CheckPoint 防火墙 双机 HA 实施 方案

管理服务器（SmartCenter）的HA一．概述环境：一台设备是管理服务器+gateway（已经安装好），另一台设备只安装secondary 管理服务器（下面会显示安装和配置）。

这里只演示安装secondary管理服务器以及HA的配置。

Checkpoint的这个功能，不会自动切换的，需要手动进行切换。

二．安装Secondary Management光盘安装过程一样，仅仅在网页进行初始化的时候选择有不同。

在初始化只选择Security Management和选择secondary。

输入连接密码vpn123然后退出没配置HA的话是不能登录到Secondary的服务器上的。

三．配置Management HA登录到主Management的smartdashboard，右键新建一个Checkpoint的HOST类型的对象然后编辑这个对象，填上IP信息和management的相关属性打勾输入密码vpn123然后建立SIC建立成功然后在Topology里新建一个接口点击OK关闭编辑这个对象！这个时候这个对象就新建好了。

确认一下是否已经选择了自动同步（默认）然后在菜单栏选择Launch menu----policy----Install the Datebase将策略都下发到两个管理服务器上在菜单栏选择Launch menu----policy----Management High Availability查看同步状态：这里显示是Never Synchronization!等待变成Synchronization。

注意：记得添加防火墙规则，让GW和新的管理服务器能够互相通信四．如何切换如果要切换，直接点击“Change to Standby”(注意只开启dashboard,关闭其他smarconsole应用程序)，让主服务器变成Standby状态。

点击YES，将会失去和主管理服务器的连接然后输入副服务器的IP连接到新的管理服务器上。

NGX R70 checkpoint 防火墙双机热备安装文档说明：需要二个防火墙和一个管理服务器。

二个防火墙必须用3个以上的网卡（外网，内网，心跳线）。

我们先装第一台防火墙。

系统的提示信息出现，90秒内没有按键，安装将取消，立刻按enter 键。

其中，add driver可用于添加设备，可以通过device list查看设备驱动是否正常。

选择ok键继续选择你要安装的软件刀片。

动态路由的选择，如果不需要就选第一个。

选择US 键盘。

配置。

配置第一个防火墙的IP和默认网关，为避免冲突我们把WEB https://192.168.1.254:4434/访问的端口改成4434格式化你的硬盘选择OK。

安装完成OK，重新启动。

第二台防火墙的安装，和第一台一样（IP不太一样）。

立即按回车90秒以内。

选择OK按自己的需求选择软件刀片选择路由是否需要动态路由。

不需要选第一个。

US键盘编辑第一端口方便进入WEB https://192.168.1.253:4434/进行配置。

配置IP和默认网关。

修改成4434端口。

格式化。

重新启动。

在IE浏览器输入https://192.168.1.254:4434/进行第一台防火强的环境配置。

默认帐号和密码都是admin输入一个新的密码。

下一步。

配置3个接口，外网，内网，和心跳线。

配置外网的默认网关。

配置对应的DNS。

修改一下防火强的名称。

时间配置。

下一步，所有人都人访问这个CLIENT。

集群中的checkpoint防火墙此界面只选择安全网关Security Gateway，不需要在每个集群成员中安装管理服务Security ManagementSecurity Management组件需要安装到一个独立的服务器上（Windows/liunx均可），以便统一管理集群中的各个网关成员我们要配置的防火墙集群，所以这里的网关类型选择“this gateway is a member of a cluster”（这个网关是一个集群的成员）。

