checkpoint培训手册[1]

点击Communication按钮，输入SIC密码，点击Initialize进行验证
编辑Topology
点击Edit Topology进入编辑窗口，在编辑窗口点击Get all members’ topology 按钮，topology内容自动获取
创建VXS防火墙
对象 – 节点/主机
SmartView Monitor
• 状态查看器SmartView Monitor 是一个高效 的网络和安全分析系统, 使用它可帮助安全 管理员更容易的管理他们的网络. • SmartView Monitor可以查看防火墙状态、 CPU利用率、内存利用率、硬盘剩余百分比 等
Crossbeam防火墙培训
对主机做Hide NAT
因为我们部分主机可以访问到公网，所以要把这些主机作Hide Nat ，先把 所有的主机建立出来，然后对配置他们的NAT属性，选择其中一台做操作， 其他配置都相同。
Байду номын сангаас
然后选择NAT属性，选择Add Automatic Address。。。。。。，Translation method 选 择Hide， Install on Gateway选择下拉列表框选择我们的防火墙网关对象。完成点击确定。
在日志界面中我们如果点击Active就会显示当前活动连接的日志，如果我 们发现其中某个连接有攻击行为，我们可以立即阻断其攻击，具体是单 击导航条中Tools，选择block。即可以采取阻断。
Crossbeam防火墙培训
添加License篇
添加License步骤
确认服务器与防火墙是否连通
把原来的License Detach
在防火墙上重置SIC
• • • • • • • • • • • • • • • • • • • • • • 在防火墙上重置SIC [admin@C25-HJZX-IDC-1 admin]$ su Password: [root@C25-HJZX-IDC-1 admin]# cpconfig This program will let you re-configure your Check Point products configuration. Configuration Options: ---------------------(1) Licenses (2) SNMP Extension (3) Group Permissions (4) PKCS#11 Token (5) Random Pool (6) Secure Internal Communication (7) VPNx (8) Disable cluster membership for this gateway (9) Disable Check Point SecureXL (10) Automatic start of Check Point Products (11) Exit Enter your choice (1-11) :6 Configuring Secure Internal Communication... ============================================ The Secure Internal Communication is used for authentication between Check Point components Trust State: Trust established Would you like re-initialize communication? (y/n) [n] ? y Note: The Secure Internal Communication will be reset now, and all Check Point Services will be stopped (cpstop). No communication will be possible until you reset and re-initialize the communication properly! Are you sure? (y/n) [n] ? y Enter Activation Key: xxxxxx Retype Activation Key: xxxxxx initial_module: Compiled OK.
Crossbeam防火墙培训
SmartDashboard部分
SmartDashboard (策略编辑器)
安全策略及对象定义
• 什么是安全策略?
– 关于一个组织的内网安全规则的集合
• 安全策略定义考虑事项:
– 涉及到哪些服务包括组织自定义的服务可以允 许在组织的网络上运行?
– 需要什么样的用户权限和认证机制来保证组织 资源的正确使用? – 组织网络中包括哪些资源? 比如网关,主机,网段, 路由器和安全区域等。
添加一个防火墙Cluster
选择创建防火墙的模式
配置防火墙的基本属性
添加并配置Cluster成员
添加Cluster1，管理地址（192.168.0.246）
点击Communication按钮，输入SIC密码，点击Initialize进行验证
添加Cluster2，管理地址（192.168.0.247）
完成Hide NAT的配置后我们需要验证NAT是否配置成功
对服务器作静态NAT
首先把服务器对象定义出来，在Nodes上点击右键，然后选择Host,然后 配置服务器的属性，再选择左边窗口中的NAT属性。
点击NAT，编辑NAT属性，选择Add Automatic Address Translation rules,然后在 Translation method 中选择选择Static,然后在下面的小框中输入自己分配给服 务器的公网地址。最后在install on上选择当前防火墙然后点击确定。静态 NAT就配置完成。
