checkpoint用户手册

8、自定义命令 (35)
9、阻断入侵 (36)
10、配置报警命令 (36)
第一章使用向导
一、从配置UTM开始
1、登陆UTM
2、配置网卡
3、配置路由
4、配置主机名
5、调整时间
二、步骤1－配置之前……一些有用的术语
这里介绍一些有助于理解本章内容的相关信息。

Security Policy（安全策略）是由系统管理员创建的，用来管理进和出的网络通信连接。

Enforcement module（执行点模块）是可以执行网络安全策略的FireWall的系统引擎。

SmartCenter Server（SmartCenter服务器）是系统管理员用来管理安全策略的服务器。

所有的数据库和策略信息都存储在SmartCenter服务器上，并且在需要的时候下载到执行点模块中。

SmartConsole Client（控制台）是一系列的GUI应用程序，能够管理安全策略的不同方面。

例如，SmartView Tracker就是一个管理日志的SmartConsole。

SmartDashboard是系统管理员用来创建和管理安全策略的SmartConsole。

独立的部署方式——示例
独立的部署方式是一种简单的部署方式，所有安全策略的管理端和执行端的相关组件（分别指SmartCenter服务器和执行点模块）都安装在同一台计算机上。

图3-1 独立的部署方式
组件包括：
●Enforcement Module一般都安装在通向互联网的网关上；在网络中的位置是保护
本地局域网。

●SmartCenter Server。

●SmartDashboard。

在独立部署方式中执行点模块和SmartCenter服务器都必须安装在同一台计算机中。

SmartDashboard以及其他的SmartConsole客户端可以安装在任何一台没有操作系统限制的
计算机上。

可以参考最新版本的Release Note获得更多信息。

三、步骤2－安装和配置
安装之前的介绍
安装SmartCenter和执行点模块的机器需要安装有TCP/IP协议。

这意味着这些机器必须有：
至少两块网卡。

一块是“外部网”或者是连接互联网的，另外一块是“内部网”或者是面向局域网的。

每块网卡都有自己的IP地址。

SmartCenter服务器必须能够查询DNS服务器来解析机器的IP地址。

四、步骤3－第一次登录到SmartCenter服务器
登录过程
图3-8 登陆窗口
管理员通过SmartDashboard连接到SmartCenter服务器，这个过程对其他所有的SmartConsole客户端是一样的。

在这个过程中，管理员和SmartCenter服务器都需要被认证，然后在他们之间建立一个安全的通讯通道。

在成功完成认证以后，选定的SmartConsole 将进行连接。

在第一次登录之后，管理员可以创建一个用于登录过程的证书。

使用证书的登录认证比使用用户名和口令的登录认证具有更好的安全性。

这个证书将在以后的阶段中创建，具体可以参考SmartCenter的用户手册。

认证管理员以及SmartCenter服务器
在SmartCenter 服务器安装时，在配置工具的Administrator页面中定义使用User Name 和Password进行登录。

在提供认证信息以后，指定目标SmartCenter服务器的IP地址或主机名，然后点击OK。

手工使用在配置过程中配置工具的指纹信息与SmartCenter的指纹信息进行核对，以验证SmartCenter服务器。

这个步骤只在第一次登录的时候出现，当SmartCenter服务器验证成功以后，指纹信息会保存在SmartConsole机器的注册表中。

图3-10 在对象树中创建一个新的网络对象
网络对象包含有两个选项卡：
在General选项卡中，为网络对象提供名称，名称必须能够明确说明对象的关联。

在本章的规则指定中，这个网络对象命名为Alaska_RND_LAN。

然后填写相应的IP地址和掩码。

Alaska_RND_LAN这个对象的详细信息如下：
⏹IP Address——10.111.254.0
⏹Net Mask——255.255.255.0
图3-11 网络属性窗口
在NAT选项卡中配置网络地址转换的设定。

