Checkpoint 简单配置手册

Check_Point R75.45_Gaia安装手册（虚拟机）一．虚拟机硬件配置准备（1）注意CD/DVD的ISO Image file目录图1-1（2）确认你的虚拟网卡，是否已经桥接成功注意：NAT所分配到的192.168.2.0网段，就是以后防火墙安装，连接端口的地址。

图1–2图1-3（3）点击Power on 开始正式安装CheckPoint硬件底层图1-4二．硬件安装选第一个图2-1图2-2图2-3 注：选US图2-4注：选择默认Disk分配的配置，直接OK图2-5注：此环节配置的是CheckPoint设备Web界面登陆和CLI指令行的账号和密码；默认账号为：admin图2-6注：显示的端口，即虚拟机默认给分配的网卡，在本实验中，虚拟机共分配了2张虚拟网卡。

图2-7注：点击eth0进入该端口，配地址与网关，（与图1-2虚拟机分配的网段一致）图2-8注：硬件初始化图2-9图2-10注：初始化完成后，reboot重启图2-11注：在浏览器内，输入防火墙的端口地址，https://192.168.2.100图2-12注：输入图2-6所配置的用户名、密码。

图2-13三．GAIA平台初始化配置首次安装时，会提示出现GAIA平台的设置（谨慎配置）图3-1注：修改时区图3-2 注：修改Hostname图3-3注：再次配置eth0的端口配置信息图3-4 注：选择默认第一个图3-5注：很关键的一步。

Security Gateway 和Management 的选项一定要勾上（否则不能登入Dashboard），下方可选项根据需求，选择VRRP 协议或者CP自带的Cluster协议，并确认。

图3-6图3-7注：这里配置的是Dashboard上登陆的用户名与密码，请与前面CP 硬件配置的密码区别开。

图3-8注：选第一个，否则无法打开Dashboard图3-9注：开始安装。

图3-10 注：安装完成后，需重启。

图3-11图3-11重新打开web界面图3-12四.软件安装点击图3-12的上红框内的Download ，没啥花头，一直Next。

checkpoint⽤户⼿册Check Point UTM-1⽤户⼿册第⼀章使⽤向导 (3)⼀、从配置UTM开始 (3)1、登陆UTM (3)2、配置⽹卡 (3)3、配置路由 (4)4、配置主机名 (5)5、调整时间 (5)⼆、步骤1－配置之前......⼀些有⽤的术语 (6)三、步骤2－安装和配置 (7)四、步骤3－第⼀次登录到SmartCenter服务器 (8)五、步骤4－在安全策略定义之前 (10)六、步骤5－为安全策略定义规则 (15)七、步骤6－来源和⽬的 (16)第⼆章策略管理 (16)⼀、有效的策略管理⼯具需要 (17)⼆、CheckPoint管理策略的解决⽅案 (17)1、策略管理概况 (17)2、策略集 (18)3、规则分节标题 (20)4、查询和排列规则以及对象 (20)三、策略管理需要注意的问题 (21)四、策略管理配置 (21)第三章SmartView Tracker (24)⼀、跟踪的需求 (25)⼆、CheckPoint对跟踪的解决⽅案 (25)1、跟踪概况 (25)2、SmartView Tracker (26)3、过滤 (27)4、查询 (28)5、通过⽇志切换维护⽇志⽂件 (28)6．通过循环⽇志来管理⽇志空间 (28)7、⽇志导出功能 (29)8、本地⽇志 (29)9、使⽤⽇志服务器记录⽇志 (29)10、⾼级跟踪操作 (29)三、跟踪需要考虑的问题 (30)四、跟踪配置 (31)1、基本跟踪配置 (31)2、SmartView的查看选项 (31)3、配置过滤器 (32)4、配置查询 (32)5、维护 (33)6、本地⽇志 (34)7、使⽤⽇志服务器 (34)8、⾃定义命令 (35)9、阻断⼊侵 (36)10、配置报警命令 (36)第⼀章使⽤向导⼀、从配置UTM开始1、登陆UTM2、配置⽹卡3、配置路由4、配置主机名5、调整时间⼆、步骤1－配置之前……⼀些有⽤的术语这⾥介绍⼀些有助于理解本章内容的相关信息。

