CheckPoint 防火墙基本操作及应急措施

Check point

防火墙基本操作手册

CheckPoint(中国)

TEL:(86)10 8419 3348 FAX:(86)10 8419 3399

©2010 Check Point Software Technologies Ltd. All rights reserved.

Classification:

目录

目录 (2)

防火墙架构 (3)

防火墙的Web管理 (3)

配置IP： (4)

配置DNS和Host: (5)

配置路由: (5)

通过防火墙的管理客户端管理 (5)

添加防火墙 (7)

添加策略步骤 (10)

IP节点添加 (10)

添加网段 (11)

IPS的配置 (13)

更新IPS库 (14)

新建IPS动作库 (14)

应用控制 (16)

更新数据库 (16)

添加应用控制策略 (17)

App Wike (18)

自定义添加应用 (18)

QOS配置 (20)

Qos策略的添加 (20)

日志工具的使用 (20)

筛选日志 (21)

临时拦截可以连接 (22)

©2010 Check Point Software Technologies Ltd. All rights reserved.

Classification:

©2010 Check Point Software Technologies Ltd. All rights reserved.

Classification:

防火墙架构

Check point 防火墙的管理是通过一个三层架构来实现的。首先我们可以在任意的机器上安装防火墙客户端控制台，然后利用控制台的图形化界面登录check point 的管理服务器，定义出各个网络对象，定义企业各条策略，最后下发到防火墙执行模块。具体实现过程见图示：

Checkpoint防火墙安全配置指南

中国联通信息化事业部

2012年 12月

备注：

1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录

第1章概述 (1)

1.1目的 (1)

1.2适用范围 (1)

1.3适用版本 (1)

1.4实施 (1)

1.5例外条款 (1)

第2章安全配置要求 (2)

2.1系统安全 (2)

2.1.1用户账号分配 (2)

2.1.2删除无关的账号 (3)

2.1.3密码复杂度 (3)

2.1.4配置用户所需的最小权限 (4)

2.1.5安全登陆 (5)

2.1.6配置NTP (6)

2.1.7安全配置SNMP (6)

第3章日志安全要求 (7)

3.1日志安全 (7)

3.1.1启用日志功能 (7)

3.1.2记录管理日志 (8)

3.1.3配置日志服务器 (9)

3.1.4日志服务器磁盘空间 (10)

第4章访问控制策略要求 (11)

4.1访问控制策略安全 (11)

4.1.1过滤所有与业务不相关的流量 (11)

4.1.2透明桥模式须关闭状态检测有关项 (12)

4.1.3账号与IP绑定 (13)

4.1.4双机架构采用VRRP模式部署 (14)

4.1.5打开防御DDOS攻击功能 (15)

4.1.6开启攻击防御功能 (15)

第5章评审与修订 (16)

第1章概述

1.1 目的

本文档规定了中国联通通信有限公司信息化事业部所维护管理的CheckPoint防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行CheckPoint防火墙的安全配置。

1.2 适用范围

本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

Checkpoint防火墙命令行维护手册

制订模版：NGX-R65

版本号：V1.0

目录

一、基本配置命令 (1)

1.1SYSCONFIG (1)

1.2CPCONFIG (2)

1.3CPSTOP (3)

1.4CPSTART (3)

1.5EXPERT (4)

1.6IDLE (4)

1.7WEBUI (4)

1.8脚本添加路由 (4)

二、查看系统状态 (1)

2.1TOP (1)

2.2DF –H (3)

2.3FREE (3)

三、HA相关命令 (1)

3.1CPHAPROB STAT (1)

3.2CPHAPROB –A IF (1)

3.3CPHACONF SET_CCP BROADCAST (1)

3.4CPHAPROB LIST (2)

3.5CPHASTART/CPHASTOP (3)

四、常用维护命令 (1)

4.1VER (1)

4.2FW VER (1)

4.3查看防火墙UTM/POWER版本 (1)

4.4查看防火墙硬件型号 (1)

4.5LICENSE查看和添加 (1)

4.6IFCONFIG/IFCONFIG –A (1)

4.7MII-TOOL (1)

4.8ETHTOOL (1)

4.9CPSTAT FW (2)

4.10会话数查看 (1)

五、日志查看命令 (1)

5.1FW LOG (1)

5.2FW LSLOGS (1)

5.3FW LSLOGS –E (1)

5.4FW LOGSWITCH (2)

5.5导出日志文件 (2)

六、防火墙的备份和恢复 (1)

6.1备份防火墙 (1)

6.2在IE中备份 (1)

