CheckPoint安装手册

Check_Point R75.45_Gaia安装手册（虚拟机）一．虚拟机硬件配置准备（1）注意CD/DVD的ISO Image file目录图1-1（2）确认你的虚拟网卡，是否已经桥接成功注意：NAT所分配到的192.168.2.0网段，就是以后防火墙安装，连接端口的地址。

图1–2图1-3（3）点击Power on 开始正式安装CheckPoint硬件底层图1-4二．硬件安装选第一个图2-1图2-2图2-3 注：选US图2-4注：选择默认Disk分配的配置，直接OK图2-5注：此环节配置的是CheckPoint设备Web界面登陆和CLI指令行的账号和密码；默认账号为：admin图2-6注：显示的端口，即虚拟机默认给分配的网卡，在本实验中，虚拟机共分配了2张虚拟网卡。

图2-7注：点击eth0进入该端口，配地址与网关，（与图1-2虚拟机分配的网段一致）图2-8注：硬件初始化图2-9图2-10注：初始化完成后，reboot重启图2-11注：在浏览器内，输入防火墙的端口地址，https://192.168.2.100图2-12注：输入图2-6所配置的用户名、密码。

图2-13三．GAIA平台初始化配置首次安装时，会提示出现GAIA平台的设置（谨慎配置）图3-1注：修改时区图3-2 注：修改Hostname图3-3注：再次配置eth0的端口配置信息图3-4 注：选择默认第一个图3-5注：很关键的一步。

Security Gateway 和Management 的选项一定要勾上（否则不能登入Dashboard），下方可选项根据需求，选择VRRP 协议或者CP自带的Cluster协议，并确认。

图3-6图3-7注：这里配置的是Dashboard上登陆的用户名与密码，请与前面CP 硬件配置的密码区别开。

图3-8注：选第一个，否则无法打开Dashboard图3-9注：开始安装。

图3-10 注：安装完成后，需重启。

图3-11图3-11重新打开web界面图3-12四.软件安装点击图3-12的上红框内的Download ，没啥花头，一直Next。

Check point防火墙基本操作手册CheckPoint(中国)TEL:(86)10 8419 3348 FAX:(86)10 8419 3399©2010 Check Point Software Technologies Ltd. All rights reserved.Classification:目录目录 (2)防火墙架构 (3)防火墙的Web管理 (3)配置IP： (4)配置DNS和Host: (5)配置路由: (5)通过防火墙的管理客户端管理 (5)添加防火墙 (7)添加策略步骤 (10)IP节点添加 (10)添加网段 (11)IPS的配置 (13)更新IPS库 (14)新建IPS动作库 (14)应用控制 (16)更新数据库 (16)添加应用控制策略 (17)App Wike (18)自定义添加应用 (18)QOS配置 (20)Qos策略的添加 (20)日志工具的使用 (20)筛选日志 (21)临时拦截可以连接 (22)©2010 Check Point Software Technologies Ltd. All rights reserved.Classification:©2010 Check Point Software Technologies Ltd. All rights reserved.Classification:防火墙架构Check point 防火墙的管理是通过一个三层架构来实现的。

首先我们可以在任意的机器上安装防火墙客户端控制台，然后利用控制台的图形化界面登录check point 的管理服务器，定义出各个网络对象，定义企业各条策略，最后下发到防火墙执行模块。

具体实现过程见图示：防火墙的Web 管理首先打开Web 管理界面，出现登录界面：登陆后的界面设备的Web界面只能配置设备的IP地址，网关，DNS和路由。

还可以针对设备的事件，SNMP监控，代理等信息。

CheckPoint VPN安装操作指引（适用内部员工远程办公）1.下载CheckPoint VPN用户端软件下载网址：ftp://130.52.1.52/download/work/vpn/ (不需密码) 或：ftp://211.96.252.252用户名：unicom 密码: unicomwindows98,windows me用户请下载vpn_9x.zipwindows2000,windows xp用户请下载vpn_w2k.zip2.解压后执行setup.exe安装，根据提示一直往下执行，当出现选择“Install VPN-1 SecuRemote”，Next续继安装，在这里，一般情况都选择”Install on dialup adapters only”,按next继续, 安装完成后，要求重启计算机。

（注意：这里设定VPN的绑定拨号连接还是所有连接，这个设定可以根椐不同的使用情况进行修改。

1.在公司里（使用局域网时），只能选择第2项绑定拨号，否则上网会出现问题2.在公司外，使用拨号上网，选择任何一项都可以3.在公司外，使用网卡上网（如小区宽带），只能选择第1项绑定所有连接。

4.修改绑定方法见第5条）3.重启后，在计算机的托盘里有一个图标，双击该图标，出现下图，并”new site”输入VPN服务器IP地址:211.96.243.1输入有用户名和密码：输入正确的用户名和密码后，出现认证对话框，点”ok:”确认之后出现两个对话框，均点”OK”即可，设置完毕后出现以下图标到此VPN就全部设定完毕。