Checkpoint防火墙安全配置指南中国联通信息化事业部2012年 12月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章安全配置要求 (2)2.1系统安全 (2)2.1.1用户账号分配 (2)2.1.2删除无关的账号 (3)2.1.3密码复杂度 (3)2.1.4配置用户所需的最小权限 (4)2.1.5安全登陆 (5)2.1.6配置NTP (6)2.1.7安全配置SNMP (6)第3章日志安全要求 (7)3.1日志安全 (7)3.1.1启用日志功能 (7)3.1.2记录管理日志 (8)3.1.3配置日志服务器 (9)3.1.4日志服务器磁盘空间 (10)第4章访问控制策略要求 (11)4.1访问控制策略安全 (11)4.1.1过滤所有与业务不相关的流量 (11)4.1.2透明桥模式须关闭状态检测有关项 (12)4.1.3账号与IP绑定 (13)4.1.4双机架构采用VRRP模式部署 (14)4.1.5打开防御DDOS攻击功能 (15)4.1.6开启攻击防御功能 (15)第5章评审与修订 (16)第1章概述1.1 目的本文档规定了中国联通通信有限公司信息化事业部所维护管理的CheckPoint防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行CheckPoint防火墙的安全配置。

1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

本配置标准适用的范围包括：中国联通总部和各省公司信息化部门维护管理的CheckPoint防火墙。

1.3 适用版本CheckPoint防火墙；1.4 实施本标准的解释权和修改权属于中国联通集团信息化事业部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

防火墙ha方案
防火墙（Firewall）是指一种用于保护计算机或网络免受未授权访问的设备或软件，能够限制网络通信流量的路径和方式。

在高可用性（High Availability）的场景下，需要使用防火墙HA方案来实现防火墙设备的冗余与故障转移。

以下是一种防火墙HA方案的介绍。

1. 基于硬件的防火墙HA方案：使用两台硬件防火墙设备，通过一定的协议及配置同步方式实现数据同步，同时使用虚拟IP地址来提供服务。

在其中一台设备故障时，另一台设备可以立即接管工作，保障网络安全及服务的连续性。

2. 基于软件的防火墙HA方案：使用两台服务器装载相同的防火墙软件，通过一定的配置方式实现数据同步，并使用虚拟IP地址来提供服务。

在其中一台服务器故障时，另一台服务器可以接管工作，保障网络安全及服务的连续性。

以上是两种常见的防火墙HA方案，综合考虑成本和性能等因素，可以选择适合自己的方案。

同时，为了保证防火墙的高可用性，需要周期性地进行设备及配置的检查和维护，及时处理发现的问题。

本文由no1moonboy贡献doc文档可能在WAP端浏览体验不佳。

建议您优先选择TXT，或下载源文件到本机查看。

双 CheckPoint 防火墙实施方案目录第一章客户环境概述…… 4 1.1 概述…… 4 1.2 网络拓扑与地址分配表…… 4 1.3 安装前准备事宜…… 6 第二章 Nokia IP380 安装与配置…… 7 2.1 概述…… 7 2.2 初始化 nokia380 …… 7 2.3 设置 nokia 基本信息…… 8 2.3.1 Nokia 端口 IP 地址设定…… 8 2.3.2 设置网关路由…… 8 2.3.3 设置 Nokia 平台时间…… 9 2.3.4 设定Nokia 高可用 VRRP 参数…… 9 2.4 初始化 checkpoint …… 14 2.4.1 在 nokia 平台上checkpoint 的安装与卸载…… 14 2.4.2 初始化 checkpoint …… 16 第三章管理服务器的安装与配置…… 17 3.1checkpoint smartcenter 的安装…… 18 3.1.1 安装前的准备…… 18 3.1.2 安装步骤…… 18 3.2 配置 checkpoint 对象和参数…… 20 3.2.1 建立 sic …… 20 3.2.2 定义防火墙对象拓扑结构…… 21 3.2.3 使用同样的步骤按照表 1 的参数建立 IP380B checkpoint gateway 对象。

