checkpoint用户手册
Check Point教程
Check point防火墙基本操作手册CheckPoint(中国)TEL:(86)10 8419 3348 FAX:(86)10 8419 3399©2010 Check Point Software Technologies Ltd. All rights reserved.Classification:目录目录 (2)防火墙架构 (3)防火墙的Web管理 (3)配置IP: (4)配置DNS和Host: (5)配置路由: (5)通过防火墙的管理客户端管理 (5)添加防火墙 (7)添加策略步骤 (10)IP节点添加 (10)添加网段 (11)IPS的配置 (13)更新IPS库 (14)新建IPS动作库 (14)应用控制 (16)更新数据库 (16)添加应用控制策略 (17)App Wike (18)自定义添加应用 (18)QOS配置 (20)Qos策略的添加 (20)日志工具的使用 (20)筛选日志 (21)临时拦截可以连接 (22)©2010 Check Point Software Technologies Ltd. All rights reserved.Classification:©2010 Check Point Software Technologies Ltd. All rights reserved.Classification:防火墙架构Check point 防火墙的管理是通过一个三层架构来实现的。
首先我们可以在任意的机器上安装防火墙客户端控制台,然后利用控制台的图形化界面登录check point 的管理服务器,定义出各个网络对象,定义企业各条策略,最后下发到防火墙执行模块。
具体实现过程见图示:防火墙的Web 管理首先打开Web 管理界面,出现登录界面:登陆后的界面设备的Web界面只能配置设备的IP地址,网关,DNS和路由。
还可以针对设备的事件,SNMP监控,代理等信息。
CHECK POINT操作手册文档v1.0
天诚世纪网络科技有限公司网络安全事业部Checkpoint操作手册文档目录●Smart Dashboard (3)●SmartView Tracker (7)●SmartView monitor (9)●Checkpoint网关gateway模式 (11)●PPPOE拨号 (16)●checkpoint桥接bridge模式 (19)●ISP双链路接入配置 (21)●NAT地址转换 (28)●SSL VPN (31)●Site-to-site 预共享密码vpn (38)●Site-to-site 证书vpn (cp270与edge/safe@office) (42)●RemoteAccess vpn (48)●IPS (52)Smart Dashboard1.登录smart center2.功能介绍Checkpoint属性更新网络拓扑Nodes对象网段Network开启NAT功能配置完任何firewall防火墙规则,都需要安装策略,否则规则不会生效1.Smartview tracker 登录2.功能界面介绍Network&endpoint:记录网络安全日志Management:记录操作checkpoint日志●SmartView monitor1.登录smartview monitor2.界面介绍Traffic---Top servicesTraffic---Top InterfacesTraffic---Top soures1.网络拓扑图2.配置步骤:1)登录SmartDashboard2)新建网段对象将192.168.200.0定义为内网网段inside192.168.200.0将192.168.1.0定义为公网网段outside192.168.1.03)开启NAT功能双击inside192.168.200.0,到NAT,将add automatic address translation打上钩,确定4)建立防火墙规则防火墙firewall建立规则,允许源地址到目标地址任何服务5)安装规则运行install policies6)客户端配置PPPOE拨号1.在checkpoint的console口命令行中,增加下面语法[Expert@cp]# mknod /dev/ppp c 108 0 (重启设备后,这条命令会丢失,需要在启动脚本里增加)[Expert@cp]# vi $CPDIR/tmp/.CPprofile.csh (在脚本里增加此命令)在最后增加一行内容是mknod /dev/ppp c 108 0保存,重启设备2.web界面新建pppoe拨号External接口接到moder,internal接到交换机External接口需要自动获取ip地址(adsl线路是动态,获取到的公网ip地址是动态。
CheckPoint NGTP 基本操作手册
Check Point防火墙基础操作手册(IPS)上海证券交易所(SSE)上海迅扬信息科技有限公司二零一五年一月目录第1章SmartDashboard的使用及基本管理技术 (3)1.1编辑防火墙对象 (3)1.2添加主机和网络对象 (8)1.2.1添加主机对象: (8)1.2.2添加网络对象: (9)1.3制定访问策略和配置地址翻译(NAT) (10)1.3.1配置访问策略 (10)1.3.2地址翻译(NA T) (11)1.4防地址欺骗功能介绍 (15)1.5策略的下发 (17)第2章入侵防护(IPS)策略的配置 (19)2.1 IPS概览 (19)2.2 IPS配置 (20)2.2.1 定义IPS的防火墙 (20)2.2.2 定义IPS Profile (22)2.2.3 配置Protections (27)2.2.4 配置Geo Protection (29)2.2.5 IPS特征库更新 (30)2.2.6 Follow Up选项 (33)2.2.7 Additional Setting选项 (33)2.3禁用IPS (34)第3章防病毒(Anti-Virus/Anti-Bot)策略配置 (35)第4章SmartView Tracker的使用 (40)第1章 SmartDashboard的使用及基本管理技术SmartDashboard是配置防火墙策略和对象的一个控制软件,我们定义对象和规则时就利用它来实现,SmartUpdate是用于添License时要用到的一个控制软件,SmartView Tracker是查看日志时用到的客户端软件。
(注:由于上证所本次采用桥模式(透明模式)部署实施checkpoint NGTP 设备,防火墙配置基于网络全通模式配置,无需特别单独配置防火墙策略。
)1.1 编辑防火墙对象首先打开控制台软件,出现登录界面:点击SmartDashboard后出现登录界面,如图:这里输入用户名、密码以及管理服务器的IP地址。
CheckPoint防火墙操作手册
CheckPoint防火操作手册1 配置主机对象定义防火墙策略时,如需对I P 地址进行安全策略控制则需首先配置这个对象,下面介绍主机对象配置步骤,在“Network Objects”图标处,选择“Nodes”属性上点击右键,选择“Node”,点击“Host”选项,定义主机对象的名称,IP Address属性,同时可按照该主机的重要性定义颜色,配置完成后点击OK,主机对象创建完成。
2 配置网段对象定义防火墙策略时,如需对网段进行安全策略控制则需首先配置这个网络对象,配置步骤如下,在防火墙“Network”属性上点击右键,选择“Network”,选项,定义网段名称,比如DMZ,Internal,建议根据网段所处位置定义,配置网段地址和子网掩码,如有必要可以添加注释(Comment),配置完成后点击确认。
