có thể truy cập ra internet ta cần phải cấu hình static NAT cho nyweb01 với địa chỉ IP là 199.1.1.2. 1. Định nghĩa nyweb01 bằng cách vào ManageNetwork ObjectsNewNodeHost. Trong hộp thoại Host Node Properties điền vào tên nyweb01 và địa chỉ IP là 192.168.10.2 2. Chuyển vào mục NAT đề cấu hình static NAT cho nyweb01 3. Click chọn Add Automatic Address Translation rules để CSG tự tạo rule NAT. Trong mục Tranlate method gồm 2 lựa chọn là Static NAT và Hide NAT. Chọn Static NAT. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 39 4. Nhập IP NAT 199.1.1.2 vào mục Translate to IP Address, điều này có nghĩa là địa chỉ 192.168.10.2 sẽ được NAT thành địa chỉ 199.1.1.2 khi kết nối ra ngoài và ngược lại cho những kết nối từ Client từ bên ngoài vào nyweb01 5. Install On Gateway : nếu có nhiều Gateway được quản lý tập trung ta có thể cài đặt NAT rule trên từng Gateway cụ thể hoặc cài lên tất cả các gateway. 6. Chon OK đề hoàn tất, tiếp tục vào Policy Install để cài đặt rule, CSG sẽ tự động phát sinh hai NAT rule như hình. Nyweb01(Valid Address) là địa chỉ IP đã NAT 199.1.1.2 Dựa vào hình kế quả ta thấy CSG tự động tạo ra cả Source NAT rule và Destination NAT rule. 3.2.2 Automatic NAT cho một Network Trong hình Internal Host là tập các máy của mạng nội bộ mang IP Private có địa chỉ mạng là 192.168.10.0/24, các máy này chỉ có nhu cầu truy cập internet và các máy này không chạy bất ki dịch vụ nào. Do đó ta chỉ cần cấu hình Hide NAT cho những máy này đề có thể truy xuất ra ngoài. 1. Định nghĩa một Object cho mạng nội bộ thông qua SmartDashBoard: ManageNetwork ObjectsNewNetwork. Hộp thoại Network Properties Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 40 mở ra, điền vào tên là internal_network, có Network Address là 192.168.10.0 và Netmask là 255.255.255.0 2. Chuyển qua tab NAT để cấu hình NAT cho internal_network. Click chọn Add Automatic Address Translation rules để bật chức năng Automatic NAT cho internal_network. 3. Tương tự như cấu hình cho một node, chọn Traslation method là Hide NAT.  Hide bebind the interface of the Install on Gateway: lúc này internal_network sẽ được NAT bằng địa chỉ IP của interface phía server side của firewall.  Hide behind IP Address: có thể điền nào một địa chỉ IP Public hoặc là một địa chỉ IP của một trong các card interface kết nối ra internet. Như trong hình, internal_network sẽ được NAT thông qua địa chỉ IP là 199.1.1.1 4. Chọn OK để hoàn tất và Install rule. CSG tự động sinh ra 2 rule như trong hình, cho những kết nối của những máy trong internal_network lúc này sẽ không cần NAT, chỉ NAT khi những máy trong mạng internal network truy cập ra bên ngoài. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 41 3.2.3 Sử dụng chức năng Hide behind Gateway trong chức năng Automatic Hide NAT Khi cấu hình chức năng Automatic Hide NAT ta có 2 lựa chọn sau đây :  Hide behind Gateway  Hide behind IP Address Nếu chọn chức năng Hide behind IP Addresss lúc này ta phải điền vào một IP cụ thể và IP này có thể là:  Địa chỉ IP của một trong những interface phía ngoài của firewall  Bất cứ một địa chỉ IP Public nào đó Ngoài ra ta có thể chọn chức năng Hide behind Gateway, lúc này mạng nội bộ bên trong sẽ được NAT bằng địa chỉ IP của interface phía server side của firewall. Khi một host bất kì truy cập ra internet lúc này interface với IP 199.1.1.1 sẽ là interface phía server của Client, do đó địa chỉ IP 199.1.1.1 là IP của interface của