checkpoint用户手册

1、Check PointUTM-1用户手册第一章 使用向导3一、从配置UTM开始31、登陆UTM32、配置网卡43、配置路由54、配置主机名65、调整时间7二、步骤1配置之前一些有用的术语7三、步骤2安装和配置8四、步骤3第一次登录到SmartCenter服务器9五、步骤4在安全策略定义之前11六、步骤5为安全策略定义规则16七、步骤6来源和目的17第二章 策略管理17一、有效的策略管理工具需要18二、CheckPoint管理策略的解决方案181、策略管理概况182、策略集193、规则分节标题214、查询和排列规则以及对象21三、策略管理需要注意的问题22四、策略管理配置22第三章 SmartV

2、iew Tracker25一、跟踪的需求25二、CheckPoint对跟踪的解决方案261、跟踪概况262、SmartView Tracker273、过滤284、查询295、通过日志切换维护日志文件296通过循环日志来管理日志空间297、日志导出功能308、本地日志309、使用日志服务器记录日志3010、高级跟踪操作30三、跟踪需要考虑的问题31四、跟踪配置321、基本跟踪配置322、SmartView的查看选项323、配置过滤器334、配置查询335、维护346、本地日志357、使用日志服务器358、自定义命令369、阻断入侵3710、配置报警命令37第一章 使用向导一、 从配置UTM开始1

3、、登陆UTM2、配置网卡3、配置路由4、配置主机名5、调整时间二、步骤1配置之前一些有用的术语这里介绍一些有助于理解本章内容的相关信息。Security Policy（安全策略）是由系统管理员创建的，用来管理进和出的网络通信连接。Enforcement module（执行点模块）是可以执行网络安全策略的FireWall的系统引擎。SmartCenter Server（SmartCenter服务器）是系统管理员用来管理安全策略的服务器。所有的数据库和策略信息都存储在SmartCenter服务器上，并且在需要的时候下载到执行点模块中。SmartConsole Client（控制台）是一系列的GUI

4、应用程序，能够管理安全策略的不同方面。例如，SmartView Tracker就是一个管理日志的SmartConsole。SmartDashboard是系统管理员用来创建和管理安全策略的SmartConsole。独立的部署方式示例独立的部署方式是一种简单的部署方式，所有安全策略的管理端和执行端的相关组件（分别指SmartCenter服务器和执行点模块）都安装在同一台计算机上。图3-1 独立的部署方式组件包括：l Enforcement Module一般都安装在通向互联网的网关上；在网络中的位置是保护本地局域网。l SmartCenter Server。l SmartDashboard。在独立部

5、署方式中执行点模块和SmartCenter服务器都必须安装在同一台计算机中。SmartDashboard以及其他的SmartConsole客户端可以安装在任何一台没有操作系统限制的计算机上。可以参考最新版本的Release Note获得更多信息。三、步骤2安装和配置安装之前的介绍安装SmartCenter和执行点模块的机器需要安装有TCP/IP协议。这意味着这些机器必须有：至少两块网卡。一块是“外部网”或者是连接互联网的，另外一块是“内部网”或者是面向局域网的。每块网卡都有自己的IP地址。SmartCenter服务器必须能够查询DNS服务器来解析机器的IP地址。四、步骤3第一次登录到Smart

6、Center服务器登录过程图3-8 登陆窗口管理员通过SmartDashboard连接到SmartCenter服务器，这个过程对其他所有的SmartConsole客户端是一样的。在这个过程中，管理员和SmartCenter服务器都需要被认证，然后在他们之间建立一个安全的通讯通道。在成功完成认证以后，选定的SmartConsole将进行连接。在第一次登录之后，管理员可以创建一个用于登录过程的证书。使用证书的登录认证比使用用户名和口令的登录认证具有更好的安全性。这个证书将在以后的阶段中创建，具体可以参考SmartCenter的用户手册。认证管理员以及SmartCenter服务器在SmartCent

