CheckPoint防火墙安装手册

checkpoint⽤户⼿册Check Point UTM-1⽤户⼿册第⼀章使⽤向导 (3)⼀、从配置UTM开始 (3)1、登陆UTM (3)2、配置⽹卡 (3)3、配置路由 (4)4、配置主机名 (5)5、调整时间 (5)⼆、步骤1－配置之前......⼀些有⽤的术语 (6)三、步骤2－安装和配置 (7)四、步骤3－第⼀次登录到SmartCenter服务器 (8)五、步骤4－在安全策略定义之前 (10)六、步骤5－为安全策略定义规则 (15)七、步骤6－来源和⽬的 (16)第⼆章策略管理 (16)⼀、有效的策略管理⼯具需要 (17)⼆、CheckPoint管理策略的解决⽅案 (17)1、策略管理概况 (17)2、策略集 (18)3、规则分节标题 (20)4、查询和排列规则以及对象 (20)三、策略管理需要注意的问题 (21)四、策略管理配置 (21)第三章SmartView Tracker (24)⼀、跟踪的需求 (25)⼆、CheckPoint对跟踪的解决⽅案 (25)1、跟踪概况 (25)2、SmartView Tracker (26)3、过滤 (27)4、查询 (28)5、通过⽇志切换维护⽇志⽂件 (28)6．通过循环⽇志来管理⽇志空间 (28)7、⽇志导出功能 (29)8、本地⽇志 (29)9、使⽤⽇志服务器记录⽇志 (29)10、⾼级跟踪操作 (29)三、跟踪需要考虑的问题 (30)四、跟踪配置 (31)1、基本跟踪配置 (31)2、SmartView的查看选项 (31)3、配置过滤器 (32)4、配置查询 (32)5、维护 (33)6、本地⽇志 (34)7、使⽤⽇志服务器 (34)8、⾃定义命令 (35)9、阻断⼊侵 (36)10、配置报警命令 (36)第⼀章使⽤向导⼀、从配置UTM开始1、登陆UTM2、配置⽹卡3、配置路由4、配置主机名5、调整时间⼆、步骤1－配置之前……⼀些有⽤的术语这⾥介绍⼀些有助于理解本章内容的相关信息。

天诚世纪网络科技有限公司网络安全事业部Checkpoint操作手册文档目录●Smart Dashboard (3)●SmartView Tracker (7)●SmartView monitor (9)●Checkpoint网关gateway模式 (11)●PPPOE拨号 (16)●checkpoint桥接bridge模式 (19)●ISP双链路接入配置 (21)●NAT地址转换 (28)●SSL VPN (31)●Site-to-site 预共享密码vpn (38)●Site-to-site 证书vpn （cp270与edge/safe@office） (42)●RemoteAccess vpn (48)●IPS (52)Smart Dashboard1.登录smart center2.功能介绍Checkpoint属性更新网络拓扑Nodes对象网段Network开启NAT功能配置完任何firewall防火墙规则，都需要安装策略，否则规则不会生效1.Smartview tracker 登录2.功能界面介绍Network&endpoint：记录网络安全日志Management：记录操作checkpoint日志●SmartView monitor1.登录smartview monitor2.界面介绍Traffic---Top servicesTraffic---Top InterfacesTraffic---Top soures1.网络拓扑图2.配置步骤：1)登录SmartDashboard2)新建网段对象将192.168.200.0定义为内网网段inside192.168.200.0将192.168.1.0定义为公网网段outside192.168.1.03)开启NAT功能双击inside192.168.200.0，到NAT，将add automatic address translation打上钩，确定4)建立防火墙规则防火墙firewall建立规则，允许源地址到目标地址任何服务5)安装规则运行install policies6)客户端配置PPPOE拨号1.在checkpoint的console口命令行中，增加下面语法[Expert@cp]# mknod /dev/ppp c 108 0 （重启设备后，这条命令会丢失，需要在启动脚本里增加）[Expert@cp]# vi $CPDIR/tmp/.CPprofile.csh （在脚本里增加此命令）在最后增加一行内容是mknod /dev/ppp c 108 0保存，重启设备2.web界面新建pppoe拨号External接口接到moder，internal接到交换机External接口需要自动获取ip地址（adsl线路是动态，获取到的公网ip地址是动态。

NGX R70 checkpoint 防火墙双机热备安装文档说明：需要二个防火墙和一个管理服务器。

二个防火墙必须用3个以上的网卡（外网，内网，心跳线）。

我们先装第一台防火墙。

系统的提示信息出现，90秒内没有按键，安装将取消，立刻按enter 键。

其中，add driver可用于添加设备，可以通过device list查看设备驱动是否正常。

选择ok键继续选择你要安装的软件刀片。

动态路由的选择，如果不需要就选第一个。

选择US 键盘。

配置。

配置第一个防火墙的IP和默认网关，为避免冲突我们把WEB https://192.168.1.254:4434/访问的端口改成4434格式化你的硬盘选择OK。

安装完成OK，重新启动。

第二台防火墙的安装，和第一台一样（IP不太一样）。

立即按回车90秒以内。

选择OK按自己的需求选择软件刀片选择路由是否需要动态路由。

不需要选第一个。

US键盘编辑第一端口方便进入WEB https://192.168.1.253:4434/进行配置。

配置IP和默认网关。

修改成4434端口。

格式化。

重新启动。

在IE浏览器输入https://192.168.1.254:4434/进行第一台防火强的环境配置。

默认帐号和密码都是admin输入一个新的密码。

下一步。

配置3个接口，外网，内网，和心跳线。

配置外网的默认网关。

配置对应的DNS。

修改一下防火强的名称。

时间配置。

下一步，所有人都人访问这个CLIENT。

集群中的checkpoint防火墙此界面只选择安全网关Security Gateway，不需要在每个集群成员中安装管理服务Security ManagementSecurity Management组件需要安装到一个独立的服务器上（Windows/liunx均可），以便统一管理集群中的各个网关成员我们要配置的防火墙集群，所以这里的网关类型选择“this gateway is a member of a cluster”（这个网关是一个集群的成员）。

