checkpoint防火墙状态表

了解Check Point FW-1状态表作者：Lance Spitzner (lance@)整理：warning3 (warning3@)主页：日期：2000-08-15<* 译者：以前关于防火墙状态表，也只是有一个大概的了解，通过看这篇文章，也纠正了一些自己的错误看法，感觉很有收获，因此就把它翻译出来了。

由于时间仓促，可能些地方翻的会有问题，如发现错误，请跟我联系。

这篇文章的主要目的是帮助你了解FW-1的状态连接表是如何工作的。

这张表使FW-1知道谁在做什么，什么连接时是允许通过的...这篇文章是我对最新的FW-1 4.1版研究的一个继续。

为了使你更好的理解你自己的FW-1状态检查表并与我所说的进行验证，我将这篇文章中所用到的源码附在最后。

状态检查(Stateful Inspection )==============================让我们首先从一个很基本的问题开始我们的讨论。

假设你有一个防火墙，它的过滤规则允许所有连接通过(any - any -accept),那么防火墙是否会允许一个用ACK位发起的新TCP连接通过呢？如果防火墙允许任何连接通过，那么似乎任意的包都应当通过。

然而，如果从状态检查的工作原理上看，这个包又似乎应当被丢弃。

我开始对状态检查(至少是对Check Point FireWall-1)的理解是这样的：当防火墙收到一个发起TCP连接请求的SYN包时，这个SYN包首先会与防火墙的过滤规则按顺序(从规则0开始)进行比较，如果所有的规则都不允许接受这个包，那它就被拒绝，这个连接就被丢弃或者拒绝(发送RST包给远程主机).然而，如果这个包被接受了，这个连接会话就被加入到防火墙的状态连接表中，这个表在内核空间中分配。

后续的每个包(不带SYN标记的包)都会与状态表比较，如果相应的会话已经在表中了，那个这个包就是连接会话的一部分，然后这个包就被接受，允许通过。

如果不是，这个包就被丢弃。

Checkpoint防火墙安全配置指南中国联通信息化事业部2012年 12月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章安全配置要求 (2)2.1系统安全 (2)2.1.1用户账号分配 (2)2.1.2删除无关的账号 (3)2.1.3密码复杂度 (3)2.1.4配置用户所需的最小权限 (4)2.1.5安全登陆 (5)2.1.6配置NTP (6)2.1.7安全配置SNMP (6)第3章日志安全要求 (7)3.1日志安全 (7)3.1.1启用日志功能 (7)3.1.2记录管理日志 (8)3.1.3配置日志服务器 (9)3.1.4日志服务器磁盘空间 (10)第4章访问控制策略要求 (11)4.1访问控制策略安全 (11)4.1.1过滤所有与业务不相关的流量 (11)4.1.2透明桥模式须关闭状态检测有关项 (12)4.1.3账号与IP绑定 (13)4.1.4双机架构采用VRRP模式部署 (14)4.1.5打开防御DDOS攻击功能 (15)4.1.6开启攻击防御功能 (15)第5章评审与修订 (16)第1章概述1.1 目的本文档规定了中国联通通信有限公司信息化事业部所维护管理的CheckPoint防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行CheckPoint防火墙的安全配置。

1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

本配置标准适用的范围包括：中国联通总部和各省公司信息化部门维护管理的CheckPoint防火墙。

1.3 适用版本CheckPoint防火墙；1.4 实施本标准的解释权和修改权属于中国联通集团信息化事业部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