7、er 服务器安装时，在配置工具的Administrator页面中定义使用User Name和Password进行登录。在提供认证信息以后，指定目标SmartCenter服务器的IP地址或主机名，然后点击OK。手工使用在配置过程中配置工具的指纹信息与SmartCenter的指纹信息进行核对，以验证SmartCenter服务器。这个步骤只在第一次登录的时候出现，当SmartCenter服务器验证成功以后，指纹信息会保存在SmartConsole机器的注册表中。演示模式在登录SmartCenter时，系统管理员可以在Login窗口选择Demo模式。这是一个没有连接到SmartCenter服务器的模式

8、。在创建真实的安全系统之前，可以用这个模式来熟悉不同的对象和功能特性。它包含有许多预先配置好的网络对象的示例。第一次使用SmartDashboard图3-9 SmartDashboard界面选择Start Programs Check Point SmartConsole(R65) SmartDashboard来连接SmartDashboard，然后进行正确的登录。一旦系统管理员登录成功，将显示SmartDashboard。SmartDashboard的GUI包括以下的组件：l Security Rule这里系统管理可以创建和管理安全策略。l Object Tree根据分类列出系统中的所有对象

9、（网络对象、服务、资源等）。第一次登录时缺省包含SmartCenter服务器对象。l Object List显示所有在对象树中选定的对象的详细信息。l SmartMap使用图形化的形式显示系统中相关的对象。这个视图有一些缺省的对象，例如，SmartCenter服务器对象，还有关联互联网的对象。大部分管理操作（例如添加、编辑或删除）在菜单栏和工具栏等位置执行，或者右键点击选定的对象执行。五、步骤4在安全策略定义之前为了完成安全策略，系统管理首先需要检查网络内部所有的特定需求，以及所有的安全和网络访问的需要。本章将定义一个简单的安全策略，运行所有从LAN发起的连接，并且只有Email连接能够进入L

10、AN。在定义安全策略之前，关联系统中不同组件的各种特定对象（例如网关、网络和服务器）必须先定义好。然后，这些对象应用在规则中组成安全策略。定义对象对象是规则的组成部分。对象关联到实际的计算机和网络组件，以及逻辑的组件（例如动态对象）。为了设定本章中定义的简单安全策略，需要定义以下的对象：一个关联LAN的Network对象。一个关联Mail服务器的Host对象。缺省的SmartCenter服务器对象。缺省的SmartCenter服务器必须做修改，以便正确地关联SmartCenter服务器和执行点模块，因为是独立部署。注意：手册中独立部署的示例对象可以在Demo模式查看。1）创建关联LAN的网络对

11、象处理过程如下：在对象树（Object Tree）中，创建一个新的网络。图3-10 在对象树中创建一个新的网络对象网络对象包含有两个选项卡：在General选项卡中，为网络对象提供名称，名称必须能够明确说明对象的关联。在本章的规则指定中，这个网络对象命名为Alaska_RND_LAN。然后填写相应的IP地址和掩码。Alaska_RND_LAN这个对象的详细信息如下：n IP Addressn Net Mask图3-11 网络属性窗口l 在NAT选项卡中配置网络地址转换的设定。对于示例部署中的简单策略定义，不需要进行网络地址转换。2）创建一个关联

12、网络Mail服务器的Node对象必须创建一个关联网络内部Mail服务器的对象。这个对象会使用在简单的规则表中。处理过程如下：在对象树中，参见图3-12创建一个新的Host Node。图3-12 在对象树中创建一个新的Host Nodel 在Host Node窗口包含有不同的选项卡。确保在General页面中定义Mail服务器的名称和IP地址。在规则表中这个Mail服务器名为Alaska_DMZ_mail。3）修改缺省的SmartCenter对象在对象树的网络对象分页中会显示缺省的SmartCenter服务器对象。这个对象必须进行配置，以便执行点模块能够正确地工作。操作过程如下：选择SmartC

13、enter服务器对象。双击这个对象来显示属性页面。l 在General Properties页面，确认在CheckPoint Products列表框选中了FireWall（如图3-13）。图3-13 CheckPoint Gateway窗口在Topology页面中（如图3-14）：点击Get Interfaces with Topology可以自动地检索网关上的所有网卡。另外，也可以点击Add手工添加一块网卡。你可以在任何一个网卡的Topology页面中编辑网卡。选中后双击即弹出Interface Properties窗口。图3-14 CheckPoint Gateway窗口，Topology