CheckPoint Firewall-1 NG 防火墙安装步骤(internet gateway 防火墙模块和管理模块安装在同一台网关机上)如何安装配置checkpoint Firewall-1防火墙：第一：了解整个网络的拓扑结构，包括：路由器内部口的ip地址，防火墙的Internet Ip地址和网络掩码，防火墙的内网Ip地址，防火墙DMZ区IP地址，Webserver的内网ip地址，webServer的Internet Ip地址，mailServer的内网Ip地址，mailServer的Internet Ip地址，内部LAN的网络地址。

需要注意：防火墙的主机安装三个网卡，一个网卡接路由器，一个接DMZ区，一个网卡接内网的交换机。

Webserver和MailServer的网关指向防火墙的DMZ区网卡地址192.168.0.254，LAN中的工作站的网关指向防火墙的内网卡地址10.0.0.254。

如图：在安装防火墙前要确认webserver在没有防火墙的情况下已经可以从互联网上访问到，保证通往外网的线路是通的。

第二：安装防火墙主机操作系统（这里以windows 2000 server为例）：1．将防火墙主机中增加网卡，这样，该主机有三块网卡2．安装windows 2000 server（中英文都可），建议打上sp2的补丁3．安装三个网卡的驱动程序，协议只需安装tcp/ip协议4. 配置ip地址，如图：防火墙外网卡：（防火墙外网卡的地址，该ip address 61.132.122.116和subnet mask 255.255.255.248应该由客户或电信部门提供，应该和路由器在一个网段上，default gateway指向路由器内部口的ip地址:61.132.122.113）防火墙内网卡：（不要设网关）（防火墙内网卡的ip地址，防火墙在内部网的ip是:10.0.0.254 ,subnet mask 是:255.255.255.0 ,网关不设定，应为防火墙此时自身就是内部网络的网关）防火墙DMZ区网卡：（不要设网关）（防火墙DMZ网卡的ip地址，防火墙在内部网的ip是:192.168.0.254 ,subnet mask 是:255.255.255.0 ,网关不设定，应为防火墙此时自身就是DMZ网络的网关）5. 开启防火墙网关的路由转发功能开启该功能可以采用windows2000中的管理工具中的“路由和远程访问”工具开启，但根据我们多次安装实施经验，我们建议您按照下面的方法开启该功能：在开始菜单中的“运行”中，输入“regedit”打开注册表，转到HKEY_LOCAL_MACHINE\SYSTEM\CurrentContralSet\Services\Tcpip\Parameters项，将IPEnableRouter值设为1，重新启动机器。

CheckPoint防火操作手册1 配置主机对象定义防火墙策略时，如需对I P 地址进行安全策略控制则需首先配置这个对象，下面介绍主机对象配置步骤，在“Network Objects”图标处，选择“Nodes”属性上点击右键，选择“Node”，点击“Host”选项，定义主机对象的名称，IP Address属性，同时可按照该主机的重要性定义颜色，配置完成后点击OK,主机对象创建完成。

2 配置网段对象定义防火墙策略时，如需对网段进行安全策略控制则需首先配置这个网络对象，配置步骤如下，在防火墙“Network”属性上点击右键，选择“Network”，选项，定义网段名称，比如DMZ，Internal，建议根据网段所处位置定义，配置网段地址和子网掩码，如有必要可以添加注释（Comment），配置完成后点击确认。

3 配置网络组对象如果需要针对单个I P 地址、IP 地址范围或者整个网段进行安全策略控制，可以将这些对象添加到网络组，如下在防火墙“Group”属性上点击右键，选择“Simple Group”选项，成后点击O K 即可4 配置地址范围对象除了配置I P 地址，网段，也可以指定地址范围(IP range)，地址范围对象配置步骤是，如下在防火墙“Network”属性上点击右键，选择去掉“Do not show empty folders”选项，让I P Range 配置属性显示出来。

配置“Address Rage”，选择“Address Ranges”，如下图输入地址名称、起始IP地址与结束IP地址，完成后点击OK即可。

5 配置服务对象5.1 配置T CP 服务对象Check Point 防火墙内置了预定义的近千种服务，包括T CP、UDP、RPC、ICMP 等各种类型服务，通常在定义防火墙安全策略时，大多数服务已经识别并内置，因此无需额外添加，但也有很多企业自有开发程序使用特殊端口需要自行定义，下面介绍如何自定义服务，如下图所示，点击第二个模块标签，即S ervices，已经预定义多种类型服务，用户根据需要自定义新的服务类型，下面举例定义T CP 类型服务，右键点击“TCP”，选择“New TCP如下图，可以点以单个TCP服务端口服务对象，如果是一段端口，可以定义端口范围以上举例新建T CP 协议的端口服务，如需定义U DP 协议或其他协议类型按照同样流程操作即可。