对于示例部署中的简单策略定义，不需要进行网络地址转换。

2）创建一个关联网络Mail服务器的Node对象
必须创建一个关联网络内部Mail服务器的对象。

这个对象会使用在简单的规则表中。

处理过程如下：
在对象树中，参见图3-12创建一个新的Host Node。

图3-12 在对象树中创建一个新的Host Node
●在Host Node窗口包含有不同的选项卡。

确保在General页面中定义Mail服
务器的名称和IP地址。

在规则表中这个Mail服务器名为Alaska_DMZ_mail。

3）修改缺省的SmartCenter对象
在对象树的网络对象分页中会显示缺省的SmartCenter服务器对象。

这个对象必须进行配置，以便执行点模块能够正确地工作。

操作过程如下：
选择SmartCenter服务器对象。

双击这个对象来显示属性页面。

●在General Properties页面，确认在CheckPoint Products列表框选中了
FireWall（如图3-13）。

图3-13 CheckPoint Gateway窗口
在Topology页面中（如图3-14）：
点击Get > Interfaces with Topology可以自动地检索网关上的所有网卡。

另外，也可以点击Add手工添加一块网卡。

你可以在任何一个网卡的Topology页面中编辑网卡。

选中后双击即弹出Interface Properties窗口。

图3-14 CheckPoint Gateway窗口，Topology页面
六、步骤5－为安全策略定义规则
对象是建立规则的一部分，规则是创建安全策略的一部分。

安全策略中的规则是一系列的指令，决定哪些通信可以进入LAN或从LAN外出。

在这个示例部署中，将执行下列的规则：允许所有由LAN发起到外部的通信连接的规则。

允许email从外部发送到内部的LAN当中的规则。

下面的规则在规则表中缺省的显示，并作为最后的规则使用，所以，它不需要做明确的定义：
这条规则将丢弃除了上述允许规则的通信连接之外的所有数据包。

表3-1 允许所有内部LAN对外发起访问的规则
表3-2 允许进入内部网络的SMTP连接（email）
保存和安装你的策略
一旦定义好规则以后：
选择File > Save保存策略。

你可以使用缺省提供的选项，也可以自定义。

选择Policy > Install安装策略。

在安装窗口选择你需要安装策略的网关。

最后，你成功地创建了你的第一个安全策略。

七、步骤6－来源和目的
你已经学习了开始需要的基础知识。

下一步是获得更多关于CheckPoint的高级知识。

在CheckPoint的产品CD上有关于这个信息的CheckPoint文档（以PDF格式存储）。

当你在使用CheckPoint的SmartConsole客户端时，你也可以使用在线的帮助。

为了获得关于CheckPoint产品的更多技术信息，可以访问。

第二章策略管理
本章内容
一、有效的策略管理工具需要
二、CheckPoint管理策略的解决方案
三、策略管理中需要注意的问题
四、策略管理的配置
●Sorting可以通过排列在对象树和对象列表中的对象的简单快速定位对象。

这
个功能可以通过命名和颜色的定义来大大提高效能。

2、策略集
策略集允许通过对每个类型的节点创建特定策略集来满足内部网络中不同节点的特定需求。

图2－1中示例了包含有4个节点的网络。

图2－1包含有不同节点的示例网络
每个不同节点使用不同的CheckPoint产品：
●Servers Farm安装有FireWall－1。

●Sales Alaska和Sales California节点安装有FireWall－1和VPN－1。

●Executive Management安装有FireWall－1、VPN－1和FloodGate－1。

即使各个节点使用了相同的产品但是有不同的安全需求，针对他们的策略也需要不同的规则。

为了有效地管理不同类型的节点，你需要三种不同的策略集。

每个策略集必须包含有管理有相关产品的不同策略。

因此，一个策略集由下面一个或多个类型的策略组成，每个策略管理不同的CheckPoint 产品：
●安全和地址转换策略，控制FireWall－1模块。

这些策略也决定VPN配置模式。

●QoS策略，控制FloodGate－1模块。

●桌面安全策略，控制SecuRemote/SecureClient机器。

与上面策略不同的是，VPN规则表管理器不会应用到单个的节点，但是会应用到关联的节点之间。

因此，这个规则表针对所有的节点。

Web Access Rule（Web访问规则）是独立的策略集，因为它相对于网络来说是应用全部（例如阻断一个指定的节点）。

在SmartDashboard的全局属性（Global Properties）中设置可
以将这个规则表显示出来（在Global Properties窗口的SmartDashboard Customization页面中）。

