Checkpoint防火墙基本操作和应急操作

Check point防火墙基本操作手册CheckPoint(中国)TEL:(86)10 8419 3348 FAX:(86)10 8419 3399©2010 Check Point Software Technologies Ltd. All rights reserved.Classification:目录目录 (2)防火墙架构 (3)防火墙的Web管理 (3)配置IP： (4)配置DNS和Host: (5)配置路由: (5)通过防火墙的管理客户端管理 (5)添加防火墙 (7)添加策略步骤 (10)IP节点添加 (10)添加网段 (11)IPS的配置 (13)更新IPS库 (14)新建IPS动作库 (14)应用控制 (16)更新数据库 (16)添加应用控制策略 (17)App Wike (18)自定义添加应用 (18)QOS配置 (20)Qos策略的添加 (20)日志工具的使用 (20)筛选日志 (21)临时拦截可以连接 (22)©2010 Check Point Software Technologies Ltd. All rights reserved.Classification:©2010 Check Point Software Technologies Ltd. All rights reserved.Classification:防火墙架构Check point 防火墙的管理是通过一个三层架构来实现的。

首先我们可以在任意的机器上安装防火墙客户端控制台，然后利用控制台的图形化界面登录check point 的管理服务器，定义出各个网络对象，定义企业各条策略，最后下发到防火墙执行模块。

具体实现过程见图示：防火墙的Web 管理首先打开Web 管理界面，出现登录界面：登陆后的界面设备的Web界面只能配置设备的IP地址，网关，DNS和路由。

还可以针对设备的事件，SNMP监控，代理等信息。

Checkpoint防火墙命令行维护手册制订模版：NGX-R65版本号：V1.0目录一、基本配置命令 (1)1.1 SYSCONFIG (1)1.2 CPCONFIG (2)1.3 CPSTOP (3)1.4 CPSTART (3)1.5 EXPERT (3)1.6 IDLE (4)1.7 WEBUI (4)1.8 脚本添加路由 (4)二、查看系统状态 (1)2.1 TOP (1)2.2 DF –H (2)2.3 FREE (2)三、HA相关命令 (1)3.1 CPHAPROB STAT (1)3.2 CPHAPROB –A IF (1)3.3 CPHACONF SET_CCP BROADCAST (1)3.4 CPHAPROB LIST (2)3.5 CPHASTART/CPHASTOP (3)3.6 FW CTL PSTAT (3)四、常用维护命令 (1)4.1 VER (1)4.2 FW VER (1)4.3 查看防火墙UTM/POWER版本 (1)4.4 查看防火墙硬件型号 (1)4.5 LICENSE查看和添加 (1)4.6 IFCONFIG/IFCONFIG –A (1)4.7 MII-TOOL (1)4.8 ETHTOOL (1)4.9 CPSTAT FW (2)4.10 会话数查看 (1)五、日志查看命令 (1)5.1 FW LOG (1)5.2 FW LSLOGS (1)5.3 FW LSLOGS –E (1)5.4 FW LOGSWITCH (1)5.5 导出日志文件 (2)六、防火墙的备份和恢复 (1)6.1 备份防火墙 (1)6.2 在IE中备份 (1)6.3 在防火墙上备份 (2)6.4 恢复防火墙 (2)一、基本配置命令1.1sysconfig可以对系统进行配置和修改，比如主机名修改，DNS配置修改，以及路由的配置等，另外还可以配置DHCP功能，以及产品的安装等等如上图所示，在命令提示符输入：sysconfig，将会出现下图所列一些选项，在Your choice后面输入你想配置的选项前的数字，然后按回车可以看到，依次的选项为主机名，域名，域名服务，时间和日期，网络连接，路由，DHCP 服务配置，DHCP中继配置，产品安装，产品配置等例如我们选择5，为防火墙新增一个接口IP地址然后选择2，进行连接配置，也就是配置IP地址选择1进行IP地址配置更改如上图所示按照提示配置IP地址和子网掩码进行其他配置也如同上述操作，选择对应的编号然后按照提示进行配置1.2cpconfig可以对checkpoint防火墙进行相关的配置，如下图所示，也是按照列表的形式列出，分别是license，snmp，PKCS#11令牌，随机池，SIC，禁用cluster，禁用安全加速，产品自动启动常用的选项一般为SIC的配置，cluster功能模块的启用等；选择7是开启cluster功能模块；选择5是设置SIC。