CheckPoint基本操作⼿册-中⽂1. CheckPoint架构 (2)2. 设置系统配置 (2)2.1 设置IP地址 (2)2.2 设置路由 (3)2.3 配置备份 (4)2.4 下载SmartConsole（GUI Client） (6)2.5 命令⾏（Console/SSH）登陆专家模式 (6)3. 配置防⽕墙策略 (6)3.1 安装SmartConsole，登录策略配置管理 (7)3.2 创建对象 (7)3.2.1 创建主机对象 (7)3.2.2 创建⽹络对象 (8)3.2.3 创建组对象 (9)3.3 创建策略 (10)3.3.1 策略分组 (13)3.4 创建地址转换（NAT） (14)3.4.1 ⾃动地址转换（Static） (15)3.4.2 ⾃动地址转换（Hide） (15)3.4.3 ⼿动地址转换 (16)3.5 Install Policy (18)4. ⽤户识别及控制 (18)4.1 启⽤⽤户识别及控制 (18)4.2 创建AD Query策略 (22)4.3 创建Browser-Based Authentication策略 (24)5. 创建应⽤及⽹址（URL）控制策略 (25)5.1 启⽤应⽤或⽹址（URL）控制功能 (25)5.2 创建应⽤及⽹址（URL）对象 (25)5.3 创建应⽤及⽹址（URL）组对象 (27)5.4 创建应⽤及⽹址（URL）控制策略 (29)6. 创建防数据泄露（DLP）策略 (31)6.1 启⽤防数据泄露（DLP）功能 (31)6.2 创建防数据泄露（DLP）对象 (31)6.2.1 创建防数据泄露（DLP）⽹络对象 (31)6.2.2 创建防数据泄露（DLP）分析内容对象 (31)6.2.3 创建防数据泄露（DLP）分析内容组对象 (31)6.3 创建防数据泄露（DLP）控制策略 (31)7. ⽣成报表（SmartReporter） (31)7.1 启⽤报表功能 (32)7.2 ⽣成报表前参数调整 (32)7.3 ⽣成报表 (35)8. 事件分析（SmartEvent） (36)8.1 启⽤事件分析功能 (36)8.2 查看事件分析 (37)1. CheckPoint 架构CheckPoint 分为三层架构，GUI 客户端（SmartConsole ）是⼀个可视化的管理配置客户端，⽤于连接到管理服务器（SmartCenter ），管理服务器（SmartCenter ）是⼀个集中管理平台，⽤于管理所有设备，将策略分发给执⾏点（Firewall ）去执⾏，并收集所有执⾏点（Firewall ）的⽇志⽤于集中管理查看，执⾏点（Firewall ）具体执⾏策略，进⾏⽹络访问控制2. 设置系统配置设备的基本配置需要在WEB 下进⾏，如IP 、路由、DNS 、主机名、备份及恢复、时间⽇期、管理员账户，默认web 管理页⾯的连接地址为https://192.168.1.1:4434，如果已更改过IP ，将192.168.1.1替换为更改后的IP 2.1 设置IP 地址例：设置LAN2⼝的IP 为10.0.255.2 登录web 后选择Network Connections直接点击LAN2管理服务器 SmartCenterGUI ClientSmartConsole执⾏点 Firewall填⼊IP地址和掩码，点击Apply2.2设置路由例：设置默认路由为10.0.255.1登录web后选择Network→Routing点击New→Default Route，（如果设置普通路由，点击Route）填⼊默认路由，点击Apply2.3配置备份此备份包括系统配置和CheckPoint策略等所有配置例：将配置备份出来保存选择Applicance→Backup and Restore选择Backup→Start Backup输⼊备份的⽂件名，点击Apply（由于⽇志可能会较⼤，增加备份⽂件的⼤⼩，可考虑去掉Include Check Point Products log files in the backup前⾯的勾）选择Yes等待备份⽂件打包当弹出下载⽂件提⽰后，将⽂件保存⾄本地2.4下载SmartConsole（GUI Client）选择Product Configuration Download SmartConsole选择Start Download2.5命令⾏（Console/SSH）登陆专家模式登陆命令⾏（Console/SSH）默认模式下仅⽀持部分操作及命令，如需要执⾏更⾼权限的命令或操作时需登陆专家模式在命令⾏中输⼊expert回车，根据提⽰输⼊密码即可登陆，默认密码同web、console、SSH登陆密码相同# expertEnter expert password:You are in expert mode now.3.配置防⽕墙策略CheckPoint防⽕墙的策略执⾏顺序为⾃上⽽下执⾏，当满⾜某⼀条策略时将会执⾏该策略设定的操作，并且不再匹配后⾯的策略***如果策略中包含⽤户对象，即使匹配该策略，仍然会继续匹配后⾯的策略，只有当后⾯的策略没有匹配或者后⾯的策略中匹配的操作是drop时才会执⾏之前包含⽤户的策略通常CheckPoint策略配置的顺序依次为防⽕墙的管理策略、VPN策略、服务器（DMZ）策略、内⽹上⽹策略、全部Drop策略创建CheckPoint防⽕墙策略的步骤为创建对象、创建策略并在策略中引⽤对象、Install Policy***CheckPoint中配置的更改必须Install Policy之后才会⽣效3.1安装SmartConsole，登录策略配置管理直接运⾏下载的SmartConsole安装包进⾏安装，安装完成后登陆SmartDashboard例：打开策略管理运⾏SmartDashboard输⼊⽤户名、密码以及SmartCenter（管理服务器）的IP地址，点击OK登陆3.2创建对象CheckPoint配置策略的基本步骤为创建需要的对象、创建策略、在策略中引⽤对象、Install Policy 3.2.1创建主机对象例：创建IP为192.168.10.1的对象选择Nodes→Node→Host在Name处输⼊对象名（字母开头），在IP Address处输⼊对象的IP地址，如192.168.10.1，点击OK3.2.2创建⽹络对象例：创建⽹段为192.168.10.0，掩码为255.255.255.0的对象选择Networks Network…输⼊⽹段对象名，⽹段，掩码（由于是中⽂版系统的关系，部分字样可能显⽰不全），点击OK3.2.3创建组对象如果有多个对象需要在策略中引⽤，⽅便起见可将这些对象添加到⼀个组中，直接在策略中引⽤该组即可例：将⽹段192.168.10.0和192.168.11.0添加到⼀个组对象中选择Groups→Groups→Simple Group…输⼊组对象的名字，将⽹段对象192.168.10.0和192.168.11.0在左侧Not in Group窗⼝中双击移⼊到右侧的In Group窗⼝中，点击OK3.3创建策略创建策略前需根据需求先确定创建的位置例：在第6条和第7条之间创建1条允许192.168.10.0⽹段访问任何地⽅任何端⼝的策略，并记录⽇志选中第7条策略，单击右键，选择Add Rule Above添加后会出现⼀条默认策略，需要做的就是在这条策略上引⽤对象在Source对应的⼀栏中，右键点击Any，选择Network Object…找到192.168.10.0这个⽹段的对象后选中，并点击OK由于是访问任何地址的任何端⼝，所以在Destination、VPN、Service栏中保持Any不变在Action栏中点击右键选择Accept在Track栏中点击右键选择Log，这样凡是被这条策略匹配的连接都会记录下⽇志，⽤于在SmartView Tracker中查看完成后的策略如下图3.3.1策略分组当策略数⽬较多时，为了⽅便配置和查找，通常会对策略进⾏分组例：将7、8、9三条⽇志分为⼀个组选中第7条策略，点击右键，选择Add Section Title Above输⼊名字后点击OK如下图所⽰，7、8、9三条策略就分在⼀个组中了，点击前⾯的+-号可以打开或缩进3.4创建地址转换（NAT）在CheckPoint中地址转换分为⾃动和⼿动两种，其中⾃动⼜分为Static NAT和Hide NAT Static NATStatic是指将内部⽹络的私有IP地址转换为公有IP地址，IP地址对是⼀对⼀的，是⼀成不变的，某个私有IP地址只转换为某个公有IP地址。