天诚世纪网络科技有限公司网络安全事业部Checkpoint操作手册文档目录●Smart Dashboard (3)●SmartView Tracker (7)●SmartView monitor (9)●Checkpoint网关gateway模式 (11)●PPPOE拨号 (16)●checkpoint桥接bridge模式 (19)●ISP双链路接入配置 (21)●NAT地址转换 (28)●SSL VPN (31)●Site-to-site 预共享密码vpn (38)●Site-to-site 证书vpn （cp270与edge/safe@office） (42)●RemoteAccess vpn (48)●IPS (52)Smart Dashboard1.登录smart center2.功能介绍Checkpoint属性更新网络拓扑Nodes对象网段Network开启NAT功能配置完任何firewall防火墙规则，都需要安装策略，否则规则不会生效1.Smartview tracker 登录2.功能界面介绍Network&endpoint：记录网络安全日志Management：记录操作checkpoint日志●SmartView monitor1.登录smartview monitor2.界面介绍Traffic---Top servicesTraffic---Top InterfacesTraffic---Top soures1.网络拓扑图2.配置步骤：1)登录SmartDashboard2)新建网段对象将192.168.200.0定义为内网网段inside192.168.200.0将192.168.1.0定义为公网网段outside192.168.1.03)开启NAT功能双击inside192.168.200.0，到NAT，将add automatic address translation打上钩，确定4)建立防火墙规则防火墙firewall建立规则，允许源地址到目标地址任何服务5)安装规则运行install policies6)客户端配置PPPOE拨号1.在checkpoint的console口命令行中，增加下面语法[Expert@cp]# mknod /dev/ppp c 108 0 （重启设备后，这条命令会丢失，需要在启动脚本里增加）[Expert@cp]# vi $CPDIR/tmp/.CPprofile.csh （在脚本里增加此命令）在最后增加一行内容是mknod /dev/ppp c 108 0保存，重启设备2.web界面新建pppoe拨号External接口接到moder，internal接到交换机External接口需要自动获取ip地址（adsl线路是动态，获取到的公网ip地址是动态。

checkpoint管理服务器系统初始化配置
Checkpoint管理服务器系统初化配置1.打开浏览器(IE、Firefox),输入https://192.168.2.100:443,将进入以下界面：
2.选择I Accpet后，输入初始用户名和密码（admin/admin）。

3.第一次进入，将提示修改用户名和密码。

3.单击Download下载密码修复文件，并输入修复口令的问题和答案。

将入下载界面：
5.单击save and login,进入Web向导配置界面。

6.单击Next,进入接口配置界面。

（这里可以将外接口和内接口预先配置好）
7.配置某接口后，单击Apply。

8.配置路由，默认有各接口路由。

9．创建到网关的默认路由和内网的回包路由。

10.配置DNS服务器地址：
11.配置主机名和域名（主机名配置完后最好不要改动，一般为设备名）：
12．配置日期和时间：
13.配置允许Web和SSH可访问的主机，可配置any:
14.配置产品，这里选择安全网关和管理服务器。

15.单击下一步，进入GUI安全管理客户端配置界面：
16．配置管理客户端允许接入的IP地址或网段后，应用：
17.配置安全管理服务器管理者的用户名和密码。

（GUI）
18．选择安全管理服务器安装类型，这里为standalone模式。

19.进入总结界面，可以获取安装的产品以及可用时间。

20.单击Finish,并点击Yes进入配置过程。

21.下面是系统安装配置的过程，安装完毕后设备将重启。

Check Point防火墙基础操作手册（IPS）上海证券交易所（SSE）上海迅扬信息科技有限公司二零一五年一月目录第1章SmartDashboard的使用及基本管理技术 (3)1.1编辑防火墙对象 (3)1.2添加主机和网络对象 (8)1.2.1添加主机对象： (8)1.2.2添加网络对象： (9)1.3制定访问策略和配置地址翻译（NAT） (10)1.3.1配置访问策略 (10)1.3.2地址翻译（NA T） (11)1.4防地址欺骗功能介绍 (15)1.5策略的下发 (17)第2章入侵防护（IPS）策略的配置 (19)2.1 IPS概览 (19)2.2 IPS配置 (20)2.2.1 定义IPS的防火墙 (20)2.2.2 定义IPS Profile (22)2.2.3 配置Protections (27)2.2.4 配置Geo Protection (29)2.2.5 IPS特征库更新 (30)2.2.6 Follow Up选项 (33)2.2.7 Additional Setting选项 (33)2.3禁用IPS (34)第3章防病毒（Anti-Virus/Anti-Bot）策略配置 (35)第4章SmartView Tracker的使用 (40)第1章 SmartDashboard的使用及基本管理技术SmartDashboard是配置防火墙策略和对象的一个控制软件，我们定义对象和规则时就利用它来实现，SmartUpdate是用于添License时要用到的一个控制软件，SmartView Tracker是查看日志时用到的客户端软件。

