Check Point教程

Check point
防火墙基本操作手册
CheckPoint(中国)
TEL:(86)10 8419 3348 FAX:(86)10 8419 3399
©2010 Check Point Software Technologies Ltd. All rights reserved.
Classification:
目录
目录 (2)
防火墙架构 (3)
防火墙的Web管理 (3)
配置IP： (4)
配置DNS和Host: (5)
配置路由: (5)
通过防火墙的管理客户端管理 (5)
添加防火墙 (7)
添加策略步骤 (10)
IP节点添加 (10)
添加网段 (11)
IPS的配置 (13)
更新IPS库 (14)
新建IPS动作库 (14)
应用控制 (16)
更新数据库 (16)
添加应用控制策略 (17)
App Wike (18)
自定义添加应用 (18)
QOS配置 (20)
Qos策略的添加 (20)
日志工具的使用 (20)
筛选日志 (21)
临时拦截可以连接 (22)
©2010 Check Point Software Technologies Ltd. All rights reserved.
Classification:
©2010 Check Point Software Technologies Ltd. All rights reserved.
Classification:
防火墙架构
Check point 防火墙的管理是通过一个三层架构来实现的。

首先我们可以在任意的机器上安装防火墙客户端控制台，然后利用控制台的图形化界面登录check point 的管理服务器，定义出各个网络对象，定义企业各条策略，最后下发到防火墙执行模块。

具体实现过程见图示：
防火墙的Web 管理
首先打开Web 管理界面，出现登录界面：
登陆后的界面
设备的Web界面只能配置设备的IP地址，网关，DNS和路由。

还可以针对设备的事件，SNMP监控，代理等信息。

配置IP：
©2010 Check Point Software Technologies Ltd. All rights reserved.
Classification:
©2010 Check Point Software Technologies Ltd. All rights reserved.
Classification:
配置DNS 和Host:
配置路由
:
通过防火墙的管理客户端管理
打开管理客户端。

管理客户端的界面介绍。

SmartDashboard是配置防火墙策略和对象的一个控制软件，我们定义对象和规则时就利用他来实现，SmartUpdate是用于添License时要用到的一个控制软件，SmartView Tracker是查看日志时用到的客户端软件。

点击SmartDashboard后出现登录界面，如图：
©2010 Check Point Software Technologies Ltd. All rights reserved.
Classification:
©2010 Check Point Software Technologies Ltd. All rights reserved.
Classification:
这里输入用户名，密码，以及管理服务器的ip 地址。

点击ok 登录到配置界面。

第一个选项Demo Mode 是查看防火墙的演示界面。

点击Demo Mode 选择下拉列表框中的Advance 选项可以查看Check point 公司定义的各项配置演示。

Cetificate （证书） 选项是替代管理员用户名和密码验证的一种选择，这个证书有管理服务器生成，用户自己保存在本地，需要用它验证时点击旁边的小方块，添加这个证书，然后选择管理服务器地址，然后点击ok 登录。

最下面的Read Only 选项是以只读方式登录防火墙。

没有改配置的权限。

注意：防火墙一次只可以容许一个用户以管理员身份登录，可以修改火墙配置，其他以管理员身份登录防火墙的用户，要么强制断开当前已登陆的帐户，要么以只读身份登录。

登陆SmartConsole 配置界面：
添加防火墙
设备有两种模式。

一种是独立模式，一种是分布式。

独立式则把防火墙和管理平台都装在一台设备上面。

分布式则把防火墙和管理平台分别安装在两台设备上面。

管理平台需要管理防火墙则要通过SIC 来进行管理。

独立式只需要安装管理软件则可以直接管理防火墙。

分布式在安装好后则只有Smart Center 。

右键点击
Check Point 点击Security Gateway/Management …。

右键添加设备，添加有两种模式。

一种为向导模式，一种为自定义模式。

这里选择自定义添加设备。

选择需要的对象，然后回出现弹出界面以便我们配置其具体属性。

具体见图示：
©2010 Check Point Software Technologies Ltd. All rights reserved.
Classification:
©2010 Check Point Software Technologies Ltd. All rights reserved.
Classification:
编辑防火墙的相关属性，见图所示，所标记的地方都是必须要做相应配置的。