CheckPoint NG with AI(R55) 防火墙安装步骤CheckPoint NG with AI(R55) 防火墙安装步骤(internet gateway 防火墙模块和管理模块安装在同一台网关机上)如何安装配置checkpoint R55防火墙：第一：了解整个网络的拓扑结构，包括：路由器内部口的ip地址，防火墙的Internet Ip地址和网络掩码，防火墙的内网Ip地址，防火墙DMZ区IP地址，Webserver的内网ip 地址，webServer的Internet Ip地址，mailServer的内网Ip地址，mailServer的Internet Ip地址，内部LAN的网络地址。

需要注意：防火墙的主机安装三个网卡，一个网卡接路由器，一个接DMZ区，一个网卡接内网的交换机。

Webserver和MailServer的网关指向防火墙的DMZ区网卡地址192.168.0.254，LAN中的工作站的网关指向防火墙的内网卡地址10.0.0.254。

如图1：在安装防火墙前要确认webserver在没有防火墙的情况下已经可以从互联网上访问到，保证通往外网的线路是通的。

第二：安装防火墙主机*作系统（这里以windows 2000 server为例）：1．将防火墙主机中增加网卡，这样，该主机有三块网卡2．安装windows 2000 server（中英文都可），建议打上sp2的补丁3．安装三个网卡的驱动程序，协议只需安装tcp/ip协议4. 配置ip地址，如图2：防火墙外网卡：（防火墙外网卡的地址，该ip address 61.132.122.116和subnet mask 255.255.255.248应该由客户或电信部门提供，应该和路由器在一个网段上，default gateway指向路由器内部口的ip地址:61.132.122.113）防火墙内网卡：（不要设网关）如图3如图4（防火墙内网卡的ip地址，防火墙在内部网的ip是:10.0.0.254 ,subnet mask是:255.255.255.0 ,网关不设定，应为防火墙此时自身就是内部网络的网关）,防火墙DMZ 区网卡：（不要设网关）.（防火墙DMZ网卡的ip地址，防火墙在内部网的ip是:192.168.0.254 ,subnet mask 是:255.255.255.0 ,网关不设定，应为防火墙此时自身就是DMZ网络的网关）5. 开启防火墙网关的路由转发功能开启该功能可以采用windows2000中的管理工具中的“路由和远程访问”工具开启，但根据我们多次安装实施经验，我们建议您按照下面的方法开启该功能：在开始菜单中的“运行”中，输入“regedit”打开注册表，转到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentContralSet\Services\Tcpip\Parameters项，将IPEnableRouter值设为1，重新启动机器。

安装checkpoint防火墙简单操作1.安装系统到虚拟机
选择OK
选择OK
自己合理分配每个目录下的空间大小；之后选择OK
设置登录密码，默认账号是admin（此账号用于登陆命令行和web管理界面的）；
设置登录的管理地址ip地址和默认网关。

完成之后reboot设备就可以。

2.Checkpoint防火墙初始化
打开web页面输入刚刚设置的管理地址，输入登录账号密码。

一直点击next
这是设置修改管理地址的；
设置设备主机名的
设置设备的时间
2.1选择management，这是把该设备设置成一台单独的smart center管理中心
设置登录smartdashboard的账号密码
设置允许登录center的设备，我们测试选择any
2.2选择security gateway，表示这是台单独的FW
设置SIC，用于center管理FW的key
3.center关联FW
右击checkpoint。

选择如下图所示：
输入FW的name和ip，点击conmmunication，输入之前设置的key，点击initialize
关联正常，之后就是添加策略和对象进行测试。