firewall sẽ được dùng để NAT cho Internal Network. Đồng thời nếu một máy trong internal network truy cập đến một server trong vùng DMZ thì lúc này địa chỉ IP của interface trong dùng DMZ 198.1.1.1 sẽ được dùng để NAT cho Internal Network. Bằng cách dùng chức năng Hide behind Gateway lúc này NAT rule sẽ có sự linh hoạt hơn so với Hide behind Gateway và có một số thuận lợi sau đây :  Trong trường hợp IP interface của firewall bị đổi điều này không làm ảnh Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 42 hưởng đến NAT rule và ta cũng không cần sửa đổi lại.  Ngoài ra nếu hệ thống mạng của ta chia làm nhiều vùng và có tính phức tạp thì Hide behind Gateway là một sự lực chọn thích hợp. 3.2.4 Cấu hình NAT cho Address Range Object Trong sơ đồ trên mạng Internal lúc này gồm những máy có nhu cầu được truy cập từ bên ngoài, internal host gồm những máy có địa chỉ IP từ 10.1.1.2 đến 10.1.1.100 và mang tính liên tục. Vì nhu cầu truy cập từ bên ngoài do đó những máy này cần được cấu hình static NAT. 1. Định nghĩa một dãy các địa chỉ bằng cách vào ManageNetwork ObjectsNewAddress RangesAddress Range. Đặt tên cho range IP và First IP Address 10.1.1.2 và Last IP Address là 10.1.1.100 2. Chuyển qua tab NAT, bật chức năng Automatic và chọn chức năng Static NAT. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 43 3. Điền vào Translate to IP Address là 192.1.1.2 điều này có nghĩa là lúc này địa chỉ IP 192.1.1.2 sẽ là địa chỉ bắt đầu và được NAT cho IP 10.1.1.2, CSG sẽ tự động tính đến địa chỉ kết thúc là 192.1.1.100. Cụ thể như sau :  10.1.1.2  192.1.1.2  10.1.1.3  192.1.1.3  ………..  10.1.1.100  192.1.1.100 4. Chọn OK để kết thúc và Install rule. Lúc này CSG sinh ra cùng lúc 3 rule như hình sau. Internal_range sẽ được NAT lúc truy xuất và ngoài và lúc bên ngoài truy cập vào Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 44 3.3 Cấu hình Manual NAT Để chức năng Manual NAT có thể hoạt động, trước khi cấu hình Manual NAT ta cần cấu hình 2 chức năng sau :  Host route: dùng để route một địa chỉ IP Public đến một địa chỉ IP Private trong mạng. Host route được dùng trong trường hợp static destination NAT.  Proxy ARP: Automatic ARP chỉ được hổ trợ với Automatic NAT rule, do đó với Manual NAT rule ta cần phải cấu hình để reply ARP request cho địa chỉ đã NAT. Proxy ARP chỉ cần khi có cấu hình static destination NAT. Trong nhưng phiển bản trước của CheckPoint chức năng client side destination NAT không được hổ trợ nên host route cần phải được cấu hình trước để gói tin được route trước khi NAT. Nhưng để Manual static detination NAT có thể hoạt động thì Proxy ARP vẫn phải được cấu hình. IP 199.1.1.1 dùng để NAT cho internal network IP 199.1.1.2 dùng để NAT cho nyweb01 3.3.1 Cấu hình host route Chức năng host route chỉ được dùng khi firewall không hổ trợ chức năng client side destination NAT, nên lúc nào destination NAT sẻ diễn ra theo kiểu server side. Trên cả hệ điều hành windows ta sử dụng lệnh: route add Đối với hệ điều hành linux ta sử dụng lệnh như sau: Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 45 route add / Ví dụ ta có thể dùng lệnh như sau nếu firewall không có chức năng client side destination NAT: route add –p 199.1.1.2 192.168.10.2 Địa chỉ 199.1.1.2 cùa nyweb01 sẽ được route đến địa 192.168.10.2 trong vùng DMZ trước khi được NAT. Thông số -p cho biết rằng lệnh route sẽ tồn tại trong bảng route tabling của hệ điều hành cho đến khi được xóa và không ảnh hưởng gì khi ta khởi động lại hay tắt firewall. 