3 配置网络组对象如果需要针对单个I P 地址、IP 地址范围或者整个网段进行安全策略控制,可以将这些对象添加到网络组,如下在防火墙“Group”属性上点击右键,选择“Simple Group”选项,成后点击O K 即可4 配置地址范围对象除了配置I P 地址,网段,也可以指定地址范围(IP range),地址范围对象配置步骤是,如下在防火墙“Network”属性上点击右键,选择去掉“Do not show empty folders”选项,让I P Range 配置属性显示出来。
配置“Address Rage”,选择“Address Ranges”,如下图输入地址名称、起始IP地址与结束IP地址,完成后点击OK即可。
5 配置服务对象5.1 配置T CP 服务对象Check Point 防火墙内置了预定义的近千种服务,包括T CP、UDP、RPC、ICMP 等各种类型服务,通常在定义防火墙安全策略时,大多数服务已经识别并内置,因此无需额外添加,但也有很多企业自有开发程序使用特殊端口需要自行定义,下面介绍如何自定义服务,如下图所示,点击第二个模块标签,即S ervices,已经预定义多种类型服务,用户根据需要自定义新的服务类型,下面举例定义T CP 类型服务,右键点击“TCP”,选择“New TCP如下图,可以点以单个TCP服务端口服务对象,如果是一段端口,可以定义端口范围以上举例新建T CP 协议的端口服务,如需定义U DP 协议或其他协议类型按照同样流程操作即可。
CheckPoint简易管理手册
CheckPoint简易管理手册CheckPoint简易管理手册power by 土包子特别鸣谢:尾巴账号管理一、设备管理账号可以通过web界面进行管理账号的添加/删除/修改,该操作不需要下发策略,不会引起防火墙服务变化。
1、创建WEB管理账户、修改WEB账户登陆密码Device-->Device Administrator点击New在Device Administrators里设置的用户名/密码可以用来SSH登陆设备普通模式,密码也可以在命令行界面使用命令passwd进行修改,效果一样。
注:web登陆和SSH登陆普通模式所具备的功能一样,仅拥有基础的权限。
如需进一步操作,需进入expert模式。
2、修改EXPERT模式密码需在命令行界面修改,同样使用命令passwd进行修改:二、设置允许对设备进行web/SSH管理的主机/网段Device-->Web and SSH Client-->Add如需修改已添加的IP/网段,单击相应Address进行修改;如需删除已添加的IP/网段,勾选相应条目,单击Remove进行删除。
注:当存在多个条目时,匹配顺序自上而下三、设置设备管理安全为加强设备安全,防止密码穷举攻击,设置会话超时时间、账号锁定条件及恢复条件。
Device-->Administrator Security四、设置smartconsole登陆smartcenter的账号及密码1、使用WEB界面配置Production Configuration--->Mangerment Administrator在web界面下,可以对账号进行修改。
如果不存在账号,则可以添加新账号。
该账号可以通过smartconsole登录smartcenter并具有最高权限。
注:本页面仅能添加一个账号,如需添加多个账号,可在SmartDashboard里添加。
此账号可以在web界面或者命令行界面进行删除。
CheckPoint基本操作手册-中文
CheckPoint基本操作⼿册-中⽂1. CheckPoint架构 (2)2. 设置系统配置 (2)2.1 设置IP地址 (2)2.2 设置路由 (3)2.3 配置备份 (4)2.4 下载SmartConsole(GUI Client) (6)2.5 命令⾏(Console/SSH)登陆专家模式 (6)3. 配置防⽕墙策略 (6)3.1 安装SmartConsole,登录策略配置管理 (7)3.2 创建对象 (7)3.2.1 创建主机对象 (7)3.2.2 创建⽹络对象 (8)3.2.3 创建组对象 (9)3.3 创建策略 (10)3.3.1 策略分组 (13)3.4 创建地址转换(NAT) (14)3.4.1 ⾃动地址转换(Static) (15)3.4.2 ⾃动地址转换(Hide) (15)3.4.3 ⼿动地址转换 (16)3.5 Install Policy (18)4. ⽤户识别及控制 (18)4.1 启⽤⽤户识别及控制 (18)4.2 创建AD Query策略 (22)4.3 创建Browser-Based Authentication策略 (24)5. 创建应⽤及⽹址(URL)控制策略 (25)5.1 启⽤应⽤或⽹址(URL)控制功能 (25)5.2 创建应⽤及⽹址(URL)对象 (25)5.3 创建应⽤及⽹址(URL)组对象 (27)5.4 创建应⽤及⽹址(URL)控制策略 (29)6. 创建防数据泄露(DLP)策略 (31)6.1 启⽤防数据泄露(DLP)功能 (31)6.2 创建防数据泄露(DLP)对象 (31)6.2.1 创建防数据泄露(DLP)⽹络对象 (31)6.2.2 创建防数据泄露(DLP)分析内容对象 (31)6.2.3 创建防数据泄露(DLP)分析内容组对象 (31)6.3 创建防数据泄露(DLP)控制策略 (31)7. ⽣成报表(SmartReporter) (31)7.1 启⽤报表功能 (32)7.2 ⽣成报表前参数调整 (32)7.3 ⽣成报表 (35)8. 事件分析(SmartEvent) (36)8.1 启⽤事件分析功能 (36)8.2 查看事件分析 (37)1. CheckPoint 架构CheckPoint 分为三层架构,GUI 客户端(SmartConsole )是⼀个可视化的管理配置客户端,⽤于连接到管理服务器(SmartCenter ),管理服务器(SmartCenter )是⼀个集中管理平台,⽤于管理所有设备,将策略分发给执⾏点(Firewall )去执⾏,并收集所有执⾏点(Firewall )的⽇志⽤于集中管理查看,执⾏点(Firewall )具体执⾏策略,进⾏⽹络访问控制2. 设置系统配置设备的基本配置需要在WEB 下进⾏,如IP 、路由、DNS 、主机名、备份及恢复、时间⽇期、管理员账户,默认web 管理页⾯的连接地址为https://192.168.1.1:4434,如果已更改过IP ,将192.168.1.1替换为更改后的IP 2.1 设置IP 地址例:设置LAN2⼝的IP 为10.0.255.2 登录web 后选择Network Connections直接点击LAN2管理服务器 SmartCenterGUI ClientSmartConsole执⾏点 Firewall填⼊IP地址和掩码,点击Apply2.2设置路由例:设置默认路由为10.0.255.1登录web后选择Network→Routing点击New→Default Route,(如果设置普通路由,点击Route)填⼊默认路由,点击Apply2.3配置备份此备份包括系统配置和CheckPoint策略等所有配置例:将配置备份出来保存选择Applicance→Backup and Restore选择Backup→Start Backup输⼊备份的⽂件名,点击Apply(由于⽇志可能会较⼤,增加备份⽂件的⼤⼩,可考虑去掉Include Check Point Products log files in the backup前⾯的勾)选择Yes等待备份⽂件打包当弹出下载⽂件提⽰后,将⽂件保存⾄本地2.4下载SmartConsole(GUI Client)选择Product Configuration Download SmartConsole选择Start Download2.5命令⾏(Console/SSH)登陆专家模式登陆命令⾏(Console/SSH)默认模式下仅⽀持部分操作及命令,如需要执⾏更⾼权限的命令或操作时需登陆专家模式在命令⾏中输⼊expert回车,根据提⽰输⼊密码即可登陆,默认密码同web、console、SSH登陆密码相同# expertEnter expert password:You are in expert mode now.3.