防火墙技术培训
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
后续
继续熟悉配置 探索新功能
Check Point 技术架构
Power-1
IP系列
管理客户端
管理服务器(SmartCenter) •硬件解决方案:SMART-1 •软件解决方案:SmartCenter + PC Server
UTM-1
防火墙网关
安全网关 UTM-1
管理服务器
架构例子
UTM-1 272
设定防火墙的主地址为外网口地址
基本设定(设置topology 和 antispoofing)
基本设定(设置topology 和 antispoofing)
基本设定(设置管理策略 和 clear策略)
基本设定(设置管理策略 和 clear策略)
基本策略与NAT
Smartdashboard 结构 对象的添加 Firewall Policy 选项卡 NAT 选项卡与实现方式 防火墙安装对象 日志记录 其他
NAT 与其实现方式
NAT的自动策略实现与手工策略实现 Hide NAT与 Static NAT NAT功能选项卡表结构
NAT 与其实现方式(自动实现的NAT)
NAT 与其实现方式(自动实现的NAT)
NAT 与其实现方式(手工实现的NAT)
Hide NAT (自动实现模式)
双击需要做NAT的对象 点选NAT选项卡 打勾“Add automatic Address Translation”
初始化配置(standalone 模式)
初始化Security Gateway和 Management Server 选择Primary Security Management 设定GUI client 建立GUI的用户cpadmin 完成初始化
实验1 初始化设备
建立虚拟机
► 两个虚拟网卡需要设置成桥接模式 ► 无线网卡需要关闭,有线网卡需要接上网上使网卡能用 ► 硬盘需要20G以上。
初始化成standalone模式
► 选择Security Gateway 和Security Management ► 为了试验方便Gui client 设置成any
Hale Waihona Puke Baidu
基本设定
设定主地址 设置topology 和 antispoofing 设定管理策略与clear 策略 安装策略
基本设定(设定主地址)
Management) 配置management GUI client 配置Security Management Administrator
初始化配置(standalone 模式)
第一次登陆,提示修改admin的密码 设定网卡地址,注意需要设置2个以 上的网卡 添加静态路由 设定DNS 设定主机名称与绑定IP地址 设定时间与时区
Smartdashboard 结构
对象树
功能选项卡
菜单与快捷方式
对象列表
Smartdashboard 结构(对象树)
对象的添加
Firewall Policy 选项卡
1.数据到达firewall,从第一条策略开始匹配 2. Firewall根据source,destination,service,vpn进行匹配 3.如果匹配成功,数据会根据Action中的内容执行动作 4.如果匹配不成功,数据会找下一条策略进行匹配 5.如果所有策略都不匹配成功,系统会找到最后一条any any drop
UTM-1 132
安全 网关
管理服 务器 (no
UTM-1 use)
设备初始化实验
安装系统 初始化 基本设定
初始化配置(standalone 模式)
配置设备网卡IP地址 配置默认路由 配置DNS和hostname 配置时间和时区 配置web and SSH client 配置初始化模块(Security Gateway + Security
防火墙技术培训
2020年5月21日星期四
问题
为什么需要一个防火墙 防火墙到底起什么作用
Workshop 概述
目的
通过组织讨论与实践进一步深化理解checkpoint 熟悉checkpoint各种常用的功能
方式
演讲 实验
结果
能独立完成utm-1(checkpoint)的初始化工作 能完成基本checkpoint的需求配置
Translation 选择 Hide
选择 Hide 成gateway的地址还是 Hide成某个具体IP
选择 需要安装的firewall
Static NAT (自动实现模式)
双击需要做NAT的对象 点选NAT选项卡 打勾“Add automatic Address Translation” Translation 选择 Static 填入映射到外网的IP地址
选择 需要安装的firewall
NAT表结构
自动NAT策略
手工NAT策略
1. 数据到达firewall 从第一条策略开始匹配
2. Firewall根据original packet 中source,destination, service进行匹配
3.如果匹配成功,数据会根据translated packet表中的source, destination,service的内容进行NAT
Log – 普通流量日志 Control – 系统控制操作日志 Alert – 警告日志
绿色通行标志– Accept 日志 红色阻止标志—丢弃和拒绝日志 黄色锁标志 – VPN加解密数据日志
日志的字段
经常关注的字段有 Type,action,service,source,destination, XlateSrc,XlateDst,information,rule,source user name
4.如果匹配不成功,数据会找下一条NAT策略进行匹配
防火墙安装对象与策略安装
日志记录与查看
日志的记录基于策略设置 多种日志方式 使用工具SmartView Tracker查看查看
Smartview Tracker
查询树
日志类型选 项卡
日志内容
Smartview Tracker
普通日志 当前连接日志 管理员操作日志
安全 网关
管理服 务器
UTM-1
管理客户端
例子1
管理客户端
例子2
UTM-1 272
安全 网关
管理服 务器
UTM-1
UTM-1 132
安全 网关
管理服 务器 (no
UTM-1 use)
架构例子2
管理客户端
UTM-1 272
安全 网关
管理服 务器(
no use