14、页面六、步骤5为安全策略定义规则对象是建立规则的一部分，规则是创建安全策略的一部分。安全策略中的规则是一系列的指令，决定哪些通信可以进入LAN或从LAN外出。在这个示例部署中，将执行下列的规则：允许所有由LAN发起到外部的通信连接的规则。允许email从外部发送到内部的LAN当中的规则。下面的规则在规则表中缺省的显示，并作为最后的规则使用，所以，它不需要做明确的定义：这条规则将丢弃除了上述允许规则的通信连接之外的所有数据包。表3-1 允许所有内部LAN对外发起访问的规则表3-2 允许进入内部网络的SMTP连接（email）保存和安装你的策略一旦定义好规则以后：选择File Save保存策略。你

15、可以使用缺省提供的选项，也可以自定义。l 选择Policy Install安装策略。在安装窗口选择你需要安装策略的网关。最后，你成功地创建了你的第一个安全策略。七、步骤6来源和目的你已经学习了开始需要的基础知识。下一步是获得更多关于CheckPoint的高级知识。在CheckPoint的产品CD上有关于这个信息的CheckPoint文档（以PDF格式存储）。当你在使用CheckPoint的SmartConsole客户端时，你也可以使用在线的帮助。为了获得关于CheckPoint产品的更多技术信息，可以访问第二章 策略管理本章内容一、 有效的策略管理工具需要二、 CheckPoint管理策略的解

16、决方案三、 策略管理中需要注意的问题四、 策略管理的配置一、有效的策略管理工具需要随着网络结构的不断增长，更多的网络资源、计算机以及服务器、路由器被部署在网络当中。这造成了安全策略需要处理更多的网络对象以及逻辑结构（关联相关的实体），并且使用更多数量的规则，对系统管理员来说，使得策略变得更复杂以及更富有挑战性。因为安全策略的复杂性，很多管理员的操作倾向于“如果没有被攻击，就不处理”的方式：l 他们倾向于在看似安全的位置放置新的策略（例如在规则表的最后），而不是放在最合适的位置上。l 规则陈旧而且对象很少去做清理。这些不好的趋势使得安全策略变得混乱以及不协调，并且数据库不清晰，这使得安全策略的有

17、效功能下降，并且使得系统管理员难于管理。对于系统管理员来说，一个简单有效无弱点的解决方案更加有助于管理，所以需要重视易于使用的策略管理工具。l 由于网络的复杂性，能够针对不同的节点和分支建立自己合适的结构。l 能够快速定位对象。l 能够分析规则表。二、CheckPoint管理策略的解决方案本节内容1、 策略管理概况2、 策略集3、 规则分节标题4、 查询和存储规则以及对象1、策略管理概况SmartCenter服务器提供了大量的工具进行不同的策略管理任务，其中包括定义部分和维护部分。l Policy Packages允许简单地对不同类型的策略（一般指在同一个安装目标上的策略）进行分组。l Pre

18、defined Installation Targets允许将每个策略集管理到适合的模块上。这个功能可以在每次安装（卸载）策略时自由地选定需要的模块，并且可以在任何时候方便地修改列表。另外可以减少安装策略时的风险。l Section Title允许可视化地中断在项目中的规则表，因此可以立即改善定位感兴趣的规则和对象的能力。l Queries可以对使用的规则和对象提供多方面的搜索功能。l Sorting可以通过排列在对象树和对象列表中的对象的简单快速定位对象。这个功能可以通过命名和颜色的定义来大大提高效能。2、策略集策略集允许通过对每个类型的节点创建特定策略集来满足内部网络中不同节点的特定需求。