配置防⽕墙策略CheckPoint防⽕墙的策略执⾏顺序为⾃上⽽下执⾏,当满⾜某⼀条策略时将会执⾏该策略设定的操作,并且不再匹配后⾯的策略***如果策略中包含⽤户对象,即使匹配该策略,仍然会继续匹配后⾯的策略,只有当后⾯的策略没有匹配或者后⾯的策略中匹配的操作是drop时才会执⾏之前包含⽤户的策略通常CheckPoint策略配置的顺序依次为防⽕墙的管理策略、VPN策略、服务器(DMZ)策略、内⽹上⽹策略、全部Drop策略创建CheckPoint防⽕墙策略的步骤为创建对象、创建策略并在策略中引⽤对象、Install Policy***CheckPoint中配置的更改必须Install Policy之后才会⽣效3.1安装SmartConsole,登录策略配置管理直接运⾏下载的SmartConsole安装包进⾏安装,安装完成后登陆SmartDashboard例:打开策略管理运⾏SmartDashboard输⼊⽤户名、密码以及SmartCenter(管理服务器)的IP地址,点击OK登陆3.2创建对象CheckPoint配置策略的基本步骤为创建需要的对象、创建策略、在策略中引⽤对象、Install Policy 3.2.1创建主机对象例:创建IP为192.168.10.1的对象选择Nodes→Node→Host在Name处输⼊对象名(字母开头),在IP Address处输⼊对象的IP地址,如192.168.10.1,点击OK3.2.2创建⽹络对象例:创建⽹段为192.168.10.0,掩码为255.255.255.0的对象选择Networks Network…输⼊⽹段对象名,⽹段,掩码(由于是中⽂版系统的关系,部分字样可能显⽰不全),点击OK3.2.3创建组对象如果有多个对象需要在策略中引⽤,⽅便起见可将这些对象添加到⼀个组中,直接在策略中引⽤该组即可例:将⽹段192.168.10.0和192.168.11.0添加到⼀个组对象中选择Groups→Groups→Simple Group…输⼊组对象的名字,将⽹段对象192.168.10.0和192.168.11.0在左侧Not in Group窗⼝中双击移⼊到右侧的In Group窗⼝中,点击OK3.3创建策略创建策略前需根据需求先确定创建的位置例:在第6条和第7条之间创建1条允许192.168.10.0⽹段访问任何地⽅任何端⼝的策略,并记录⽇志选中第7条策略,单击右键,选择Add Rule Above添加后会出现⼀条默认策略,需要做的就是在这条策略上引⽤对象在Source对应的⼀栏中,右键点击Any,选择Network Object…找到192.168.10.0这个⽹段的对象后选中,并点击OK由于是访问任何地址的任何端⼝,所以在Destination、VPN、Service栏中保持Any不变在Action栏中点击右键选择Accept在Track栏中点击右键选择Log,这样凡是被这条策略匹配的连接都会记录下⽇志,⽤于在SmartView Tracker中查看完成后的策略如下图3.3.1策略分组当策略数⽬较多时,为了⽅便配置和查找,通常会对策略进⾏分组例:将7、8、9三条⽇志分为⼀个组选中第7条策略,点击右键,选择Add Section Title Above输⼊名字后点击OK如下图所⽰,7、8、9三条策略就分在⼀个组中了,点击前⾯的+-号可以打开或缩进3.4创建地址转换(NAT)在CheckPoint中地址转换分为⾃动和⼿动两种,其中⾃动⼜分为Static NAT和Hide NAT Static NATStatic是指将内部⽹络的私有IP地址转换为公有IP地址,IP地址对是⼀对⼀的,是⼀成不变的,某个私有IP地址只转换为某个公有IP地址。
Checkpoint 1 登录指南说明书
Logging in to Checkpointunch your browser and enter the Checkpoint address in the browser location bar:The Checkpoint Login screen appears.NOTE:Bookmark this page or add it to your Favorites so you will not have to retypethe URL every time you want to access Checkpoint.2.Enter your User Name and Password,and then click Login.The Checkpoint screen that appears depends on the Login and Search Practice Areasettings in the General Settings Options.NOTE:You can use your user name and password to open only one Checkpointsession at a time.Select the Save Name/Password check box to save your logininformation.You will not be prompted to enter your User Name and Password onfuture Checkpoint sessions.Ending a Session RemotelyCheckpoint does not permit multiple logins with the same User ID.If you are loggedinto Checkpoint on another machine or browser and attempt to login,Checkpoint will provide an option for you to close the original session and continue the login process.©2021Thomson Reuters. All Rights Reserved.W-329800U SING THE H OME S CREENCheckpoint -Quick Reference -2Using the Home ScreenThe Home screen provides quick links to Checkpoint tools and documents,access to current news of interest to Checkpoint subscribers,updates related to Checkpoint features and content,and easy access to training and support.You can change the contentandcustomize the features as needed.Choose from several Home screen views that organize content by practice area.Eachview's layout and content can be modified to match your preferences.Create your ownview