然后点击Topology 点击Get interface with Topology 的到防火墙接口信息。

添加防火墙必须通过topology 获取到设备上面
的相关接口
IP ，否则策略下发后将不生效。

配置完成，点击ok 。

完成防火墙配置。

然后下面的配置节点对象以及网络对象都是相同意思，做好相应配置。

设备添加完成后我们可以在树形栏中看到设备添加成功后会出现一个新设备。

添加策略步骤
添加完设备之后我们要添加公司内部需要经过防火墙的网段。

可以只添加需要做策略的网段或者IP。

首先添加IP节点，右键Nodes点击Node-Host添加IP节点。

IP节点添加
设备IP节点的名称
©2010 Check Point Software Technologies Ltd. All rights reserved.
Classification:
©2010 Check Point Software Technologies Ltd. All rights reserved.
Classification:
添加网段
添加网段。

右键NetWork 点击
Network
添加网段。

添加网段的属性。

©2010 Check Point Software Technologies Ltd. All rights reserved.
Classification:
添加策略，源/目的 地址可以套用建立的节点或者网段。

添加完策略之后需要对策略进行下发。

下发策略到防火墙有两种方式 1. 通过点击快捷按钮来进行下发。

1、 测试策略是否有错误。

2、 下发策略到防火墙
3、 显示策略下发的防火墙
4、
显示策略下发记录
2.通过点击菜单中的Policy中的Install进行下发
IPS的配置
Check Point的IPS功能在防火墙上面开启后可以基本拦截70%的攻击，如果需要做更精确的配置可以通过手动自定义IPS的拦截事件。

IPS界面
©2010 Check Point Software Technologies Ltd. All rights reserved.
Classification:
更新IPS库
初次开启IPS需要先对IPS的库进行更新。

通过点击Download Update更新数据库
更新完库后我们可以针对IPS的项目进行修改。

首先我们新建一个动作库。

新建IPS动作库
©2010 Check Point Software Technologies Ltd. All rights reserved.
Classification:
新建完之后可以看到。

该库名为test模式为扫描。

如果需要进一步对设备进行测试。

可以针对这个规则进行修改。

点开在Test这一列针对需要修改的进行修改。

默认为全扫描模式。

只需要双击你需要修改的规则。

选择你需要修改的动作库，这里选择test
©2010 Check Point Software Technologies Ltd. All rights reserved.
Classification:
应用控制
应用控制可以限制用户的应用访问和url访问。

做到内网的应用控制
初次使用应用控制需要更新应用数据库到最新。

更新数据库
©2010 Check Point Software Technologies Ltd. All rights reserved.
Classification:
©2010 Check Point Software Technologies Ltd. All rights reserved.
Classification:
添加应用控制策略
选择应用控制模块后点击Policy 然后点击添加策略进行添加。

Check Point 的应用控制是通过云端去识别应用，你可以到应用库中查看目前可以识别的应用或者URL
，还可以针对类型进行控制，如果限制
shoppint 则可以针对所有购物网站进行限制。

它会通过网站的特征码来匹配。

匹配成功后来进行限制。

App Wike
点击App Wike可以检索到防火墙上更新到的所有应用。

自定义添加应用
点击Next
©2010 Check Point Software Technologies Ltd. All rights reserved.
Classification:
点击Next
©2010 Check Point Software Technologies Ltd. All rights reserved.
Classification:
点击完成。

QOS配置
默认打开Qos页面有一条默认策略，无限制。

右键点击添加策略，添加新策略
Qos策略的添加
日志工具的使用
Smart Tracket 日志查看工具：
©2010 Check Point Software Technologies Ltd. All rights reserved.
Classification:
©2010 Check Point Software Technologies Ltd. All rights reserved.
Classification:
Check Point 自带的日志查看工具可以对设备的日志进行筛选，分类。

图中我们看到有相应注释，左边All Records 是显示防火墙的所有日志,Firewall 是显示防火墙的日志，VPN 是显示的VPN 的日志，如果我们点击图中上面的向下的小箭头，即显示最新出现的日志。

正中是日志显示区域。

筛选日志
可以针对不同的需求对日志进行筛选，如要筛选时间为2013年11月4日则右键data 选择
Eidt felter
输入要设定的时间。

添加指定的事件后系统会把相应的日志显示出来。

设定你需要进行筛选的事件段。

也可以指定某一个时间。

除了可以设定时间也可以筛选策略类型，源地址，目的地址，动作，命中的策略数这些都是可以进行筛选。

也可以对发出该日志的设备进行筛选。

临时拦截可以连接
通过blocking connections进行设置公司的防御。

临时禁止可疑攻击。

选择该连接右键blocking connections就可以自定义该疑似攻击的连接进行拦截设定。

可以针对该连接的源，目标，端口来或者源IP或者目的IP进行拦截。

该日志只能通过monitor进行查看。

Tracket无法查看该拦截日志。

只能在Active中进行设定。

只能针对实时正在试用的连接进行配置临时拦截。

©2010 Check Point Software Technologies Ltd. All rights reserved.
Classification:。