文件操作
文件操作（New、Open、Save等）是在策略集的水准上进行操作（相对于单个策略而言）。

●New允许定义一个新的策略集，或者向已存在的策略集添加一个单一的策略。

●Open允许打开已经存在的策略集。

包含有策略集的策略类型决定在规则表中显示哪些
分页内容。

●Save As允许存储一个完整的策略集，或者将规则表中指定的策略进行储存（例如
Security and Address Translation，QoS或者Desktop Security）。

注意：在修改策略集之前备份它，可以使用数据库修订控制功能。

不需要使用文件
操作来进行备份和测试的目的，从而不会因为无关的策略集混乱系统。

另外，如果只有一个对象数据库但是有不同集合的话，在对象数据库中保存集合不一定会协调这个变化。

安装目标
为了正确安装（卸载）策略集并排除错误，每个策略集需要管理到相关的安装目标上。

这个管理可以在每次安装时排除重复选择目标模块，并且确认策略集在安装到目标时没有错误。

可以对整个策略集定义安装目标，因而可以排除在每个策略当中具体地定义每条规则的安装目标。

在每次进行Install（安装）和Uninstall（卸载）时可以自动地显示选择的目标（参见图2－2）。

图2－2 在Install Policy窗口的安装目标示例
在所有的安装目标当中你可以从缺省状态中通过选中或不选中来设置策略集的安装（在
Global Properties窗口的SmartDashboard customization页面中），然后根据需要来对每个安装进行设置。

3、规则分节标题
规则的分节可以依照各自的主题进行可视化的分组。

例如，中等规模的网络可能对内部所有节点有一个单一的策略，然后对每个节点的规则使用分节的标题进行定义（更大更复杂的网络可能需要使用策略集）。

使用分节进行规则的排列不必将大部分一般匹配的规则放置在规则的起始部分。

4、查询和排列规则以及对象
查询规则
查询规则可以加深对策略的理解以及验证新规则放置在合适的地方。

你可以在Security、Desktop Security以及Web Access等规则表中查询。

一个查询可以包含一个或多个子查询。

每个子句可以指向已经选择的对象或者规则中的指定列。

你可以针对单个的对象、组或者全部进行查询。

为了增强查询能力，可以使用适当的逻辑条件（“Negate”，“And”和“Or”）。

一旦应用查询以后，则在规则表中只显示查询后匹配的规则。

匹配的规则被隐藏，但仍是整个策略集的一部分并且能够被安装。

可以通过调试额外的查询来精简查询结果。

例如，在规则表中当一个服务器从主机A移到主机B时查询就很有用了。

这个变化要求更新所有主机的访问权限。

为了找到需要修改的规则，可以在所有的规则中查询Destination列中包含有主机A或主机B的规则。

缺省情况下查询不仅搜索规则中所包含的主机，也搜索规则中那些可能包含这些主机的网络对象或者组对象，包括在规则中的Destination是Any的。

查询网络对象
网络对象查询可以搜索到符合查询标准的对象。

可以使用这个工具进行控制和排除对象关联错误。

查询系统中所有的对象（缺省选择下）或者指定类型的对象（例如FireWall－1 installed，FloodGate－1 installed，GateWay Clusters等），以使用不同的过滤（例如Search by Name，Search by IP等）来精简这个列表以及使用通配符来搜索。