4.VPN使用方法：使用VPN不需要特殊操作，只要VPN设定正确后，并连上互联网，像正常一样使用即可，当第一次使用到VPN资源时，VPN会自动弹出一个对话框要求输入VPN帐号和密码。

（注：VPN密码不能保存）5.更改VPN绑定方法：更改设定后需重启计算机。

checkpoint⽤户⼿册Check Point UTM-1⽤户⼿册第⼀章使⽤向导 (3)⼀、从配置UTM开始 (3)1、登陆UTM (3)2、配置⽹卡 (3)3、配置路由 (4)4、配置主机名 (5)5、调整时间 (5)⼆、步骤1－配置之前......⼀些有⽤的术语 (6)三、步骤2－安装和配置 (7)四、步骤3－第⼀次登录到SmartCenter服务器 (8)五、步骤4－在安全策略定义之前 (10)六、步骤5－为安全策略定义规则 (15)七、步骤6－来源和⽬的 (16)第⼆章策略管理 (16)⼀、有效的策略管理⼯具需要 (17)⼆、CheckPoint管理策略的解决⽅案 (17)1、策略管理概况 (17)2、策略集 (18)3、规则分节标题 (20)4、查询和排列规则以及对象 (20)三、策略管理需要注意的问题 (21)四、策略管理配置 (21)第三章SmartView Tracker (24)⼀、跟踪的需求 (25)⼆、CheckPoint对跟踪的解决⽅案 (25)1、跟踪概况 (25)2、SmartView Tracker (26)3、过滤 (27)4、查询 (28)5、通过⽇志切换维护⽇志⽂件 (28)6．通过循环⽇志来管理⽇志空间 (28)7、⽇志导出功能 (29)8、本地⽇志 (29)9、使⽤⽇志服务器记录⽇志 (29)10、⾼级跟踪操作 (29)三、跟踪需要考虑的问题 (30)四、跟踪配置 (31)1、基本跟踪配置 (31)2、SmartView的查看选项 (31)3、配置过滤器 (32)4、配置查询 (32)5、维护 (33)6、本地⽇志 (34)7、使⽤⽇志服务器 (34)8、⾃定义命令 (35)9、阻断⼊侵 (36)10、配置报警命令 (36)第⼀章使⽤向导⼀、从配置UTM开始1、登陆UTM2、配置⽹卡3、配置路由4、配置主机名5、调整时间⼆、步骤1－配置之前……⼀些有⽤的术语这⾥介绍⼀些有助于理解本章内容的相关信息。

天诚世纪网络科技有限公司网络安全事业部Checkpoint操作手册文档目录●Smart Dashboard (3)●SmartView Tracker (7)●SmartView monitor (9)●Checkpoint网关gateway模式 (11)●PPPOE拨号 (16)●checkpoint桥接bridge模式 (19)●ISP双链路接入配置 (21)●NAT地址转换 (28)●SSL VPN (31)●Site-to-site 预共享密码vpn (38)●Site-to-site 证书vpn （cp270与edge/safe@office） (42)●RemoteAccess vpn (48)●IPS (52)Smart Dashboard1.登录smart center2.功能介绍Checkpoint属性更新网络拓扑Nodes对象网段Network开启NAT功能配置完任何firewall防火墙规则，都需要安装策略，否则规则不会生效1.Smartview tracker 登录2.功能界面介绍Network&endpoint：记录网络安全日志Management：记录操作checkpoint日志●SmartView monitor1.登录smartview monitor2.界面介绍Traffic---Top servicesTraffic---Top InterfacesTraffic---Top soures1.网络拓扑图2.配置步骤：1)登录SmartDashboard2)新建网段对象将192.168.200.0定义为内网网段inside192.168.200.0将192.168.1.0定义为公网网段outside192.168.1.03)开启NAT功能双击inside192.168.200.0，到NAT，将add automatic address translation打上钩，确定4)建立防火墙规则防火墙firewall建立规则，允许源地址到目标地址任何服务5)安装规则运行install policies6)客户端配置PPPOE拨号1.在checkpoint的console口命令行中，增加下面语法[Expert@cp]# mknod /dev/ppp c 108 0 （重启设备后，这条命令会丢失，需要在启动脚本里增加）[Expert@cp]# vi $CPDIR/tmp/.CPprofile.csh （在脚本里增加此命令）在最后增加一行内容是mknod /dev/ppp c 108 0保存，重启设备2.web界面新建pppoe拨号External接口接到moder，internal接到交换机External接口需要自动获取ip地址（adsl线路是动态，获取到的公网ip地址是动态。

CheckPoint Firewall-1 NG 防火墙安装步骤(internet gateway 防火墙模块和管理模块安装在同一台网关机上)如何安装配置checkpoint Firewall-1防火墙：第一：了解整个网络的拓扑结构，包括：路由器内部口的ip地址，防火墙的Internet Ip地址和网络掩码，防火墙的内网Ip地址，防火墙DMZ区IP地址，Webserver的内网ip地址，webServer的Internet Ip地址，mailServer的内网Ip地址，mailServer的Internet Ip地址，内部LAN的网络地址。