consisting of selected content panes.My Quick Links provides quick access to frequently used areas of Checkpoint.You can tailor My Quick Links to your specific needs by modifying the list to reflect your areas of interest and frequent use.The Support &Product Training links make it easy to access instructor-led and self-study product training,user guides and other reference materials,support and trainingU SING THE H OME S CREENCheckpoint -Quick Reference -3news,support contact information and Checkpoint user options.Keep up-to-date with news and product developments.Consult Today's Headlines forlinks to current news.Review New in My Subscription to learn about new features and enhancements specific to your version of Checkpoint.Use Home screen features to display the results of Scheduled Searches ,ongoingcitation tracking (Track It)and proposed legislation being followed (Follow It).Enter your keyword in the Quick Search box and click Search to perform a keywordsearch.You can perform a keyword search in two ways:Intuitive Search recognizesquestions,common phrases,connectors,or citations,and interprets your queryaccordingly to retrieve the most relevant results,including relevant variations.Terms &Connectors will limit your search to the exact words you typed,without any variations.The search AutoComplete feature will suggest keywords as you type in the field.You can also perform a Quick Search on a predefined source set you create by selecting from the Choose Source Set drop-down list.U SING THE S EARCH S CREENCheckpoint -Quick Reference -4Using the Search ScreenThe Search screen provides a launch point from which to perform keyword searches on selected sources in several practice e the left navigation bar to access customized search templates andtoolsbased on the practice area.Select a practice area to use sources and search tools specific to an area of research.Practice areas include Federal ,State &Local ,Estate Planning ,Pension &Benefits ,International Tax ,International Trade ,Payroll ,and Accting,Audit &Corp Finance .To perform a keyword search enter search terms,select the sources to search,andthen click the Search icon.You can perform a keyword search in two ways:IntuitiveSearch recognizes questions,common phrases,connectors,or citations,and interprets your query accordingly to retrieve the most relevant results,including relevant variations.Terms &Connectors will limit your search to the exact words you typed,without anyU SING S EARCH C ONNECTORSCheckpoint -Quick Reference -5variations.The search AutoComplete feature will suggest keywords as you type in thefield.Open the Thesaurus/Query Tool to enhance your keywords with such features as aspell checker,a thesaurus of alternative terms,a list of connector symbols,andpreviously used keyword combinations.Select a search template to perform a search by filling in requested information.Forexample,use Find by Citation to request a code section from an official documentation source.Using Search ConnectorsUsing Connectors in Intuitive SearchIf the Terms &Connectors search method is selected,the AND,SPACE,or &connectors can all be used to require more than one term in each of the documents of your search results.However,if Intuitive Search is left as the default search method,Checkpoint will read the