Checkpoint防火墙命令行维护手册制订模版：NGX-R65版本号：V1.0目录一、基本配置命令 (1)1.1SYSCONFIG (1)1.2CPCONFIG (2)1.3CPSTOP (3)1.4CPSTART (3)1.5EXPERT (4)1.6IDLE (4)1.7WEBUI (4)1.8脚本添加路由 (4)二、查看系统状态 (1)2.1TOP (1)2.2DF –H (3)2.3FREE (3)三、HA相关命令 (1)3.1CPHAPROB STAT (1)3.2CPHAPROB –A IF (1)3.3CPHACONF SET_CCP BROADCAST (1)3.4CPHAPROB LIST (2)3.5CPHASTART/CPHASTOP (3)四、常用维护命令 (1)4.1VER (1)4.2FW VER (1)4.3查看防火墙UTM/POWER版本 (1)4.4查看防火墙硬件型号 (1)4.5LICENSE查看和添加 (1)4.6IFCONFIG/IFCONFIG –A (1)4.7MII-TOOL (1)4.8ETHTOOL (1)4.9CPSTAT FW (2)4.10会话数查看 (1)五、日志查看命令 (1)5.1FW LOG (1)5.2FW LSLOGS (1)5.3FW LSLOGS –E (1)5.4FW LOGSWITCH (2)5.5导出日志文件 (2)六、防火墙的备份和恢复 (1)6.1备份防火墙 (1)6.2在IE中备份 (1)6.4恢复防火墙 (2)一、基本配置命令1.1sysconfig可以对系统进行配置和修改，比如主机名修改，DNS配置修改，以及路由的配置等，另外还可以配置DHCP功能，以及产品的安装等等如上图所示，在命令提示符输入：sysconfig，将会出现下图所列一些选项，在Your choice后面输入你想配置的选项前的数字，然后按回车可以看到，依次的选项为主机名，域名，域名服务，时间和日期，网络连接，路由，DHCP服务配置，DHCP中继配置，产品安装，产品配置等例如我们选择5，为防火墙新增一个接口IP地址然后选择2，进行连接配置，也就是配置IP地址选择1进行IP地址配置更改如上图所示按照提示配置IP地址和子网掩码进行其他配置也如同上述操作，选择对应的编号然后按照提示进行配置1.2cpconfig可以对checkpoint防火墙进行相关的配置，如下图所示，也是按照列表的形式列出，分别是license，snmp，PKCS#11令牌，随机池，SIC，禁用cluster，禁用安全加速，产品自动启动常用的选项一般为SIC的配置，cluster功能模块的启用等；选择7是开启cluster功能模块；选择5是设置SIC。

Check Point 4800设备Check Point 4800 设备目前，企业网关不仅是防火墙。

它是为应对日益增多的复杂威胁而提供的一款安全设备。

作为企业安全网关，它必须使用多种技术来控制网络访问，检测复杂攻击，并提供其它安全能力，如数据丢失防护和防御基于网络的威胁等。

智能手机和平板电脑等移动设备的扩散以及新型数据流、社交网络和P2P应用软件要求扩大连接容量和采用新的应用控制技术。

最后，向企业私有云和公共云服务的转型从各个方面改变了公司的边界，要求扩大容量和提供其它安全解决方案。

Check Point的新型设备将快速联网技术与高性能多核能力结合在一起，提供最高层次的安全性，同时不会降低网络速度，保证你的数据、网络和员工安全。

每种设备针对软件刀片架构而优化，能够运行任意软件刀片组合，通过将多种安全技术合并成一种集成解决方案而为每个网络站点的任意业务提供灵活性和准确的安全等级。

每种Check Point设备支持Check Point的3D安全远景规划，后者将策略、人和执行结合在一起，提供无法攻克的防护，该设备针对下列软件刀片的任意组合进行优化：（1）防火墙，（2）VPN，（3）IPS，（4）应用控制，（5）移动接入，（6）DLP，（7）URL过滤，（8）反病毒，（9）反垃圾邮件，（10）身份意识以及（11）高级联网和集群。

概述Check Point 4800设备以1U波形因数的领先性能提供完整的增强安全解决方案。

除了八个板载1 GB铜以太网端口，4800还具有一个扩展槽，可选装附加的四个或八个1 GB铜以太网端口、两个或四个1 GB光纤以太网端口或两个10 GB光纤以太网端口。