19、图21中示例了包含有4个节点的网络。图21包含有不同节点的示例网络每个不同节点使用不同的CheckPoint产品：l Servers Farm安装有FireWall1。l Sales Alaska和Sales California节点安装有FireWall1和VPN1。l Executive Management安装有FireWall1、VPN1和FloodGate1。即使各个节点使用了相同的产品但是有不同的安全需求，针对他们的策略也需要不同的规则。为了有效地管理不同类型的节点，你需要三种不同的策略集。每个策略集必须包含有管理有相关产品的不同策略。因此，一个策略集由下面一个或多个类型的策略组成

20、，每个策略管理不同的CheckPoint产品：l 安全和地址转换策略，控制FireWall1模块。这些策略也决定VPN配置模式。l QoS策略，控制FloodGate1模块。l 桌面安全策略，控制SecuRemote/SecureClient机器。与上面策略不同的是，VPN规则表管理器不会应用到单个的节点，但是会应用到关联的节点之间。因此，这个规则表针对所有的节点。Web Access Rule（Web访问规则）是独立的策略集，因为它相对于网络来说是应用全部（例如阻断一个指定的节点）。在SmartDashboard的全局属性（Global Properties）中设置可以将这个规则表显示出来（

21、在Global Properties窗口的SmartDashboard Customization页面中）。文件操作文件操作（New、Open、Save等）是在策略集的水准上进行操作（相对于单个策略而言）。l New允许定义一个新的策略集，或者向已存在的策略集添加一个单一的策略。l Open允许打开已经存在的策略集。包含有策略集的策略类型决定在规则表中显示哪些分页内容。l Save As允许存储一个完整的策略集，或者将规则表中指定的策略进行储存（例如Security and Address Translation，QoS或者Desktop Security）。注意：在修改策略集之前备份它，可以

22、使用数据库修订控制功能。不需要使用文件操作来进行备份和测试的目的，从而不会因为无关的策略集混乱系统。另外，如果只有一个对象数据库但是有不同集合的话，在对象数据库中保存集合不一定会协调这个变化。安装目标为了正确安装（卸载）策略集并排除错误，每个策略集需要管理到相关的安装目标上。这个管理可以在每次安装时排除重复选择目标模块，并且确认策略集在安装到目标时没有错误。可以对整个策略集定义安装目标，因而可以排除在每个策略当中具体地定义每条规则的安装目标。在每次进行Install（安装）和Uninstall（卸载）时可以自动地显示选择的目标（参见图22）。图22 在Install Policy窗口的安装目标

23、示例在所有的安装目标当中你可以从缺省状态中通过选中或不选中来设置策略集的安装（在Global Properties窗口的SmartDashboard customization页面中），然后根据需要来对每个安装进行设置。3、规则分节标题规则的分节可以依照各自的主题进行可视化的分组。例如，中等规模的网络可能对内部所有节点有一个单一的策略，然后对每个节点的规则使用分节的标题进行定义（更大更复杂的网络可能需要使用策略集）。使用分节进行规则的排列不必将大部分一般匹配的规则放置在规则的起始部分。4、查询和排列规则以及对象查询规则查询规则可以加深对策略的理解以及验证新规则放置在合适的地方。你可以在Secu

24、rity、Desktop Security以及Web Access等规则表中查询。一个查询可以包含一个或多个子查询。每个子句可以指向已经选择的对象或者规则中的指定列。你可以针对单个的对象、组或者全部进行查询。为了增强查询能力，可以使用适当的逻辑条件（“Negate”，“And”和“Or”）。一旦应用查询以后，则在规则表中只显示查询后匹配的规则。匹配的规则被隐藏，但仍是整个策略集的一部分并且能够被安装。可以通过调试额外的查询来精简查询结果。例如，在规则表中当一个服务器从主机A移到主机B时查询就很有用了。这个变化要求更新所有主机的访问权限。为了找到需要修改的规则，可以在所有的规则中查询Destin

25、ation列中包含有主机A或主机B的规则。缺省情况下查询不仅搜索规则中所包含的主机，也搜索规则中那些可能包含这些主机的网络对象或者组对象，包括在规则中的Destination是Any的。查询网络对象网络对象查询可以搜索到符合查询标准的对象。可以使用这个工具进行控制和排除对象关联错误。查询系统中所有的对象（缺省选择下）或者指定类型的对象（例如FireWall1 installed，FloodGate1 installed，GateWay Clusters等），以使用不同的过滤（例如Search by Name，Search by IP等）来精简这个列表以及使用通配符来搜索。除了这些基本的搜索之外