天诚世纪网络科技有限公司网络安全事业部Checkpoint操作手册文档目录●Smart Dashboard (3)●SmartView Tracker (7)●SmartView monitor (9)●Checkpoint网关gateway模式 (11)●PPPOE拨号 (16)●checkpoint桥接bridge模式 (19)●ISP双链路接入配置 (21)●NAT地址转换 (28)●SSL VPN (31)●Site-to-site 预共享密码vpn (38)●Site-to-site 证书vpn （cp270与edge/safe@office） (42)●RemoteAccess vpn (48)●IPS (52)Smart Dashboard1.登录smart center2.功能介绍Checkpoint属性更新网络拓扑Nodes对象网段Network开启NAT功能配置完任何firewall防火墙规则，都需要安装策略，否则规则不会生效1.Smartview tracker 登录2.功能界面介绍Network&endpoint：记录网络安全日志Management：记录操作checkpoint日志●SmartView monitor1.登录smartview monitor2.界面介绍Traffic---Top servicesTraffic---Top InterfacesTraffic---Top soures1.网络拓扑图2.配置步骤：1)登录SmartDashboard2)新建网段对象将192.168.200.0定义为内网网段inside192.168.200.0将192.168.1.0定义为公网网段outside192.168.1.03)开启NAT功能双击inside192.168.200.0，到NAT，将add automatic address translation打上钩，确定4)建立防火墙规则防火墙firewall建立规则，允许源地址到目标地址任何服务5)安装规则运行install policies6)客户端配置PPPOE拨号1.在checkpoint的console口命令行中，增加下面语法[Expert@cp]# mknod /dev/ppp c 108 0 （重启设备后，这条命令会丢失，需要在启动脚本里增加）[Expert@cp]# vi $CPDIR/tmp/.CPprofile.csh （在脚本里增加此命令）在最后增加一行内容是mknod /dev/ppp c 108 0保存，重启设备2.web界面新建pppoe拨号External接口接到moder，internal接到交换机External接口需要自动获取ip地址（adsl线路是动态，获取到的公网ip地址是动态。

Checkpoint防火墙安全配置指南中国联通信息化事业部2012年 12月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章安全配置要求 (2)2.1系统安全 (2)2.1.1用户账号分配 (2)2.1.2删除无关的账号 (3)2.1.3密码复杂度 (3)2.1.4配置用户所需的最小权限 (4)2.1.5安全登陆 (5)2.1.6配置NTP (6)2.1.7安全配置SNMP (6)第3章日志安全要求 (7)3.1日志安全 (7)3.1.1启用日志功能 (7)3.1.2记录管理日志 (8)3.1.3配置日志服务器 (9)3.1.4日志服务器磁盘空间 (10)第4章访问控制策略要求 (11)4.1访问控制策略安全 (11)4.1.1过滤所有与业务不相关的流量 (11)4.1.2透明桥模式须关闭状态检测有关项 (12)4.1.3账号与IP绑定 (13)4.1.4双机架构采用VRRP模式部署 (14)4.1.5打开防御DDOS攻击功能 (15)4.1.6开启攻击防御功能 (15)第5章评审与修订 (16)第1章概述1.1 目的本文档规定了中国联通通信有限公司信息化事业部所维护管理的CheckPoint防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行CheckPoint防火墙的安全配置。

1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

本配置标准适用的范围包括：中国联通总部和各省公司信息化部门维护管理的CheckPoint防火墙。

1.3 适用版本CheckPoint防火墙；1.4 实施本标准的解释权和修改权属于中国联通集团信息化事业部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

checkpoint 15400防火墙参数-回复关于Checkpoint 15400防火墙参数的一步一步回答首先，Checkpoint 15400防火墙是一种高性能的企业级防火墙设备，具备强大的安全功能和灵活的设置参数。

本文将分步回答有关这款防火墙参数的问题。

第一步：了解Checkpoint 15400防火墙Checkpoint 15400防火墙是由Checkpoint Technologies开发的一款硬件设备，旨在提供出色的网络安全和流量管理解决方案。

这款防火墙采用混合处理架构，可以处理大量的数据流量，并提供对网络流量的精细控制。

第二步：了解防火墙参数的分类Checkpoint 15400防火墙的参数可以根据其功能和设置方式进行分类。

常见的分类包括：1. 网络参数：用于配置防火墙的网络接口、IP地址、子网掩码等信息，以便与外部网络和内部网络进行连接。

2. 安全策略参数：用于配置防火墙的安全策略，包括允许或拒绝某些特定IP地址、端口或协议的流量。

还可以设置入站和出站的安全策略，以保护内部网络免受外部威胁。

3. VPN参数：用于配置防火墙的虚拟专用网络（VPN）功能，包括创建和管理VPN隧道、配置加密算法和密钥等。

4. 监控和报警参数：用于设置防火墙的监控和报警功能，包括配置日志记录、事件报告和警报设置等，以便及时发现和响应潜在的安全威胁。

第三步：配置网络参数配置网络参数是设置Checkpoint 15400防火墙最基本的步骤，可以通过以下步骤完成：1. 连接到防火墙的管理界面，通常可以通过Web界面或命令行界面进行访问。