Nokia安全平台CheckPoint防⽕墙操作⼿册Nokia安全平台&CheckPoint防⽕墙操作⼿册上海数讯信息技术有限公司⼆○○三年⼗⽉⽬录⼀、NOKIA平台操作⼿册 (2)1、IPSO的安装 (2)2、CHECKPOINT的安装 (10)3、N OKIA平台基本配置 (11)⼆、CHECKPOINT防⽕墙（FP3版本）操作⼿册 (17)1、安装 (17)2、设置 (36)A、增加⼀个Cluster对象 (36)B、增加⼀个主机对象 (41)C、增加⼀个⽹络对象 (43)D、设置全局属性 (45)E、编辑安全策略 (46)F、编辑VPN策略 (47)G、编辑QoS策略 (51)3、系统窗⼝ (52)数讯科技信息⽆限数讯科技信息⽆限⼀、 N okia 平台操作⼿册1、IPSO 的安装Nokia 平台的操作系统IPSO 的安装可以有两种⽅式：●串⼝控制台⽅式● WEB 界⾯voyager ⽅式A 、串⼝控制台⽅式将Nokia 平台的串⼝控制线连接到⼀台PC 的串⼝上，并开启终端仿真程序，将Nokia 平台上电后出现下列界⾯：选择1：bootmgr;待出现BOOTMGR 提⽰符后，键⼊命令：install,然后系统提⽰是否继续，回答yes,出现如下界⾯：系统提⽰从匿名FTP服务器安装还是从⼀个有⽤户名和密码的FTP服务器安装，选择你喜欢的⽅式，并按回车，数讯科技信息⽆限选择你想从哪个端⼝上传⽂件，并输⼊这个端⼝的IP、服务器IP、FTP ⽤户名、密码、路径等，并按回车，数讯科技信息⽆限系统⾃动下载⽂件并安装到系统中，然后⾃动重启，数讯科技信息⽆限IPSO安装完成。

B、WEB 界⾯voyager⽅式第⼀次打开NOKIA 平台，使⽤Console连接上去，出现如下界⾯：输⼊主机名：firewall；输⼊admin⽤户的Password，并确认；选择使⽤基于Web的浏览⽅式——选择1；数讯科技信息⽆限2、使⽤Web界⾯对NOKIA进⾏管理，⾸先需要定义⼀块⽹卡地址、掩码和⽹卡的属性，我们定义在eth-s1p3上，定义地址为192.1.2.2，掩码长度24位，然后定可以通过这个地址对NOKIA进⾏基于Web的管理。

Checkpoint防⽕墙安全配置⼿册V1.1Checkpoint防⽕墙安全配置⼿册v1.1CheckPoint防⽕墙安全配置⼿册Version 1.1XX公司⼆零⼀五年⼀⽉第1页共41 页⽬录1 综述 (3)2 Checkpoint的⼏种典型配置 (4)2.1 checkpoint 初始化配置过程： (4)2.2 Checkpoint Firewall-1 GUI安装 (13)2.3 Checkpoint NG的对象定义和策略配置 (19)3 Checkpoint防⽕墙⾃⾝加固 (37)1综述本配置⼿册介绍了Checkpoint防⽕墙的⼏种典型的配置场景，以加强防⽕墙对⽹络的安全防护作⽤。

同时也提供了Checkpoint防⽕墙⾃⾝的安全加固建议，防⽌针对防⽕墙的直接攻击。

通⽤和共性的有关防⽕墙管理、技术、配置⽅⾯的内容，请参照《中国移动防⽕墙安全规范》。

2Checkpoint的⼏种典型配置2.1checkpoint 初始化配置过程：在安装完Checkpoint软件之后，需要在命令⾏使⽤cpconfig命令来完成Checkpoint 的配置。

如下图所⽰，SSH连接到防⽕墙，在命令⾏中输⼊以下命令：IP350[admin]# cpconfigWelcome to Check Point Configuration Program================================================= Please read the following license agreement.Hit 'ENTER' to continue...（显⽰Checkpoint License版权信息，敲回车继续，敲q可直接跳过该License提⽰信息）Do you accept all the terms of this license agreement (y/n) ?y（输⼊y同意该版权声明）Which Module would you like to install ?-------------------------------------------(1) VPN-1 & FireWall-1 Enterprise Primary Management and Enforcement Module(2) VPN-1 & FireWall-1 Enforcement Module(3) VPN-1 & FireWall-1 Enterprise Primary ManagementCheckpoint Firewall-1/VPN-1⽀持多种安装模式，Firewall-1/VPN-1主要包括三个模块：GUI：⽤户看到的图形化界⾯，⽤于配置安全策略，上⾯并不存储任何防⽕墙安全策略和对象，安装于⼀台PC机上；Management：存储为防⽕墙定义的各种安全策略和对象；Enforcement Module：起过滤数据包作⽤的过滤模块，它只与Managerment通信，其上的安全策略由管理模块下载；以上三个选项中如果Management与Enforcement Module安装于同⼀台设备上，则选择（1），如果Management与Enforcement Module分别安装于不同的设备上，则选择（2）或（3）。