4800提供623个SecurityPower单元，防火墙吞吐量11 Gbps，IPS吞吐量6 Gbps，具有极高的性价比。

主要特点623 SecurityPower 11 Gbps 防火墙吞吐量 6 Gbps IPS吞吐量多达16个10/100/1000Base-T端口 多达4个1GbE或2个10GbE光纤端口 备选远程管理（LOM）主要优点为多软件刀片性能而优化的中型企业级设备通过一台设备提供保证你的网络安全所需的一切通过一个集成管理控制台简化管理 通过保证远程访问以及站点对站点通信的安全保证数据安全通过可扩展软件刀片架构提供全面安全并防护不断出现的威胁网关软件刀片防火墙IPsec VPN移动接入(5个用户) 高级联网和集群身份识别IPS 应用控制数据丢失防护**URL 过滤**反病毒和反恶意软件 **反垃圾邮件***备选Check Point 4800设备SECURITYPOWER到目前为止，安全设备是根据每种安全功能的具体性能衡量指标（通常在最佳实验室测试条件下）以及具有一条规则的安全策略而选择的。

zabbix的check_point模板全文共四篇示例，供读者参考第一篇示例：一、什么是Zabbix的Check Point模板Zabbix的Check Point模板是一个专门用于监控Check Point防火墙的监控模板。

它包含了一系列监控项和触发器，可以监控Check Point防火墙的各种性能指标和运行状态。

管理员只需要将这个模板导入Zabbix中，即可实现对Check Point防火墙的全面监控。

二、Zabbix的Check Point模板的功能1. 监控Check Point防火墙的网络流量：可以监控Check Point 防火墙的网络流入和流出流量，及时发现流量异常情况。

2. 监控Check Point防火墙的连接数：可以监控Check Point防火墙的连接数，了解连接数的变化情况。

3. 监控Check Point防火墙的CPU和内存使用率：可以监控Check Point防火墙的CPU和内存的使用率，及时发现资源紧张的情况。

4. 监控Check Point防火墙的磁盘空间：可以监控Check Point 防火墙的磁盘空间使用情况，防止磁盘空间不足影响系统运行。

5. 监控Check Point防火墙的服务状态：可以监控Check Point 防火墙各个服务的运行状态，及时发现服务异常情况。

6. 监控Check Point防火墙的日志：可以监控Check Point防火墙的日志，对日志进行分析和检索，了解系统运行情况。

三、如何使用Zabbix的Check Point模板1. 下载Zabbix的Check Point模板：管理员可以在Zabbix官网上或者第三方网站上下载Zabbix的Check Point模板。

2. 导入Zabbix的Check Point模板：管理员登录Zabbix管理界面，在“配置”-“模板”中，点击“导入”按钮，选择下载的Check Point模板文件，点击“导入”按钮即可。

CheckPoint防火墙简介与Next GenerationFireWall-1 产品组成基本模块状态检测模块（Inspection Module）：提供访问控制、客户机认证、会话认证、地址翻译和审计功能；防火墙模块（FireWall Module）：包含一个状态检测模块，另外提供用户认证、内容安全和多防火墙同步功能；管理模块（Management Module）：对一个或多个安全策略执行点（安装了FireWall-1 的某个模块，如状态检测模块、防火墙模块或路由器安全管理模块等的系统）提供集中的、图形化的安全管理功能；可选模块连接控制（Connect Control）：为提供相同服务的多个应用服务器提供负载平衡功能；路由器安全管理模块（Router Security Management）：提供通过防火墙管理工作站配置、维护3Com，Cisco，Bay 等路由器的安全规则；其它模块，如加密模块等。

图形用户界面（GUI）：是管理模块功能的体现，包括策略编辑器：维护管理对象、建立安全规则、把安全规则施加到安全策略执行点上去；日志查看器：查看经过防火墙的连接，识别并阻断攻击；系统状态查看器：查看所有被保护对象的状态。

FireWall-1 提供单网关和企业级两种产品组合：单网关产品：只有防火墙模块（包含状态检测模块）、管理模块和图形用户界面各一个，且防火墙模块和管理模块必须安装在同一台机器上企业级产品：可以有若干基本模块和可选模块以及图形用户界面组成，特别是可能配置较多的防火墙模块和独立的状态检测模块。