（注：由于上证所本次采用桥模式（透明模式）部署实施checkpoint NGTP 设备，防火墙配置基于网络全通模式配置，无需特别单独配置防火墙策略。

）1.1 编辑防火墙对象首先打开控制台软件，出现登录界面：点击SmartDashboard后出现登录界面，如图：这里输入用户名、密码以及管理服务器的IP地址。

CheckPoint简易管理手册CheckPoint简易管理手册power by 土包子特别鸣谢：尾巴账号管理一、设备管理账号可以通过web界面进行管理账号的添加/删除/修改，该操作不需要下发策略，不会引起防火墙服务变化。

1、创建WEB管理账户、修改WEB账户登陆密码Device-->Device Administrator点击New在Device Administrators里设置的用户名/密码可以用来SSH登陆设备普通模式，密码也可以在命令行界面使用命令passwd进行修改，效果一样。

注：web登陆和SSH登陆普通模式所具备的功能一样，仅拥有基础的权限。

如需进一步操作，需进入expert模式。

2、修改EXPERT模式密码需在命令行界面修改，同样使用命令passwd进行修改：二、设置允许对设备进行web/SSH管理的主机/网段Device-->Web and SSH Client-->Add如需修改已添加的IP/网段，单击相应Address进行修改；如需删除已添加的IP/网段，勾选相应条目，单击Remove进行删除。

注：当存在多个条目时，匹配顺序自上而下三、设置设备管理安全为加强设备安全，防止密码穷举攻击，设置会话超时时间、账号锁定条件及恢复条件。

Device-->Administrator Security四、设置smartconsole登陆smartcenter的账号及密码1、使用WEB界面配置Production Configuration--->Mangerment Administrator在web界面下，可以对账号进行修改。