…… 21 3.3 基于 nokia vrrp 或者cluster 的设置…… 22 3.3.1 基于 Nokia VRRP 的设置…… 22 3.3.2 为 nokia vrrp 定义策略…… 22 3.3.3 高可用性的检查…… 23 3.4nokia cluster 的设置…… 23 3.5 暂时没有…… 23 第四章策略设定…… 24 4.1 概述…… 24 4.2 netscreen 的策略……24 4.3 经过整理后转换成 checkpoint 的策略...... 24 4.4 设定策略...... 24 4.4.1 定义主机对象...... 24 4.4.2 定义网络对象...... 25 4.4.3 定义组...... 26 4.4.4 定义服务 (26)4.4.5 添加标准策略…… 27 4.4.6 添加 NAT 策略…… 27 第五章切换与测试……29 5.1 切换...... 29 5.2 测试...... 29 5.3 回退...... 30 第六章日常维护...... 31 6.1 防火墙的备份与恢复...... 31 6.1.1 nokia 防火墙的备份与恢复方法...... 31 6.1.2 checkpoint management 上的备份与恢复 (33)第一章客户环境概述1.1 概述XXXXXX 公司因应企业内部的网络需求，对总部网络进行扩容改动，中心防火墙从原来的 netscreen 换成两台 Nokia IP380，两台 nokia 互为热备。

checkpoint双机热备Cluster XL-----高可用性和负载均衡介绍Cluster XLCheck Point防火墙的ClusterXL功能是一个基于软件的高可用性和负载分担解决方案。

它能够在属于同一个ClusterXL群组里面的checkpoint网关上分配网络流量。

并且一个checkpoint网关出现故障不能工作的情况下，其他同组成员能过接替他的工作，保证网络能过正常、安全的为企业服务。

ClusterXL工作的条件是：Cluster 需要两台以上的checkpoint 防火墙，而且这两台防火墙的系统平台要一致，软件版本也要一致.拓扑图如下所示：群控制协议Cluster Control Protocol (CCP)将checkpoint网关加入的一个群组。

Ccp使用udp8116端口，群组内的设备使用此端口发送保活数据包报告他们的状态，同步成员时钟。

高可用性在故障切换期间能过保持所有链接的弹性安全，包括vpn链接。

如果一个主用网关不可用，所有的会话无需终端就可以安全的继续下去。

用户不需要重新连接和重新认证，也不需要知道备用网关接管了业务。

负载均衡通过负载均衡，在多个网关之见分配流量，ClusterXL可以扩展vpn的性能能力。

一个集群最多可以部署五个网关。

配置说明以两台checkpoint防火墙为例说明集群的配置过程。

实计环境如下：说明防火墙A、B使用三台交换机相连一台用于连入外网（outside）一台用于连入内网（inside）一台用于连接集群防火墙实现防火墙同步（心跳线）注意：若只有两台防火墙做集群心跳线可用网线直接相连1、新安装两台checkpoint防火墙（处不同地方均不在做说明）从ht tps登陆设备安装防火墙组件选择安装组件集群中的checkpoint防火墙此界面只选择安全网关VPN-1 Power，不需要在每个集群成员中安装管理服务Smartcenter。

Smartcenter组件需要安装到一个独立的服务器上（Windows/liunx均可），以便统一管理集群中的各个网关成员。

SmartCenter HA实施方案2012年10月目录1. 概述 (2)2.网络环境 (2)2.1 当前网络管理架构 (2)2.2 高可用管理架构 (3)3. 实施前准备 (3)4. 实施步骤 (4)4.1 安装Secondary SmartCenter (4)4.2 配置Secondary SmartCenter (4)4.3 HA配置 (5)4.4 Log server配置 (5)4.5 状态查看 (6)4.6 状态切换 (7)1. 概述大型网络中,当网络中只有一台管理服务器对防火墙进行管理时,一旦管理服务器出现故障,checkpoint设备将立刻变得不可管理，策略的变更以及设备状态的监控就无法实现。