需要注意：防火墙的主机安装三个网卡，一个网卡接路由器，一个接DMZ区，一个网卡接内网的交换机。

Webserver和MailServer的网关指向防火墙的DMZ区网卡地址192.168.0.254，LAN中的工作站的网关指向防火墙的内网卡地址10.0.0.254。

如图：在安装防火墙前要确认webserver在没有防火墙的情况下已经可以从互联网上访问到，保证通往外网的线路是通的。

第二：安装防火墙主机操作系统（这里以windows 2000 server为例）：1．将防火墙主机中增加网卡，这样，该主机有三块网卡2．安装windows 2000 server（中英文都可），建议打上sp2的补丁3．安装三个网卡的驱动程序，协议只需安装tcp/ip协议4. 配置ip地址，如图：防火墙外网卡：（防火墙外网卡的地址，该ip address 61.132.122.116和subnet mask 255.255.255.248应该由客户或电信部门提供，应该和路由器在一个网段上，default gateway指向路由器内部口的ip地址:61.132.122.113）防火墙内网卡：（不要设网关）（防火墙内网卡的ip地址，防火墙在内部网的ip是:10.0.0.254 ,subnet mask 是:255.255.255.0 ,网关不设定，应为防火墙此时自身就是内部网络的网关）防火墙DMZ区网卡：（不要设网关）（防火墙DMZ网卡的ip地址，防火墙在内部网的ip是:192.168.0.254 ,subnet mask 是:255.255.255.0 ,网关不设定，应为防火墙此时自身就是DMZ网络的网关）5. 开启防火墙网关的路由转发功能开启该功能可以采用windows2000中的管理工具中的“路由和远程访问”工具开启，但根据我们多次安装实施经验，我们建议您按照下面的方法开启该功能：在开始菜单中的“运行”中，输入“regedit”打开注册表，转到HKEY_LOCAL_MACHINE\SYSTEM\CurrentContralSet\Services\Tcpip\Parameters项，将IPEnableRouter值设为1，重新启动机器。

防火墙安装操作手册By Shixiong Chen一、准备安装介质和服务器安装CheckPoint防火墙基于开放的服务器平台需要准备两点:如果选用的是Checkpoint的硬件，UTM-1则不需要考虑这些问题。

第一，准备好服务器，服务器最好选择IBM\HP\或者其他大品牌厂商的硬件平台，并且事先确认该品牌和型号的服务器与CheckPoint软件兼容性，将网卡扩展至与真实火墙一致，服务器需要自带光驱。

第二，准备好CheckPoint防火墙安装介质，注意软件的版本号与真实环境火墙一致，同时准备好最新的防火墙补丁。

二、SecurePlatform系统安装过程硬件服务器初始状态是裸机，将服务器加电后，设置BIOS从光盘启动，将CheckPoint软件介质放入光驱，然后出现如下界面:敲回车键盘开始安装。

出现如下界面，选择OK,跳过硬件检测。

选择安装的操作系统类型，根据自己防火墙操作系统的版本选择。

SecurePlatform Pro是带有高级路由和支持Radius的系统版本。

选择键盘支持的语言，默认选择US，按TAB键，继续安装。

配置网络接口，初始我们配置外网接口即可，选择eth0配置IP, 输入IP地址、子网掩码、以及默认网关，然后选择OK,继续。

选择OK.开始格式化磁盘。

格式化完成后开始拷贝文件，最后提示安装完成，按照提示点击OK.系统会自动重新启动。

然后出现登陆界面，如下所示。

第一次登陆系统，默认账号和密码都是admin，登陆后需要出入新的密码和管理员账号。

三、CheckPoint防火墙软件安装过程运行sysconfig 命令，启动安装防火墙包。

选择n,继续安装。

打开网络配置页面，选择1,配置主机名，选择3配置DNS服务器，选择4配置网络，选择5配置路由，注意要与生产线设备的配置保持一致，特别是路由要填写完整，主机名、接口IP和子网掩码要填写正确。