word "AND"and any SPACE as it would any other word used in your query.Although the most relevant documents are likely to have all words used,you may get results that have only most of the words.U SING S EARCH C ONNECTORSAlso,when using the Intuitive Search method,the use of quotations to search for a phrase will find the most relevant documents that include the exact phrase and relevant variations that contain the keywords within3words of one another.Checkpoint-Quick Reference-6U SING THE D OCUMENT S CREENCheckpoint -Quick Reference -7Using the Document ScreenThe Document screen provides the format for viewing and managing Checkpoint documents,with various tools and features for navigating,saving,printing,sharing,exporting,adding notes,and flagging the content.You can also highlight document text and savethehighlighted text as a note.Within a document,you can use the Context Panel on the right to take advantage ofadditional navigation and features.The available tabs listed in the Context Panel willdepend on the document displayed and how you arrived at that document (by Keyword or Table of Contents).Document tools include Print,Export,E-mail,Save,Open in New Window,Selected Text Option,Show Permalinks,Full Screen,Document Display Options,Flag this document,Add Note,and Reset view.Use the Navigate by field and arrow buttons to advance to the next Best result orDocument found by your search,the next document listed in the Table of Contents ,or the next occurrence of a Keyword .Keyword occurrences appear with yellow highlighting throughout the open document.Use the top line and side line link buttons that appear across the top of a document orembedded within the document to link to related documents in the Links section of the Context Panel .U SING THE T ABLE OF C ONTENTS S CREENCheckpoint -Quick Reference -8Using the Table of Contents ScreenThe Table of Contents screen,accessed from the menu bar on Checkpoint,provides access to all of the sources available to you through your subscription.Content is organized hierarchically into broad practice area categories.You can drilldown through levels of content to find individual documents.Click the "+"symbol next to a title to view its contents,or click the title name toU SING THE N EWS S CREENCheckpoint -Quick Reference -9Using the News ScreenThe News screen provides the latest news updates in the areas of tax,audit,accounting,trade,corporate finance,and employee benefits.Most of the news services provide access to earlier editions and e-mail delivery options.Headlines,summaries,or opening paragraphs are generally provided for each news article.In some news sources,the headline is a link to the full article.In others,a"document"symbol at the end of the paragraph links you to the full article.Select from news sources included in your Checkpoint subscription.Available newssources may include (depending on your subscription)Checkpoint Daily Updates ,L EGENDCheckpoint -Quick Reference -10News &Insight ,Accounting & Compliance Alert ,PPC's Daily Update ,IBFD Tax News Service ,Willis Towers Watson ,EBIA Weekly ,AAEI International Trade Alert ,TR Global Indirect Tax Update ,and EY Tax News .Click a date on the Date drop-down list,if available,to access earlier editions.Document tools let you print,export,e-mail,and