26、，还可以完成更高级的查询：l IP地址与接口卡不匹配的对象。l 被几个对象使用的相同IP地址。l 没有使用的对象。注意：在LDAP服务器上定义的对象实体一般在查询中当作“not used”。你可以将查询结果进行分组。例如，希望创建一个包含系统中所有邮件服务器的分组，然后在规则表中使用。如果命名习惯是在邮件服务器命名中包含有字符“Mail”，那么可以通过选择Search by Name的过滤器，以及在此输入*Mail*就可以简单地在所有的网络对象中找到指定的对象。然后创建一个包含有这个结果的分组并在适用的规则使用。分组的对象也一样是通过CheckPoint的SmartConsole来激活，例如，

27、如果使用SmartView Reporter，可以把这个分组包含在Email Activity报告连接的源中。在对象树和对象列表中进行分类排列（Sorting）在对象树右键菜单中的Sort允许使用名字或颜色通过类型对每个分页进行分类（在缺省选择中）。分类参数在对象列表的窗口中应用。另外，在对象列表窗口中也可以点击相应的列来进行分类。分类是一个很有用的排错工具，例如：l 可以方便确定对象属于哪个节点，可以将每个节点的对象使用不同的颜色进行定义，然后在对象树当中使用颜色进行分类。l 显示复制的IP地址，在对象树当中显示Network Object分页以及在对象列表中使用IP Address列进行分

28、类。l 查找希望占用端口的服务，显示对象树中的Services分页，然后在对象列表中使用Port列进行分类。三、策略管理需要注意的问题惯例建议使用一个定义对象命名和颜色的习惯，这样可以方便快速地定位需要查找的对象。例如，如果使用一个前缀指定对象的位置（例如NYC_Mail_Server），可以快速地使用位置进行分组，也可以在对象列表中使用Name的列进行简单的分类。同样的，可以使用颜色的定义来区分对象属于哪些节点，并且在对象树中通过颜色来快速的分类。四、策略管理配置策略集创建一个新的策略集1. 在菜单中选择File New。然后弹出New Policy Package窗口。2. 输入New P

29、olicy Package Name信息，这个名字不能包括：包含有保留字。包含有空格。在起始位置使用数字。包含以下任意字符：%，#，&，*，!，?，/，:。任何以下后缀的结尾：.w，.pf，.W。3. 在Include the following Policy types的节中，为包含的策略集选择下列部分或所有的策略类型。Security and Address Translation，选择Simplified（简单）或者Traditional（传统）的VPN配置模式。QoS，选择Traditional mode或者Express mode。Desktop Security，表21列出了针对每

30、种策略类型的规则表分页。表21 每种策略类型的规则表分页4. 点击OK创建一个策略集。SmartDashboard当中显示新的策略集，包括选中的策略类型分页。定义策略集的安装目标1. 在菜单当中选择Policy Policy Installation Targets。然后弹出Select Installation Targets窗口。2. 选择以下条件：All internal modules（全部内部模块，为缺省选项）Specific modules，从Not in Installation Targets的列表中选择相关的目标移动到In Installation Targets列表中。3.

31、 点击OK。不论是安装还是卸载策略集都对选定的安装目标起作用。4. 将所有模块的缺省状态设定为Selected或者Not Selected，因此方便策略的安装（卸载）过程。选择Policy Global Properties可以在Global Properties窗口的SmartDashboard Customization页面中选择适当的设定。5. 可以在安装（卸载）的操作过程中进一步的修改安装目标：为了只在这个操作中修改目标，选定相关的模块和策略并且取消对其他的选定。为了可以在将来的操作中修改目标，点击Select Targets来打开Select Installation Targets