配置完成后，选择n,下一步继续配置，如下图所示，选择1配置时区(选择5，9，1)，选择2配置日期，选择3配置本地系统时间，选择4查看配置情况。

CheckPoint基本操作⼿册-中⽂1. CheckPoint架构 (2)2. 设置系统配置 (2)2.1 设置IP地址 (2)2.2 设置路由 (3)2.3 配置备份 (4)2.4 下载SmartConsole（GUI Client） (6)2.5 命令⾏（Console/SSH）登陆专家模式 (6)3. 配置防⽕墙策略 (6)3.1 安装SmartConsole，登录策略配置管理 (7)3.2 创建对象 (7)3.2.1 创建主机对象 (7)3.2.2 创建⽹络对象 (8)3.2.3 创建组对象 (9)3.3 创建策略 (10)3.3.1 策略分组 (13)3.4 创建地址转换（NAT） (14)3.4.1 ⾃动地址转换（Static） (15)3.4.2 ⾃动地址转换（Hide） (15)3.4.3 ⼿动地址转换 (16)3.5 Install Policy (18)4. ⽤户识别及控制 (18)4.1 启⽤⽤户识别及控制 (18)4.2 创建AD Query策略 (22)4.3 创建Browser-Based Authentication策略 (24)5. 创建应⽤及⽹址（URL）控制策略 (25)5.1 启⽤应⽤或⽹址（URL）控制功能 (25)5.2 创建应⽤及⽹址（URL）对象 (25)5.3 创建应⽤及⽹址（URL）组对象 (27)5.4 创建应⽤及⽹址（URL）控制策略 (29)6. 创建防数据泄露（DLP）策略 (31)6.1 启⽤防数据泄露（DLP）功能 (31)6.2 创建防数据泄露（DLP）对象 (31)6.2.1 创建防数据泄露（DLP）⽹络对象 (31)6.2.2 创建防数据泄露（DLP）分析内容对象 (31)6.2.3 创建防数据泄露（DLP）分析内容组对象 (31)6.3 创建防数据泄露（DLP）控制策略 (31)7. ⽣成报表（SmartReporter） (31)7.1 启⽤报表功能 (32)7.2 ⽣成报表前参数调整 (32)7.3 ⽣成报表 (35)8. 事件分析（SmartEvent） (36)8.1 启⽤事件分析功能 (36)8.2 查看事件分析 (37)1. CheckPoint 架构CheckPoint 分为三层架构，GUI 客户端（SmartConsole ）是⼀个可视化的管理配置客户端，⽤于连接到管理服务器（SmartCenter ），管理服务器（SmartCenter ）是⼀个集中管理平台，⽤于管理所有设备，将策略分发给执⾏点（Firewall ）去执⾏，并收集所有执⾏点（Firewall ）的⽇志⽤于集中管理查看，执⾏点（Firewall ）具体执⾏策略，进⾏⽹络访问控制2. 设置系统配置设备的基本配置需要在WEB 下进⾏，如IP 、路由、DNS 、主机名、备份及恢复、时间⽇期、管理员账户，默认web 管理页⾯的连接地址为https://192.168.1.1:4434，如果已更改过IP ，将192.168.1.1替换为更改后的IP 2.1 设置IP 地址例：设置LAN2⼝的IP 为10.0.255.2 登录web 后选择Network Connections直接点击LAN2管理服务器 SmartCenterGUI ClientSmartConsole执⾏点 Firewall填⼊IP地址和掩码，点击Apply2.2设置路由例：设置默认路由为10.0.255.1登录web后选择Network→Routing点击New→Default Route，（如果设置普通路由，点击Route）填⼊默认路由，点击Apply2.3配置备份此备份包括系统配置和CheckPoint策略等所有配置例：将配置备份出来保存选择Applicance→Backup and Restore选择Backup→Start Backup输⼊备份的⽂件名，点击Apply（由于⽇志可能会较⼤，增加备份⽂件的⼤⼩，可考虑去掉Include Check Point Products log files in the backup前⾯的勾）选择Yes等待备份⽂件打包当弹出下载⽂件提⽰后，将⽂件保存⾄本地2.4下载SmartConsole（GUI Client）选择Product Configuration Download SmartConsole选择Start Download2.5命令⾏（Console/SSH）登陆专家模式登陆命令⾏（Console/SSH）默认模式下仅⽀持部分操作及命令，如需要执⾏更⾼权限的命令或操作时需登陆专家模式在命令⾏中输⼊expert回车，根据提⽰输⼊密码即可登陆，默认密码同web、console、SSH登陆密码相同# expertEnter expert password:You are in expert mode now.3.配置防⽕墙策略CheckPoint防⽕墙的策略执⾏顺序为⾃上⽽下执⾏，当满⾜某⼀条策略时将会执⾏该策略设定的操作，并且不再匹配后⾯的策略***如果策略中包含⽤户对象，即使匹配该策略，仍然会继续匹配后⾯的策略，只有当后⾯的策略没有匹配或者后⾯的策略中匹配的操作是drop时才会执⾏之前包含⽤户的策略通常CheckPoint策略配置的顺序依次为防⽕墙的管理策略、VPN策略、服务器（DMZ）策略、内⽹上⽹策略、全部Drop策略创建CheckPoint防⽕墙策略的步骤为创建对象、创建策略并在策略中引⽤对象、Install Policy***CheckPoint中配置的更改必须Install Policy之后才会⽣效3.1安装SmartConsole，登录策略配置管理直接运⾏下载的SmartConsole安装包进⾏安装，安装完成后登陆SmartDashboard例：打开策略管理运⾏SmartDashboard输⼊⽤户名、密码以及SmartCenter（管理服务器）的IP地址，点击OK登陆3.2创建对象CheckPoint配置策略的基本步骤为创建需要的对象、创建策略、在策略中引⽤对象、Install Policy 3.2.1创建主机对象例：创建IP为192.168.10.1的对象选择Nodes→Node→Host在Name处输⼊对象名（字母开头），在IP Address处输⼊对象的IP地址，如192.168.10.1，点击OK3.2.2创建⽹络对象例：创建⽹段为192.168.10.0，掩码为255.255.255.0的对象选择Networks Network…输⼊⽹段对象名，⽹段，掩码（由于是中⽂版系统的关系，部分字样可能显⽰不全），点击OK3.2.3创建组对象如果有多个对象需要在策略中引⽤，⽅便起见可将这些对象添加到⼀个组中，直接在策略中引⽤该组即可例：将⽹段192.168.10.0和192.168.11.0添加到⼀个组对象中选择Groups→Groups→Simple Group…输⼊组对象的名字，将⽹段对象192.168.10.0和192.168.11.0在左侧Not in Group窗⼝中双击移⼊到右侧的In Group窗⼝中，点击OK3.3创建策略创建策略前需根据需求先确定创建的位置例：在第6条和第7条之间创建1条允许192.168.10.0⽹段访问任何地⽅任何端⼝的策略，并记录⽇志选中第7条策略，单击右键，选择Add Rule Above添加后会出现⼀条默认策略，需要做的就是在这条策略上引⽤对象在Source对应的⼀栏中，右键点击Any，选择Network Object…找到192.168.10.0这个⽹段的对象后选中，并点击OK由于是访问任何地址的任何端⼝，所以在Destination、VPN、Service栏中保持Any不变在Action栏中点击右键选择Accept在Track栏中点击右键选择Log，这样凡是被这条策略匹配的连接都会记录下⽇志，⽤于在SmartView Tracker中查看完成后的策略如下图3.3.1策略分组当策略数⽬较多时，为了⽅便配置和查找，通常会对策略进⾏分组例：将7、8、9三条⽇志分为⼀个组选中第7条策略，点击右键，选择Add Section Title Above输⼊名字后点击OK如下图所⽰，7、8、9三条策略就分在⼀个组中了，点击前⾯的+-号可以打开或缩进3.4创建地址转换（NAT）在CheckPoint中地址转换分为⾃动和⼿动两种，其中⾃动⼜分为Static NAT和Hide NAT Static NATStatic是指将内部⽹络的私有IP地址转换为公有IP地址，IP地址对是⼀对⼀的，是⼀成不变的，某个私有IP地址只转换为某个公有IP地址。