企业级产品的不同模块可以安装在不同的机器上。

FireWall-1 支持的硬件及操作系统支持平台：HP-PA9000/700 and 800 Intel x86 or PentiumSun SPARC-based systems IBM RS-6000 and PowerPC操作系统：HP－UX 9.x and 10.xSolaris 2.5 and 2.6Sun OS 4.1.3 and 4.1.4 WindowsNT 3.51 and 4.0 IBM AIX监测模块支持：BayNetworksU.S.Robotics'EdgeServers XylanSwithes TimeStepEncryptionDevicesWindows系统平台：WindowsNT Windows95X/Motif，OpenLook 1.3FireWall-1 V4.1 的主要特点从网络安全的需求上来看，可以将 FireWall-1 的主要特点分为三大类:安全性，包括访问控制、授权论证、加密、内容安全等；管理和记账，包括安全策略管理、路由器安全管理、记账、监控等；连接控制，主要为企业消息发布的服务器提供可靠的连接服务，包括负载均衡、高可靠性等；下面分别进行介绍。

CheckPoint防火操作手册1 配置主机对象定义防火墙策略时，如需对I P 地址进行安全策略控制则需首先配置这个对象，下面介绍主机对象配置步骤，在“Network Objects”图标处，选择“Nodes”属性上点击右键，选择“Node”，点击“Host”选项，定义主机对象的名称，IP Address属性，同时可按照该主机的重要性定义颜色，配置完成后点击OK,主机对象创建完成。

2 配置网段对象定义防火墙策略时，如需对网段进行安全策略控制则需首先配置这个网络对象，配置步骤如下，在防火墙“Network”属性上点击右键，选择“Network”，选项，定义网段名称，比如DMZ，Internal，建议根据网段所处位置定义，配置网段地址和子网掩码，如有必要可以添加注释（Comment），配置完成后点击确认。

3 配置网络组对象如果需要针对单个I P 地址、IP 地址范围或者整个网段进行安全策略控制，可以将这些对象添加到网络组，如下在防火墙“Group”属性上点击右键，选择“Simple Group”选项，成后点击O K 即可4 配置地址范围对象除了配置I P 地址，网段，也可以指定地址范围(IP range)，地址范围对象配置步骤是，如下在防火墙“Network”属性上点击右键，选择去掉“Do not show empty folders”选项，让I P Range 配置属性显示出来。

配置“Address Rage”，选择“Address Ranges”，如下图输入地址名称、起始IP地址与结束IP地址，完成后点击OK即可。

5 配置服务对象5.1 配置T CP 服务对象Check Point 防火墙内置了预定义的近千种服务，包括T CP、UDP、RPC、ICMP 等各种类型服务，通常在定义防火墙安全策略时，大多数服务已经识别并内置，因此无需额外添加，但也有很多企业自有开发程序使用特殊端口需要自行定义，下面介绍如何自定义服务，如下图所示，点击第二个模块标签，即S ervices，已经预定义多种类型服务，用户根据需要自定义新的服务类型，下面举例定义T CP 类型服务，右键点击“TCP”，选择“New TCP如下图，可以点以单个TCP服务端口服务对象，如果是一段端口，可以定义端口范围以上举例新建T CP 协议的端口服务，如需定义U DP 协议或其他协议类型按照同样流程操作即可。

checkpoint防火墙常用指令
cphaprob stat：这个命令可以查看HA（High Availability，高可用性）设备的状态。

在主备模式下，设备之间的正常状态是Active/Standby；在Loadsharing模式下，设备之间正常的状态是Active(Pivot,30% Load)和Active(70% Load)。

cphaprob –a if：这个命令用于查看防火墙参与Cluster建立的接口信息以及虚拟的IP地址。

cphaconf set_ccp broadcast：这个命令是将防火墙发送CCP （checkpoint cluster protocol）协议的方式改成广播形式。

Multicast指的是CCP协议默认采取的组播方式。

fw ctl pstat：这个命令可以查看设备的当前活动连接数、最大连接数和HA同步状态是否正常。

ver：查看Secureplatform的版本，包括补丁及小版本号。

fwver：查看防火墙的版本，包括补丁及小版本号。

sysconfig：此命令可以对系统进行配置和修改，比如主机名修改、DNS配置修改、路由的配置等，另外还可以配置DHCP功能以及产品的安装等。

请注意，这些命令需要在具有相应权限的情况下才能执行，而且错误的命令或参数可能会导致系统配置错误或系统故障。

在执行任何命令之前，请确保您已经仔细阅读了相关的文档，并理解了命令的含义和可能的影响。

中国移动通信CHINA MOBILECheckPo int 防火墙配置Specificati on for CheckPo int FireWailCo nf i g u r a中国移n动通版信有限公司网络部n2 .Mo bileXXXX - XX - XX 发布XXXX - XX - XX 实施11.2内部适用性说明1 概述2 CHECKPOIN 防火墙设备配置要求 (7)冃U 言概述1.1适用范围本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOIN 防火墙设备。