3.3.2 Cấu hình Proxy ARP Đề cấu hình chức năng Proxy ARP trên cả windows và linux ta cần tạo file local.arp, trước khi cấu hình cần phải biết địa chỉ MAC của interface phía Client Side. Trên Windows ta đùng lệnh ipconfig /all để xem địa chỉ MAC của card mạng, đối với hệ điều hành linux và Unix dùng lệnh ifconfig để xem. Tạo file local.arp có nội dung như sau: 199.1.1.2 00:01:02:3C:88:7A Sao đó dùng chép file local.arp vào 2 nơi sau: $FWDIR/state/ và $FWDIR/conf/ Khởi động lại firewall bằng lệnh cpstop và cpstart, sau đó dùng lệnh fw ctl arp xem kiểm tra lại chức năng ARP Proxy. Như ví dụ ở trên, sau khi cấu hình hoàn tất, lúc này bất cứ ARP request nào tìm địa chỉ MAC của IP 199.1.1.2 sẽ được firewall trả lời với địa chỉ MAC là 00:01:02:3C:88:7A. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 46 3.3.3 Tạo Object cho Manual NAT rule Trước khi tạo Manual NAT rule ta cần tạo các network object cho rule. Theo sơ đồ ta tạo các ojbect sau đây, các object này là thành phần để tạo thành một NAT rule : Loại Object Name Node Host nyweb01 IP Address: 192.168.10.2 Node Host nyweb01_public_add IP Address :199.1.1.2 Network internal_lan Network address: 10.1.1.0 Subnet mask :255.255.255.0 3.3.4 Tạo Manual NAT Rule Dùng SmartDashboard vào menu RuleAdd RulesTop, sau đó CheckPoint firewall tạo ra một rule mặc định như sau hình. Để chỉnh lại rule, ta click phải lên từng phần của rule và chọn add, để add một Object hay Protocol. Cấu hình Manual Static NAT Theo sơ đồ trong hình, nyweb01 là một web server bên trong mạng, để Client bên ngoài truy cập vào và chỉ sử dụng dịch vụ web (HTTP) trên nyweb01 và không sử dụng bất kì dịch vụ nào khác, nên lúc này ta cấu hình static destination nat cho nyweb01 và chỉ cần chuyển đổi NAT khi Client request HTTP đến nyweb01. Theo đó ta tạo một rule như sau: Sau khi tạo một rule mặc định, ta thay đổi rule theo yêu cầu ở trên : 1. Original Packet:  Source : giữa nguyên theo mặc định là any Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 47  Destination : click phải chọn add và dẫn đến nyweb01_public_add  Service: click phải chọn add và chọn HTTP 2. Translated Packet  Source : giữa nguyên theo mặc định là Original  Destination : click phải chọn add và dẫn đến nyweb01  Service: giữa nguyên theo mặc định là Original 3. Sau khi hoàn tất ta có rule như sau Vào Policy Install để cài đặt rule. Cấu hình Manual Hide NAT Theo sơ đồ, internal_lan là mạng nội bộ bên trong chỉ có nhu cầu truy cập một số dịch vụ thông dụng ngoài internet, do đó ta chỉ cần thực hiện NAT cho một số dịch vụ cho internal_lan. Tạo một rule mặc định và theo yêu cầu phía trên ta, thực hiện thay đổi rule cho protocol HTTP như sau: Sau khi tạo một rule mặc định, ta thay đổi rule theo yêu cầu ở trên : 1. Original Packet:  Source : click phải chọn add và dẫn đến internal_lan  Destination : giữa nguyên theo mặc định là any  Service: click phải chọn add và chọn HTTP 2. Translated Packet Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 48  Source : click phải chọn add và chọn chọn đến nyfw01, ntfw01 là tên của Security Gateway. Lúc này một menu hiện ra và có 2 lực chọn:  Static : chuyển đổi theo dạng 1:1  Hide : chuyển đồi cho nhiều host Do ta NAT cho mạng internal_lan nên ta chọn là Hide. Chọn OK.  