6.4恢复防火墙 (2)

checkpoint 15400防火墙参数-回复关于Checkpoint 15400防火墙参数的一步一步回答

首先，Checkpoint 15400防火墙是一种高性能的企业级防火墙设备，具备强大的安全功能和灵活的设置参数。本文将分步回答有关这款防火墙参数的问题。

第一步：了解Checkpoint 15400防火墙

Checkpoint 15400防火墙是由Checkpoint Technologies开发的一款硬件设备，旨在提供出色的网络安全和流量管理解决方案。这款防火墙采用混合处理架构，可以处理大量的数据流量，并提供对网络流量的精细控制。

第二步：了解防火墙参数的分类

Checkpoint 15400防火墙的参数可以根据其功能和设置方式进行分类。常见的分类包括：

1. 网络参数：用于配置防火墙的网络接口、IP地址、子网掩码等信息，以便与外部网络和内部网络进行连接。

2. 安全策略参数：用于配置防火墙的安全策略，包括允许或拒绝某些特定IP地址、端口或协议的流量。还可以设置入站和出站的安全策略，以保护内部网络免受外部威胁。

3. VPN参数：用于配置防火墙的虚拟专用网络（VPN）功能，包括创建和管理VPN隧道、配置加密算法和密钥等。

4. 监控和报警参数：用于设置防火墙的监控和报警功能，包括配置日志记录、事件报告和警报设置等，以便及时发现和响应潜在的安全威胁。

第三步：配置网络参数

配置网络参数是设置Checkpoint 15400防火墙最基本的步骤，可以通过以下步骤完成：

1. 连接到防火墙的管理界面，通常可以通过Web界面或命令行界面进行访问。

CheckPoint FireWall-1防火墙技术

2007-11-14 18:22:23

随着Internet的迅速发展，如何保证信息和网络自身安全性的问题，尤其是在开放互联环境中进行商务等机密信息的交换中，如何保证信息存取和传输中不被窃取、篡改，已成为企业非常关注的问题。

作为开放安全企业互联联盟(OPSEC)的组织和倡导者之一，CheckPoint公司在企业级安全性产品开发方面占有世界市场的主导地位，其FireWall-1防火墙在市场占有率上已超过44%，世界上许多著名的大公司，如IBM、HP、CISCO、3COM、BAY等，都已成为OPSEC的成员或分销CheckPoint FireWall-1产品。

CheckPoint FireWall-1 V3.0防火墙的主要特点。

从网络安全的需求上来看，可以将FireWall-1的主要特点分为三大类，第一类为安全性类，包括访问控制、授权认证、加密、内容安全等;第二类是管理和记帐，•包括安全策略管理、路由器安全管理、记帐、监控等;第三类为连接控制，包括负载均衡高可靠性等；下面分别进行介绍。

1．访问控制

这是限制未授权用户访问本公司网络和信息资源的措施。评价访问控制的一个重要因素是要看其能否适用于现行的所有服务和应用。第一代包过滤技术，无法实施对应用级协议处理，也无法处理UDP、RPC或动态的协议。第二代应用代理网关防火墙技术，为实现访问控制需要占用大量的CPU资源，对Internet上不断出现的新应用(如多媒体应用)，无法快速支持.

CheckPoint FireWall-1的状态监测技术，结合强大的面向对象的方法，可以提供全七层应用识别，对新应用很容易支持。目前支持160种以上的预定义应用和协议，包括所有Internet服务，如安全Web浏览器、传统Internet应用（mail、ftp、telnet）、UDP、RPC等，此外，支持重要的商业应用，如OracleSQL*Net、SybaseSQL服务器数据库访问；支持多媒体应用，如RealAudio、CoolTalk、NetMeeting、InternetPhone等，以及Internet广播服务，如BackWeb、PointCast。

目录

1CHECKPOINT VPN概述 (2)

1.1 简介 (2)

1.2 分类及其工作原理 (3)

1.3 功能与定位 (3)

1.4 特点与局限性 (4)

2CHECKPOINT VPN适用环境及部署原则 (5)

2.1 适用环境 (5)

2.2 安全部署原则 (5)

3CHECKPOINT VPN的安全管理与配置 (5)

3.1 服务器端设置 (5)

3.2 客户端设置 (18)

3.3 登陆过程 (23)

3.4 日志查询 (23)

1Checkpoint VPN概述

1.1 简介

VPN（Virtual Private Network）虚拟专用网，是企业网在因特网等公共网络上的延伸，通过一个私有的通道在公共网络上创建一个安全的私有连接，可以形象地看做是一条穿过混乱的公用网络的安全、稳定的隧道，所以VPN中使用的加密传输协议被称为隧道协议。