2. 在界面上找到网络配置选项，并选择适当的网络接口。

3. 根据网络环境的要求，配置接口的IP地址、子网掩码和默认网关。

4. 确认配置并保存。

第四步：配置安全策略参数配置安全策略参数是保护网络安全的关键步骤，可以通过以下步骤完成：1. 在防火墙的管理界面上找到安全策略或访问控制列表（ACL）配置选项。

Checkpoint防火墙命令行维护手册制订模版：NGX-R65版本号：V1.0目录一、基本配置命令 (1)1.1SYSCONFIG (1)1.2CPCONFIG (2)1.3CPSTOP (3)1.4CPSTART (3)1.5EXPERT (4)1.6IDLE (4)1.7WEBUI (4)1.8脚本添加路由 (4)二、查看系统状态 (1)2.1TOP (1)2.2DF –H (3)2.3FREE (3)三、HA相关命令 (1)3.1CPHAPROB STAT (1)3.2CPHAPROB –A IF (1)3.3CPHACONF SET_CCP BROADCAST (1)3.4CPHAPROB LIST (2)3.5CPHASTART/CPHASTOP (3)四、常用维护命令 (1)4.1VER (1)4.2FW VER (1)4.3查看防火墙UTM/POWER版本 (1)4.4查看防火墙硬件型号 (1)4.5LICENSE查看和添加 (1)4.6IFCONFIG/IFCONFIG –A (1)4.7MII-TOOL (1)4.8ETHTOOL (1)4.9CPSTAT FW (2)4.10会话数查看 (1)五、日志查看命令 (1)5.1FW LOG (1)5.2FW LSLOGS (1)5.3FW LSLOGS –E (1)5.4FW LOGSWITCH (2)5.5导出日志文件 (2)六、防火墙的备份和恢复 (1)6.1备份防火墙 (1)6.2在IE中备份 (1)6.4恢复防火墙 (2)一、基本配置命令1.1sysconfig可以对系统进行配置和修改，比如主机名修改，DNS配置修改，以及路由的配置等，另外还可以配置DHCP功能，以及产品的安装等等如上图所示，在命令提示符输入：sysconfig，将会出现下图所列一些选项，在Your choice后面输入你想配置的选项前的数字，然后按回车可以看到，依次的选项为主机名，域名，域名服务，时间和日期，网络连接，路由，DHCP服务配置，DHCP中继配置，产品安装，产品配置等例如我们选择5，为防火墙新增一个接口IP地址然后选择2，进行连接配置，也就是配置IP地址选择1进行IP地址配置更改如上图所示按照提示配置IP地址和子网掩码进行其他配置也如同上述操作，选择对应的编号然后按照提示进行配置1.2cpconfig可以对checkpoint防火墙进行相关的配置，如下图所示，也是按照列表的形式列出，分别是license，snmp，PKCS#11令牌，随机池，SIC，禁用cluster，禁用安全加速，产品自动启动常用的选项一般为SIC的配置，cluster功能模块的启用等；选择7是开启cluster功能模块；选择5是设置SIC。

CheckPoint NG with AI(R55) 防火墙安装步骤CheckPoint NG with AI(R55) 防火墙安装步骤(internet gateway 防火墙模块和管理模块安装在同一台网关机上)如何安装配置checkpoint R55防火墙：第一：了解整个网络的拓扑结构，包括：路由器内部口的ip地址，防火墙的Internet Ip地址和网络掩码，防火墙的内网Ip地址，防火墙DMZ区IP地址，Webserver的内网ip 地址，webServer的Internet Ip地址，mailServer的内网Ip地址，mailServer的Internet Ip地址，内部LAN的网络地址。

需要注意：防火墙的主机安装三个网卡，一个网卡接路由器，一个接DMZ区，一个网卡接内网的交换机。

Webserver和MailServer的网关指向防火墙的DMZ区网卡地址192.168.0.254，LAN中的工作站的网关指向防火墙的内网卡地址10.0.0.254。

如图1：在安装防火墙前要确认webserver在没有防火墙的情况下已经可以从互联网上访问到，保证通往外网的线路是通的。

第二：安装防火墙主机*作系统（这里以windows 2000 server为例）：1．将防火墙主机中增加网卡，这样，该主机有三块网卡2．安装windows 2000 server（中英文都可），建议打上sp2的补丁3．安装三个网卡的驱动程序，协议只需安装tcp/ip协议4. 配置ip地址，如图2：防火墙外网卡：（防火墙外网卡的地址，该ip address 61.132.122.116和subnet mask 255.255.255.248应该由客户或电信部门提供，应该和路由器在一个网段上，default gateway指向路由器内部口的ip地址:61.132.122.113）防火墙内网卡：（不要设网关）如图3如图4（防火墙内网卡的ip地址，防火墙在内部网的ip是:10.0.0.254 ,subnet mask是:255.255.255.0 ,网关不设定，应为防火墙此时自身就是内部网络的网关）,防火墙DMZ 区网卡：（不要设网关）.（防火墙DMZ网卡的ip地址，防火墙在内部网的ip是:192.168.0.254 ,subnet mask 是:255.255.255.0 ,网关不设定，应为防火墙此时自身就是DMZ网络的网关）5. 开启防火墙网关的路由转发功能开启该功能可以采用windows2000中的管理工具中的“路由和远程访问”工具开启，但根据我们多次安装实施经验，我们建议您按照下面的方法开启该功能：在开始菜单中的“运行”中，输入“regedit”打开注册表，转到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentContralSet\Services\Tcpip\Parameters项，将IPEnableRouter值设为1，重新启动机器。

安装checkpoint防火墙简单操作1.安装系统到虚拟机
选择OK
选择OK
自己合理分配每个目录下的空间大小；之后选择OK
设置登录密码，默认账号是admin（此账号用于登陆命令行和web管理界面的）；
设置登录的管理地址ip地址和默认网关。