除了这些基本的搜索之外，还可以完成更高级的查询：
●IP地址与接口卡不匹配的对象。

●被几个对象使用的相同IP地址。

●没有使用的对象。

注意：在LDAP服务器上定义的对象实体一般在查询中当作“not used”。

你可以将查询结果进行分组。

例如，希望创建一个包含系统中所有邮件服务器的分组，然后在规则表中使用。

如果命名习惯是在邮件服务器命名中包含有字符“Mail”，那么可以通过选择Search by Name的过滤器，以及在此输入*Mail*就可以简单地在所有的网络对象中找到指定的对象。

然后创建一个包含有这个结果的分组并在适用的规则使用。

表2－1 每种策略类型的规则表分页
4.点击OK创建一个策略集。

SmartDashboard当中显示新的策略集，包括选中的策略类型分页。

定义策略集的安装目标
1. 在菜单当中选择Policy > Poli cy Installation Targets…。

然后弹出Select Installation Targets窗口。

2. 选择以下条件：
·All internal modules（全部内部模块，为缺省选项）
·Specific modules，从Not in Installation Targets的列表中选择相关的目标移动到In Installation Targets列表中。

3. 点击OK。

不论是安装还是卸载策略集都对选定的安装目标起作用。

4. 将所有模块的缺省状态设定为Selected或者Not Selected，因此方便策略的安装（卸载）过程。

选择Policy > Global Properties可以在Global Properties窗口的SmartDashboard Customization页面中选择适当的设定。

5.可以在安装（卸载）的操作过程中进一步的修改安装目标：
·为了只在这个操作中修改目标，选定相关的模块和策略并且取消对其他的选定。

·为了可以在将来的操作中修改目标，点击Select Targets…来打开Select Installation Targets 窗口，然后根据需要对列表进行修改。

向一个已存在的策略集增加策略
1.在菜单中选择File > New…。

然后弹出New Policy Packages窗口。

2.选择Add Policy to an existing Package，然后在下拉列表（包含有所有未被激活策略类型的策略集）中选中需要的策略集。

3.在Include the following Policy types节中，选择所有希望添加到策略集的策略类型（关联不同策略类型的规则表分页，具体参见表2－1）。

4.点击OK。

显示选定的策略集，包括需要增加的相关策略类型的规则表分页。

规则分节
增加一个节的标题
1.选择一个需要在此之上或之后添加节标题的规则。

2.从菜单中选择Rules > Add Section Title > Above或者Below（分别进行）。

图5－1 日志收集和跟踪过程
SmartDashboard允许为每条规则自定义跟踪设置，每条规则根据跟踪选项自动记录。

如果决定跟踪匹配规则的事件，可以根据信息的紧急程度选择不同的跟踪选项。

可以在允许http连接上选择标准Log，当希望存储字节数据时选择Account log选项，或者当连接的目标是防火墙机器时，进行Alert的记录。

可以在规则中Track列中点击右键来激活跟踪的选项列表。

模块根据规则中的定义来收集数据，并且将这些日志发给SmartCenter服务器（或者日志服务器）。

到达SmartCenter服务器的日志将生成一个日志文件，所有的日志保存在fw.log文件中，除了审计日志（关联到管理）是保存在fw.adtlog文件中的。

SmartCenter服务器可以通过SmartView Tracker来激活状态检测的日志。

一个完整的审计解决方案可以激活对所有CheckPoint产品的新老日志的中央管理。

可以方便地定义对指定地址跟踪的搜索，可以将日志集成到SmartView Reporter中，或者将日志导成文本形式以及导出到外部的Oracle数据库中。

SmartCenter服务器可以对匹配规则的事件进行指定的操作（例如发布报警、发送邮件以及允许一个用户定义的脚本等等）。

另外在解决方案中，可以从以下的CheckPoint SmartConsole的跟踪以及审计功能上受益：
●SmartView Status允许查看每个模块的连接。

●SmartView Monitor提供不同计数器的实时数据。

●SmartView Reporter允许保存整理过的记录（相对未加工的日志）以及快速定
位感兴趣的事件。

2、SmartView Tracker
图5－2显示SmartView Tracker的主窗口。

在Records栏中的每个条目都记录了与规则中相匹配的事件日志。

新的记录添加到fw.log中，并且自动添加到记录栏中。

图5-2 SmartView Tracker——主界面
Log域当中的显示由以下因素组成：
●产生日志的产品（例如FireWall－1以及FloodGate－1）。