用户使用VPN使需要在PC机上安装一个客户端软件，该客户端和企业的VPN Server互相配合，能保证用户端到企业内部的数据是被加密，无法监听。

VPN的设计目标是保护流经Internet的通信的保密性和完整性，在数据在互联网上传输之前进行加密，在到达最终用户之前进行解密。但尽管如此，VPN并不完备，许多用户在使用VPN时，密码经常被窃，使整个VPN系统失去安全。这种密码盗窃是VPN中经常遭受的、最具危害性的攻击。

一般来说，大多数对用户身份的确认是通过用户名和固定的密码实现的，然而，固定密码容易被窃或被黑客随处可得的“Cracker”工具破译，某些软件可以自动完成猜测密码的工作，更糟糕的是，某些特定的单词，如“password”或“123456”等，经常被用做密码。

CheckPoint基本操作⼿册-中⽂

1. CheckPoint架构 (2)

2. 设置系统配置 (2)

2.1 设置IP地址 (2)

2.2 设置路由 (3)

2.3 配置备份 (4)

2.4 下载SmartConsole（GUI Client） (6)

2.5 命令⾏（Console/SSH）登陆专家模式 (6)

3. 配置防⽕墙策略 (6)

3.1 安装SmartConsole，登录策略配置管理 (7)

3.2 创建对象 (7)

3.2.1 创建主机对象 (7)

3.2.2 创建⽹络对象 (8)

3.2.3 创建组对象 (9)

3.3 创建策略 (10)

3.3.1 策略分组 (13)

3.4 创建地址转换（NAT） (14)

3.4.1 ⾃动地址转换（Static） (15)

3.4.2 ⾃动地址转换（Hide） (15)

3.4.3 ⼿动地址转换 (16)

3.5 Install Policy (18)

4. ⽤户识别及控制 (18)

4.1 启⽤⽤户识别及控制 (18)

4.2 创建AD Query策略 (22)

4.3 创建Browser-Based Authentication策略 (24)

5. 创建应⽤及⽹址（URL）控制策略 (25)

5.1 启⽤应⽤或⽹址（URL）控制功能 (25)

5.2 创建应⽤及⽹址（URL）对象 (25)

5.3 创建应⽤及⽹址（URL）组对象 (27)

5.4 创建应⽤及⽹址（URL）控制策略 (29)

6. 创建防数据泄露（DLP）策略 (31)

6.1 启⽤防数据泄露（DLP）功能 (31)

C h e c k P o i n t防火墙管理中心

高可用性操作手册

广州中软信息技术有限公司

目录

1. 管理中心高可用性概述 (3)

2. 管理中心高可用性解决方案 (4)

2.1. 备份管理中心服务器 (4)

2.2. 管理中心高可用性部署 (5)

2.3. 管理中心备份信息 (6)

2.4. 管理中心同步模式 (6)

2.5. 管理中心同步状态 (7)

2.6. 改变管理中心状态 (8)

2.7. 高可用性注意事项 (8)

3. 管理中心高可用性配置 (10)

3.1. 安装与同步备份管理中心 (10)

3.2. 改变管理中心状态 (12)

3.3. 管理中心同步方式 (13)

1.管理中心高可用性概述

CheckPoint管理中心SmartCenter由几个独立的数据库组成，分别存储了用户定义的网络对象、用户对象以及安全策略等信息。系统管理员修改了这些数据库中的信息后，管理中心服务器会把修改后的信息发布到SVN产品的各个相关组件进行执行，因此，做好管理中心数据的备份是很重要的。备份了管理中心的数据后，在管理中心服务器失效时可以保证这些重要的数据不会丢失。另外，如果管理中心服务器由于维护的目的需要停机，备份管理中心服务器就可以代替活动的管理中心服务器进行各种处理。例如，执行模块就可以从备份管理中心服务器获得安全策略和传递CRL以及传达其它信息等。

2.管理中心高可用性解决方案

2.1. 备份管理中心服务器

实现管理中心的高可用性，那么活动的管理中心服务器就总有一个或多个的备份管理中心服务器处于备份状态，准备随时从活动的管理中心服务器接替管理中心的任务。备份的管理中心服务器必须和活动的管理中心服务器具有相同的操作系统(例如：Windows NT、Window 2000)，操作系统的版本可以不相同。备份管理中心服务器的存在可以起到两方面的作用：

CheckPoint防火墙安全配置基线

中国移动通信有限公司管理信息系统部

2012年 04月

备注：

1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录

第1章概述 (1)

1.1目的 (1)

1.2适用范围 (1)

1.3适用版本 (1)

1.4实施 (1)

1.5例外条款 (1)