manage the news content.Advance to a section of the news update by selecting the section title from the Outline on the left navigation bar.Click Set Display/E-mail Preferences and arrange to receive any of your subscribed news updates by e-mail.Options include receiving a Daily Update version or a Weekly Update (or Complete Newsletter)version offered on a less frequent schedule.This option is not available for all news sources.Click Checkpoint Weekly Updates to view all articlesfrom (depending on yoursubscription)the Federal Tax,State &Local Tax,Estate Planning,Pension &Benefits,and Payroll Updates for the most recently completed week (Monday through Friday).LegendL EGENDCheckpoint-Quick Reference-11。
Check Point 用户手册
Check Point UTM-1用户手册第一章使用向导 (3)一、从配置UTM开始 (3)1、登陆UTM (3)2、配置网卡 (4)3、配置路由 (5)4、配置主机名 (6)5、调整时间 (7)二、步骤1-配置之前......一些有用的术语 (7)三、步骤2-安装和配置 (8)四、步骤3-第一次登录到SmartCenter服务器 (9)五、步骤4-在安全策略定义之前 (11)六、步骤5-为安全策略定义规则 (16)七、步骤6-来源和目的 (17)第二章策略管理 (17)一、有效的策略管理工具需要 (18)二、CheckPoint管理策略的解决方案 (18)1、策略管理概况 (18)2、策略集 (19)3、规则分节标题 (21)4、查询和排列规则以及对象 (21)三、策略管理需要注意的问题 (22)四、策略管理配置 (22)第三章SmartView Tracker (25)一、跟踪的需求 (25)二、CheckPoint对跟踪的解决方案 (26)1、跟踪概况 (26)2、SmartView Tracker (27)3、过滤 (28)4、查询 (29)5、通过日志切换维护日志文件 (29)6.通过循环日志来管理日志空间 (29)7、日志导出功能 (30)8、本地日志 (30)9、使用日志服务器记录日志 (30)10、高级跟踪操作 (30)三、跟踪需要考虑的问题 (31)四、跟踪配置 (32)1、基本跟踪配置 (32)2、SmartView的查看选项 (32)3、配置过滤器 (33)4、配置查询 (33)5、维护 (34)6、本地日志 (35)7、使用日志服务器 (35)8、自定义命令 (36)9、阻断入侵 (37)10、配置报警命令 (37)第一章使用向导一、从配置UTM开始1、登陆UTM5、调整时间二、步骤1-配置之前……一些有用的术语这里介绍一些有助于理解本章内容的相关信息。
Security Policy(安全策略)是由系统管理员创建的,用来管理进和出的网络通信连接。
Checkpoint防火墙安全配置手册V1.1
Checkpoint防⽕墙安全配置⼿册V1.1Checkpoint防⽕墙安全配置⼿册v1.1CheckPoint防⽕墙安全配置⼿册Version 1.1XX公司⼆零⼀五年⼀⽉第1页共41 页⽬录1 综述 (3)2 Checkpoint的⼏种典型配置 (4)2.1 checkpoint 初始化配置过程: (4)2.2 Checkpoint Firewall-1 GUI安装 (13)2.3 Checkpoint NG的对象定义和策略配置 (19)3 Checkpoint防⽕墙⾃⾝加固 (37)1综述本配置⼿册介绍了Checkpoint防⽕墙的⼏种典型的配置场景,以加强防⽕墙对⽹络的安全防护作⽤。
同时也提供了Checkpoint防⽕墙⾃⾝的安全加固建议,防⽌针对防⽕墙的直接攻击。
通⽤和共性的有关防⽕墙管理、技术、配置⽅⾯的内容,请参照《中国移动防⽕墙安全规范》。
2Checkpoint的⼏种典型配置2.1checkpoint 初始化配置过程:在安装完Checkpoint软件之后,需要在命令⾏使⽤cpconfig命令来完成Checkpoint 的配置。
如下图所⽰,SSH连接到防⽕墙,在命令⾏中输⼊以下命令:IP350[admin]# cpconfigWelcome to Check Point Configuration Program================================================= Please read the following license agreement.Hit 'ENTER' to continue...(显⽰Checkpoint License版权信息,敲回车继续,敲q可直接跳过该License提⽰信息)Do you accept all the terms of this license agreement (y/n) ?y(输⼊y同意该版权声明)Which Module would you like to install ?-------------------------------------------(1) VPN-1 & FireWall-1 Enterprise Primary Management and Enforcement Module(2) VPN-1 & FireWall-1 Enforcement Module(3) VPN-1 & FireWall-1 Enterprise Primary ManagementCheckpoint Firewall-1/VPN-1⽀持多种安装模式,Firewall-1/VPN-1主要包括三个模块:GUI:⽤户看到的图形化界⾯,⽤于配置安全策略,上⾯并不存储任何防⽕墙安全策略和对象,安装于⼀台PC机上;Management:存储为防⽕墙定义的各种安全策略和对象;Enforcement Module:起过滤数据包作⽤的过滤模块,它只与Managerment通信,其上的安全策略由管理模块下载;以上三个选项中如果Management与Enforcement Module安装于同⼀台设备上,则选择(1),如果Management与Enforcement Module分别安装于不同的设备上,则选择(2)或(3)。
CheckPoint SSLVPN 配置手册V1.0
rcctu l<J bú~: Ll ιAL
light:
r. 一川 d
Cl assification:
&.
[Cùnlidential
For (he(k Point usel - and 柳川 ed .hird parlies
固自四百回
立档悻 lT 记录
标题
:k墙 SeC lJr eRelDO te \'P可配置说明
二』 j
4槽如
f$
N巾 d 阳剧叩刷…酬捕Y 咱叫割
十…m l <;9$ and MðSle
Advanced
v 垒u. 酣回佣盼 3 细 0' 臼 51 阳 臼剪 d酬h c 抱 euV阳 c阳酣阳眩
C部鹤即 Optr.旭,.盼的