CheckPoint NG with AI(R55) 防火墙安装步骤CheckPoint NG with AI(R55) 防火墙安装步骤(internet gateway 防火墙模块和管理模块安装在同一台网关机上)如何安装配置checkpoint R55防火墙：第一：了解整个网络的拓扑结构，包括：路由器内部口的ip地址，防火墙的Internet Ip地址和网络掩码，防火墙的内网Ip地址，防火墙DMZ区IP地址，Webserver的内网ip 地址，webServer的Internet Ip地址，mailServer的内网Ip地址，mailServer的Internet Ip地址，内部LAN的网络地址。

需要注意：防火墙的主机安装三个网卡，一个网卡接路由器，一个接DMZ区，一个网卡接内网的交换机。

Webserver和MailServer的网关指向防火墙的DMZ区网卡地址192.168.0.254，LAN中的工作站的网关指向防火墙的内网卡地址10.0.0.254。

如图1：在安装防火墙前要确认webserver在没有防火墙的情况下已经可以从互联网上访问到，保证通往外网的线路是通的。

第二：安装防火墙主机*作系统（这里以windows 2000 server为例）：1．将防火墙主机中增加网卡，这样，该主机有三块网卡2．安装windows 2000 server（中英文都可），建议打上sp2的补丁3．安装三个网卡的驱动程序，协议只需安装tcp/ip协议4. 配置ip地址，如图2：防火墙外网卡：（防火墙外网卡的地址，该ip address 61.132.122.116和subnet mask 255.255.255.248应该由客户或电信部门提供，应该和路由器在一个网段上，default gateway指向路由器内部口的ip地址:61.132.122.113）防火墙内网卡：（不要设网关）如图3如图4（防火墙内网卡的ip地址，防火墙在内部网的ip是:10.0.0.254 ,subnet mask是:255.255.255.0 ,网关不设定，应为防火墙此时自身就是内部网络的网关）,防火墙DMZ 区网卡：（不要设网关）.（防火墙DMZ网卡的ip地址，防火墙在内部网的ip是:192.168.0.254 ,subnet mask 是:255.255.255.0 ,网关不设定，应为防火墙此时自身就是DMZ网络的网关）5. 开启防火墙网关的路由转发功能开启该功能可以采用windows2000中的管理工具中的“路由和远程访问”工具开启，但根据我们多次安装实施经验，我们建议您按照下面的方法开启该功能：在开始菜单中的“运行”中，输入“regedit”打开注册表，转到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentContralSet\Services\Tcpip\Parameters项，将IPEnableRouter值设为1，重新启动机器。