本规范明确了设备的基本配置要求， 为在设备入网测试、工程验收和设备 运行维护环节明确相关配置要求提供指南。

本规范可作为编制设备入网测试规 范，工程验收手册，局数据模板等文档的参考本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出目录1677的CHECKPOIN防火墙配置要求规范，为便于比较，特作以下逐一比较及说明（在2 2.2内部适用性说明数超过6次（不含6次），锁定 持“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、 “不采纳”。

在“补充说明”部分，对于增强要求的情况，说明在本规范的相应 条款中描述了增强的要求。

对于“不采纳”的情况，说明采纳的原因）。

内容采纳意见备注1.不同等级管理员分配不同账完全采纳号，避免账号混用。

2.应删除或锁定与设备运行、维完全采纳护等工作无关的账号。

3.防火墙管理员账号口令长度至完全采纳少8位，并包括数字、小写字母、大与子母和特殊符号4类中至少2类。

4.账户口令的生存期不长于90部分采纳IPSO 操作系统支天。

持5.应配置设备，使用户不能重复部分采纳IPSO 操作系统支使用最近5次（含5次）内已持使用的口令。

该用户使用的账号。

6.应配置当用户连续认证失败次部分采纳IPSO 操作系统支7. 在设备权限配置能力内，根据用户的管理等级，配置其所需的最小管理权限。

密级：文档编号：项目代号：中国移动Checkpoint防火墙安全配置手册Version *.*中国移动通信有限公司二零零四年十一月拟制: 审核: 批准: 会签: 标准化:版本控制分发控制目录1 综述 (5)2 Checkpoint的几种典型配置 (6)2.1 checkpoint 初始化配置过程： (6)2.2 Checkpoint Firewall-1 GUI安装 (13)2.3 Checkpoint NG的对象定义和策略配置 (18)3 Checkpoint防火墙自身加固 (34)1综述本配置手册介绍了Checkpoint防火墙的几种典型的配置场景，以加强防火墙对网络的安全防护作用。

同时也提供了Checkpoint防火墙自身的安全加固建议，防止针对防火墙的直接攻击。

通用和共性的有关防火墙管理、技术、配置方面的内容，请参照《中国移动防火墙安全规范》。

2Checkpoint的几种典型配置2.1 checkpoint 初始化配置过程：在安装完Checkpoint软件之后，需要在命令行使用cpconfig命令来完成Checkpoint的配置。

如下图所示，SSH连接到防火墙，在命令行中输入以下命令：IP350[admin]# cpconfigWelcome to Check Point Configuration Program=================================================Please read the following license agreement.Hit 'ENTER' to continue...（显示Checkpoint License版权信息，敲回车继续，敲q可直接跳过该License提示信息）Do you accept all the terms of this license agreement (y/n) ?y（输入y同意该版权声明）Which Module would you like to install ?-------------------------------------------(1) VPN-1 & FireWall-1 Enterprise Primary Management and Enforcement Module(2) VPN-1 & FireWall-1 Enforcement Module(3) VPN-1 & FireWall-1 Enterprise Primary ManagementCheckpoint Firewall-1/VPN-1支持多种安装模式，Firewall-1/VPN-1主要包括三个模块：GUI：用户看到的图形化界面，用于配置安全策略，上面并不存储任何防火墙安全策略和对象，安装于一台PC机上；Management：存储为防火墙定义的各种安全策略和对象；Enforcement Module：起过滤数据包作用的过滤模块，它只与Managerment通信，其上的安全策略由管理模块下载；以上三个选项中如果Management与Enforcement Module安装于同一台设备上，则选择（1），如果Management与Enforcement Module分别安装于不同的设备上，则选择（2）或（3）。