谧~组上所有配置 cli .ftl
ι C昭潮州 E r101c酬
可以边,摩 don' ‘ " k
·l
édd...
~
V巳J--.!旦斗
」旦J 主型巳」 二旦旦」
•
』
一 OK
第三步,定义 Office Mode 选项启用 Office Mode 模式 在 office mode 选项中选择支持 office mode 功能的 VPN 用户组
Cancel
I __ "巳」
在 Using one of the following 皿ethods 选项中选择 Manual (I P pool 选择一个 IP 地址池) 选择个地址段,用户在使用 SSL VPN 和 SecureCl ent VPN 时分配地址用
缸咖S阳d....
r
Eerfα m A<现 Spoofl!"lg
Check Point 安全管理 R80 管理员手册说明书
C l a s s i f i c a t i o n : [P r o t e c t e d ]© 2017 Check Point Software Technologies Ltd.保留所有权利。
本产品及相关文档受版权保护,并且凭限制其使用、复制、分发及反编译的许可进行分销。
未经Check Point 的事先书面授权,不得对本产品或相关文档的任何部分,以任何形式或任何方式进行复制。
在本手册编制过程中以已非常谨慎,但Check Point 不对任何错误或疏漏承担责任。
本出版物及其中所述功能如有更改,恕不另行通知。
限制权利图注:政府的使用、复制或纰漏须符合DFARS 252.227-7013 和FAR 52.227-19 的“技术数据和计算机软件权利”一条中第(c)(1)(ii) 款规定的限制。
商标:参考版权页/copyright.html以获取我们的商标清单。
参考第三方版权声明/3rd_party_copyright.html以获取相关版权和第三方许可的清单。
重要信息Latest Software我们建议您安装最新版软件,以获得最新的完善功能、更好的稳定性、更高的安全级别,并防止发展中的新攻击入侵。
Check Point R80如需更多有关此版本的信息,请参见R80主页/solutions?id=sk108623。
Latest Version of this Document下载此文档的最新版本/documentation_download?ID=46534。
如需了解更多内容,请访问Check Point 支持中心 。
FeedbackCheck Point 一直在致力于完善其文档。
请发送您的意见给我们,以帮助我们不断改进mailto:**********************************?subject=FeedbackonCheckPointSecurity Management R80 Administration Guide 。
CHECKPOINT 4.1安装配置手册
Check Point软件技术有限公司成立时间于 1993 年,美国总部在加利福尼亚州红木城,国际总部在以色列莱莫干市,员工人数: 1180 多人。
是全球首屈一指的 Internet 安全解决方案供应商,在全球企业防火墙、个人防火墙及虚拟专用网络( VPN )市场上居于领导地位。
Check Point 软件技术有限公司的安全虚拟网络( SVN )体系结构可提供支持安全、可靠的因特网通信的基础设施。
通过因特网、Intranet和Extranet , SVN 可确保网络、系统、应用和用户之间的安全通信。
在公司的“Next Generation” 产品系列中发布的 SVN 解决方案,进一步加强了公司网络、远程员工、办事处以及合作伙伴外部网的业务通信和资源的安全。
Check Point 公司的安全性开放式平台( OPSEC )可提供一个先进的框架,它使得 Check Point 的解决方案能够与 350 多家领先企业的卓越解决方案集成及协同工作。
此外, Check Point 通过遍布 88 个国家及地区的 2,200 多家合作伙伴销售及集成其解决方案,同时提供相关服务。
企业级防火墙 /VPN 网关– VPN-1 ProCheck Point VPN-1 Pro 是紧密集成的防火墙和 VPN 网关,为企业应用程序和网络资源提供全面的安全和远程连接。
VPN-1 Pro 将市场领先的FireWall-1 安全套件与久经考验的 VPN 技术结合在一起,通过提供到企业网络、远程用户和移动用户、分支机构、业务合作伙伴的安全连接,满足了互联网、内联网和外联网 VPNs 的严格需求。
它具有行业最智能的安全检测技术、 Stateful Inspection 和 Application IntelligenceTM,为阻止网络层和应用层攻击提供了预先的防御机制。
VPN-1 Pro 解决方案可用在业界最广泛的开放式平台和安全设备之上,可以满足任何规模企业的性价比需求。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Check Point UTM-1用户手册第一章使用向导 (3)一、从配置UTM开始 (3)1、登陆UTM (3)2、配置网卡 (3)3、配置路由 (4)4、配置主机名 (5)5、调整时间 (5)二、步骤1-配置之前......一些有用的术语 (6)三、步骤2-安装和配置 (7)四、步骤3-第一次登录到SmartCenter服务器 (8)五、步骤4-在安全策略定义之前 (10)六、步骤5-为安全策略定义规则 (15)七、步骤6-来源和目的 (16)第二章策略管理 (16)一、有效的策略管理工具需要 (17)二、CheckPoint管理策略的解决方案 (17)1、策略管理概况 (17)2、策略集 (18)3、规则分节标题 (20)4、查询和排列规则以及对象 (20)三、策略管理需要注意的问题 (21)四、策略管理配置 (21)第三章SmartView Tracker (24)一、跟踪的需求 (25)二、CheckPoint对跟踪的解决方案 (25)1、跟踪概况 (25)2、SmartView Tracker (26)3、过滤 (27)4、查询 (28)5、通过日志切换维护日志文件 (28)6.通过循环日志来管理日志空间 (28)7、日志导出功能 (29)8、本地日志 (29)9、使用日志服务器记录日志 (29)10、高级跟踪操作 (29)三、跟踪需要考虑的问题 (30)四、跟踪配置 (31)1、基本跟踪配置 (31)2、SmartView的查看选项 (31)3、配置过滤器 (32)4、配置查询 (32)5、维护 (33)6、本地日志 (34)7、使用日志服务器 (34)8、自定义命令 (35)9、阻断入侵 (36)10、配置报警命令 (36)第一章使用向导一、从配置UTM开始1、登陆UTM2、配置网卡3、配置路由4、配置主机名5、调整时间二、步骤1-配置之前……一些有用的术语这里介绍一些有助于理解本章内容的相关信息。
Security Policy(安全策略)是由系统管理员创建的,用来管理进和出的网络通信连接。
Enforcement module(执行点模块)是可以执行网络安全策略的FireWall的系统引擎。
SmartCenter Server(SmartCenter服务器)是系统管理员用来管理安全策略的服务器。
所有的数据库和策略信息都存储在SmartCenter服务器上,并且在需要的时候下载到执行点模块中。
SmartConsole Client(控制台)是一系列的GUI应用程序,能够管理安全策略的不同方面。
例如,SmartView Tracker就是一个管理日志的SmartConsole。
SmartDashboard是系统管理员用来创建和管理安全策略的SmartConsole。
