CheckPoint防火墙操作手册

CheckPoint防火操作手册1 配置主机对象

定义防火墙策略时，如需对I P 地址进行安全策略控制则需首先配置这个对象，下面介

绍主机对象配置步骤，

在“Network Objects”图标处，选择“Nodes”属性上点击右键，选择“Node”

，点击“Host”选项，

定义主机对象的名称，IP Address属性，同时可按照该主机的重要性定义颜色，配置完成后点击OK,主机对象创建完成。

2 配置网段对象

定义防火墙策略时，如需对网段进行安全策略控制则需首先配置这个网络对象，配置步骤如下，在防火墙“Network”属性上点击右键，选择“Network”

，选项，

定义网段名称，比如DMZ，Internal，建议根据网段所处位置定义，配置网段地址和子网掩码，如有必要可以添加注释（Comment），配置完成后点击确认。

3 配置网络组对象

如果需要针对单个I P 地址、IP 地址范围或者整个网段进行安全策略控制，可以将这

些对象添加到网络组，如下在防火墙“Group”属性上点击右键，选择“Simple Group”

选项，

成后点击O K 即可

4 配置地址范围对象

除了配置I P 地址，网段，也可以指定地址范围(IP range)，地址范围对象配置步骤是，如下在防火墙“Network”属性上点击右键，选择去掉“Do not show empty folders”选项，让I P Range 配置属性显示出来。

配置“Address Rage”，选择“Address Ranges”，如下图

输入地址名称、起始IP地址与结束IP地址，完成后点击OK即可。

5 配置服务对象

5.1 配置T CP 服务对象

Check Point 防火墙内置了预定义的近千种服务，包括T CP、UDP、RPC、ICMP 等各种类型服务，通常在定义防火墙安全策略时，大多数服务已经识别并内置，因此无需额外添加，但也有很多企业自有开发程序使用特殊端口需要自行定义，下面介绍如何自定义服务，如下图所示，点击第二个模块标签，即S ervices，已经预定义多种类型服务，用户根据需要自定义新的服务类型，下面举例定义T CP 类型服务，右键点击“TCP”

，选择“

New TCP

如下图，可以点以单个TCP服务端口服务对象，如果是一段端口，可以定义端口范围

以上举例新建T CP 协议的端口服务，如需定义U DP 协议或其他协议类型按照同样流程操作即可。

5.2 配置U DP 服务对象

如下图所示，点击第二个模块标签，即S ervices，已经预定义多种类型服务，用户根据需要自定义新的服务类型，下面举例定义UDP 类型服务，右键点击“UDP”

，选择“New UDP”，

如下图，可以点以单个U DP 服务端口服务对象，如果是一段端口，可以定义端口范围。如果有其他特殊协议类型需要定义，如R PC、ICMP 等，配置方式与T CP 和U DP 服务端口定义类似。

5.3 防火墙策略配置

防火墙配置界面如图所示：

在S martDashboard 上面，如需从导航条中选择添加策略，则点击“Rules”

，

在SmartDashboard上面，也有添加规则的快捷按钮，将鼠标停留在快捷按钮上会有提示。在下面标签中，“Firewall”是定义防火墙策略区域也称“Rulebase”或“规则库”，另外还有其他标签分别是配置不同模块功能的区域，如下图所示：

点击图中快捷按钮，在规则库中添加一条策略，然后点击下图中“”输入需要添加的地址或者网段，分别包含“Source”，“Destination”，“VPN”，“Service”，“Action”等属性。

5.4 配置网络地址转换（NAT）

CheckPoint防火墙可以灵活的配置，Static NAT（基于一对一的静态NAT），Manual Nat （多端口对应一个地址端口NAT）,以及Hide NAT(地址隐藏在单个IP之后的NAT)

5.5 配置H ide NAT

Hide NAT配置通常是把需要保护的私有地址的网段隐藏在一个公网地址之后实现访问Internet的功能需求，内部私有地址可以隐藏在防火墙的公网之后访问Internet，也可以是隐藏在一个单独的地址之后访问Internet。

具体配置如下：

通常是内部网段要通过防火墙访问到Internet，因此我给需要访问Internet的网络对象配置NAT，Hide在防火墙后面访问到互联网；首先定义内部网段对象，新建一个“Network”。

配置“Network”的名称，网络地址，子网掩码，然后点击“NAT”属性，

注意：点击“OK”之后，此时在NAT页的标签里会自动生成NAT的策略；

根据NAT策略的匹配顺序，第一条策略是该网段的互访不需要做NAT转换，会优先匹配，第二条策略是该网段访问到任何地方会自动以防火墙的地址访问出去。内网网段的Hide NAT做好之后，还需要定义防火墙策略允许内网的访问。

5.6 配置S tatic NAT

Static NAT的配置即一对一的NAT配置，比如发布DMZ区域服务器到Internet，或者其他内网发布到Internet的需求。

具体配置如下：

首先选择需要对外发布应用服务的“Node”主机对象，双击该对象，出现如下图所示界面，选择“NAT”属性，

点击“NAT”选项，弹出如下页面，

下“Any”访问到“Web-Server”的“http”服务都“Accept”并且记录“log”。

5.7 配置M anual NAT

配置手工(Manual)NAT 通常是在公网 IP 地址不够或者其他原因的前提下使用，

比如只有一个公网地址，并且配置在防火墙的外网口，但企业内部多个服务器需要对Internet 分别发布H TTP 或者F TP 服务。

因此我们分别将防火墙公网I P 的H TTP 80 端口，FTP 21 端口分别映射给内网

主机A和主机B，具体手工NA T 策略的配置如下，首先配置防火墙外网口地址为一

个主机对象，命名为“FW-Ext-IP”,然后在“NA T”规则库中手工添加如下NA T 策

略。

如上图所示，手工NAT配置就完成，然后在“Firewall”规则库中定义防火墙安全策略允许外网访问即可。