如果不存在账号，则可以添加新账号。

该账号可以通过smartconsole登录smartcenter并具有最高权限。

注：本页面仅能添加一个账号，如需添加多个账号，可在SmartDashboard里添加。

此账号可以在web界面或者命令行界面进行删除。

CheckPoint基本操作⼿册-中⽂1. CheckPoint架构 (2)2. 设置系统配置 (2)2.1 设置IP地址 (2)2.2 设置路由 (3)2.3 配置备份 (4)2.4 下载SmartConsole（GUI Client） (6)2.5 命令⾏（Console/SSH）登陆专家模式 (6)3. 配置防⽕墙策略 (6)3.1 安装SmartConsole，登录策略配置管理 (7)3.2 创建对象 (7)3.2.1 创建主机对象 (7)3.2.2 创建⽹络对象 (8)3.2.3 创建组对象 (9)3.3 创建策略 (10)3.3.1 策略分组 (13)3.4 创建地址转换（NAT） (14)3.4.1 ⾃动地址转换（Static） (15)3.4.2 ⾃动地址转换（Hide） (15)3.4.3 ⼿动地址转换 (16)3.5 Install Policy (18)4. ⽤户识别及控制 (18)4.1 启⽤⽤户识别及控制 (18)4.2 创建AD Query策略 (22)4.3 创建Browser-Based Authentication策略 (24)5. 创建应⽤及⽹址（URL）控制策略 (25)5.1 启⽤应⽤或⽹址（URL）控制功能 (25)5.2 创建应⽤及⽹址（URL）对象 (25)5.3 创建应⽤及⽹址（URL）组对象 (27)5.4 创建应⽤及⽹址（URL）控制策略 (29)6. 创建防数据泄露（DLP）策略 (31)6.1 启⽤防数据泄露（DLP）功能 (31)6.2 创建防数据泄露（DLP）对象 (31)6.2.1 创建防数据泄露（DLP）⽹络对象 (31)6.2.2 创建防数据泄露（DLP）分析内容对象 (31)6.2.3 创建防数据泄露（DLP）分析内容组对象 (31)6.3 创建防数据泄露（DLP）控制策略 (31)7. ⽣成报表（SmartReporter） (31)7.1 启⽤报表功能 (32)7.2 ⽣成报表前参数调整 (32)7.3 ⽣成报表 (35)8. 事件分析（SmartEvent） (36)8.1 启⽤事件分析功能 (36)8.2 查看事件分析 (37)1. CheckPoint 架构CheckPoint 分为三层架构，GUI 客户端（SmartConsole ）是⼀个可视化的管理配置客户端，⽤于连接到管理服务器（SmartCenter ），管理服务器（SmartCenter ）是⼀个集中管理平台，⽤于管理所有设备，将策略分发给执⾏点（Firewall ）去执⾏，并收集所有执⾏点（Firewall ）的⽇志⽤于集中管理查看，执⾏点（Firewall ）具体执⾏策略，进⾏⽹络访问控制2. 设置系统配置设备的基本配置需要在WEB 下进⾏，如IP 、路由、DNS 、主机名、备份及恢复、时间⽇期、管理员账户，默认web 管理页⾯的连接地址为https://192.168.1.1:4434，如果已更改过IP ，将192.168.1.1替换为更改后的IP 2.1 设置IP 地址例：设置LAN2⼝的IP 为10.0.255.2 登录web 后选择Network Connections直接点击LAN2管理服务器 SmartCenterGUI ClientSmartConsole执⾏点 Firewall填⼊IP地址和掩码，点击Apply2.2设置路由例：设置默认路由为10.0.255.1登录web后选择Network→Routing点击New→Default Route，（如果设置普通路由，点击Route）填⼊默认路由，点击Apply2.3配置备份此备份包括系统配置和CheckPoint策略等所有配置例：将配置备份出来保存选择Applicance→Backup and Restore选择Backup→Start Backup输⼊备份的⽂件名，点击Apply（由于⽇志可能会较⼤，增加备份⽂件的⼤⼩，可考虑去掉Include Check Point Products log files in the backup前⾯的勾）选择Yes等待备份⽂件打包当弹出下载⽂件提⽰后，将⽂件保存⾄本地2.4下载SmartConsole（GUI Client）选择Product Configuration Download SmartConsole选择Start Download2.5命令⾏（Console/SSH）登陆专家模式登陆命令⾏（Console/SSH）默认模式下仅⽀持部分操作及命令，如需要执⾏更⾼权限的命令或操作时需登陆专家模式在命令⾏中输⼊expert回车，根据提⽰输⼊密码即可登陆，默认密码同web、console、SSH登陆密码相同# expertEnter expert password:You are in expert mode now.3.配置防⽕墙策略CheckPoint防⽕墙的策略执⾏顺序为⾃上⽽下执⾏，当满⾜某⼀条策略时将会执⾏该策略设定的操作，并且不再匹配后⾯的策略***如果策略中包含⽤户对象，即使匹配该策略，仍然会继续匹配后⾯的策略，只有当后⾯的策略没有匹配或者后⾯的策略中匹配的操作是drop时才会执⾏之前包含⽤户的策略通常CheckPoint策略配置的顺序依次为防⽕墙的管理策略、VPN策略、服务器（DMZ）策略、内⽹上⽹策略、全部Drop策略创建CheckPoint防⽕墙策略的步骤为创建对象、创建策略并在策略中引⽤对象、Install Policy***CheckPoint中配置的更改必须Install Policy之后才会⽣效3.1安装SmartConsole，登录策略配置管理直接运⾏下载的SmartConsole安装包进⾏安装，安装完成后登陆SmartDashboard例：打开策略管理运⾏SmartDashboard输⼊⽤户名、密码以及SmartCenter（管理服务器）的IP地址，点击OK登陆3.2创建对象CheckPoint配置策略的基本步骤为创建需要的对象、创建策略、在策略中引⽤对象、Install Policy 3.2.1创建主机对象例：创建IP为192.168.10.1的对象选择Nodes→Node→Host在Name处输⼊对象名（字母开头），在IP Address处输⼊对象的IP地址，如192.168.10.1，点击OK3.2.2创建⽹络对象例：创建⽹段为192.168.10.0，掩码为255.255.255.0的对象选择Networks Network…输⼊⽹段对象名，⽹段，掩码（由于是中⽂版系统的关系，部分字样可能显⽰不全），点击OK3.2.3创建组对象如果有多个对象需要在策略中引⽤，⽅便起见可将这些对象添加到⼀个组中，直接在策略中引⽤该组即可例：将⽹段192.168.10.0和192.168.11.0添加到⼀个组对象中选择Groups→Groups→Simple Group…输⼊组对象的名字，将⽹段对象192.168.10.0和192.168.11.0在左侧Not in Group窗⼝中双击移⼊到右侧的In Group窗⼝中，点击OK3.3创建策略创建策略前需根据需求先确定创建的位置例：在第6条和第7条之间创建1条允许192.168.10.0⽹段访问任何地⽅任何端⼝的策略，并记录⽇志选中第7条策略，单击右键，选择Add Rule Above添加后会出现⼀条默认策略，需要做的就是在这条策略上引⽤对象在Source对应的⼀栏中，右键点击Any，选择Network Object…找到192.168.10.0这个⽹段的对象后选中，并点击OK由于是访问任何地址的任何端⼝，所以在Destination、VPN、Service栏中保持Any不变在Action栏中点击右键选择Accept在Track栏中点击右键选择Log，这样凡是被这条策略匹配的连接都会记录下⽇志，⽤于在SmartView Tracker中查看完成后的策略如下图3.3.1策略分组当策略数⽬较多时，为了⽅便配置和查找，通常会对策略进⾏分组例：将7、8、9三条⽇志分为⼀个组选中第7条策略，点击右键，选择Add Section Title Above输⼊名字后点击OK如下图所⽰，7、8、9三条策略就分在⼀个组中了，点击前⾯的+-号可以打开或缩进3.4创建地址转换（NAT）在CheckPoint中地址转换分为⾃动和⼿动两种，其中⾃动⼜分为Static NAT和Hide NAT Static NATStatic是指将内部⽹络的私有IP地址转换为公有IP地址，IP地址对是⼀对⼀的，是⼀成不变的，某个私有IP地址只转换为某个公有IP地址。