完成之后reboot设备就可以。

2.Checkpoint防火墙初始化
打开web页面输入刚刚设置的管理地址，输入登录账号密码。

一直点击next
这是设置修改管理地址的；
设置设备主机名的
设置设备的时间
2.1选择management，这是把该设备设置成一台单独的smart center管理中心
设置登录smartdashboard的账号密码
设置允许登录center的设备，我们测试选择any
2.2选择security gateway，表示这是台单独的FW
设置SIC，用于center管理FW的key
3.center关联FW
右击checkpoint。

选择如下图所示：
输入FW的name和ip，点击conmmunication，输入之前设置的key，点击initialize
关联正常，之后就是添加策略和对象进行测试。

C h e c k P o i n t防火墙管理中心高可用性操作手册广州中软信息技术有限公司目录1. 管理中心高可用性概述 (3)2. 管理中心高可用性解决方案 (4)2.1. 备份管理中心服务器 (4)2.2. 管理中心高可用性部署 (5)2.3. 管理中心备份信息 (6)2.4. 管理中心同步模式 (6)2.5. 管理中心同步状态 (7)2.6. 改变管理中心状态 (8)2.7. 高可用性注意事项 (8)3. 管理中心高可用性配置 (10)3.1. 安装与同步备份管理中心 (10)3.2. 改变管理中心状态 (12)3.3. 管理中心同步方式 (13)1.管理中心高可用性概述CheckPoint管理中心SmartCenter由几个独立的数据库组成，分别存储了用户定义的网络对象、用户对象以及安全策略等信息。

系统管理员修改了这些数据库中的信息后，管理中心服务器会把修改后的信息发布到SVN产品的各个相关组件进行执行，因此，做好管理中心数据的备份是很重要的。

备份了管理中心的数据后，在管理中心服务器失效时可以保证这些重要的数据不会丢失。

另外，如果管理中心服务器由于维护的目的需要停机，备份管理中心服务器就可以代替活动的管理中心服务器进行各种处理。

例如，执行模块就可以从备份管理中心服务器获得安全策略和传递CRL以及传达其它信息等。

2.管理中心高可用性解决方案2.1. 备份管理中心服务器实现管理中心的高可用性，那么活动的管理中心服务器就总有一个或多个的备份管理中心服务器处于备份状态，准备随时从活动的管理中心服务器接替管理中心的任务。

备份的管理中心服务器必须和活动的管理中心服务器具有相同的操作系统(例如：Windows NT、Window 2000)，操作系统的版本可以不相同。

备份管理中心服务器的存在可以起到两方面的作用：备份活动管理中心――企业防火墙的各种不同数据库和信息，例如网络对象数据库、用户对象数据库、安全策略数据库以及ICA文件等都会存储到备份的管理中心服务器，并且备份管理中心服务器可以同主管理中心服务器进行同步，以便保证保存信息的一直。

CheckPoint防火墙安全配置基线中国移动通信有限公司管理信息系统部2012年 04月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章帐号管理、认证授权安全要求 (2)2.1帐号管理 (2)2.1.1用户帐号分配* (2)2.1.2删除无关的帐号* (2)2.1.3帐户登录超时* (3)2.1.4帐户密码错误自动锁定* (4)2.2口令 (4)2.2.1口令复杂度要求 (4)2.3授权 (5)2.3.1远程维护的设备使用加密协议 (5)第3章日志及配置安全要求 (7)3.1日志安全 (7)3.1.1记录用户对设备的操作 (7)3.1.2开启记录NAT日志* (7)3.1.3开启记录VPN日志* (8)3.1.4配置记录流量日志 (9)3.1.5配置记录拒绝和丢弃报文规则的日志 (9)3.2安全策略配置要求 (10)3.2.1访问规则列表最后一条必须是拒绝一切流量 (10)3.2.2配置访问规则应尽可能缩小范围 (10)3.2.3配置OPSEC类型对象* (11)3.2.4配置NAT地址转换* (11)3.2.5限制用户连接数* (12)3.2.6Syslog转发SmartCenter日志* (12)3.3攻击防护配置要求 (14)3.3.1定义执行IPS的防火墙* (14)3.3.2定义IPS Profile* (15)第4章防火墙备份与恢复 (16)4.1.1SmartCenter备份和恢复(upgrade_tools)* (16)第5章评审与修订 (17)第1章概述1.1 目的本文档规定了中国移动管理信息系统部所维护管理的CheckPoint防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行CheckPoint防火墙的安全配置。

CheckPoint防火操作手册1 配置主机对象定义防火墙策略时，如需对I P 地址进行安全策略控制则需首先配置这个对象，下面介绍主机对象配置步骤，在“Network Objects”图标处，选择“Nodes”属性上点击右键，选择“Node”，点击“Host”选项，定义主机对象的名称，IP Address属性，同时可按照该主机的重要性定义颜色，配置完成后点击OK,主机对象创建完成。