Checkpoint 简单配置手册一．客户端软件SmartConsole安装1．运行CheckPoint集成安装包安装管理防火墙的客户端2只选择安装SmartConsole，别的都不选选择安装SmartConsole的所有组件二．配置CheckPoint防火墙1．运行SmartConsole中的SmartDashboard组件2．登录防火墙管理模块SmartCenter输入用户名，密码，防火墙管理模块的IP地址；SmartDashboard要求验证防火墙的指纹属性，选择“Approve”通过验证即可进入防火墙配置界面3．建立被防火墙管理的网络对象1．主机(Nodes)对象的建立右键选择界面左侧的对象栏里的Nodes，从弹出菜单里选择new nodes->host添加主机对象IP10.19.0.34填写Name:IP10.19.0.34填写IP：10.19.0.34选择是否“Web Server”；如果选中了“Web Server”则CheckPoint会自动打开对该机的http 服务的相关防护措施；静态NAT配置因为该Server需要被静态映射到外网段的219.239.38.138地址上去，所以必须必须选择该主机属性里的“NAT”选项配置NA T选择“Add Automatic Address Translation(自动地址翻译)”选项✧在Translation下拉选项框中选择“Static”✧在Translate to IP文本框中填写该主机映射之后的IP地址：219.239.36.13✧点击“OK”2．网络服务对象(Services)的添加进入services对象栏，右键点击TCP对象，从弹出菜单里选择New TCP在弹出对话框里填入必要的信息填写Name: CaiWuPort: 84443．安全规则(Rules)的添加从菜单栏里选择Rules->Add Rules->Bottom系统添加的默认策略是“any any drop”,即全部丢弃，需要对其进行修改右键点击第一条规则“DESTINA TION”栏里的“Any”对象，从弹出菜单里选择“Add”从弹出对话框里选择“IP10.11.0.1”对象右键点击第一条规则“SERVICE”栏里的“Any”对象，从弹出菜单里选择“Add”从弹出对话框里选择“CaiWu”对象右键点击第一条规则“ACTION”栏里的“drop”对象，从弹出菜单里选择“accept”；以使匹配该规则的数据包被允许通过配该规则的数据包作日志纪录按照上面的方法添加其余规则，以允许IP10.19.0.34访问Range10.11.0.2-5对象的sqlnet1服务最后下发防火墙的安全规则。

CheckPoint防火墙安全配置手册Version 1.1XX公司二零一五年一月目录1 综述 (3)2 Checkpoint的几种典型配置 (4)2.1 checkpoint 初始化配置过程： (4)2.2 Checkpoint Firewall-1 GUI安装 (13)2.3 Checkpoint NG的对象定义和策略配置 (19)3 Checkpoint防火墙自身加固 (37)1综述本配置手册介绍了Checkpoint防火墙的几种典型的配置场景，以加强防火墙对网络的安全防护作用。

同时也提供了Checkpoint防火墙自身的安全加固建议，防止针对防火墙的直接攻击。

通用和共性的有关防火墙管理、技术、配置方面的内容，请参照《中国移动防火墙安全规范》。

2Checkpoint的几种典型配置2.1checkpoint 初始化配置过程：在安装完Checkpoint软件之后，需要在命令行使用cpconfig命令来完成Checkpoint 的配置。

如下图所示，SSH连接到防火墙，在命令行中输入以下命令：IP350[admin]# cpconfigWelcome to Check Point Configuration Program================================================= Please read the following license agreement.Hit 'ENTER' to continue...（显示Checkpoint License版权信息，敲回车继续，敲q可直接跳过该License提示信息）Do you accept all the terms of this license agreement (y/n) ?y（输入y同意该版权声明）Which Module would you like to install ?-------------------------------------------(1) VPN-1 & FireWall-1 Enterprise Primary Management and Enforcement Module(2) VPN-1 & FireWall-1 Enforcement Module(3) VPN-1 & FireWall-1 Enterprise Primary ManagementCheckpoint Firewall-1/VPN-1支持多种安装模式，Firewall-1/VPN-1主要包括三个模块：GUI：用户看到的图形化界面，用于配置安全策略，上面并不存储任何防火墙安全策略和对象，安装于一台PC机上；Management：存储为防火墙定义的各种安全策略和对象；Enforcement Module：起过滤数据包作用的过滤模块，它只与Managerment通信，其上的安全策略由管理模块下载；以上三个选项中如果Management与Enforcement Module安装于同一台设备上，则选择（1），如果Management与Enforcement Module分别安装于不同的设备上，则选择（2）或（3）。

当前最新版本NGX R65（试用版，官方网站下载，十五天内可以使用checkpoint全部功能，要想到期再使用，需要购买许可证（每一种功能需要相应的许可证）的，Checkpoint许可证一般是和网卡进行绑定的），在R60之前Checkpoint防火墙叫做NG（Next Generation 下一代网管），在R60以后称之为叫NGX（下一代防火墙增强版）1、按回车键进行安装，否则90秒后讲终止安装2、Device list显示checkpoint所支持的硬件列表，如果是特殊硬件，可以选择“Add Driver”进行添加硬件驱动。