双CheckPoint防火墙实施方案目录第一章客户环境概述 (4)1.1概述 (4)1.2网络拓扑与地址分配表 (4)1.3安装前准备事宜 (6)第二章Nokia IP380安装与配置 (7)2.1概述 (7)2.2初始化nokia380 (7)2.3设置nokia基本信息 (8)2.3.1 Nokia 端口IP地址设定 (8)2.3.2设置网关路由 (8)2.3.3设置Nokia平台时间 (9)2.3.4设定Nokia高可用VRRP参数 (9)2.4初始化checkpoint (14)2.4.1在nokia平台上checkpoint的安装与卸载 (14)2.4.2初始化checkpoint (16)第三章管理服务器的安装与配置 (17)3.1checkpoint smartcenter的安装 (18)3.1.1安装前的准备 (18)3.1.2安装步骤 (18)3.2配置checkpoint对象和参数 (20)3.2.1 建立sic (20)3.2.2 定义防火墙对象拓扑结构 (21)3.2.3使用同样的步骤按照表1的参数建立IP380B checkpoint gateway对象。

(21)3.3基于nokia vrrp或者cluster的设置 (22)3.3.1基于Nokia VRRP的设置 (22)3.3.2为nokia vrrp定义策略 (22)3.3.3高可用性的检查 (23)3.4nokia cluster 的设置 (23)3.5暂时没有 (23)第四章策略设定 (24)4.1概述 (24)4.2 netscreen的策略 (24)4.3经过整理后转换成checkpoint的策略 (24)4.4 设定策略 (24)4.4.1 定义主机对象 (24)4.4.2 定义网络对象 (25)4.4.3定义组 (26)4.4.4 定义服务 (26)4.4.5 添加标准策略 (27)4.4.6 添加NAT策略 (27)第五章切换与测试 (29)5.1切换 (29)5.2测试 (29)5.3回退 (30)第六章日常维护 (31)6.1防火墙的备份与恢复 (31)6.1.1 nokia 防火墙的备份与恢复方法 (31)6.1.2 checkpoint management 上的备份与恢复 (33)第一章客户环境概述1.1概述XXXXXX公司因应企业内部的网络需求，对总部网络进行扩容改动，中心防火墙从原来的netscreen换成两台Nokia IP380，两台nokia互为热备。

Checkpoint防⽕墙命令⾏维护⼿册Checkpoint防⽕墙命令⾏维护⼿册制订模版：NGX-R65版本号：V1.0⽬录⼀、基本配置命令 (1)1.1SYSCONFIG (1)1.2CPCONFIG (2)1.3CPSTOP (3)1.4CPSTART (3)1.5EXPERT (3)1.6IDLE (4)1.7WEBUI (4)1.8脚本添加路由 (4)⼆、查看系统状态 (1)2.1TOP (1)2.2DF –H (2)2.3FREE (2)三、HA相关命令 (1)3.1CPHAPROB STAT (1)3.2CPHAPROB –A IF (1)3.3CPHACONF SET_CCP BROADCAST (1)3.4CPHAPROB LIST (2)3.5CPHASTART/CPHASTOP (3)3.6FW CTL PSTAT (3)四、常⽤维护命令 (1)4.1VER (1)4.2FW VER (1)4.3查看防⽕墙UTM/POWER版本 (1)4.4查看防⽕墙硬件型号 (1)4.5LICENSE查看和添加 (1)4.6IFCONFIG/IFCONFIG –A (1)4.7MII-TOOL (1)4.8ETHTOOL (1)4.9CPSTAT FW (2)4.10会话数查看 (1)五、⽇志查看命令 (1)5.1FW LOG (1)5.2FW LSLOGS (1)5.3FW LSLOGS –E (1)5.4FW LOGSWITCH (1)5.5导出⽇志⽂件 (2)六、防⽕墙的备份和恢复 (1)6.1备份防⽕墙 (1)6.2在IE中备份 (1)6.3在防⽕墙上备份 (2)6.4恢复防⽕墙 (2)⼀、基本配置命令1.1sysconfig可以对系统进⾏配置和修改，⽐如主机名修改，DNS配置修改，以及路由的配置等，另外还可以配置DHCP功能，以及产品的安装等等如上图所⽰，在命令提⽰符输⼊：sysconfig，将会出现下图所列⼀些选项，在Your choice 后⾯输⼊你想配置的选项前的数字，然后按回车可以看到，依次的选项为主机名，域名，域名服务，时间和⽇期，⽹络连接，路由，DHCP服务配置，DHCP中继配置，产品安装，产品配置等例如我们选择5，为防⽕墙新增⼀个接⼝IP地址然后选择2，进⾏连接配置，也就是配置IP地址选择1进⾏IP地址配置更改如上图所⽰按照提⽰配置IP地址和⼦⽹掩码进⾏其他配置也如同上述操作，选择对应的编号然后按照提⽰进⾏配置1.2cpconfig可以对checkpoint防⽕墙进⾏相关的配置，如下图所⽰，也是按照列表的形式列出，分别是license，snmp，PKCS#11令牌，随机池，SIC，禁⽤cluster，禁⽤安全加速，产品⾃动启动常⽤的选项⼀般为SIC的配置，cluster功能模块的启⽤等；选择7是开启cluster功能模块；选择5是设置SIC。