2 配置网段对象定义防火墙策略时，如需对网段进行安全策略控制则需首先配置这个网络对象，配置步骤如下，在防火墙“Network”属性上点击右键，选择“Network”，选项，定义网段名称，比如DMZ，Internal，建议根据网段所处位置定义，配置网段地址和子网掩码，如有必要可以添加注释（Comment），配置完成后点击确认。

3 配置网络组对象如果需要针对单个I P 地址、IP 地址范围或者整个网段进行安全策略控制，可以将这些对象添加到网络组，如下在防火墙“Group”属性上点击右键，选择“Simple Group”选项，成后点击O K 即可4 配置地址范围对象除了配置I P 地址，网段，也可以指定地址范围(IP range)，地址范围对象配置步骤是，如下在防火墙“Network”属性上点击右键，选择去掉“Do not show empty folders”选项，让I P Range 配置属性显示出来。

配置“Address Rage”，选择“Address Ranges”，如下图输入地址名称、起始IP地址与结束IP地址，完成后点击OK即可。

5 配置服务对象5.1 配置T CP 服务对象Check Point 防火墙内置了预定义的近千种服务，包括T CP、UDP、RPC、ICMP 等各种类型服务，通常在定义防火墙安全策略时，大多数服务已经识别并内置，因此无需额外添加，但也有很多企业自有开发程序使用特殊端口需要自行定义，下面介绍如何自定义服务，如下图所示，点击第二个模块标签，即S ervices，已经预定义多种类型服务，用户根据需要自定义新的服务类型，下面举例定义T CP 类型服务，右键点击“TCP”，选择“New TCP如下图，可以点以单个TCP服务端口服务对象，如果是一段端口，可以定义端口范围以上举例新建T CP 协议的端口服务，如需定义U DP 协议或其他协议类型按照同样流程操作即可。

CheckPoint防火墙安全配置手册Version 1.1XX公司二零一五年一月目录1 综述 (3)2 Checkpoint的几种典型配置 (4)2.1 checkpoint 初始化配置过程： (4)2.2 Checkpoint Firewall-1 GUI安装 (13)2.3 Checkpoint NG的对象定义和策略配置 (19)3 Checkpoint防火墙自身加固 (37)1综述本配置手册介绍了Checkpoint防火墙的几种典型的配置场景，以加强防火墙对网络的安全防护作用。

同时也提供了Checkpoint防火墙自身的安全加固建议，防止针对防火墙的直接攻击。

通用和共性的有关防火墙管理、技术、配置方面的内容，请参照《中国移动防火墙安全规范》。

2Checkpoint的几种典型配置2.1checkpoint 初始化配置过程：在安装完Checkpoint软件之后，需要在命令行使用cpconfig命令来完成Checkpoint 的配置。

如下图所示，SSH连接到防火墙，在命令行中输入以下命令：IP350[admin]# cpconfigWelcome to Check Point Configuration Program================================================= Please read the following license agreement.Hit 'ENTER' to continue...（显示Checkpoint License版权信息，敲回车继续，敲q可直接跳过该License提示信息）Do you accept all the terms of this license agreement (y/n) ?y（输入y同意该版权声明）Which Module would you like to install ?-------------------------------------------(1) VPN-1 & FireWall-1 Enterprise Primary Management and Enforcement Module(2) VPN-1 & FireWall-1 Enforcement Module(3) VPN-1 & FireWall-1 Enterprise Primary ManagementCheckpoint Firewall-1/VPN-1支持多种安装模式，Firewall-1/VPN-1主要包括三个模块：GUI：用户看到的图形化界面，用于配置安全策略，上面并不存储任何防火墙安全策略和对象，安装于一台PC机上；Management：存储为防火墙定义的各种安全策略和对象；Enforcement Module：起过滤数据包作用的过滤模块，它只与Managerment通信，其上的安全策略由管理模块下载；以上三个选项中如果Management与Enforcement Module安装于同一台设备上，则选择（1），如果Management与Enforcement Module分别安装于不同的设备上，则选择（2）或（3）。

C h e c k p o i n t防火墙安全配置指南This model paper was revised by the Standardization Office on December 10, 2020Checkpoint防火墙安全配置指南中国联通信息化事业部2012年 12月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述1.1目的本文档规定了中国联通通信有限公司信息化事业部所维护管理的CheckPoint防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行CheckPoint防火墙的安全配置。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

本配置标准适用的范围包括：中国联通总部和各省公司信息化部门维护管理的CheckPoint防火墙。

1.3适用版本CheckPoint防火墙；1.4实施本标准的解释权和修改权属于中国联通集团信息化事业部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国联通集团信息化事业部进行审批备案。

第2章安全配置要求2.1系统安全2.1.1用户账号分配2.1.2删除无关的账号2.1.3密码复杂度2.1.4配置用户所需的最小权限2.1.5安全登陆2.1.6配置NTP安全配置SNMP2.1.7第3章日志安全要求3.1日志安全3.1.1启用日志功能3.1.2记录管理日志3.1.3配置日志服务器3.1.4日志服务器磁盘空间第4章访问控制策略要求4.1访问控制策略安全4.1.1过滤所有与业务不相关的流量4.1.2透明桥模式须关闭状态检测有关项4.1.3账号与IP绑定4.1.4双机架构采用VRRP模式部署4.1.5打开防御DDOS攻击功能4.1.6开启攻击防御功能第5章评审与修订本标准由中国联通集团信息化事业部定期进行审查，根据审视结果修订标准，并颁发执行。