OK——开始安装（此过程是安装的checkpoint的系统——secureplatform）3、选择checkpoint的操作系统（都是基于linux）SecurePlatform——标准版系统，SecurePlatform Pro——专业版操作系统，增加新特性，支持登录到系统的用户名和密码可以支持radius服务器认证，支持动态路由协议Check Point SecurePlatform Std- Delivered on bootable CD- Automatically installed pre-hardened operating system 自动安装预硬操作系统- Automatically installs Check Point security solutions 自动安装Check Point的安全解决方案- CLI for management 命令行管理- Web interface for management web管理界面- SNMP Support- FIPS 140-2 Compliance Mode- Add new drivers- Kernel based Red Hat ES 3.0Check Point SecurePlatform Pro (aditionallicense required)有许可证要求 - All features SecurePlatform Std and拥有标准版所以特性- Centralized administrator management through RADIUS支持Radius认证 - Supported Dynamic Routing Protocols支持动态路由协议- RIP-1、RIP-2、OSPF、BGP- Multicast Protocols支持组播协议- PIM-DM、PIM-SM、IGMP4、选择键盘类型，默认US5、为CheckPoint选择一个作为管理用的网络接口6、为选定的管理接口配置相关IP地址（一般是公网IP）7、指定在通过HTTPS对Checkpoint进行管理的时候所用的端口，默认是443，可以进行修改8、选择OK，Checkpoint讲对硬盘进行格式化9、开始执行SecurePlatform安装过程10、系统安装完成、选择OK进行重启，11、默认帐户是admin 密码admin登陆之后需要修改密码，同时需要修改admin帐户名可以不修改用户名（直接输入admin）12、登陆系统后，接下来需要进行初始化，两种方式初始化，第一种是图形，通过htttps，第二种是在命令行执行sysconfig命令，基于命令的初始化（这里以命令行做演示）13、欢迎界面，“q”退出，“n”继续14、网络配置菜单，提供5个菜单选项，逐个进行配置，先配置主机名，选择对应代码“1”15、主机名的菜单选项，“1”设置一个主机名；“2”查看主机名，我们选择“1”，然后回车16、输入主机名17、输入“e”退回到主界面18、选择“2”配置域名（可以不设），如要设置，跟设置主机名步骤相同，选择“3”设置域名服务器（DNS）地址，这个必须设，checkpoint很多功能需要DNS解析19、选择“1”添加一个DNS地址，“2”是删除一个DNS地址，“3”是查看DNS设置，设置完成后输入“e”，回到主菜单20、选择“4”，进行设置网卡21、选择“2”，配置网络连接22、选择要设置的网卡23、选择“1”，对eht0网卡进行IP地址的设置24、设置完成后，“e”回到上一级菜单25、在这仍然选择“2”，对其他网卡进行设置，步骤相同26、IP设置完成后，回到主菜单，选择“5”设置网关27、选择“1”，设置缺省网关28、设置完成后，输入“n”继续29、在这个菜单中，主要是对时间以及时区进行设置，具体方法按照向导操作30．时区和时间设置完成后，继续“n”，在这问你是从TFTP服务器上导入配置文件31、输入“n”继续32、试用版license许可协议，输入“y”继续总部；“UTM”要低端一些，适用于中小企业，输入“n”继续34、输入“n”全新安装35、选择安装的组件、“VPN-1 Power”是必须安装的，接下来一直继续36、开始安装37、此处我们输入“n”，因为我们用的试用版没有licenses38、此处要求添加一个管理员，这个管理员必须添加，他是不是用来登陆系统的，是用来通过控制台连接防火墙时候用的帐户39、添加访问端，指定从哪里能通过控制台40、配置完成。

Checkpoint防火墙实施维护手册一、前言经过一段时间的学习和实际的工作，下面把学习和工作中的一些资料加以整理，方便以后更好地工作。

由于学习不系统和工作经验不足，有什么错漏的地方希望大家不吝指教。

二、防火墙的创建1、创建Gateway防火墙◆创建Gateway对象◆选择创建防火墙的模式◆配置防火墙的基本属性◆编辑防火墙的拓扑◆编辑防地址欺骗首先双击外网接口，在下面弹出的对话框中选择Topology。

选择如图所示外网口Anti-Spoofing功能启用了。

首先双击内网接口，在下面弹出的对话框中选择Topology。

选择如图所示内网口Anti-Spoofing功能启用了。

2、创建Cluster防火墙◆创建Cluster对象◆选择创建防火墙的模式◆配置防火墙的基本属性◆添加并配置Cluster成员注：IP为的管理地址（192.168.0.246）◆输入SIC码添加Cluster2同理◆编辑Topology点击Edit Topology进入编辑窗口，在编辑窗口点击Get all members’topology按钮，topology内容自动获取：如要修改，双击要修改的内容，在弹出的窗口中修改：编辑完成后，在Topology属性中能看到完整的Topology结构：3、创建VXS防火墙◆创建vsx对象◆配置vsx基本属性 ip address为管理地址◆添加物理接口◆编辑vsx拓扑◆添加接口◆添加路由◆添加vr◆配置vr属性◆配置vr拓扑◆创建vs◆配置vs基本属性◆配置vs拓扑◆创建vsw◆配置vsw基本属性◆配置vsw拓扑三、Nodes和Networks的创建1、添加Nodes对象2、添加Networks对象四、策略的创建1、策略和对象的管理◆策略包管理 (Policy package management)(仅包含规则集)◆给策略包命名并选择策略类型：◆数据库版本控制 (Database Revision Control) (包括对象和规则集)2、编辑策略◆添加新策略，选择Rules->Add Rule->Below或者点击红圈中的添加按钮：配置策略内容（在需要添加的地方点击右键添加，已经有定义好的对象拖拽也可）：NO：规则序号NAME：规则名称SOURCE：源地址DESTINATION：目的地址SERVICE：选择允许或禁止的服务ACTION：此策略要做的动作（Accept，Drop，Reject）TRACK：是否要记录日志（Log，Alert，Account）INSTALL ON：选择安装在那个防火墙上TIME：可以编辑策略生效的时间段◆Server的添加假如列表中没有server，可以自己新建3、下发策略◆选择Policy->Install或者点击红圈下发按钮◆在弹出的对话框中选择策略安装的防火墙，点击OK下发五、NAT配置1、静态地址映射◆将Nodes做静态地址映射◆将Networks做静态地址映射2、动态地址映射◆将Nodes做动态地址映射◆将Networks做动态地址映射动态映射的地址可以是Gateway也可以映射到指定的IP Address3、手工添加NAT4、针对不同的防火墙映射成不同的地址六、添加License◆确认服务器与防火墙是否相通◆假如原来有License，把原来的License Detach◆在防火墙上重置SIC，然后在服务器上重建SIC连接◆把Licenses添加到管理服务器上◆在服务器上Attach/Get Licenses◆在防火墙上Attach/Get Licenses◆最后检查Licenses是否生效七、查看防火墙状态◆SmartView Monitor中可查看防火墙运行状态◆查看防火墙状态、CPU利用率、内存利用率、硬盘剩余百分比八、查看日志◆在SmartView Tracker中可查看日志◆双击日志可以查看日志的详细信息◆使用日志过滤方便查看关心的日志九、备份和恢复1、管理服务器的定期备份Unix、Linux和Solaris系统下，$FWDIR/conf 和 $FWDIR/lib 目录需要定期备份。