当前网络中，有多台checkpoint安全设备，且目前只有一台管理服务器。

为了保障管理的高可靠性，需要两台管理服务器SmartCenter组成高可用的管理架构。

2.网络环境2.1 当前网络管理架构网络中只有一台Smart Center管理服务器，当服务器出现故障时，会导致所有checkpoint 设备无法管理。

2.2 高可用管理架构网络中同时有两台smart Center管理服务器，任何一台设备出现故障，另外一台将会变成主管理服务器。

每次主管理服务器保存配置或下发配置时，备管理服务器会自动从主管理服务器同步配置信息，从而实现配置的同步。

3. 实施前准备1. 确保新上线管理服务器软件版本和当前网络中的管理服务器一致。

2. 管理服务器网络基本配置：(1) IP地址(2) 网关(3) DNS3. 新管理服务器IP和当前管理服务器IP之间没有防火墙策略。

（建议两台设备IP在同一网段）4. 实施步骤4.1 安装Secondary SmartCenter在安装过程中直接选择Secondary SmartCenter，并且输入SIC值。

注意事项：最好与Primary SmartCenter同一网段必须与Primary SmartCenter安装相同的组件必须与Primary SmartCenter的操作系统相同4.2 配置Secondary SmartCenter登陆Primary SmartCenter，然后新建Host对象，注意主机名、IP、系统版本与安装的模块，然后同步SIC如下图:4.3 HA配置选择Policy Globle Properties Management High Ability ,配置SmartCenter同步的方式，选择点击Save时同步和下发策略时同步。

C h e c k p o i n t防火墙安全配置指南This model paper was revised by the Standardization Office on December 10, 2020Checkpoint防火墙安全配置指南中国联通信息化事业部2012年 12月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述1.1目的本文档规定了中国联通通信有限公司信息化事业部所维护管理的CheckPoint防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行CheckPoint防火墙的安全配置。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

本配置标准适用的范围包括：中国联通总部和各省公司信息化部门维护管理的CheckPoint防火墙。

1.3适用版本CheckPoint防火墙；1.4实施本标准的解释权和修改权属于中国联通集团信息化事业部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国联通集团信息化事业部进行审批备案。

第2章安全配置要求2.1系统安全2.1.1用户账号分配2.1.2删除无关的账号2.1.3密码复杂度2.1.4配置用户所需的最小权限2.1.5安全登陆2.1.6配置NTP安全配置SNMP2.1.7第3章日志安全要求3.1日志安全3.1.1启用日志功能3.1.2记录管理日志3.1.3配置日志服务器3.1.4日志服务器磁盘空间第4章访问控制策略要求4.1访问控制策略安全4.1.1过滤所有与业务不相关的流量4.1.2透明桥模式须关闭状态检测有关项4.1.3账号与IP绑定4.1.4双机架构采用VRRP模式部署4.1.5打开防御DDOS攻击功能4.1.6开启攻击防御功能第5章评审与修订本标准由中国联通集团信息化事业部定期进行审查，根据审视结果修订标准，并颁发执行。

C h e c k P o i n t防火墙配置公司内部编号：（GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-C h e c k P o i n t 防火墙配置╳╳╳╳-╳╳-╳╳发布 ╳╳╳╳-╳╳-╳╳实施S p e c i f i c a t i o n f o r C h e c k P o i n t F i r e W a l lC o n f i g u r a t i o n U s e d i n C h i n a M o b i l e版本号：１.０.０中国移动通信有限公司网络部目录前言概述1.1适用范围本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOINT 防火墙设备。

本规范明确了设备的基本配置要求，为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求提供指南。

本规范可作为编制设备入网测试规范，工程验收手册，局数据模板等文档的参考1.2内部适用性说明本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出的CHECKPOINT防火墙配置要求规范，为便于比较，特作以下逐一比较及说明（在“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、“不采纳”。

