CheckPoint : Virtual System eXtended

 Apa itu CheckPoint VSX?

Bayangin kamu punya satu perangkat firewall fisik, tapi bisa dijadiin banyak firewall virtual sekaligus — nah itu kurang lebih konsep dari VSX (Virtual System eXtended) milik Check Point.

Jadi satu box fisik bisa nge-handle banyak "tenant" atau segmen jaringan yang berbeda, masing-masing punya policy sendiri, routing sendiri, dan management sendiri. Keren kan?

Kenapa Perlu VSX?

Coba bayangin skenario ini — kamu kerja di perusahaan yang punya banyak divisi atau customer, dan masing-masing butuh firewall dengan aturan yang beda-beda. Kalau harus beli firewall fisik satu-satu, budget-nya bisa jebol. Nah VSX hadir buat solve masalah ini.

Intinya VSX itu cocok banget untuk:

- ISP / MSSP yang manage keamanan banyak customer sekaligus

- Enterprise besar yang punya banyak divisi dengan policy berbeda

- Data center yang butuh isolasi antar tenant

Komponen Utama VSX

 1. VSX Gateway

Ini adalah si "induk" — perangkat fisik atau virtual yang jadi host dari semua Virtual System. Anggap aja ini kayak server fisik yang nantinya nge-run banyak VM.

 2. Virtual System (VS)

Ini adalah "firewall virtual"-nya — masing-masing VS punya:

- Firewall policy sendiri

- Routing table sendiri

- Interface sendiri

- Log sendiri

Jadi antar VS satu sama lain itu terisolasi penuh — tidak bisa saling ganggu.

 3. Virtual Switch (VSW)

Fungsinya kayak switch virtual yang ngehubungin antar Virtual System di dalam VSX. Kalau traffic perlu lewat dari VS satu ke VS lain, lewat sini jalurnya.

 4. Virtual Router (VR)

Sama kayak VSW tapi fungsinya routing — nge-route traffic antar Virtual System atau ke jaringan luar.

Cara Kerja VSX (Simpelnya)

Traffic dari luar masuk ke VSX Gateway, lalu diarahkan ke Virtual System yang sesuai berdasarkan VLAN atau interface. Masing-masing VS kemudian nge-filter traffic sesuai policy yang udah di-set.

Keuntungan VSX

- Hemat hardware — satu fisik bisa gantiin puluhan firewall

- Isolasi penuh antar Virtual System

- Centralized management via SmartConsole — semua VS bisa di-manage dari satu tempat

- Skalabel — mau nambah VS baru tinggal klik, tidak perlu beli hardware baru

Kekurangan VSX

- Kalau VSX Gateway-nya mati, semua VS ikut mati — makanya biasanya di-setup HA (High Availability)

- Butuh lisensi tambahan per Virtual System

- Setup awal agak kompleks dibanding firewall standalone biasa

LABS GUIDE

Physical Topology

Logical Topology

Pada lab kali ini kita akan membuat scenario configuration Checkpoint VSX yang dimana ada 2 VSX yang akan kita buat yaitu untuk VS-WAN yang digunakan untuk koneksi kearah internet, lalu ada VS-Server yang dimana nanti VSX tersebut untuk firewall yang ke-arah local yaitu ada Server dan juga PC untuk nanti kita asessment connection kearah internet dari POV user.

Sebelum temen-temen config untuk labs ini pastikan sudah melihat dokumentasi "Basic Setup Security Gateway Checkpoint" agar tidak kebingungan ketika config pada labs kali ini, let's goo!!.

FYI : Di sini saya menggunakan Enterprise environment, yang dimana Management terpisah.

Software Version :

1. Security Gateway : R81.10
2. Security Management Server : R81.20

1. Di sini temen-temen perlu aktifkan feature VSX karena by default feature tersebut non-aktif.

2. Karena di sini kita ingin keperluan availability interface kita tambahkan 2 interface ini kedalam protocol LACP. #note disini temen2 perlu tambahkan command "set bonding group 1 mode 8203AD"

3. Untuk step selanjutnya kita harus menambahkan perangkat Appliance kedalam Management Server terlebih dahulu.

4. Berikan nama sesuai temen-temen pengen, di sini saya tambahkan nama LAB-CP-Fabric lalu ada IPv4 yang dimana itu adalah IP-Management untuk akses perangkat Appliance.

5. Initialize SIC Checkpoint yang kita tambahkan saat Setup Wizard.

6. Tambahkan interface bond (LACP) yang kita buat tadi.

7. Di sini kita perlu define rule yang ingin kita tambahkan, kalau bisa checklist semua rule tersebut agar tidak perlu membuat rule lagi untuk keperluan ping/ssh dll.

8. Setelah kita next nanti di sini akan ada progress installing policy, dan tunggu sampai Success.

9. Setelah Success bisa langsung close setup wizard.

10. Berikut hasil penambahan Gateway Checkpoint, lalu click 2x.

11. Setelah kita click pilih opsi Topology -> interface Management -> Edit. Pada step ini kita perlu ubah feature Anti-Spoofing pada checkpoint karena by default adalah prevent, agar bisa running tanpa hambatan, temen2 bisa ubah ke mode detect.

12. Ubah seperti berikut lalu Oke.

13. Pada step ini kita menambahkan VSX yang menjadi materi utama , tambahkan seperti berikut.

14. Buat nama seperti Topology yang sudah kita buat, lalu pilih VSX Gateway/Cluster yang sudah kita tambahkan tadi yaitu LAB-CP-Fabric.

15. Tambahkan vlan 44 pada interface bond1, lalu IP Address untuk p2p ke-arah ISP.

16. Tambahkan vlan 22 pada interface bond1, lalu IP Address untuk p2p ke Core-Switch.

17. Setelah itu Next, disini sedang progress untuk vefiry SIC Communication ke-arah VS Gateway yang pertama kita buat.

18. Sama seperti tadi, kita perlu me-nonaktifkan feature Anti-Spoofing pada setiap interface. Click 2x pada VSX yang kita buat tadi lalu masuk ke Opsi Topology -> Select Interface -> Edit.

19. Ubah Feature Anti-Spoofing Prevent to Detect.

20. Tambahkan lagi VSX baru untuk LAB-CP-Server.

21. Buat nama VSX seperti di bawah dan jangan lupa pilih VSX Gateway/Cluster seperti VS-WAN tadi.

22. Tambahkan vlan 33 pada interface bond1, lalu IP Address untuk p2p ke arah Core-Switch.

23. Tambahkan vlan 78 pada interface bond1, lalu IP Address v4 untuk Gateway Farm-Server.

24. Tambahkan juga vlan 77 pada interface bond1 untuk Gateway PC-User.

25. Setelah itu lalu Next, dan tunggu sampai Progress selesai dan Close.

26. Sama seperti tadi Click 2x -> Opsi Topology -> Select All Interface -> Edit.

27. Ubah Feature Anti-Spoofing dari Prevent ke Detect di semua interface..