• 因为是外网口，按照默认的配置启用了Anti Spoofing.在图中Anti-Spoofing选项中查看 ”perform Anti-Spoofing based on interface”点 击确定。外网口Anti-Spoofing功能启用了。 • 然后在内网口我们也配置Anti-Spoofing功能。 • 回到防火墙属性的Topology界面点击内网接 口，双击它打开配置属性页面，选择 Topology
手工添加NAT
不同的防火墙映射成不同的地址
防地址欺骗
• Anti Spoofing 是防止地址欺骗的功能，其意 思是不容许假冒的从外网口收到的冒充源 地址为内网地址的数据包访问内网其他主 机，或者不是某个网段但冒充是这个网段 地址企图访问某些主机的数据包，都将被 阻止，其功能就是在防火墙外网和内网口 上实现，具体配置过程如下，首先双击防 火墙对象，打开属性配置界面，然后选择 Topology，见图：
定义规则注意事项
• • • • • • • • • • 规则序号 规则名称 源地址(对象) 目的地址(对象) VPN 服务 动作: Accept, Drop, Reject 追踪: Log, Alert, Account Install On (在哪个防火墙上生效) 时间
对象 – 防火墙
创建Cluster对象
对象 – 网络/网段
策略的创建
• 在第一次添加规则的时候，我们点击图中 的按钮，然后在规则库中会出现一条默认 规则。 • 然后我们引用定义好的对象，制订规则。 见下图：在图中我们要添加相应对象，直 接在对应栏中点击右键，然后在弹出的对 话框中选择相应对象。
• 图中定义了内网到任何地方的http服务都接受， 就是内网用户可以访问网页。其他规则类似， 就是添加，谁，到哪里，访问什么服务，是否 接受，是否记录日志，以及安装在哪台防火墙 上。 • 上面就是定义规则的方式，规则定义是非常灵 活的，我们只需要把相应对象定义出来，然后 再定义访问的服务，然后是否接受就完成策略 的定义了。
地址翻译
• 地址转换功能是check point 防火墙的一个主要功能 模块，通过他我们可以很方便的把网络或者主机映 射到公网，我们可以做静态地址映射（Static NAT）， 可以作动态地址映射(Hide NAT)。具体的操作见我们 配置网络和主机属性章节，在他们属性页面中有 NAT一项，我们只需要编辑这一项既可实现NAT该对 象到公网，当然我们需要具有相应公网的地址分配 给这个对象。 • 任何作了NAT的对象，我们在Address Translation中 我们都可以看到其对应的规则，这是它自动生成的。 无须我们自己定义。
策略的下发
• 我们定义了网络对象，做了地址翻译，并 且制订了相应的策略，那么我们要把这些 策略从管理服务器上下发到防火墙模块上， 让他们执行这些策略，做访问控制保护我 们的网络。所以，前面所作的那些策略真 正的执行者是防火墙模块。策略的安装方 式如图示：
Crossbeam防火墙培训
SmartView Monitor部分
• • • • • • • • • • • • • • • • • • • • • •
Hardening OS Security: Initial policy will be applied until the first policy is installed The Secure Internal Communication was successfully initialized Configuration Options: ---------------------(1) Licenses (2) SNMP Extension (3) Group Permissions (4) PKCS#11 Token (5) Random Pool (6) Secure Internal Communication (7) VPNx (8) Disable cluster membership for this gateway (9) Disable Check Point SecureXL (10) Automatic start of Check Point Products (11) Exit Enter your choice (1-11) :11 此时checkpoint会重新启动，等待checkpoint完全启动。
SmartView Tracker部分
• SmartView Tracker是我们排出故障的有效工 具，当网络出现问题时，我们可以通过查 看防火墙日志是否是防火墙作了阻断。如 果发现是防火墙DROP掉了，则检查策略， 排除故障。
图中我们看到有相应注释，左边All Records是显示防火墙的所有日志 ,Firewall是显示防火墙的日志，VPN是显示的VPN的日志，如果我们点击图 中上面的向下的小箭头，即显示最新出现的日志。正中是日志显示区域。
• 出现防火墙接口信息，如果我们系统的接 口和路由配置好后，我们单击Get,然后选择 Interface或是interface with topology 就可以 得到接口配置信息。这里我们需要在网络 接口上配置Anti Spoofing ，所以首先双击其 中任一接口开始配置。首先双击外网接口， 在下面弹出的对话框中选择Topology,
• 在上图中我们看到定义了此接口为“Internal （leads to the local）”然后在下面的IP Addresses behind this 有三个选项，第一个Not Defined （不定义），第二个是定义此接口后 面的网段后面的IP如果我们防火墙后面只有一 个网段我们通常选择这项，如果我们防火墙内 网有几个网段，则需要选择第三项Specify ，要 把所有的内网网段定义成一个组，选择这个组， 就完成，下面的Anti-Spoofing 选择” perform Anti-Spoofing based on interface ”就启用AntiSpoofing了。