32、窗口，然后根据需要对列表进行修改。向一个已存在的策略集增加策略1.在菜单中选择File New。然后弹出New Policy Packages窗口。2.选择Add Policy to an existing Package，然后在下拉列表（包含有所有未被激活策略类型的策略集）中选中需要的策略集。3.在Include the following Policy types节中，选择所有希望添加到策略集的策略类型（关联不同策略类型的规则表分页，具体参见表21）。4.点击OK。显示选定的策略集，包括需要增加的相关策略类型的规则表分页。规则分节增加一个节的标题1.选择一个需要在此之上或之后添加节标题的规

33、则。2.从菜单中选择Rules Add Section Title Above或者Below（分别进行）。然后弹出Header窗口。3.为新的分节定义标题，然后点击OK。在适当的位置显示新设定的分节标题。所有在这个标题之后以及到下一个标题之前的规则都被可视化地进行分组。4.缺省情况下，分节是展开的。可以点击（-）符号进行这个分节的规则进行隐藏。5.如果在某个分节之后的策略不属于这个分节，可以增加一个结尾的分节来标注这些规则（例如”End of Alaska Rules”）。查询规则表配置一个新的查询1.显示需要查询的规则表（Security，Desktop Security或责Web Acce

34、ss），然后在菜单中选择Search Query Rules。然后，弹出Rule Base Query Clause窗口。2.从下列列表中选择希望查询的Column（例如Destination）。3.从Not in List中选择希望查询的对象移动到In List当中。4.如果选择了超过了一个以上的对象，对这些对象指定at least one（缺省选项）来确认选定的列是否足够，或者必须选定all。5.这个语句将搜索规则来确认哪个对象中包含了指定的列，或者属于其他的对象（例如分组或者网络）。选定Negate可以在规则中搜索指定的列中没有包含选定的对象。选定Explicit可以在规则中搜索指定的列

35、中包含有选定的对象。6.点击Apply应用这个查询语句。7.点击Save可以保存查询语句。然后弹出Save Query窗口。8.定义查询的名字，然后点击OK。然后弹出Rule Base Queries窗口，在SmartDashboard Queries List中列出新的查询。交叉查询1.显示希望查询的规则表（Security，Desktop Security或者Web Access），然后在菜单中选择Search Manage Rule Queries。然后弹出Rule Base Queries窗口。2.选择希望运行的第一个查询，然后点击Apply。匹配查询的规则在规则表中显示，并且其他的所

36、有规则被隐藏。3.如果不能在列表中找到需要的查询，可以定义一个新的查询：a) 点击New。然后显示Rule Base Query窗口。b) 定义新查询的Name，然后点击New。然后显示Rule Base Query Clause窗口。c) 定义查询（参考新查询中步骤2到步骤5），然后点击OK。查询被添加到Clause列表中。d) 可以使用以下的逻辑运算符添加一个新的查询语句：And，搜索匹配所有语句的规则。Or，搜索至少匹配一个语句的规则。Negate query，搜索不在这个语句定义范围内的规则。4.选择需要运行的第二个查询。5.点击以下的任意一个：And，只显示满足所有查询的规则。Or，

37、显示满足其中一个查询的规则。6.点击Apply运行选定的查询。7.点击Clear All显示所有隐藏的规则。查询以及分类对象查询对象1.在菜单中选择Search Query Network Objects。弹出Network Objects窗口，在Network objects节中显示系统（缺省选择）中所有的网络对象。另外，可以根据对象的类型（例如FireWall1 Installed，FloodGate1 installed等等）缩小显示的范围。2.在Refined Filter节中指定适当的搜索标准，例如：在Refine by的下拉列表选择Search by Name可以找出包含有指定字符

38、串的对象名，只需要输入希望搜索的字符串（可以使用通配符），然后点击Apply即可。在Refine by的下列列表中选择Duplicates可以找出复制的IP地址。匹配搜索标准的对象将被显示。3.点击Show在SmartMap中找出其中的对象。4.为了给搜索结果创建一个分组，可以点击Define query result as group，然后在Group Properties窗口中指定新分组的名字即可。在对象列表中进行对象分类1.显示对象树中相关的分页（例如Services）。2.在对象列表中点击相关的列标题（例如port）。可以在问题中方便地定位对象，例如：可以找出使用相同端口的服务。第三章