在“补充说明”部分，对于增强要求的情况，说明在本规范的相应条款中描述了增强的要求。

对于“不采纳”的情况，说明采纳的原因）。

内容采纳意见备注1.不同等级管理员分配不同账号，避免账号混用。

完全采纳2.应删除或锁定与设备运行、维护等工作无关的账号。

完全采纳3.防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

完全采纳4.账户口令的生存期不长于90天。

部分采纳IPSO操作系统支持5.应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。

部分采纳IPSO操作系统支持6.应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

checkpoint firewall full ha configuration--R77.30 Full ha是将管理服务器和防火墙模块都安装在一台Checkpoint设备上，使用两台同样的设备组成HA高可用集群。

full ha拓扑：full ha设备初始化过程如下：输入管理口IP地址，通过https登录设备web ui，开启初始化向导模式：点下一步，然后选择继续配置GR77.30，点一下步，配置管理口的IP地址，如果不需要修改，则直接下一步，如果配置外网口地址，如下：如果不配置公网地址如下：点下一步，输入防火墙的名称、所属域和DNS等信息，如果没有加入域可以不写，也可以选择跳过域配置，之后再登录web界面配置。

点击下一步，设置时间和日期，中国区的话，建议设置如下时区：（也支持设置NTP服务器）点击下一步，选择安装类型如图：点击下一步，选填写full ha cluster相关信息，如下：勾选security gateway、security management、unit is a part of a cluster：clusterXL。

其中，cluster global id在不同集群之间必须唯一，在集群内，必须相同。

取值范围为1-254。

如果是primary设备，则需要设置security management为primary。

反之设置为secondary。

备机的配置如图：点击下一步，有两种情况：如果是主设备，设置security management的管理帐号和密码如果是备设备，需要设置SIC：如下：注意：备设备设置完SIC之后，直接进入summary界面。

点击下一步，设置可访问security management的GUI Clinet的IP地址或网段：点击下一步，显示summary信息（注意这里显示的primary，如果是备机则显示secondary）备设备的summary：点yes，进行初始化初始化过程：初始化完成，提示进行重启：重启完成，进入web ui后，配置系统的IP地址和路由信息，如下：注意：主备的配置除了IP地址不同以外。

中国移动通信CHINA MOBILECheckPo int 防火墙配置Specificati on for CheckPo int FireWailCo nf i g u r a中国移n动通版信有限公司网络部n2 .Mo bileXXXX - XX - XX 发布XXXX - XX - XX 实施11.2内部适用性说明1 概述2 CHECKPOIN 防火墙设备配置要求 (7)冃U 言概述1.1适用范围本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOIN 防火墙设备。

本规范明确了设备的基本配置要求， 为在设备入网测试、工程验收和设备 运行维护环节明确相关配置要求提供指南。

本规范可作为编制设备入网测试规 范，工程验收手册，局数据模板等文档的参考本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出目录1677的CHECKPOIN防火墙配置要求规范，为便于比较，特作以下逐一比较及说明（在2 2.2内部适用性说明数超过6次（不含6次），锁定 持“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、 “不采纳”。