1. CheckPoint架构 (2)2. 设置系统配置 (2)2.1 设置IP地址 (2)2.2 设置路由 (3)2.3 配置备份 (4)2.4 下载SmartConsole（GUI Client） (6)2.5 命令行（Console/SSH）登陆专家模式 (6)3. 配置防火墙策略 (6)3.1 安装SmartConsole，登录策略配置管理 (7)3.2 创建对象 (7)3.2.1 创建主机对象 (7)3.2.2 创建网络对象 (8)3.2.3 创建组对象 (9)3.3 创建策略 (10)3.3.1 策略分组 (13)3.4 创建地址转换（NAT） (14)3.4.1 自动地址转换（Static） (15)3.4.2 自动地址转换（Hide） (15)3.4.3 手动地址转换 (16)3.5 Install Policy (18)4. 用户识别及控制 (18)4.1 启用用户识别及控制 (18)4.2 创建AD Query策略 (22)4.3 创建Browser-Based Authentication策略 (24)5. 创建应用及网址（URL）控制策略 (25)5.1 启用应用或网址（URL）控制功能 (25)5.2 创建应用及网址（URL）对象 (25)5.3 创建应用及网址（URL）组对象 (27)5.4 创建应用及网址（URL）控制策略 (29)6. 创建防数据泄露（DLP）策略 (31)6.1 启用防数据泄露（DLP）功能 (31)6.2 创建防数据泄露（DLP）对象 (31)6.2.1 创建防数据泄露（DLP）网络对象 (31)6.2.2 创建防数据泄露（DLP）分析内容对象 (31)6.2.3 创建防数据泄露（DLP）分析内容组对象 (31)6.3 创建防数据泄露（DLP）控制策略 (31)7. 生成报表（SmartReporter） (31)7.1 启用报表功能 (32)7.2 生成报表前参数调整 (32)7.3 生成报表 (35)8. 事件分析（SmartEvent） (36)8.1 启用事件分析功能 (36)8.2 查看事件分析 (37)1. CheckPoint 架构CheckPoint 分为三层架构，GUI 客户端（SmartConsole ）是一个可视化的管理配置客户端，用于连接到管理服务器（SmartCenter ），管理服务器（SmartCenter ）是一个集中管理平台，用于管理所有设备，将策略分发给执行点（Firewall ）去执行，并收集所有执行点（Firewall ）的日志用于集中管理查看，执行点（Firewall ）具体执行策略，进行网络访问控制2. 设置系统配置设备的基本配置需要在WEB 下进行，如IP 、路由、DNS 、主机名、备份及恢复、时间日期、管理员账户，默认web 管理页面的连接地址为https://192.168.1.1:4434，如果已更改过IP ，将192.168.1.1替换为更改后的IP2.1 设置IP 地址例：设置LAN2口的IP 为10.0.255.2登录web 后选择Network Connections直接点击LAN2管理服务器 SmartCenterGUI ClientSmartConsole 执行点Firewall填入IP地址和掩码，点击Apply2.2设置路由例：设置默认路由为10.0.255.1登录web后选择Network→Routing点击New→Default Route，（如果设置普通路由，点击Route）填入默认路由，点击Apply2.3配置备份此备份包括系统配置和CheckPoint策略等所有配置例：将配置备份出来保存选择Applicance→Backup and Restore选择Backup→Start Backup输入备份的文件名，点击Apply（由于日志可能会较大，增加备份文件的大小，可考虑去掉Include Check Point Products log files in the backup前面的勾）选择Yes等待备份文件打包当弹出下载文件提示后，将文件保存至本地2.4下载SmartConsole（GUI Client）选择Product Configuration Download SmartConsole选择Start Download2.5命令行（Console/SSH）登陆专家模式登陆命令行（Console/SSH）默认模式下仅支持部分操作及命令，如需要执行更高权限的命令或操作时需登陆专家模式在命令行中输入expert回车，根据提示输入密码即可登陆，默认密码同web、console、SSH登陆密码相同# expertEnter expert password:You are in expert mode now.3.配置防火墙策略CheckPoint防火墙的策略执行顺序为自上而下执行，当满足某一条策略时将会执行该策略设定的操作，并且不再匹配后面的策略***如果策略中包含用户对象，即使匹配该策略，仍然会继续匹配后面的策略，只有当后面的策略没有匹配或者后面的策略中匹配的操作是drop时才会执行之前包含用户的策略通常CheckPoint策略配置的顺序依次为防火墙的管理策略、VPN策略、服务器（DMZ）策略、内网上网策略、全部Drop策略创建CheckPoint防火墙策略的步骤为创建对象、创建策略并在策略中引用对象、Install Policy***CheckPoint中配置的更改必须Install Policy之后才会生效3.1安装SmartConsole，登录策略配置管理直接运行下载的SmartConsole安装包进行安装，安装完成后登陆SmartDashboard例：打开策略管理运行SmartDashboard输入用户名、密码以及SmartCenter（管理服务器）的IP地址，点击OK登陆3.2创建对象CheckPoint配置策略的基本步骤为创建需要的对象、创建策略、在策略中引用对象、Install Policy3.2.1创建主机对象例：创建IP为192.168.10.1的对象选择Nodes→Node→Host在Name处输入对象名（字母开头），在IP Address处输入对象的IP地址，如192.168.10.1，点击OK3.2.2创建网络对象例：创建网段为192.168.10.0，掩码为255.255.255.0的对象选择Networks Network…输入网段对象名，网段，掩码（由于是中文版系统的关系，部分字样可能显示不全），点击OK3.2.3创建组对象如果有多个对象需要在策略中引用，方便起见可将这些对象添加到一个组中，直接在策略中引用该组即可例：将网段192.168.10.0和192.168.11.0添加到一个组对象中选择Groups→Groups→Simple Group…输入组对象的名字，将网段对象192.168.10.0和192.168.11.0在左侧Not in Group窗口中双击移入到右侧的In Group窗口中，点击OK3.3创建策略创建策略前需根据需求先确定创建的位置例：在第6条和第7条之间创建1条允许192.168.10.0网段访问任何地方任何端口的策略，并记录日志选中第7条策略，单击右键，选择Add Rule Above添加后会出现一条默认策略，需要做的就是在这条策略上引用对象在Source对应的一栏中，右键点击Any，选择Network Object…找到192.168.10.0这个网段的对象后选中，并点击OK由于是访问任何地址的任何端口，所以在Destination、VPN、Service栏中保持Any不变在Action栏中点击右键选择Accept在Track栏中点击右键选择Log，这样凡是被这条策略匹配的连接都会记录下日志，用于在SmartView Tracker中查看完成后的策略如下图3.3.1策略分组当策略数目较多时，为了方便配置和查找，通常会对策略进行分组例：将7、8、9三条日志分为一个组选中第7条策略，点击右键，选择Add Section Title Above输入名字后点击OK如下图所示，7、8、9三条策略就分在一个组中了，点击前面的+-号可以打开或缩进3.4创建地址转换（NAT）在CheckPoint中地址转换分为自动和手动两种，其中自动又分为Static NAT和Hide NAT Static NATStatic是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。