●完成操作的类型（例如安装或打开一个连接）。

例如，当使用NAT时，显示地址转换的域（使用“Xlate”的前缀，例如XlateSrc，XlateDst 等）。

当使用VPN－1时，显示IKE关联的域（例如IKE CookieL，IKE CookieR等）。

SmartView Tracker的模式
SmartView Tracker包括以下三种模式：
●Log，缺省模式，显示所有在fw.log文件中的日志。

这里包括了由不同CheckPoint
产品（包括OPSEC的产品）产生的安全事件条目。

加到fw.log文件中的最新
日志将在记录栏的最下面显示。

●Active允许定位当前通过VPN－1/FireWall－1模块活动连接，这些连接记录在
活动连接的日志文件中。

●Audit允许查看管理的记录，一般包括规则表中对象的改变和SmartDashboard
的普通操作。

这个模式显示了特定的审计数据，例如Administrator，Application
或者Operation的详细内容，可以在fw.adtlog文件中查看。

可以通过点击相关的分页来锁定模式的访问。

3、过滤
SmartView Tracker的过滤机制可以方便地定位感兴趣的日志以及隐藏其他数据，可以在每个日志的域中进行定义。

一旦应用过滤标准，只有符合标准的条目会被选择和显示。

在实际情况中过滤选项的利用是日志列中的一个功能。

例如，当Date列中进行某个日
解析IP地址
当IP地址的解析需要花费大量的事件和资源时，SmartView Tracker允许选择是否直接在日志文件中显示源或目的的主机名字。

在工具栏上点击Resolve IP进行以下的选择：
●显示主机名和域名。

●以惯用的方式显示IP地址。

显示无效匹配
这个现象控制显示无效匹配，也就是说，在当前的过滤条件下既不包含也不排斥结果。

例如，你选择在控制日志条目中的Action不是Reject就是Drop的记录进行显示，因为控制日志中Action是不相关的，所以将出现无效的匹配。

如果Show Null Match是在工具栏中选定的，则将显示无效的匹配。

3、配置过滤器
对日志中感兴趣的域进行地位以及过滤，操作如下：
1）选择以下的一种操作：
●选择Query Properties栏（View > Query Properties），然后在Filter列中右键点击感兴趣
的域。

●在Records栏中，右键点击希望过滤的日志域（列）。

2）选择弹出菜单的Edit Filter选项。

每个域显示一个特定类型的Fliter窗口。

按照预先的方式配置这个窗口，然后会显示相关的日志数据。

3）点击OK应用过滤设定。

注意：只有在工具栏中的Apply Filter选项激活的情况下过滤条件才会生效。

4、配置查询
可以通过自定义已存在的查询，然后使用新的命名保存新的查询。

过程如下：
1）在查询树中选择一个查询（也可以是预定义或自定义的查询），然后选择Query > Copy 菜单。

此时一个该查询的复制（以New命名）添加到Custom的分类中。

2）重命名新的查询。

3）在Query Properties栏修改关联的日志域（列）来获得期望的查询：
●是否Show（显示）有关列的有效信息。

●列显示显示信息的Width（宽度）。

●应用到列的Filter（条件）。

4）双击查询运行。

6、本地日志
将日志存储到本地文件（替代发送到日志服务器或SmartCenter服务器）的过程如下：1）在SmartDashboard中，双击选定的模块显示属性窗口。

2）在Log Servers页面（在Logs and Masters分支下），选定Define Log Servers以及选定Send logs to this module。

3）可以设定一个时间表将本地文件发送到关联的机器（SmartCenter服务器或日志服务器）中，或者使用SmartView Tracker手工导入这些文件。

●指定日志文件发送的时间表过程：
a)显示Additional Logging Configuration页面（在Logs and Masters分支）。

b)在Log forwarding setting分节中，设定如下：
⏹选择Forward log files to Management Server，然后在下拉列表中选择
日志服务器。