在“补充说明”部分，对于增强要求的情况，说明在本规范的相应 条款中描述了增强的要求。

对于“不采纳”的情况，说明采纳的原因）。

内容采纳意见备注1.不同等级管理员分配不同账完全采纳号，避免账号混用。

2.应删除或锁定与设备运行、维完全采纳护等工作无关的账号。

3.防火墙管理员账号口令长度至完全采纳少8位，并包括数字、小写字母、大与子母和特殊符号4类中至少2类。

4.账户口令的生存期不长于90部分采纳IPSO 操作系统支天。

持5.应配置设备，使用户不能重复部分采纳IPSO 操作系统支使用最近5次（含5次）内已持使用的口令。

该用户使用的账号。

6.应配置当用户连续认证失败次部分采纳IPSO 操作系统支7. 在设备权限配置能力内，根据用户的管理等级，配置其所需的最小管理权限。

Check Point防火墙测试方案version 2.1Check Point安全软件科技有限公司2008年7月目录1 测试方案概述 (4)2 测试环境和拓扑结构 (5)2.1 功能测试拓扑结构及环境说明 (5)2.1.1 功能测试拓扑结构（除Site to Site VPN） (5)2.1.2 功能测试拓扑结构（Site to Site VPN） (6)2.2 性能测试拓扑结构结构及环境说明 (7)2.2.1 网络/应用性能测试拓扑结构（除Site to Site VPN） (7)2.2.2 VPN性能测试拓扑结构(Site to Site VPN) (8)2.3 当前测试版本 (9)2.4 关于Check Point UTM-1的参数配置 (9)3 功能测试 (10)3.1 测试环境初始化 (10)3.2 物理指标 (11)3.3 访问控制 (12)3.3.1 测试目标 (12)3.3.2 测试用例 (12)3.3.3 测试方法 (12)3.4 NAT功能 (14)3.4.1 测试目标 (14)3.4.2 测试用例 (14)3.4.3 测试方法 (14)3.5 用户认证 (15)3.5.1 测试目标 (15)3.5.2 测试用例 (15)3.5.3 测试方法 (16)3.6 应用控制/入侵防御功能测试 (18)3.6.1 测试目标 (18)3.6.2 测试用例 (18)3.6.3 测试方法 (19)3.7 防病毒功能测试 (21)3.7.1 测试目标 (21)3.7.2 测试用例 (21)3.7.3 测试方法 (21)3.8 WEB过滤功能测试 (23)3.8.1 测试目标 (23)3.8.2 测试用例 (23)3.8.3 测试方法 (23)3.9 Message Security功能测试 (24)3.9.1 测试目标 (24)3.9.2 测试用例 (24)3.9.3 测试方法 (24)3.10 Site to Site VPN (25)3.10.1 测试目标 (25)3.10.2 测试用例 (25)3.10.3 测试方法 (25)3.11 Remote Access VPN (27)3.11.1 测试目标 (27)3.11.2 测试用例 (27)3.11.3 测试方法 (28)3.12 SSL VPN (29)3.12.1 测试目标 (29)3.12.2 测试用例 (29)3.12.3 测试方法 (29)3.13 Cluster功能测试 (30)3.13.1 测试目标 (30)3.13.2 测试用例 (30)3.13.3 测试方法 (31)3.14 权限管理及Management HA (32)3.14.1 测试目标 (32)3.14.2 测试用例 (32)3.14.3 测试方法 (32)3.15 设备状态监控 (33)3.15.1 测试目标 (33)3.15.2 测试用例 (33)3.15.3 测试方法 (34)3.16 日志管理 (35)3.16.1 测试目标 (35)3.16.2 测试用例 (35)3.16.3 测试方法 (36)3.17 报表管理 (37)3.17.1 测试目标 (37)3.17.2 测试用例 (37)3.17.3 测试方法 (37)3.18 备份恢复 (38)3.18.1 测试目标 (38)3.18.2 测试用例 (38)3.18.3 测试方法 (38)4 性能测试 (39)5 评分标准 (40)1测试方案概述本方案用于测试Check Point Power/UTM系列防火墙。

C h e c k P o i n t防火墙配置Company Document number：WTUT-WT88Y-W8BBGB-BWYTT-19998C h e c k P o i n t 防火墙配置╳╳╳╳-╳╳-╳╳发布 ╳╳╳╳-╳╳-╳╳实施S p e c i f i c a t i o n f o r C h e c k P o i n t F i r e W a l lC o n f i g u r a t i o n U s e d i n C h i n a M o b i l e版本号：１.０.０中国移动通信有限公司网络部目录前言概述1.1 适用范围本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOINT防火墙设备。

本规范明确了设备的基本配置要求，为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求提供指南。

本规范可作为编制设备入网测试规范，工程验收手册，局数据模板等文档的参考1.2内部适用性说明本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出的CHECKPOINT防火墙配置要求规范，为便于比较，特作以下逐一比较及说明（在“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、“不采纳”。