UTM-1 )
Smart-1 (smartcenter)
继续熟悉配置 探索新功能
Check Point 技术架构
Power-1
IP系列
管理客户端
管理服务器(SmartCenter) •硬件解决方案:SMART-1 •软件解决方案:SmartCenter + PC Server
UTM-1
防火墙网关
安全网关 UTM-1
管理服务器
架构例子
UTM-1 272
设定防火墙的主地址为外网口地址
基本设定(设置topology 和 antispoofing)
基本设定(设置topology 和 antispoofing)
基本设定(设置管理策略 和 clear策略)
基本设定(设置管理策略 和 clear策略)
基本策略与NAT
Smartdashboard 结构 对象的添加 Firewall Policy 选项卡 NAT 选项卡与实现方式 防火墙安装对象 日志记录 其他
NAT 与其实现方式
NAT的自动策略实现与手工策略实现 Hide NAT与 Static NAT NAT功能选项卡表结构
NAT 与其实现方式(自动实现的NAT)
NAT 与其实现方式(自动实现的NAT)
NAT 与其实现方式(手工实现的NAT)
Hide NAT (自动实现模式)
双击需要做NAT的对象 点选NAT选项卡 打勾“Add automatic Address Translation”
初始化配置(standalone 模式)
初始化Security Gateway和 Management Server 选择Primary Security Management 设定GUI client 建立GUI的用户cpadmin 完成初始化
实验1 初始化设备
建立虚拟机
► 两个虚拟网卡需要设置成桥接模式 ► 无线网卡需要关闭,有线网卡需要接上网上使网卡能用 ► 硬盘需要20G以上。
初始化成standalone模式
► 选择Security Gateway 和Security Management ► 为了试验方便Gui client 设置成any
Hale Waihona Puke Baidu
基本设定
设定主地址 设置topology 和 antispoofing 设定管理策略与clear 策略 安装策略
基本设定(设定主地址)
Management) 配置management GUI client 配置Security Management Administrator
初始化配置(standalone 模式)
第一次登陆,提示修改admin的密码 设定网卡地址,注意需要设置2个以 上的网卡 添加静态路由 设定DNS 设定主机名称与绑定IP地址 设定时间与时区
Smartdashboard 结构
对象树
功能选项卡
菜单与快捷方式
对象列表
Smartdashboard 结构(对象树)
对象的添加
Firewall Policy 选项卡
1.数据到达firewall,从第一条策略开始匹配 2. Firewall根据source,destination,service,vpn进行匹配 3.如果匹配成功,数据会根据Action中的内容执行动作 4.如果匹配不成功,数据会找下一条策略进行匹配 5.如果所有策略都不匹配成功,系统会找到最后一条any any drop
UTM-1 132
安全 网关
管理服 务器 (no
UTM-1 use)
设备初始化实验
安装系统 初始化 基本设定
初始化配置(standalone 模式)
配置设备网卡IP地址 配置默认路由 配置DNS和hostname 配置时间和时区 配置web and SSH client 配置初始化模块(Security Gateway + Security
防火墙技术培训
2020年5月21日星期四
问题
为什么需要一个防火墙 防火墙到底起什么作用
Workshop 概述
目的
通过组织讨论与实践进一步深化理解checkpoint 熟悉checkpoint各种常用的功能
方式
演讲 实验
结果
能独立完成utm-1(checkpoint)的初始化工作 能完成基本checkpoint的需求配置
Translation 选择 Hide
选择 Hide 成gateway的地址还是 Hide成某个具体IP
选择 需要安装的firewall
Static NAT (自动实现模式)
双击需要做NAT的对象 点选NAT选项卡 打勾“Add automatic Address Translation” Translation 选择 Static 填入映射到外网的IP地址
选择 需要安装的firewall
NAT表结构
自动NAT策略
手工NAT策略
1. 数据到达firewall 从第一条策略开始匹配
2. Firewall根据original packet 中source,destination, service进行匹配
3.如果匹配成功,数据会根据translated packet表中的source, destination,service的内容进行NAT
Log – 普通流量日志 Control – 系统控制操作日志 Alert – 警告日志
绿色通行标志– Accept 日志 红色阻止标志—丢弃和拒绝日志 黄色锁标志 – VPN加解密数据日志
日志的字段
经常关注的字段有 Type,action,service,source,destination, XlateSrc,XlateDst,information,rule,source user name
4.如果匹配不成功,数据会找下一条NAT策略进行匹配
防火墙安装对象与策略安装
日志记录与查看
日志的记录基于策略设置 多种日志方式 使用工具SmartView Tracker查看查看
Smartview Tracker
查询树
日志类型选 项卡
日志内容
Smartview Tracker
普通日志 当前连接日志 管理员操作日志
安全 网关
管理服 务器
UTM-1
管理客户端
例子1
管理客户端
例子2
UTM-1 272
安全 网关
管理服 务器
UTM-1
UTM-1 132
安全 网关
管理服 务器 (no
UTM-1 use)
架构例子2
管理客户端
UTM-1 272
安全 网关
管理服 务器(
no use
UTM-1 )
Smart-1 (smartcenter)