安装checkpoint防火墙简单操作1.安装系统到虚拟机
选择OK
选择OK
自己合理分配每个目录下的空间大小；之后选择OK
设置登录密码，默认账号是admin（此账号用于登陆命令行和web管理界面的）；
设置登录的管理地址ip地址和默认网关。

完成之后reboot设备就可以。

2.Checkpoint防火墙初始化
打开web页面输入刚刚设置的管理地址，输入登录账号密码。

一直点击next
这是设置修改管理地址的；
设置设备主机名的
设置设备的时间
2.1选择management，这是把该设备设置成一台单独的smart center管理中心
设置登录smartdashboard的账号密码
设置允许登录center的设备，我们测试选择any
2.2选择security gateway，表示这是台单独的FW
设置SIC，用于center管理FW的key
3.center关联FW
右击checkpoint。

选择如下图所示：
输入FW的name和ip，点击conmmunication，输入之前设置的key，点击initialize
关联正常，之后就是添加策略和对象进行测试。

CheckPoint防火操作手册1 配置主机对象定义防火墙策略时，如需对I P 地址进行安全策略控制则需首先配置这个对象，下面介绍主机对象配置步骤，在“Network Objects”图标处，选择“Nodes”属性上点击右键，选择“Node”，点击“Host”选项，定义主机对象的名称，IP Address属性，同时可按照该主机的重要性定义颜色，配置完成后点击OK,主机对象创建完成。

2 配置网段对象定义防火墙策略时，如需对网段进行安全策略控制则需首先配置这个网络对象，配置步骤如下，在防火墙“Network”属性上点击右键，选择“Network”，选项，定义网段名称，比如DMZ，Internal，建议根据网段所处位置定义，配置网段地址和子网掩码，如有必要可以添加注释（Comment），配置完成后点击确认。