安装checkpoint防火墙简单操作1.安装系统到虚拟机
选择OK
选择OK
自己合理分配每个目录下的空间大小；之后选择OK
设置登录密码，默认账号是admin（此账号用于登陆命令行和web管理界面的）；
设置登录的管理地址ip地址和默认网关。

完成之后reboot设备就可以。

2.Checkpoint防火墙初始化
打开web页面输入刚刚设置的管理地址，输入登录账号密码。

一直点击next
这是设置修改管理地址的；
设置设备主机名的
设置设备的时间
2.1选择management，这是把该设备设置成一台单独的smart center管理中心
设置登录smartdashboard的账号密码
设置允许登录center的设备，我们测试选择any
2.2选择security gateway，表示这是台单独的FW
设置SIC，用于center管理FW的key
3.center关联FW
右击checkpoint。

选择如下图所示：
输入FW的name和ip，点击conmmunication，输入之前设置的key，点击initialize
关联正常，之后就是添加策略和对象进行测试。

Full Disk Encryption安装手册Checkpoint Endpoint R73CheckPoint(中国)TEL:(86)10 8419 3348FAX:(86)10 8419 3399文档修订记录文档说明此文档是由以色列捷邦安全软件科技公司于2010年05月制定的内部文档。

本文档仅就CheckPoint内部与相关合作伙伴和CheckPoint最终用户使用。

版权说明本文档中出现的任何文字叙述、文档格式、插图、照片、方法、代码等内容，除由特别注明，版权均属于以色列捷邦安全软件科技公司所有，受到有关产权及版权法保护。

任何个人、机构未经以色列捷邦安全软件科技公司的书面授权许可，不得以任何方式复制或引用本文档的任何片断。

目录一、环境要求 (4)二、安装步骤 (4)2.1服务器安装 (4)2.2FDE客户端安装步骤 (19)一、环境要求以下介绍安装Endpoint R73 FDE所需的环境要求：1.安装在域环境中进行。

2.准备一台win2000或win2003server，配置如下：操作系统中文版(英文版均可):Windows Server 2003 Standard Edition with Service Pack 1 and 2Windows Server 2003 Enterprise Edition with Service Pack 1 and 2Windows Server 2003 R2 Standard Edition with Service Pack 1 and 2Windows Server 2003 R2 Enterprise Edition with Service Pack 1 and 2Windows Server 2000系统硬件单CPU,2G内存，4G交换空间，CPU可以是下列中的一种：Intel® Xeon® processor (Dual Core)Intel® Core™ Duo processor T2600 - T2300Intel® Pentium® processor Extreme Edition 965 (Dual Core)Intel® Pentium® D processor 960 (Dual Core)I ntel® Pentium® 4 processor with Hyper-Threading TechnologyDual-Core AMD Opteron ProcessorAMD Opteron ProcessorAMD Athlon 64 FX ProcessorAMD Athlon™ 64 X2 Dual-Core3.Server的Fremwork必须为.NET2.0以上版本4.Server 必须加入域5.准备安装光盘：Check_Point_R73_server_for_Windows.isoCheck_Point_R73_client_for_Windows.iso二、安装步骤以下介绍FDE的服务器安装步骤以及客户端的安装步骤2.1服务器安装1.首先将FDE Server加入本地域，右键桌面我的电脑图标，选择属性，进入计算机名栏如下图所示：这时的DNS需要使用本地的DNS服务器）点击确定按钮输入域管理员帐号与密码，点确定按钮，重启服务器，使用域管理员权限登录服务器。

checkpoint-4200-R77.20版本安装及Gaia初始化手顺v1.0checkpoint R77.20版本安装及Gaia初始化手顺制作检查核准发行日期版本1、插入制作好的R77.20版本启动U盘，Secure CRT采用 serial连接（9600,8,0,1，无Flow Control），console登录设备后，进入启动选择界面:输入serial回车；进入安装界面，不需操作：2、提示安装结束，下电重启：在选择界面，回车默认从设备硬盘启动：3、配置管理口Mgmt IP地址、expert-password 密码、保存配置：set interface Mgmt ipv4-address 192.168.1.1 mask-length 24set expert-passwordsave config4、登录WEB GUI初始化（Gaia 初始登录用户名、密码均为admin），配置admin's password,mgmt ip,hostname,time,sic,smartconsoleuser&password点击next点击next设置管理员密码：admin123点击next点击next设置hostname:选择时区，点击next:勾选Security Gateway和Security Management （此配置仅Internet环境适用，当局网用到HA 功能时，需勾选Unit is a part of a cluster ,type:）设置security management 管理员用户名、密码：smsadmin, admin123点击next:点击next取消选项Improve product experience by sending data to Check Point，点击finish进入配置初始化：提示成功：点击OK，可进入Gaia管理主页5、进入serial连接，以admin账号登录，进入expert模式，为admin用户更改shell chsh -s /bin/bash admin6、利用winscp上传补丁程序，至/home/admin目录下：传输完毕：核实、查看文件：7、进入expert模式，至/home/admin目录，解压安装补丁，逐行执行以下命令：cd /home/admintar -zxvf Check_Point_R77.20.linux.tgz./UnixInstallScript进行安装：8、补丁安装完毕，选择yes，重启reboot，至此，checkpoint 4200 R77.20版本安装及Gaia 初始化完成。