在“补充说明”部分，对于增强要求的情况，说明在本规范的相应条款中描述了增强的要求。

对于“不采纳”的情况，说明采纳的原因）。

内容采纳意见备注1.不同等级管理员分配不同账完全采纳号，避免账号混用。

2.应删除或锁定与设备运行、维护等工作无关的账号。

完全采纳3.防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

完全采纳4.账户口令的生存期不长于90天。

部分采纳IPSO操作系统支持5.应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。

部分采纳IPSO操作系统支持6.应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

防火墙双机热备方案1目录前言 (4)第二章网络安全建设需求分析 (6)2.1 网络安全建设原则 (6)2.2 网络安全建设目标 (6)2.3网络结构分析 (6)第三章设备选型 (10)3．1 NSA E6500重要性能指标 (千兆安全过滤网关) (10)第四章防火墙功能实现 (13)4．1 免重组深度包检测防火墙 (13)4．2 强大的防御功能 (13)4．3 SonicWALL防火墙的售后服务 (13)4．4 SonicWALL 防火墙的操作系统 (14)4．5 支持动态IP（DHCP Client） (14)4．6 支持ADSL 接入 (14)4．7 支持DDN、PPTP或L2TP等多种上网方式 (15)4．8 NAT(Network Address Translation)地址转换 (15)4．9 反向地址映射 (16)4．10 面向对象可视化的规则编辑和管理工具 (16)4．11 支持DHCP服务器 (16)4．12 支持各种应用服务协议 (17)4．13 提供进出双方向的带宽管理服务 (17)4．14 虚拟专用网(VPN) (18)4．15 VPN 客户端（软件） (19)4．16 内容过滤（选项） (19)4．17 网络防病毒（选项） (20)4．18 监测、报告软件ViewPoint（选项） (21)4．19 全球管理系统（选项） (22)4．20 支持双机热备 (23)24．21 链路备份及负载均衡 (24)4．22 入侵防御服务 (IPS) (25)4．23 网关防病毒功能 (26)4．24 反间谍软件功能 (26)3前言随着计算机技术和通讯技术的飞速发展，网络正逐步改变着人们的工作方式和生活方式，成为当今社会发展的一个主题。

网络的开放性，互连性，共享性程度的扩大，特别是Internet的出现，使网络的重要性和对社会的影响也越来越大。

随着网络上电子商务，电子现金，数字货币，网络保险等新兴业务的兴起，网络安全问题变得越来越重要。

XXXXXX有限公司防火墙安全管理方案目录1防火墙设计方案 (3)1.1概述 (3)1.2防火墙设计目标 (3)1.3新数据中心防火墙的部署 (4)1.4产品选型分析 (4)2 防火墙安全管理设计方案 (5)2.1当前防火墙管理模式 (5)2.2存在的问题 (6)2.3建议方案 (6)2.3.1方案（一）:Smart Center集中管理 (6)2.3.2方案（二）:Provider-1分权管理 (7)2.3.3 Provider-1版本的选择 (8)2.3.4 Provider-1扩展性分析 (8)2.4 部署方案 (8)3 产品配置清单 (10)3.1方案（一）Smart Center集中管理配置清单 (10)3.2 方案（二）Provider-1分权管理配置清单 (11)1防火墙设计方案1.1概述此次防火墙项目涉及到新数据中心边界安全的建设，同时担当着安全域划分的角色，即根据功能、安全等级、策略定义等因素进行安全隔离与管控，把复杂的安全问题缩小到局部范围内。

因此，防火墙产品必须满足高安全性、高稳定性、可扩展性、可管理性等四个要求。

根据XXXXX目前网络安全的部署情况来看，Check Point防火墙已经帮助XXXXX实现了XXXX及分公司的网络边界的高安全性，作为网络安全的基石，保护企业内部网络来自Internet的各种攻击与威胁。

因此，为了实现边界安全建设的四个要求，在新数据中心的建设中我们依旧选择Check Point防火墙产品。

1.2防火墙设计目标（1）保护脆弱的服务通过过滤不安全的服务，防火墙可以极大地提高网络安全和减少子网中主机的风险。

例如，防火墙可以过滤保护NIS、NFS、SSH、SQL、CIFS等高风险级别的服务，同时可以拒绝SYN Flood、UDP Flood、源路由和ICMP重定向封包等攻击。