Check point 防火墙基本操作手册For NGX Release了解check point 防火墙架构Check point 防火墙的管理是通过一个三层架构来实现的。

首先我们可以在任意的机器上安装防火墙客户端控制台，然后利用控制台的图形化界面登录check point 的管理服务器，定义出各个网络对象，定义企业各条策略，最后下发到防火墙执行模块。

具体实现过程见图示：防火墙的管理首先打开控制台软件，出现登录界面：SmartDashboard是配置防火墙策略和对象的一个控制软件，我们定义对象和规则时就利用他来实现，SmartUpdate是用于添License时要用到的一个控制软件，SmartView Tracker是查看日志时用到的客户端软件。

点击SmartDashboard后出现登录界面，如图：这里输入用户名，密码，以及管理服务器的ip地址。

点击ok 登录到配置界面。

第一个选项Demo Mode 是查看防火墙的演示界面。

点击Demo Mode 选择下拉列表框中的Advance选项可以查看Check point 公司定义的各项配置演示。

Cetificate（证书）选项是替代管理员用户名和密码验证的一种选择，这个证书有管理服务器生成，用户自己保存在本地，需要用它验证时点击旁边的小方块，添加这个证书，然后选择管理服务器地址，然后点击ok 登录。

最下面的Read Only 选项是以只读方式登录防火墙。

没有改配置的权限。

注意：防火墙一次只可以容许一个用户以管理员身份登录，可以修改火墙配置，其他以管理员身份登录防火墙的用户，要么强制断开当前已登陆的帐户，要么以只读身份登录。

登陆SmartConsole配置界面：上边标记处是添加防火墙规则的按钮。

左边是定义各种对象的区域，有防火墙对象，主机对象，网络对象，以及组对象。

右边Security选项显示的是规则库，显示当前定义的各条规则。

下面是已经定义的所有对象以及他们相应得属性。

Check_Point R75.45_Gaia安装手册（虚拟机）一．虚拟机硬件配置准备（1）注意CD/DVD的ISO Image file目录图1-1（2）确认你的虚拟网卡，是否已经桥接成功注意：NAT所分配到的192.168.2.0网段，就是以后防火墙安装，连接端口的地址。

图1–2图1-3（3）点击Power on 开始正式安装CheckPoint硬件底层图1-4二．硬件安装选第一个图2-1图2-2图2-3 注：选US图2-4注：选择默认Disk分配的配置，直接OK图2-5注：此环节配置的是CheckPoint设备Web界面登陆和CLI指令行的账号和密码；默认账号为：admin图2-6注：显示的端口，即虚拟机默认给分配的网卡，在本实验中，虚拟机共分配了2张虚拟网卡。

图2-7注：点击eth0进入该端口，配地址与网关，（与图1-2虚拟机分配的网段一致）图2-8注：硬件初始化图2-9图2-10注：初始化完成后，reboot重启图2-11注：在浏览器内，输入防火墙的端口地址，https://192.168.2.100图2-12注：输入图2-6所配置的用户名、密码。

图2-13三．GAIA平台初始化配置首次安装时，会提示出现GAIA平台的设置（谨慎配置）图3-1注：修改时区图3-2 注：修改Hostname图3-3注：再次配置eth0的端口配置信息图3-4 注：选择默认第一个图3-5注：很关键的一步。

Security Gateway 和Management 的选项一定要勾上（否则不能登入Dashboard），下方可选项根据需求，选择VRRP 协议或者CP自带的Cluster协议，并确认。

图3-6图3-7注：这里配置的是Dashboard上登陆的用户名与密码，请与前面CP 硬件配置的密码区别开。

图3-8注：选第一个，否则无法打开Dashboard图3-9注：开始安装。

图3-10 注：安装完成后，需重启。

图3-11图3-11重新打开web界面图3-12四.软件安装点击图3-12的上红框内的Download ，没啥花头，一直Next。

Check Point软件技术有限公司成立时间于 1993 年，美国总部在加利福尼亚州红木城，国际总部在以色列莱莫干市，员工人数： 1180 多人。

是全球首屈一指的 Internet 安全解决方案供应商，在全球企业防火墙、个人防火墙及虚拟专用网络（ VPN ）市场上居于领导地位。

Check Point 软件技术有限公司的安全虚拟网络（ SVN ）体系结构可提供支持安全、可靠的因特网通信的基础设施。

通过因特网、Intranet和Extranet ， SVN 可确保网络、系统、应用和用户之间的安全通信。

在公司的“Next Generation” 产品系列中发布的 SVN 解决方案，进一步加强了公司网络、远程员工、办事处以及合作伙伴外部网的业务通信和资源的安全。

Check Point 公司的安全性开放式平台（ OPSEC ）可提供一个先进的框架，它使得 Check Point 的解决方案能够与 350 多家领先企业的卓越解决方案集成及协同工作。

此外， Check Point 通过遍布 88 个国家及地区的 2,200 多家合作伙伴销售及集成其解决方案，同时提供相关服务。

企业级防火墙 /VPN 网关– VPN-1 ProCheck Point VPN-1 Pro 是紧密集成的防火墙和 VPN 网关，为企业应用程序和网络资源提供全面的安全和远程连接。

VPN-1 Pro 将市场领先的FireWall-1 安全套件与久经考验的 VPN 技术结合在一起，通过提供到企业网络、远程用户和移动用户、分支机构、业务合作伙伴的安全连接，满足了互联网、内联网和外联网 VPNs 的严格需求。

它具有行业最智能的安全检测技术、 Stateful Inspection 和 Application IntelligenceTM，为阻止网络层和应用层攻击提供了预先的防御机制。

VPN-1 Pro 解决方案可用在业界最广泛的开放式平台和安全设备之上，可以满足任何规模企业的性价比需求。