39、 SmartView Tracker本章内容一、 跟踪的需求二、 CheckPoint对跟踪的解决方案三、 跟踪需要注意的问题四、 跟踪的配置一、跟踪的需求作为管理员，需要高级的跟踪工具：l 确保产品能够正常操作（例如确保类似于访问控制和IKE等基本操作能正常运行）。l 对系统排错以及安全发布。l 为合法的原因收集信息。l 对网络通信模式分析产生报告。依靠数据的严整性需要不同的跟踪方式。例如可以选择跟踪各种标准网络模式（例如上网浏览），这个信息不是特别紧迫的，可以根据需要进行跟踪。但是，如果防火墙遭到入侵，需要马上得到告警。二、CheckPoint对跟踪的解决方案本节内容1、 跟踪概况2、 S

40、martView Tracker3、 过滤4、 查询5、 通过日志切换维护日志文件6、 通过循环日志管理磁盘空间7、 日志导出功能8、 本地日志9、 使用日志服务器记录日志10、 高级的跟踪操作1、跟踪概况通过日志CheckPoint产品可以提供收集网络内部所有活动的全面信息的能力。可以在任何特定的时间内审计这些日志，分析网络通信情况以及对网络进行排错和安全发布。图51 图示日志采集和跟踪过程。图51 日志收集和跟踪过程SmartDashboard允许为每条规则自定义跟踪设置，每条规则根据跟踪选项自动记录。如果决定跟踪匹配规则的事件，可以根据信息的紧急程度选择不同的跟踪选项。可以在允许http

41、连接上选择标准Log，当希望存储字节数据时选择Account log选项，或者当连接的目标是防火墙机器时，进行Alert的记录。可以在规则中Track列中点击右键来激活跟踪的选项列表。模块根据规则中的定义来收集数据，并且将这些日志发给SmartCenter服务器（或者日志服务器）。到达SmartCenter服务器的日志将生成一个日志文件，所有的日志保存在fw.log文件中，除了审计日志（关联到管理）是保存在fw.adtlog文件中的。SmartCenter服务器可以通过SmartView Tracker来激活状态检测的日志。一个完整的审计解决方案可以激活对所有CheckPoint产品的新老日志

42、的中央管理。可以方便地定义对指定地址跟踪的搜索，可以将日志集成到SmartView Reporter中，或者将日志导成文本形式以及导出到外部的Oracle数据库中。SmartCenter服务器可以对匹配规则的事件进行指定的操作（例如发布报警、发送邮件以及允许一个用户定义的脚本等等）。另外在解决方案中，可以从以下的CheckPoint SmartConsole的跟踪以及审计功能上受益：l SmartView Status允许查看每个模块的连接。l SmartView Monitor提供不同计数器的实时数据。l SmartView Reporter允许保存整理过的记录（相对未加工的日志）以及快速定

43、位感兴趣的事件。2、SmartView Tracker图52显示SmartView Tracker的主窗口。在Records栏中的每个条目都记录了与规则中相匹配的事件日志。新的记录添加到fw.log中，并且自动添加到记录栏中。图5-2 SmartView Tracker主界面Log域当中的显示由以下因素组成：l 产生日志的产品（例如FireWall1以及FloodGate1）。l 完成操作的类型（例如安装或打开一个连接）。例如，当使用NAT时，显示地址转换的域（使用“Xlate”的前缀，例如XlateSrc，XlateDst等）。当使用VPN1时，显示IKE关联的域（例如IKE CookieL

44、，IKE CookieR等）。SmartView Tracker的模式SmartView Tracker包括以下三种模式：l Log，缺省模式，显示所有在fw.log文件中的日志。这里包括了由不同CheckPoint产品（包括OPSEC的产品）产生的安全事件条目。加到fw.log文件中的最新日志将在记录栏的最下面显示。l Active允许定位当前通过VPN1/FireWall1模块活动连接，这些连接记录在活动连接的日志文件中。l Audit允许查看管理的记录，一般包括规则表中对象的改变和SmartDashboard的普通操作。这个模式显示了特定的审计数据，例如Administrator，App