3 配置网络组对象如果需要针对单个I P 地址、IP 地址范围或者整个网段进行安全策略控制，可以将这些对象添加到网络组，如下在防火墙“Group”属性上点击右键，选择“Simple Group”选项，成后点击O K 即可4 配置地址范围对象除了配置I P 地址，网段，也可以指定地址范围(IP range)，地址范围对象配置步骤是，如下在防火墙“Network”属性上点击右键，选择去掉“Do not show empty folders”选项，让I P Range 配置属性显示出来。

配置“Address Rage”，选择“Address Ranges”，如下图输入地址名称、起始IP地址与结束IP地址，完成后点击OK即可。

5 配置服务对象5.1 配置T CP 服务对象Check Point 防火墙内置了预定义的近千种服务，包括T CP、UDP、RPC、ICMP 等各种类型服务，通常在定义防火墙安全策略时，大多数服务已经识别并内置，因此无需额外添加，但也有很多企业自有开发程序使用特殊端口需要自行定义，下面介绍如何自定义服务，如下图所示，点击第二个模块标签，即S ervices，已经预定义多种类型服务，用户根据需要自定义新的服务类型，下面举例定义T CP 类型服务，右键点击“TCP”，选择“New TCP如下图，可以点以单个TCP服务端口服务对象，如果是一段端口，可以定义端口范围以上举例新建T CP 协议的端口服务，如需定义U DP 协议或其他协议类型按照同样流程操作即可。

Nokia安全平台CheckPoint防⽕墙操作⼿册Nokia安全平台&CheckPoint防⽕墙操作⼿册上海数讯信息技术有限公司⼆○○三年⼗⽉⽬录⼀、NOKIA平台操作⼿册 (2)1、IPSO的安装 (2)2、CHECKPOINT的安装 (10)3、N OKIA平台基本配置 (11)⼆、CHECKPOINT防⽕墙（FP3版本）操作⼿册 (17)1、安装 (17)2、设置 (36)A、增加⼀个Cluster对象 (36)B、增加⼀个主机对象 (41)C、增加⼀个⽹络对象 (43)D、设置全局属性 (45)E、编辑安全策略 (46)F、编辑VPN策略 (47)G、编辑QoS策略 (51)3、系统窗⼝ (52)数讯科技信息⽆限数讯科技信息⽆限⼀、 N okia 平台操作⼿册1、IPSO 的安装Nokia 平台的操作系统IPSO 的安装可以有两种⽅式：●串⼝控制台⽅式● WEB 界⾯voyager ⽅式A 、串⼝控制台⽅式将Nokia 平台的串⼝控制线连接到⼀台PC 的串⼝上，并开启终端仿真程序，将Nokia 平台上电后出现下列界⾯：选择1：bootmgr;待出现BOOTMGR 提⽰符后，键⼊命令：install,然后系统提⽰是否继续，回答yes,出现如下界⾯：系统提⽰从匿名FTP服务器安装还是从⼀个有⽤户名和密码的FTP服务器安装，选择你喜欢的⽅式，并按回车，数讯科技信息⽆限选择你想从哪个端⼝上传⽂件，并输⼊这个端⼝的IP、服务器IP、FTP ⽤户名、密码、路径等，并按回车，数讯科技信息⽆限系统⾃动下载⽂件并安装到系统中，然后⾃动重启，数讯科技信息⽆限IPSO安装完成。

B、WEB 界⾯voyager⽅式第⼀次打开NOKIA 平台，使⽤Console连接上去，出现如下界⾯：输⼊主机名：firewall；输⼊admin⽤户的Password，并确认；选择使⽤基于Web的浏览⽅式——选择1；数讯科技信息⽆限2、使⽤Web界⾯对NOKIA进⾏管理，⾸先需要定义⼀块⽹卡地址、掩码和⽹卡的属性，我们定义在eth-s1p3上，定义地址为192.1.2.2，掩码长度24位，然后定可以通过这个地址对NOKIA进⾏基于Web的管理。