Destination : giữa nguyên theo mặc định là Original  Service : giữa nguyên theo mặc định là Original 3. Hoàn tất tạo rule và install rule. Sau khi tạo hoàn tất rule có dạng như hình, biểu tượng nyfw01 lúc này sẽ có biểu tưởng H phía dưới, tượng trưng cho Hide NAT. Security Gateway sẽ tự động dùng IP của interface để NAT tùy theo destination IP của gói tin. II. ISP Redundancy Hầu hết các hệ thống mạng hiện nay sử dụng nhiều đường internet từ nhiều nhà cung cấp dịch vụ khác nhau, nhằm đảm bảo rằng internet phải được duy trì ổn định và sẵn sàng 24/24 nhưng vấn đề là làm thế nào sử dụng nhiều đường truyền một cách nhiệu quả nhất. Check Point cung cấp giải pháp để giải quyết cho vấn đề này, với Check Point VPN-1 & Firewall-1 R70 ta có thể duy trì nhiều đường link internet đồng thời hoặc chỉ dùng một đường link có băng thông cao nhất và các đường link còn lại dùng làm dự phòng. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 49 1. Tổng quan ISP Rundundancy Chức năng ISP Redundancy cho phép kết nối internet được duy trì liên tục và có thể thực hiện trên Check Point Security Gateway khi lúc này ta có nhiều interface kết nối đến nhiều ISP khác nhau và chức năng ISP Redundancy là một chức năng có sẵn trên Security Gateway mà không cần phải mua thêm bất cứ thiết bị phần cứng chuyên dụng nào. ISP Redundancy hổ trợ trên các nền tảng sao đây :  Red Hat Enterprise Linux 7.2 hoặc cao hơn  SecurePlatform / SecurePlatform Pro  IPSO ISP Redundancy liên tục giám sát các đường link từ có có thể chuyển hướng các kết nối theo hướng tốt nhất. ISP Redundancy hoạt động ở 2 chế độ sau đây :  Load Sharing  Primary/Backup 2. Các chế động hoạt động của ISP Redundancy Chức năng ISP Redundancy hoạt động hiệu quả nhất cho kết nối từ phía ngoài vào, Security Gateway sẽ xử lí các kết nối từ mạng trong ra internet theo cách sau đây :  Primary/Backup: Kết nối bằng đường link chính và chuyển sang đường link dự phòng khi đường link chính xảy ra sự cố. Khi đường link chính phục hồi thì những kết nối mới sẽ theo hướng đường link chính và những kết nối hiện tại sẽ theo đường link phụ cho đến khi các kết nối này hoàn tất.  Load Sharing: Sử dụng đồng thời tất cả đường link, kết nối sẽ được phân phối ngẩu nhiên theo từng link. Khi một trong các link bị xảy ra sự cố thì các kết nối mới sẽ đi theo các đường link còn lại. Đối với đi từ mạng bên ngoài vào phía bên trong ISP Redundancy cũng được sử dụng hiệu quả, lúc này CSG sẽ trả lại gói tin theo đường link mà nó đã đi vào. Trong mode Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 50 Load Sharing thì kết nối vào hướng bên trong sẽ được chuyển hướng qua lại giữa các link bằng việc chuyển đổi kết quả query DNS từ bên ngoài. ISP Redundancy giám sát các đường link liên tục, để giám sát đường link CSG sẽ kiểm tra cổng giao tiếp hiện có đang hoạt động hay không và chuyển default route hướng ra ISP thích hợp. Một cách khác để giám sát tình trạng đường link là người dùng có thể cấu hình một danh sách các host ngoài internet phải trả lời gói tin ICMP echo từ firewall, nếu không nhận được gói tin ICMP reply thì đường link lúc này được xem như đã down. 3. Cách hoạt động của ISP Redundancy 3.1 Kết nối từ trong firewall ra internet Trong chế độ Load Sharing, những kết nối sẽ được phân phối ngẩu nhiên giữa các đường link internet. Trong chế độ Primary/Backup thì các kết nối chỉ đi ra theo đường link chính (active). Hide NAT sẽ được sử dụng để thay đổi địa chỉ source IP của gói tin, gói tin đi ra bằng interface nào thì sẽ được NAT bằng IP của interface đó, điều