⏹在Log forwarding schedule的下拉列表中选择合适的时间对象。

●在SmartView Tracker中查看本地文件的过程：
a)选择Tools > Remote Files Management…。

弹出Remote Files Management窗口，列出所有能够获取日志文件的
CheckPoint网关。

b)点击Get File List，选择预设的CheckPoint网关。

c)弹出Files on <Module Name>的窗口，列出所有在CheckPoint网关中找到
的日志文件。

d)选择一个或多个需要获取的文件。

注意：你能够获取一个当前在线的日志文件。

如果希望获取一个当前文件，必须先执行一个日志切换。

e)点击Fetch Files。

弹出Files Fetch Progress的窗口，显示文件传输操作的进程。

7、使用日志服务器
为了减少SmartCenter服务器的负载，可以使用日志服务器。

过程如下：
1）在需要记录日志的机器上安装日志服务器软件。

2）打开SmartDahsboard，然后使用CheckPoint网络对象添加这个日志服务器：
a)在菜单中选择Manage > New > Check Point > Host…，然后显示Check Point
Host窗口。

b)在General Properties页面中，定义网络对象的属性，包括：
●在Check Point Products列表中选择Log Server。

●在日志服务器和SmartCenter服务器之间设置Secure Internal
Communication的操作。

c)在需要的时候定义附加属性，然后点击OK。

3）在日志服务器对象上安装CheckPoint对象数据库：
●在菜单中选择Policy > Install Database…，然后弹出Install Database窗口。

●在Install Database的列表中选择日志服务器对象，然后点击OK。

4）为了设定模块向日志服务器发送日志，双击选定的模块，然后出现属性窗口。

5）可以一条一条地在线发送日志记录，也可以将记录保存在本地，然后将这个文件依照时间表进行发送。

●将日志记录在线发送的过程如下：
a)显示Log Server页面（在Logs and Masters分支中）。

b)选择Define Log Servers。

c)将日志服务器添加到Always send logs to的表中（在Available Log Server
窗口中点击Add…，然后将Available Log Servers中的日志服务器移动到
Select Log Servers的列表中）。

●依照时间表发送日志的过程如下：
a)显示Additional Logging Configuration页面（在Logs and Masters分支中）。

b)在Log Forwarding Setting中，设置：
⏹选择Forward log files to Management Server，然后在下拉列表中选择
日志服务器。

⏹在下拉列表中选择适当的时间对象来设定Log Forwarding Schedule。

6）缺省情况下，如果选定的日志服务器不可达，日志会写到本地文件当中。

另外，也可以选择一个备份的日志服务器。

过程如下：
a)显示Log Srvers页面（在Logs and Masters分支中）。

b)在When a Log Server is Unreachable，send logs to section中，点击Add…
打开Add Logging Servers窗口。

c)将Available Log Servers列表中的日志服务器移动到Select Log Servers列
表中，然后点击OK。

7）对所有的相关模块重复4到6的过程。

8）打开SmartView Tracker，然后登录日志服务器（替代SmartCenter服务器）。

8、自定义命令
可以在SmartView Tracker中配置相关命令。

过程如下：
1）在菜单中选择Tools > Custom Commands…。

弹出Custom Commands窗口。

2）点击Add…弹出Add New Command窗口。

3）定义以下的命令属性：
⏹Menu Contents——定义在右键菜单中显示的命令（例如Ping）。

⏹Command——定义命令名（例如ping.exe）。

⏹Arguments——命令使用的参数。

⏹IP Columns only——运行定义在具有指定IP地址的列中的命令（例如
Origin、Source、Destination等）。

注意：在执行栏中建议不要使用全路径的定义，因为在SmartView Tracker的客户端中这个可执行文件可能在不同的文件夹下。

管理员必须确保命令可以在SmartView Tracker 安装目录下执行这个文件。

命令通过一个脚本来执行需要完整路径，对于所有管理端，一般。