Checkpoint 简单配置手册一．客户端软件SmartConsole安装1．运行CheckPoint集成安装包安装管理防火墙的客户端2只选择安装SmartConsole，别的都不选选择安装SmartConsole的所有组件二．配置CheckPoint防火墙1．运行SmartConsole中的SmartDashboard组件2．登录防火墙管理模块SmartCenter输入用户名，密码，防火墙管理模块的IP地址；SmartDashboard要求验证防火墙的指纹属性，选择“Approve”通过验证即可进入防火墙配置界面3．建立被防火墙管理的网络对象1．主机(Nodes)对象的建立右键选择界面左侧的对象栏里的Nodes，从弹出菜单里选择new nodes->host添加主机对象IP10.19.0.34填写Name:IP10.19.0.34填写IP：10.19.0.34选择是否“Web Server”；如果选中了“Web Server”则CheckPoint会自动打开对该机的http 服务的相关防护措施；静态NAT配置因为该Server需要被静态映射到外网段的219.239.38.138地址上去，所以必须必须选择该主机属性里的“NAT”选项配置NA T选择“Add Automatic Address Translation(自动地址翻译)”选项✧在Translation下拉选项框中选择“Static”✧在Translate to IP文本框中填写该主机映射之后的IP地址：219.239.36.13✧点击“OK”2．网络服务对象(Services)的添加进入services对象栏，右键点击TCP对象，从弹出菜单里选择New TCP在弹出对话框里填入必要的信息填写Name: CaiWuPort: 84443．安全规则(Rules)的添加从菜单栏里选择Rules->Add Rules->Bottom系统添加的默认策略是“any any drop”,即全部丢弃，需要对其进行修改右键点击第一条规则“DESTINA TION”栏里的“Any”对象，从弹出菜单里选择“Add”从弹出对话框里选择“IP10.11.0.1”对象右键点击第一条规则“SERVICE”栏里的“Any”对象，从弹出菜单里选择“Add”从弹出对话框里选择“CaiWu”对象右键点击第一条规则“ACTION”栏里的“drop”对象，从弹出菜单里选择“accept”；以使匹配该规则的数据包被允许通过配该规则的数据包作日志纪录按照上面的方法添加其余规则，以允许IP10.19.0.34访问Range10.11.0.2-5对象的sqlnet1服务最后下发防火墙的安全规则。

CheckPoint防火墙安全配置手册Version 1.1XX公司二零一五年一月目录1 综述 (3)2 Checkpoint的几种典型配置 (4)2.1 checkpoint 初始化配置过程： (4)2.2 Checkpoint Firewall-1 GUI安装 (13)2.3 Checkpoint NG的对象定义和策略配置 (19)3 Checkpoint防火墙自身加固 (37)1综述本配置手册介绍了Checkpoint防火墙的几种典型的配置场景，以加强防火墙对网络的安全防护作用。

同时也提供了Checkpoint防火墙自身的安全加固建议，防止针对防火墙的直接攻击。

通用和共性的有关防火墙管理、技术、配置方面的内容，请参照《中国移动防火墙安全规范》。

2Checkpoint的几种典型配置2.1checkpoint 初始化配置过程：在安装完Checkpoint软件之后，需要在命令行使用cpconfig命令来完成Checkpoint 的配置。

如下图所示，SSH连接到防火墙，在命令行中输入以下命令：IP350[admin]# cpconfigWelcome to Check Point Configuration Program================================================= Please read the following license agreement.Hit 'ENTER' to continue...（显示Checkpoint License版权信息，敲回车继续，敲q可直接跳过该License提示信息）Do you accept all the terms of this license agreement (y/n) ?y（输入y同意该版权声明）Which Module would you like to install ?-------------------------------------------(1) VPN-1 & FireWall-1 Enterprise Primary Management and Enforcement Module(2) VPN-1 & FireWall-1 Enforcement Module(3) VPN-1 & FireWall-1 Enterprise Primary ManagementCheckpoint Firewall-1/VPN-1支持多种安装模式，Firewall-1/VPN-1主要包括三个模块：GUI：用户看到的图形化界面，用于配置安全策略，上面并不存储任何防火墙安全策略和对象，安装于一台PC机上；Management：存储为防火墙定义的各种安全策略和对象；Enforcement Module：起过滤数据包作用的过滤模块，它只与Managerment通信，其上的安全策略由管理模块下载；以上三个选项中如果Management与Enforcement Module安装于同一台设备上，则选择（1），如果Management与Enforcement Module分别安装于不同的设备上，则选择（2）或（3）。