当前最新版本NGX R65（试用版，官方网站下载，十五天内可以使用checkpoint全部功能，要想到期再使用，需要购买许可证（每一种功能需要相应的许可证）的，Checkpoint许可证一般是和网卡进行绑定的），在R60之前Checkpoint防火墙叫做NG（Next Generation 下一代网管），在R60以后称之为叫NGX（下一代防火墙增强版）1、按回车键进行安装，否则90秒后讲终止安装2、Device list显示checkpoint所支持的硬件列表，如果是特殊硬件，可以选择“Add Driver”进行添加硬件驱动。

OK——开始安装（此过程是安装的checkpoint的系统——secureplatform）3、选择checkpoint的操作系统（都是基于linux）SecurePlatform——标准版系统，SecurePlatform Pro——专业版操作系统，增加新特性，支持登录到系统的用户名和密码可以支持radius服务器认证，支持动态路由协议Check Point SecurePlatform Std- Delivered on bootable CD- Automatically installed pre-hardened operating system 自动安装预硬操作系统- Automatically installs Check Point security solutions 自动安装Check Point的安全解决方案- CLI for management 命令行管理- Web interface for management web管理界面- SNMP Support- FIPS 140-2 Compliance Mode- Add new drivers- Kernel based Red Hat ES 3.0Check Point SecurePlatform Pro (aditionallicense required)有许可证要求 - All features SecurePlatform Std and拥有标准版所以特性- Centralized administrator management through RADIUS支持Radius认证 - Supported Dynamic Routing Protocols支持动态路由协议- RIP-1、RIP-2、OSPF、BGP- Multicast Protocols支持组播协议- PIM-DM、PIM-SM、IGMP4、选择键盘类型，默认US5、为CheckPoint选择一个作为管理用的网络接口6、为选定的管理接口配置相关IP地址（一般是公网IP）7、指定在通过HTTPS对Checkpoint进行管理的时候所用的端口，默认是443，可以进行修改8、选择OK，Checkpoint讲对硬盘进行格式化9、开始执行SecurePlatform安装过程10、系统安装完成、选择OK进行重启，11、默认帐户是admin 密码admin登陆之后需要修改密码，同时需要修改admin帐户名可以不修改用户名（直接输入admin）12、登陆系统后，接下来需要进行初始化，两种方式初始化，第一种是图形，通过htttps，第二种是在命令行执行sysconfig命令，基于命令的初始化（这里以命令行做演示）13、欢迎界面，“q”退出，“n”继续14、网络配置菜单，提供5个菜单选项，逐个进行配置，先配置主机名，选择对应代码“1”15、主机名的菜单选项，“1”设置一个主机名；“2”查看主机名，我们选择“1”，然后回车16、输入主机名17、输入“e”退回到主界面18、选择“2”配置域名（可以不设），如要设置，跟设置主机名步骤相同，选择“3”设置域名服务器（DNS）地址，这个必须设，checkpoint很多功能需要DNS解析19、选择“1”添加一个DNS地址，“2”是删除一个DNS地址，“3”是查看DNS设置，设置完成后输入“e”，回到主菜单20、选择“4”，进行设置网卡21、选择“2”，配置网络连接22、选择要设置的网卡23、选择“1”，对eht0网卡进行IP地址的设置24、设置完成后，“e”回到上一级菜单25、在这仍然选择“2”，对其他网卡进行设置，步骤相同26、IP设置完成后，回到主菜单，选择“5”设置网关27、选择“1”，设置缺省网关28、设置完成后，输入“n”继续29、在这个菜单中，主要是对时间以及时区进行设置，具体方法按照向导操作30．时区和时间设置完成后，继续“n”，在这问你是从TFTP服务器上导入配置文件31、输入“n”继续32、试用版license许可协议，输入“y”继续总部；“UTM”要低端一些，适用于中小企业，输入“n”继续34、输入“n”全新安装35、选择安装的组件、“VPN-1 Power”是必须安装的，接下来一直继续36、开始安装37、此处我们输入“n”，因为我们用的试用版没有licenses38、此处要求添加一个管理员，这个管理员必须添加，他是不是用来登陆系统的，是用来通过控制台连接防火墙时候用的帐户39、添加访问端，指定从哪里能通过控制台40、配置完成。