này sẽ làm cho gói tin trả về sẽ đi theo cổng giao tiếp mà nó đã đi ra. Hide NAT lúc này phải được cấu hình bởi người dùng. 3.2 Kết nối từ phía ngoài internet vào bên trong mạng Khi Client kết nối từ phía bên ngoài vào một server bên trong mạng, lúc này Static Destination NAT sẽ được cấu hình bởi người dùng cho IP của server bên trong. Nếu có 2 đường link internet thì lúc này server (HTTP, FTP server… ) bên trong được NAT cùng lúc với 2 địa chỉ IP Public. Khi Client bên ngoài truy cập đến server bằng một trong 2 địa chỉ IP pubic, lúc này Client đầu tiên phải phân giải tên miền trước khi truy cập bằng IP. Quá trình ISP Redanduncy cho kết nối từ bên ngoài được xử lý nhu sau : Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 51 Client từ phía ngoài query tên miền www.testlab.com khi đó DNS query sẽ đi đến CSG, trong CSG có sẵn một mini-DNS lúc này CSG sẽ giữa lại DNS query trước khi nó đi đến DNS server và sẽ thay mặt DNS server trã lời DNS cho client. Nếu trong mini-DNS đã được cấu hình tên miền www.testlab.com, CSG sẽ trả lời lại DNS query như sau :  Primary/Backup : CSG sẽ trả lời lại với IP của đường Primary link (active link).  Load Sharing : CSG sẽ trả lại cùng lúc 2 địa chỉ IP (193.1.1.1; 193.1.2.1) và lần lượt hoán đổi chúng. Nếu trong trường hợp DNS không thể phân giải tên miền www.testlab.com thì nó sẽ chuyển DNS query đến DNS server 172.16.1.3. Khi Client nhận được IP sau khi phân giải tên miền thì lúc nào nó sẽ tiến hành kết nối đến địa chỉ IP mà nó nhận được. Trên CSG cần cấu hình Static Destination NAT cho IP 172.16.1.2 Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 52 4. Đổi trạng thái link theo yêu cầu và ISP redundancy script Lệnh fw isp_link Lệnh fw isp_link dùng để thay đổi trạng thái đường link trên CSG, lệnh có thể được dùng đề kiểm tra hoạt động của ISP Redundancy hay để up hay down đường link trước khi CSG nhận biết sự thay đổi trạng thái đường link và tự động chuyển đổi. Lệnh có cú pháp như sau: fw isp_link [target] link-name up|down  tartget: tên của security gateway  link-name: tên của đường link đã được cấu hình trên CSG.  up|down : Trạng thái đường link ISP Redundancy Script Khi trạng thái của một đường link thay đổi thì một scipt sẽ chạy, tùy thuộc và trạng thái đường link up hay down script sẽ tự động chạy và thay đổi default route của CSG. Người dùng có thể xem và tùy chỉnh lại để chạy như theo như yêu cầu ở đường dẫn $FWDIR/bin/cpisp_update. 5. Triển khai ISP Redundancy Mô hình với hai interface ở phía ngoài Giải pháp dễ triển khai nhất mà 2 đường link internet cùng kết nối đến CSG theo 2 interface khác nhau Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 53 Mô hình với một interface ở phía ngoài Nếu chỉ có một giao tiếp với internet, ta dùng thêm 1 switch để kết nối với hai ISP. Lúc này ta có thể cấu hình cấu hình 2 subnet khác nhau trên cùng một card mạng. Nhưng CSG sẽ route về theo từng ISP khác nhau thông qua switch. 6. Cấu hình ISP Redundancy ISP Redundancy cho phép kết nối internet được duy trì liên tục theo cả hai hướng, kết nối từ phía ngoài và cả kết nối từ phía trong đi ra, để chức năng ISP Redundancy hoạt động 6.1 Domain và Địa chỉ IP Nếu trong hệ thống mạng có server và server này có nhu cầu truy cập từ bên ngoài ta cần đăng kí domain cho server này và DNS server phân giải tên miền cho server này cần đặt phía sao Security Gateway. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và C