Checkpoint防火墙实施维护手册一、前言经过一段时间的学习和实际的工作，下面把学习和工作中的一些资料加以整理，方便以后更好地工作。

由于学习不系统和工作经验不足，有什么错漏的地方希望大家不吝指教。

二、防火墙的创建1、创建Gateway防火墙◆创建Gateway对象◆选择创建防火墙的模式◆配置防火墙的基本属性◆编辑防火墙的拓扑◆编辑防地址欺骗首先双击外网接口，在下面弹出的对话框中选择Topology。

选择如图所示外网口Anti-Spoofing功能启用了。

首先双击内网接口，在下面弹出的对话框中选择Topology。

选择如图所示内网口Anti-Spoofing功能启用了。

2、创建Cluster防火墙◆创建Cluster对象◆选择创建防火墙的模式◆配置防火墙的基本属性◆添加并配置Cluster成员注：IP为的管理地址（192.168.0.246）◆输入SIC码添加Cluster2同理◆编辑Topology点击Edit Topology进入编辑窗口，在编辑窗口点击Get all members’topology按钮，topology内容自动获取：如要修改，双击要修改的内容，在弹出的窗口中修改：编辑完成后，在Topology属性中能看到完整的Topology结构：3、创建VXS防火墙◆创建vsx对象◆配置vsx基本属性 ip address为管理地址◆添加物理接口◆编辑vsx拓扑◆添加接口◆添加路由◆添加vr◆配置vr属性◆配置vr拓扑◆创建vs◆配置vs基本属性◆配置vs拓扑◆创建vsw◆配置vsw基本属性◆配置vsw拓扑三、Nodes和Networks的创建1、添加Nodes对象2、添加Networks对象四、策略的创建1、策略和对象的管理◆策略包管理 (Policy package management)(仅包含规则集)◆给策略包命名并选择策略类型：◆数据库版本控制 (Database Revision Control) (包括对象和规则集)2、编辑策略◆添加新策略，选择Rules->Add Rule->Below或者点击红圈中的添加按钮：配置策略内容（在需要添加的地方点击右键添加，已经有定义好的对象拖拽也可）：NO：规则序号NAME：规则名称SOURCE：源地址DESTINATION：目的地址SERVICE：选择允许或禁止的服务ACTION：此策略要做的动作（Accept，Drop，Reject）TRACK：是否要记录日志（Log，Alert，Account）INSTALL ON：选择安装在那个防火墙上TIME：可以编辑策略生效的时间段◆Server的添加假如列表中没有server，可以自己新建3、下发策略◆选择Policy->Install或者点击红圈下发按钮◆在弹出的对话框中选择策略安装的防火墙，点击OK下发五、NAT配置1、静态地址映射◆将Nodes做静态地址映射◆将Networks做静态地址映射2、动态地址映射◆将Nodes做动态地址映射◆将Networks做动态地址映射动态映射的地址可以是Gateway也可以映射到指定的IP Address3、手工添加NAT4、针对不同的防火墙映射成不同的地址六、添加License◆确认服务器与防火墙是否相通◆假如原来有License，把原来的License Detach◆在防火墙上重置SIC，然后在服务器上重建SIC连接◆把Licenses添加到管理服务器上◆在服务器上Attach/Get Licenses◆在防火墙上Attach/Get Licenses◆最后检查Licenses是否生效七、查看防火墙状态◆SmartView Monitor中可查看防火墙运行状态◆查看防火墙状态、CPU利用率、内存利用率、硬盘剩余百分比八、查看日志◆在SmartView Tracker中可查看日志◆双击日志可以查看日志的详细信息◆使用日志过滤方便查看关心的日志九、备份和恢复1、管理服务器的定期备份Unix、Linux和Solaris系统下，$FWDIR/conf 和 $FWDIR/lib 目录需要定期备份。