Checkpoint防火墙实施维护手册一、前言经过一段时间的学习和实际的工作，下面把学习和工作中的一些资料加以整理，方便以后更好地工作。

由于学习不系统和工作经验不足，有什么错漏的地方希望大家不吝指教。

二、防火墙的创建1、创建Gateway防火墙◆创建Gateway对象◆选择创建防火墙的模式◆配置防火墙的基本属性◆编辑防火墙的拓扑◆编辑防地址欺骗首先双击外网接口，在下面弹出的对话框中选择Topology。

选择如图所示外网口Anti-Spoofing功能启用了。

首先双击内网接口，在下面弹出的对话框中选择Topology。

选择如图所示内网口Anti-Spoofing功能启用了。

2、创建Cluster防火墙◆创建Cluster对象◆选择创建防火墙的模式◆配置防火墙的基本属性◆添加并配置Cluster成员注：IP为的管理地址（192.168.0.246）◆输入SIC码添加Cluster2同理◆编辑Topology点击Edit Topology进入编辑窗口，在编辑窗口点击Get all members’topology按钮，topology内容自动获取：如要修改，双击要修改的内容，在弹出的窗口中修改：编辑完成后，在Topology属性中能看到完整的Topology结构：3、创建VXS防火墙◆创建vsx对象◆配置vsx基本属性 ip address为管理地址◆添加物理接口◆编辑vsx拓扑◆添加接口◆添加路由◆添加vr◆配置vr属性◆配置vr拓扑◆创建vs◆配置vs基本属性◆配置vs拓扑◆创建vsw◆配置vsw基本属性◆配置vsw拓扑三、Nodes和Networks的创建1、添加Nodes对象2、添加Networks对象四、策略的创建1、策略和对象的管理◆策略包管理 (Policy package management)(仅包含规则集)◆给策略包命名并选择策略类型：◆数据库版本控制 (Database Revision Control) (包括对象和规则集)2、编辑策略◆添加新策略，选择Rules->Add Rule->Below或者点击红圈中的添加按钮：配置策略内容（在需要添加的地方点击右键添加，已经有定义好的对象拖拽也可）：NO：规则序号NAME：规则名称SOURCE：源地址DESTINATION：目的地址SERVICE：选择允许或禁止的服务ACTION：此策略要做的动作（Accept，Drop，Reject）TRACK：是否要记录日志（Log，Alert，Account）INSTALL ON：选择安装在那个防火墙上TIME：可以编辑策略生效的时间段◆Server的添加假如列表中没有server，可以自己新建3、下发策略◆选择Policy->Install或者点击红圈下发按钮◆在弹出的对话框中选择策略安装的防火墙，点击OK下发五、NAT配置1、静态地址映射◆将Nodes做静态地址映射◆将Networks做静态地址映射2、动态地址映射◆将Nodes做动态地址映射◆将Networks做动态地址映射动态映射的地址可以是Gateway也可以映射到指定的IP Address3、手工添加NAT4、针对不同的防火墙映射成不同的地址六、添加License◆确认服务器与防火墙是否相通◆假如原来有License，把原来的License Detach◆在防火墙上重置SIC，然后在服务器上重建SIC连接◆把Licenses添加到管理服务器上◆在服务器上Attach/Get Licenses◆在防火墙上Attach/Get Licenses◆最后检查Licenses是否生效七、查看防火墙状态◆SmartView Monitor中可查看防火墙运行状态◆查看防火墙状态、CPU利用率、内存利用率、硬盘剩余百分比八、查看日志◆在SmartView Tracker中可查看日志◆双击日志可以查看日志的详细信息◆使用日志过滤方便查看关心的日志九、备份和恢复1、管理服务器的定期备份Unix、Linux和Solaris系统下，$FWDIR/conf 和 $FWDIR/lib 目录需要定期备份。