密级：文档编号：项目代号：中国移动Checkpoint防火墙安全配置手册Version *.*中国移动通信有限公司二零零四年十一月拟制: 审核: 批准: 会签: 标准化:Firewall 版本控制分发控制目录1 综述 (5)2 Checkpoint的几种典型配置 (6)2.1 checkpoint 初始化配置过程： (6)2.2 Checkpoint Firewall-1 GUI安装 (13)2.3 Checkpoint NG的对象定义和策略配置 (18)3 Checkpoint防火墙自身加固 (34)1综述本配置手册介绍了Checkpoint防火墙的几种典型的配置场景，以加强防火墙对网络的安全防护作用。

同时也提供了Checkpoint防火墙自身的安全加固建议，防止针对防火墙的直接攻击。

通用和共性的有关防火墙管理、技术、配置方面的内容，请参照《中国移动防火墙安全规范》。

2Checkpoint的几种典型配置2.1 checkpoint 初始化配置过程：在安装完Checkpoint软件之后，需要在命令行使用cpconfig命令来完成Checkpoint的配置。

如下图所示，SSH连接到防火墙，在命令行中输入以下命令：IP350[admin]# cpconfigWelcome to Check Point Configuration Program=================================================Please read the following license agreement.Hit 'ENTER' to continue...（显示Checkpoint License版权信息，敲回车继续，敲q可直接跳过该License提示信息）Do you accept all the terms of this license agreement (y/n) ?y（输入y同意该版权声明）Which Module would you like to install ?-------------------------------------------(1) VPN-1 & FireWall-1 Enterprise Primary Management and Enforcement Module(2) VPN-1 & FireWall-1 Enforcement Module(3) VPN-1 & FireWall-1 Enterprise Primary ManagementCheckpoint Firewall-1/VPN-1支持多种安装模式，Firewall-1/VPN-1主要包括三个模块：GUI：用户看到的图形化界面，用于配置安全策略，上面并不存储任何防火墙安全策略和对象，安装于一台PC机上；Management：存储为防火墙定义的各种安全策略和对象；Enforcement Module：起过滤数据包作用的过滤模块，它只与Managerment通信，其上的安全策略由管理模块下载；以上三个选项中如果Management与Enforcement Module安装于同一台设备上，则选择（1），如果Management与Enforcement Module分别安装于不同的设备上，则选择（2）或（3）。

Check Point软件技术有限公司成立时间于 1993 年，美国总部在加利福尼亚州红木城，国际总部在以色列莱莫干市，员工人数： 1180 多人。

是全球首屈一指的 Internet 安全解决方案供应商，在全球企业防火墙、个人防火墙及虚拟专用网络（ VPN ）市场上居于领导地位。

Check Point 软件技术有限公司的安全虚拟网络（ SVN ）体系结构可提供支持安全、可靠的因特网通信的基础设施。

通过因特网、Intranet和Extranet ， SVN 可确保网络、系统、应用和用户之间的安全通信。

在公司的“Next Generation” 产品系列中发布的 SVN 解决方案，进一步加强了公司网络、远程员工、办事处以及合作伙伴外部网的业务通信和资源的安全。

Check Point 公司的安全性开放式平台（ OPSEC ）可提供一个先进的框架，它使得 Check Point 的解决方案能够与 350 多家领先企业的卓越解决方案集成及协同工作。

此外， Check Point 通过遍布 88 个国家及地区的 2,200 多家合作伙伴销售及集成其解决方案，同时提供相关服务。

企业级防火墙 /VPN 网关– VPN-1 ProCheck Point VPN-1 Pro 是紧密集成的防火墙和 VPN 网关，为企业应用程序和网络资源提供全面的安全和远程连接。

VPN-1 Pro 将市场领先的FireWall-1 安全套件与久经考验的 VPN 技术结合在一起，通过提供到企业网络、远程用户和移动用户、分支机构、业务合作伙伴的安全连接，满足了互联网、内联网和外联网 VPNs 的严格需求。

它具有行业最智能的安全检测技术、 Stateful Inspection 和 Application IntelligenceTM，为阻止网络层和应用层攻击提供了预先的防御机制。

VPN-1 Pro 解决方案可用在业界最广泛的开放式平台和安全设备之上，可以满足任何规模企业的性价比需求。