独立的部署方式——示例独立的部署方式是一种简单的部署方式,所有安全策略的管理端和执行端的相关组件(分别指SmartCenter服务器和执行点模块)都安装在同一台计算机上。
图3-1 独立的部署方式组件包括:●Enforcement Module一般都安装在通向互联网的网关上;在网络中的位置是保护本地局域网。
●SmartCenter Server。
●SmartDashboard。
在独立部署方式中执行点模块和SmartCenter服务器都必须安装在同一台计算机中。
SmartDashboard以及其他的SmartConsole客户端可以安装在任何一台没有操作系统限制的计算机上。
可以参考最新版本的Release Note获得更多信息。
三、步骤2-安装和配置安装之前的介绍安装SmartCenter和执行点模块的机器需要安装有TCP/IP协议。
这意味着这些机器必须有:至少两块网卡。
一块是“外部网”或者是连接互联网的,另外一块是“内部网”或者是面向局域网的。
每块网卡都有自己的IP地址。
SmartCenter服务器必须能够查询DNS服务器来解析机器的IP地址。
四、步骤3-第一次登录到SmartCenter服务器登录过程图3-8 登陆窗口管理员通过SmartDashboard连接到SmartCenter服务器,这个过程对其他所有的SmartConsole客户端是一样的。
在这个过程中,管理员和SmartCenter服务器都需要被认证,然后在他们之间建立一个安全的通讯通道。
在成功完成认证以后,选定的SmartConsole 将进行连接。
在第一次登录之后,管理员可以创建一个用于登录过程的证书。
使用证书的登录认证比使用用户名和口令的登录认证具有更好的安全性。
这个证书将在以后的阶段中创建,具体可以参考SmartCenter的用户手册。
认证管理员以及SmartCenter服务器在SmartCenter 服务器安装时,在配置工具的Administrator页面中定义使用User Name 和Password进行登录。
在提供认证信息以后,指定目标SmartCenter服务器的IP地址或主机名,然后点击OK。
手工使用在配置过程中配置工具的指纹信息与SmartCenter的指纹信息进行核对,以验证SmartCenter服务器。
这个步骤只在第一次登录的时候出现,当SmartCenter服务器验证成功以后,指纹信息会保存在SmartConsole机器的注册表中。
演示模式在登录SmartCenter时,系统管理员可以在Login窗口选择Demo模式。
这是一个没有连接到SmartCenter服务器的模式。
在创建真实的安全系统之前,可以用这个模式来熟悉不同的对象和功能特性。
它包含有许多预先配置好的网络对象的示例。
第一次使用SmartDashboard图3-9 SmartDashboard界面选择Start > Programs > Check Point SmartConsole(R65) > SmartDashboard来连接SmartDashboard,然后进行正确的登录。
一旦系统管理员登录成功,将显示SmartDashboard。
SmartDashboard的GUI包括以下的组件:●Security Rule——这里系统管理可以创建和管理安全策略。
●Object Tree——根据分类列出系统中的所有对象(网络对象、服务、资源等)。
第一次登录时缺省包含SmartCenter服务器对象。
●Object List——显示所有在对象树中选定的对象的详细信息。
●SmartMap——使用图形化的形式显示系统中相关的对象。
这个视图有一些缺省的对象,例如,SmartCenter服务器对象,还有关联互联网的对象。
大部分管理操作(例如添加、编辑或删除)在菜单栏和工具栏等位置执行,或者右键点击选定的对象执行。
五、步骤4-在安全策略定义之前为了完成安全策略,系统管理首先需要检查网络内部所有的特定需求,以及所有的安全和网络访问的需要。
本章将定义一个简单的安全策略,运行所有从LAN发起的连接,并且只有Email连接能够进入LAN。
在定义安全策略之前,关联系统中不同组件的各种特定对象(例如网关、网络和服务器)必须先定义好。
然后,这些对象应用在规则中组成安全策略。
定义对象对象是规则的组成部分。
对象关联到实际的计算机和网络组件,以及逻辑的组件(例如动态对象)。
为了设定本章中定义的简单安全策略,需要定义以下的对象:一个关联LAN的Network对象。
一个关联Mail服务器的Host对象。
缺省的SmartCenter服务器对象。
缺省的SmartCenter服务器必须做修改,以便正确地关联SmartCenter服务器和执行点模块,因为是独立部署。
注意:手册中独立部署的示例对象可以在Demo模式查看。
1)创建关联LAN的网络对象处理过程如下:在对象树(Object Tree)中,创建一个新的网络。
图3-10 在对象树中创建一个新的网络对象网络对象包含有两个选项卡:在General选项卡中,为网络对象提供名称,名称必须能够明确说明对象的关联。
在本章的规则指定中,这个网络对象命名为Alaska_RND_LAN。
然后填写相应的IP地址和掩码。
Alaska_RND_LAN这个对象的详细信息如下:⏹IP Address——10.111.254.0⏹Net Mask——255.255.255.0图3-11 网络属性窗口在NAT选项卡中配置网络地址转换的设定。
对于示例部署中的简单策略定义,不需要进行网络地址转换。
2)创建一个关联网络Mail服务器的Node对象必须创建一个关联网络内部Mail服务器的对象。
这个对象会使用在简单的规则表中。
处理过程如下:在对象树中,参见图3-12创建一个新的Host Node。
图3-12 在对象树中创建一个新的Host Node●在Host Node窗口包含有不同的选项卡。
确保在General页面中定义Mail服务器的名称和IP地址。
在规则表中这个Mail服务器名为Alaska_DMZ_mail。
3)修改缺省的SmartCenter对象在对象树的网络对象分页中会显示缺省的SmartCenter服务器对象。
这个对象必须进行配置,以便执行点模块能够正确地工作。
操作过程如下:选择SmartCenter服务器对象。
双击这个对象来显示属性页面。
●在General Properties页面,确认在CheckPoint Products列表框选中了FireWall(如图3-13)。
图3-13 CheckPoint Gateway窗口在Topology页面中(如图3-14):点击Get > Interfaces with Topology可以自动地检索网关上的所有网卡。
另外,也可以点击Add手工添加一块网卡。
你可以在任何一个网卡的Topology页面中编辑网卡。
选中后双击即弹出Interface Properties窗口。
图3-14 CheckPoint Gateway窗口,Topology页面六、步骤5-为安全策略定义规则对象是建立规则的一部分,规则是创建安全策略的一部分。
安全策略中的规则是一系列的指令,决定哪些通信可以进入LAN或从LAN外出。
在这个示例部署中,将执行下列的规则:允许所有由LAN发起到外部的通信连接的规则。
允许email从外部发送到内部的LAN当中的规则。
下面的规则在规则表中缺省的显示,并作为最后的规则使用,所以,它不需要做明确的定义:这条规则将丢弃除了上述允许规则的通信连接之外的所有数据包。
表3-1 允许所有内部LAN对外发起访问的规则表3-2 允许进入内部网络的SMTP连接(email)保存和安装你的策略一旦定义好规则以后:选择File > Save保存策略。
你可以使用缺省提供的选项,也可以自定义。