Check point 防火墙基本操作手册For NGX Release了解check point 防火墙架构Check point 防火墙的管理是通过一个三层架构来实现的。

首先我们可以在任意的机器上安装防火墙客户端控制台，然后利用控制台的图形化界面登录check point 的管理服务器，定义出各个网络对象，定义企业各条策略，最后下发到防火墙执行模块。

具体实现过程见图示：防火墙的管理首先打开控制台软件，出现登录界面：SmartDashboard是配置防火墙策略和对象的一个控制软件，我们定义对象和规则时就利用他来实现，SmartUpdate是用于添License时要用到的一个控制软件，SmartView Tracker是查看日志时用到的客户端软件。

点击SmartDashboard后出现登录界面，如图：这里输入用户名，密码，以及管理服务器的ip地址。

点击ok 登录到配置界面。

第一个选项Demo Mode 是查看防火墙的演示界面。

点击Demo Mode 选择下拉列表框中的Advance选项可以查看Check point 公司定义的各项配置演示。

Cetificate（证书）选项是替代管理员用户名和密码验证的一种选择，这个证书有管理服务器生成，用户自己保存在本地，需要用它验证时点击旁边的小方块，添加这个证书，然后选择管理服务器地址，然后点击ok 登录。

最下面的Read Only 选项是以只读方式登录防火墙。

没有改配置的权限。

注意：防火墙一次只可以容许一个用户以管理员身份登录，可以修改火墙配置，其他以管理员身份登录防火墙的用户，要么强制断开当前已登陆的帐户，要么以只读身份登录。

登陆SmartConsole配置界面：上边标记处是添加防火墙规则的按钮。

左边是定义各种对象的区域，有防火墙对象，主机对象，网络对象，以及组对象。

右边Security选项显示的是规则库，显示当前定义的各条规则。

下面是已经定义的所有对象以及他们相应得属性。

C h e c k p o i n t防火墙安全配置指南This model paper was revised by the Standardization Office on December 10, 2020Checkpoint防火墙安全配置指南中国联通信息化事业部2012年 12月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述1.1目的本文档规定了中国联通通信有限公司信息化事业部所维护管理的CheckPoint防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行CheckPoint防火墙的安全配置。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

本配置标准适用的范围包括：中国联通总部和各省公司信息化部门维护管理的CheckPoint防火墙。

1.3适用版本CheckPoint防火墙；1.4实施本标准的解释权和修改权属于中国联通集团信息化事业部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国联通集团信息化事业部进行审批备案。

第2章安全配置要求2.1系统安全2.1.1用户账号分配2.1.2删除无关的账号2.1.3密码复杂度2.1.4配置用户所需的最小权限2.1.5安全登陆2.1.6配置NTP安全配置SNMP2.1.7第3章日志安全要求3.1日志安全3.1.1启用日志功能3.1.2记录管理日志3.1.3配置日志服务器3.1.4日志服务器磁盘空间第4章访问控制策略要求4.1访问控制策略安全4.1.1过滤所有与业务不相关的流量4.1.2透明桥模式须关闭状态检测有关项4.1.3账号与IP绑定4.1.4双机架构采用VRRP模式部署4.1.5打开防御DDOS攻击功能4.1.6开启攻击防御功能第5章评审与修订本标准由中国联通集团信息化事业部定期进行审查，根据审视结果修订标准，并颁发执行。