Check point 防火墙基本操作手册For NGX Release了解check point 防火墙架构Check point 防火墙的管理是通过一个三层架构来实现的。

首先我们可以在任意的机器上安装防火墙客户端控制台，然后利用控制台的图形化界面登录check point 的管理服务器，定义出各个网络对象，定义企业各条策略，最后下发到防火墙执行模块。

具体实现过程见图示：防火墙的管理首先打开控制台软件，出现登录界面：SmartDashboard是配置防火墙策略和对象的一个控制软件，我们定义对象和规则时就利用他来实现，SmartUpdate是用于添License时要用到的一个控制软件，SmartView Tracker是查看日志时用到的客户端软件。

点击SmartDashboard后出现登录界面，如图：这里输入用户名，密码，以及管理服务器的ip地址。

点击ok 登录到配置界面。

第一个选项Demo Mode 是查看防火墙的演示界面。

点击Demo Mode 选择下拉列表框中的Advance选项可以查看Check point 公司定义的各项配置演示。

Cetificate（证书）选项是替代管理员用户名和密码验证的一种选择，这个证书有管理服务器生成，用户自己保存在本地，需要用它验证时点击旁边的小方块，添加这个证书，然后选择管理服务器地址，然后点击ok 登录。

最下面的Read Only 选项是以只读方式登录防火墙。

没有改配置的权限。

注意：防火墙一次只可以容许一个用户以管理员身份登录，可以修改火墙配置，其他以管理员身份登录防火墙的用户，要么强制断开当前已登陆的帐户，要么以只读身份登录。

登陆SmartConsole配置界面：上边标记处是添加防火墙规则的按钮。

左边是定义各种对象的区域，有防火墙对象，主机对象，网络对象，以及组对象。

右边Security选项显示的是规则库，显示当前定义的各条规则。

下面是已经定义的所有对象以及他们相应得属性。

密级：文档编号：项目代号：中国移动Checkpoint防火墙安全配置手册Version *.*中国移动通信有限公司二零零四年十一月拟制: 审核: 批准: 会签: 标准化:Firewall 版本控制分发控制目录1 综述 (5)2 Checkpoint的几种典型配置 (6)2.1 checkpoint 初始化配置过程： (6)2.2 Checkpoint Firewall-1 GUI安装 (13)2.3 Checkpoint NG的对象定义和策略配置 (18)3 Checkpoint防火墙自身加固 (34)1综述本配置手册介绍了Checkpoint防火墙的几种典型的配置场景，以加强防火墙对网络的安全防护作用。

同时也提供了Checkpoint防火墙自身的安全加固建议，防止针对防火墙的直接攻击。

通用和共性的有关防火墙管理、技术、配置方面的内容，请参照《中国移动防火墙安全规范》。

2Checkpoint的几种典型配置2.1 checkpoint 初始化配置过程：在安装完Checkpoint软件之后，需要在命令行使用cpconfig命令来完成Checkpoint的配置。

如下图所示，SSH连接到防火墙，在命令行中输入以下命令：IP350[admin]# cpconfigWelcome to Check Point Configuration Program=================================================Please read the following license agreement.Hit 'ENTER' to continue...（显示Checkpoint License版权信息，敲回车继续，敲q可直接跳过该License提示信息）Do you accept all the terms of this license agreement (y/n) ?y（输入y同意该版权声明）Which Module would you like to install ?-------------------------------------------(1) VPN-1 & FireWall-1 Enterprise Primary Management and Enforcement Module(2) VPN-1 & FireWall-1 Enforcement Module(3) VPN-1 & FireWall-1 Enterprise Primary ManagementCheckpoint Firewall-1/VPN-1支持多种安装模式，Firewall-1/VPN-1主要包括三个模块：GUI：用户看到的图形化界面，用于配置安全策略，上面并不存储任何防火墙安全策略和对象，安装于一台PC机上；Management：存储为防火墙定义的各种安全策略和对象；Enforcement Module：起过滤数据包作用的过滤模块，它只与Managerment通信，其上的安全策略由管理模块下载；以上三个选项中如果Management与Enforcement Module安装于同一台设备上，则选择（1），如果Management与Enforcement Module分别安装于不同的设备上，则选择（2）或（3）。