（2）控制对系统的访问防火墙可以提供对系统的访问控制。

如允许从外部访问某些主机的特定端口，同时禁止访问其他服务或其他主机。

防火墙双机热备方案1目录前言 (4)第二章网络安全建设需求分析 (6)2.1 网络安全建设原则 (6)2.2 网络安全建设目标 (6)2.3网络结构分析 (6)第三章设备选型 (10)3．1 NSA E6500重要性能指标 (千兆安全过滤网关) (10)第四章防火墙功能实现 (13)4．1 免重组深度包检测防火墙 (13)4．2 强大的防御功能 (13)4．3 SonicWALL防火墙的售后服务 (13)4．4 SonicWALL 防火墙的操作系统 (14)4．5 支持动态IP（DHCP Client） (14)4．6 支持ADSL 接入 (14)4．7 支持DDN、PPTP或L2TP等多种上网方式 (15)4．8 NAT(Network Address Translation)地址转换 (15)4．9 反向地址映射 (16)4．10 面向对象可视化的规则编辑和管理工具 (16)4．11 支持DHCP服务器 (16)4．12 支持各种应用服务协议 (17)4．13 提供进出双方向的带宽管理服务 (17)4．14 虚拟专用网(VPN) (18)4．15 VPN 客户端（软件） (19)4．16 内容过滤（选项） (19)4．17 网络防病毒（选项） (20)4．18 监测、报告软件ViewPoint（选项） (21)4．19 全球管理系统（选项） (22)4．20 支持双机热备 (23)24．21 链路备份及负载均衡 (24)4．22 入侵防御服务 (IPS) (25)4．23 网关防病毒功能 (26)4．24 反间谍软件功能 (26)3前言随着计算机技术和通讯技术的飞速发展，网络正逐步改变着人们的工作方式和生活方式，成为当今社会发展的一个主题。

网络的开放性，互连性，共享性程度的扩大，特别是Internet的出现，使网络的重要性和对社会的影响也越来越大。

随着网络上电子商务，电子现金，数字货币，网络保险等新兴业务的兴起，网络安全问题变得越来越重要。

VRRP的演示试验fw1fw2pc1pc2 172.16.30.2172.16.30.3172.16.30.4fe2fe2fe3fe3fe4fe4192.168.1.3192.168.1.4192.168.1.21.1.1.11.1.1.2172.16.30.1192.168.1.1链路1链路2拓扑说明：PC1通过HUB连接到fw1和fw2（172.16.30.1这个地址是虚拟IP，下面将会在配置防火墙的过程中讲到），PC2也是通过HUB连接到fw1和fw2。

实验要求：PC1和PC2能够互相ping通，当链路1或者链路2断开时，照样可以互相PING，并且可以在两个防火墙上抓包分析，ICMP包是通过哪个防火墙。

实验步骤：我们设fw1为主墙，下面我们首先为主墙进行配置。

1、配置IP2、配置安全规则P1这条规则允许双向同步secgate_ha_conf服务，必须加的。

其中P2这条规则是允许VRRP组播报告，可加可不加，不会影响实验过程。

P3、P4两个包过滤想必不说也应该清楚吧。

3、HA基本配置同步网口为fe4，同步IP为1.1.1.1，主墙一定要设置为控制节点。

注意实例名称和VRID和备墙一一对应起来。

把两个接口关联起来点启启动。

下面我们再来配置下备墙。

1、配置IP2、HA基本配置需要手动同步的话可以在从安全网关那输入网关地址1.1.1.1,然后点击同步所有配置，这样就能实现手动同步。

注：同步完后需重启备墙才能生效，备墙不能选择为控制节点。

3、添加VRRP实例4、添加VRRP关联添加完后点击启动注意：1、两台防火墙最好是同一个版本。

2、备墙没有配置安全规则是因为它可以跟主墙同步，而且一旦两个墙的关联都启动后，备墙就不能自己添加安全规则以及其它信息。