Check Point UTM-1 2050实施文档_V1.0

Check Point UTM-1 2050实施文档

Matthew.Lee

2014-5

目录

第一章、网络拓扑及相关网络信息的确定 (2)

第二章、系统初始化 (3)

第三章、管理控制台Smartconsole的安装及基本操作 (7)

第四章、Check Point的策略管理设置 (17)

第五章、NAT设置 (19)

第六章、SmartDefense配置 (22)

第七章、LDAP的配置 (26)

第八章、MSN上网认证配置。 (37)

第一章、网络拓扑及相关网络信息的确定

1、改造后的链路出口拓扑图

第二章、系统初始化

一、UTM-1系统的恢复出厂设置。

在启动UTM-1，系统会弹出选择框，这里可以选择恢复出场设置。对系统进行恢

复出厂设置。

二、Check Point产品初始化

1、待系统重启后，进入到引导菜单，我们选择Start in normal mode。

2、OK，现在系统成功启动，输入默认的用户名及密码，都为admin，在首次登陆时系统要

求必需更改密码及用户名，密码要符合复杂性要求，用户名可设为默认admin。

3、正确修改用户名及密码后登陆到系统的normal模式，运行sysconfig，完成基本配置并

开始产品的安装。

4、选择n开始网络信息的配置，

5、选择3设定DNS服务器。

6、选择4开始网络接口的配置，internal为192.168.0.244，external为121.34.250.130，Lan1

为192.168.3.1。

7、选择n，开始时间与日期的设置

8、选择n，开始下一步配置，可通过TFTP从第三方服务器上进行远程安装（忽略此选项，

我们从光盘进行本地安装）

9、在命令行模式输入CPconfig，选择3进入GUI Clients管理，

10、选择可以管理Checkpoint UTM-1 2050的GUI Clients，并按ctrl+D结束。

11、至此完成Check Point产品的初始化，reboot系统后就可开始相关配置了。

第三章、管理控制台Smartconsole的安装及基本操作插入CHECKPOINT光盘后,开始安装CHECKPOINT,接着会出现如下画面:

选择next

接受许可选择yes

选择安装enterprise/pro版或是express版

选择全新安装

选择安装组件

系统再次提示已选好将要安装的组件

选择安装的目录

运行SmartDashboard NGX R62程序进行首次Console 界面

上，它也代表着执行模块

双击UTM-2050打开该资源对象，单击Get address 可自动获得管理IP地址

单击Topology 的Get Interface 可以自动获得防火墙的其它网卡地址

选择New Network 来创建一个网络资源

添加名称，网络地址和子网掩码

添加防火墙访问控制规则

最通常的三个防火墙规则，第一条是“保密规则”用来防止直接针对防火墙本身的访问；第二条是容许内部网络访问其它任何网络；第三条是“清理规则”用来阻止容许规则之外的任

意数据包

选择Policy 的Install 来安装策略

选择安装的防火墙执行模块,选择OK完成策略的安装。

第四章、Check Point的策略管理设置

策略编辑器中最重要的概念是网络对象、服务、用户等属性。策略编辑器就是通过控制不同的网络对象之间或与用户之间开放不同的服务来实现防火墙的安全控制功能的。网络对象是网络设备的通称，包括防火墙自身、服务器、工作站等等。

4.1策略编辑的基本操作：

1). 策略的保存：

策略编辑器内已经设定的策略是可以保证的，以供策略修改后不知如何复原

是调出，方法非常简单，只需选择save as再填入相应的名字即可。

2).隐含策略：

在View的菜单选项下，可以看到implied rules的选项，点击后可以在策略

编辑器中看到许多黄色的系统缺省策略，这些配置是由策略编辑器中Policy

菜单项中Properties Setup窗口所设定的，其中较为常用的是：Accept Icmp 选

项以控制是否允许PING服务的开启。

3).策略的执行顺序：

策略编辑器设定完后，需要点击火炬状的图标，并依次回答一系列提问后才

可以加载到防火墙中，它执行是有先后顺序的，下图详细描述了防火墙的安

装策略编译及执行的过程，供参考。

4). 常用策略的设定:

在上图的第2个选项中，允许NET_192.168.0.0_net对所有对象，并且对它进行日志记录，中间的3、4、5、6、7、8策略都是与业务相关的。第十项是所有到达防火墙本身的数据包都drop掉并做记录（这条记录中的服务不针对22端口、4434端口和18190端口）。最后一项是，所有非符合以上策略的数据包都drop掉。

5)添加策略的时候,sourec里添加测试端机器host,服务选择add source,注意在每个服务协议里都要从resource中选择上面定义好的内容.

第五章、NAT设置

1、在Network objects菜单的Nodes上点击右键建立新的HOST。输入host的名字和IP地

址。

2、输入host的名字和IP地址。