第2章帐号管理、认证授权安全要求 (2)

2.1帐号管理 (2)

2.1.1用户帐号分配* (2)

2.1.2删除无关的帐号* (2)

2.1.3帐户登录超时* (3)

2.1.4帐户密码错误自动锁定* (4)

2.2口令 (4)

2.2.1口令复杂度要求 (4)

2.3授权 (5)

2.3.1远程维护的设备使用加密协议 (5)

第3章日志及配置安全要求 (7)

3.1日志安全 (7)

3.1.1记录用户对设备的操作 (7)

3.1.2开启记录NAT日志* (7)

3.1.3开启记录VPN日志* (8)

3.1.4配置记录流量日志 (9)

3.1.5配置记录拒绝和丢弃报文规则的日志 (9)

3.2安全策略配置要求 (10)

3.2.1访问规则列表最后一条必须是拒绝一切流量 (10)

3.2.2配置访问规则应尽可能缩小范围 (10)

3.2.3配置OPSEC类型对象* (11)

3.2.4配置NAT地址转换* (11)

3.2.5限制用户连接数* (12)

3.2.6Syslog转发SmartCenter日志* (12)

3.3攻击防护配置要求 (14)

3.3.1定义执行IPS的防火墙* (14)

3.3.2定义IPS Profile* (15)

CheckPoint防火操作手册1 配置主机对象

定义防火墙策略时，如需对I P 地址进行安全策略控制则需首先配置这个对象，下面介

绍主机对象配置步骤，

在“Network Objects”图标处，选择“Nodes”属性上点击右键，选择“Node”

，点击“Host”选项，

定义主机对象的名称，IP Address属性，同时可按照该主机的重要性定义颜色，配置完成后点击OK,主机对象创建完成。

2 配置网段对象

定义防火墙策略时，如需对网段进行安全策略控制则需首先配置这个网络对象，配置步骤如下，在防火墙“Network”属性上点击右键，选择“Network”

，选项，

定义网段名称，比如DMZ，Internal，建议根据网段所处位置定义，配置网段地址和子网掩码，如有必要可以添加注释（Comment），配置完成后点击确认。

3 配置网络组对象

如果需要针对单个I P 地址、IP 地址范围或者整个网段进行安全策略控制，可以将这

些对象添加到网络组，如下在防火墙“Group”属性上点击右键，选择“Simple Group”

选项，

成后点击O K 即可

4 配置地址范围对象

除了配置I P 地址，网段，也可以指定地址范围(IP range)，地址范围对象配置步骤是，如下在防火墙“Network”属性上点击右键，选择去掉“Do not show empty folders”选项，让I P Range 配置属性显示出来。

配置“Address Rage”，选择“Address Ranges”，如下图

输入地址名称、起始IP地址与结束IP地址，完成后点击OK即可。

Check point 防火墙基本操作手册

For NGX Release

了解check point 防火墙架构

Check point 防火墙的管理是通过一个三层架构来实现的。首先我们可以在任意的机器上安装防火墙客户端控制台，然后利用控制台的图形化界面登录check point 的管理服务器，定义出各个网络对象，定义企业各条策略，最后下发到防火墙执行模块。具体实现过程见图示：

防火墙的管理

首先打开控制台软件，出现登录界面：

SmartDashboard是配置防火墙策略和对象的一个控制软件，我们定义对象和规则时就利用他来实现，SmartUpdate是用于添License时要用到的一个控制软件，SmartView Tracker是查看日志时用到的客户端软件。

点击SmartDashboard后出现登录界面，如图：

这里输入用户名，密码，以及管理服务器的ip地址。点击ok 登录到配置界面。第一个选项Demo Mode 是查看防火墙的演示界面。点击Demo Mode 选择下拉列表框中的Advance选项可以查看Check point 公司定义的各项配置演示。

Cetificate（证书）选项是替代管理员用户名和密码验证的一种选择，这个证书有管理服务器生成，用户自己保存在本地，需要用它验证时点击旁边的小方块，添加这个证书，然后选择管理服务器地址，然后点击ok 登录。

最下面的Read Only 选项是以只读方式登录防火墙。没有改配置的权限。

注意：防火墙一次只可以容许一个用户以管理员身份登录，可以修改火墙配置，其他以管理员身份登录防火墙的用户，要么强制断开当前已登陆的帐户，要么以只读身份登录。

Checkpoint防⽕墙命令⾏维护⼿册Checkpoint防⽕墙命令⾏维护⼿册

制订模版：NGX-R65

版本号：V1.0

⽬录

⼀、基本配置命令 (1)

1.1SYSCONFIG (1)