Check point FDE 基本安装步骤第一章服务器端安装FDE的安装CD 内包含很多插件，我们可以根据自己需要选择安装。

一，选择高级安装应为我们购买的只有硬盘加密功能，高级功能可选单独某项安装。

二，设置管理员设置两个管理员账号，以备硬盘解密删除使用三，选择硬盘加密对象选择对硬盘的保护是否是全盘加密，根据自身要求选择。

对硬盘加密所需求的时间一般都在10G/小时上下。

四，配置域用户访问如果内网是域用户，需要在此填入域账号密码等第二章部署客户端安装一，登陆:management console注：console 需要电脑安装.net framework 2.0版本最低运行条件要求二，配置客户端(一)登陆名、密码是先前设好的管理员账号密码。

用其中一个就可以登陆。

登陆后需要配置远程方案。

(二)创建一个集合可以手动创建，也可以自动创建，链接这台服务器的共享文件夹。

（\\192.168.11.129\333）需要提醒的一点，服务器端设的共享文件夹需要有读写权限。

(三)新建配置文件按照提示完成后会出现详细的配置界面。

(四)首先对安装的路径配置。

（配置顺序没有要求）其中要注意（机构、所有者、安装信息、日志密码）可以根据需求填写。

文件延迟必须要设置。

卷保护，什么硬盘的盘符需要加密需要在这里面选择。

(五)安装License及加载客户需要的license(六)新建两个或多个组，管理员组内成员最少需要2个。

其中sysadmin组是下属管理员组，也是下属PC登陆密码丢失密码找回所需要的。

密码为普通类型Temp这为临时密码，客户机登陆使用。

密码为临时类型(七)对管理管理组的设置1)设置过期时间，权限级别。

2)登陆的设置3)权限的设置4)远程帮助设置，密码找回需要这。

5)特权设置(八)temp组的设置1)组设置，过期时间、权限远程帮助设置配置已经完成。

第三章客户端安装文件生成1)服务器端共享文件夹内生成的目录2)把生成后缀名为iip的文件，拷贝到install 安装目录，3)打开CD 目录找到下图文件，并打开1_pointsec for PC把此目录内的文件全部复制到服务器共享文件安装目录内install第四章客户端安装1)从网上邻居、命令行访问服务器端IP 及共享文件夹注：如果登录共享服务器需要账号密码，需勾选记住密码，否则客户端生成文件推送到服务器失败。

密级：文档编号：项目代号：中国移动Checkpoint防火墙安全配置手册Version *.*中国移动通信有限公司二零零四年十一月拟制: 审核: 批准: 会签: 标准化:Firewall 版本控制分发控制目录1 综述 (5)2 Checkpoint的几种典型配置 (6)2.1 checkpoint 初始化配置过程： (6)2.2 Checkpoint Firewall-1 GUI安装 (13)2.3 Checkpoint NG的对象定义和策略配置 (18)3 Checkpoint防火墙自身加固 (34)1综述本配置手册介绍了Checkpoint防火墙的几种典型的配置场景，以加强防火墙对网络的安全防护作用。

同时也提供了Checkpoint防火墙自身的安全加固建议，防止针对防火墙的直接攻击。

通用和共性的有关防火墙管理、技术、配置方面的内容，请参照《中国移动防火墙安全规范》。

2Checkpoint的几种典型配置2.1 checkpoint 初始化配置过程：在安装完Checkpoint软件之后，需要在命令行使用cpconfig命令来完成Checkpoint的配置。

如下图所示，SSH连接到防火墙，在命令行中输入以下命令：IP350[admin]# cpconfigWelcome to Check Point Configuration Program=================================================Please read the following license agreement.Hit 'ENTER' to continue...（显示Checkpoint License版权信息，敲回车继续，敲q可直接跳过该License提示信息）Do you accept all the terms of this license agreement (y/n) ?y（输入y同意该版权声明）Which Module would you like to install ?-------------------------------------------(1) VPN-1 & FireWall-1 Enterprise Primary Management and Enforcement Module(2) VPN-1 & FireWall-1 Enforcement Module(3) VPN-1 & FireWall-1 Enterprise Primary ManagementCheckpoint Firewall-1/VPN-1支持多种安装模式，Firewall-1/VPN-1主要包括三个模块：GUI：用户看到的图形化界面，用于配置安全策略，上面并不存储任何防火墙安全策略和对象，安装于一台PC机上；Management：存储为防火墙定义的各种安全策略和对象；Enforcement Module：起过滤数据包作用的过滤模块，它只与Managerment通信，其上的安全策略由管理模块下载；以上三个选项中如果Management与Enforcement Module安装于同一台设备上，则选择（1），如果Management与Enforcement Module分别安装于不同的设备上，则选择（2）或（3）。