1.2CPCONFIG (2)

1.3CPSTOP (3)

1.4CPSTART (3)

1.5EXPERT (3)

1.6IDLE (4)

1.7WEBUI (4)

1.8脚本添加路由 (4)

⼆、查看系统状态 (1)

2.1TOP (1)

2.2DF –H (2)

2.3FREE (2)

三、HA相关命令 (1)

3.1CPHAPROB STAT (1)

3.2CPHAPROB –A IF (1)

3.3CPHACONF SET_CCP BROADCAST (1)

3.4CPHAPROB LIST (2)

3.5CPHASTART/CPHASTOP (3)

3.6FW CTL PSTAT (3)

四、常⽤维护命令 (1)

4.1VER (1)

4.2FW VER (1)

4.3查看防⽕墙UTM/POWER版本 (1)

4.4查看防⽕墙硬件型号 (1)

4.5LICENSE查看和添加 (1)

4.6IFCONFIG/IFCONFIG –A (1)

4.7MII-TOOL (1)

4.8ETHTOOL (1)

4.9CPSTAT FW (2)

4.10会话数查看 (1)

五、⽇志查看命令 (1)

5.1FW LOG (1)

5.2FW LSLOGS (1)

5.3FW LSLOGS –E (1)

5.4FW LOGSWITCH (1)

5.5导出⽇志⽂件 (2)

六、防⽕墙的备份和恢复 (1)

Checkpoint防火墙实施维护手册

一、前言

经过一段时间的学习和实际的工作，下面把学习和工作中的一些资料加以整理，方便以后更好地工作。由于学习不系统和工作经验不足，有什么错漏的地方希望大家不吝指教。

二、防火墙的创建

1、创建Gateway防火墙

◆创建Gateway对象

◆选择创建防火墙的模式

◆配置防火墙的基本属性

◆编辑防火墙的拓扑

◆编辑防地址欺骗

首先双击外网接口，在下面弹出的对话框中选择Topology。选择如图所示外网口Anti-Spoofing功能启用了。

首先双击内网接口，在下面弹出的对话框中选择Topology。选择如图所示内网口Anti-Spoofing功能启用了。

2、创建Cluster防火墙

◆创建Cluster对象

◆选择创建防火墙的模式

◆配置防火墙的基本属性

◆添加并配置Cluster成员

注：IP为的管理地址（192.168.0.246）◆输入SIC码

添加Cluster2同理

◆编辑Topology

点击Edit Topology进入编辑窗口，在编辑窗口点击Get all members’topology按钮，topology内容自动获取：

如要修改，双击要修改的内容，在弹出的窗口中修改：

编辑完成后，在Topology属性中能看到完整的Topology结构：

3、创建VXS防火墙

◆创建vsx对象

◆配置vsx基本属性 ip address为管理地址

◆添加物理接口

◆编辑vsx拓扑

◆添加接口

◆添加路由

◆添加vr

◆配置vr属性

◆配置vr拓扑

◆创建vs

◆配置vs基本属性

◆配置vs拓扑

◆创建vsw

Checkpoint防火墙命令行维护手册

制订模版：NGX-R65

版本号：V1.0

目录

一、基本配置命令 (1)

1.1SYSCONFIG (1)

1.2CPCONFIG (2)

1.3CPSTOP (3)

1.4CPSTART (3)

1.5EXPERT (3)

1.6IDLE (4)

1.7WEBUI (4)

1.8脚本添加路由 (4)

二、查看系统状态 (1)

2.1TOP (1)

2.2DF –H (1)

2.3FREE (1)

三、HA相关命令 (1)

3.1CPHAPROB STAT (1)

3.2CPHAPROB –A IF (1)

3.3CPHACONF SET_CCP BROADCAST (1)

3.4CPHAPROB LIST (1)

3.5CPHASTART/CPHASTOP (2)

3.6FW CTL PSTAT (2)

四、常用维护命令 (1)

4.1VER (1)

4.2FW VER (1)

4.3查看防火墙UTM/POWER版本 (1)

4.4查看防火墙硬件型号 (1)

4.5LICENSE查看和添加 (1)

4.6IFCONFIG/IFCONFIG –A (1)

4.7MII-TOOL (1)

4.8ETHTOOL (1)

4.9CPSTAT FW (2)

4.10会话数查看 (1)

五、日志查看命令 (1)

5.1FW LOG (1)

5.2FW LSLOGS (1)

5.3FW LSLOGS –E (1)

5.4FW LOGSWITCH (1)

5.5导出日志文件 (1)

六、防火墙的备份和恢复 (1)

6.1备份防火墙 (1)