45、lication或者Operation的详细内容，可以在fw.adtlog文件中查看。 可以通过点击相关的分页来锁定模式的访问。3、过滤SmartView Tracker的过滤机制可以方便地定位感兴趣的日志以及隐藏其他数据，可以在每个日志的域中进行定义。一旦应用过滤标准，只有符合标准的条目会被选择和显示。在实际情况中过滤选项的利用是日志列中的一个功能。例如，当Date列中进行某个日期之后过滤的操作，则在Source，Destination以及Origin列中会过滤掉在那个指定日期之前的记录。在Product列中进行特定CheckPoint产品的过滤是很有用的，SmartView Tracker

46、把这些过滤设置为预定义的查询，在后续章节进行描述。4、查询SmartView Tracker可以在日志信息文件中进行操作。你可以显示日志文件中所有的记录，也可以设定一个或多个限制条件来过滤感兴趣的记录。这些过滤通过查询来完成。查询包括以下组件：l 应用一个或多个日志列的条件例如，为了获取所有来自于指定源的http请求，允许一个在Service列中指定http服务以及在Source列中指定机器信息。l 选择希望显示的列例如，当获取http请求信息时打开URL的日志列。SmartDashboard中三种模式（Log，Active以及Audit）的每种模式都有它自己的查询树，包括以下的内容：l Pr

47、edefined，包含了不可以修改和保存的缺省查询。预定义查询的有效性依赖于进行的模式。所有模式的缺省查询是All Records。另外，Log模式包括有每个产品的预定义查询。l Custom，允许在预定义查询的基础上自定义查询，从而获得更好的结果。自定义查询是主要的查询工具，允许精确查询感兴趣的内容。可以复制或保存一个已经存在的查询，然后自动在Custom文件夹中添加一个命名。选定的查询属性在Query Properties中进行显示。5、通过日志切换维护日志文件获得的日志文件大小缺省保持在2GB以下，当它达到2GB的限制后会关闭，然后开启一个新的文件。这个操作就是日志切换，当日志文件达到指

48、定的大小上限或匹配日志切换模式将自动执行，或者在SmartView Tracker中手工执行。文件关闭以后写入磁盘时将命名与当前时间和日期进行匹配。新的日志文件将使用缺省的日志文件名：$FWDIR/log/fw/log。6通过循环日志来管理日志空间当缺乏足够的磁盘空间时，系统将停止记录日志。为了保证即使没有足够的磁盘空间也能够进行日志的记录，可以设定循环日志。当有效磁盘空间不足时可以自动删除旧的日志文件，这样模块就可以继续记录新的信息。循环日志过程如下：l 修改需要的有效磁盘总计。l 设定模块在指定的天数以后重复地删除日志。7、日志导出功能当SmartView Tracker是标准日志记录方式

49、时，可能需要将日志使用在其他用途。为了这个目的，CheckPoint产品允许将日志导出。日志文件可以通过两种方式导出：l 文本方式。l 数据库方式，可以导出到外部的Oracle数据库。SmartView Tracker支持基本的导出操作，在这里可以将显示复制到一个文本文件中。许多高级操作（例如导出整个日志文件或在线导出）使用命令行来完成（使用 fwm logexport和fw log命令）。8、本地日志缺省情况下，模块将日志发送到SmartCenter服务器上。但是为了提高模块的性能，可以将信息存储在本地的日志文件当中。这些文件可以匹配适当的时间表自动发送给SmartCenter服务器或日志服

50、务器；或者通过SmartView Tracker手工导入，使用远程文件管理的操作。如果选择使用本地日志方式，则需要在模块上配置日志维护设置（例如日志切换、循环日志等）。停止期间的日志处理在停止期间，模块不能发送日志，将日志写入本地文件当中。为了查看这个本地文件的信息，可以使用SmartView Tracker的远程文件管理操作的手工导入。9、使用日志服务器记录日志为了减少SmartCenter服务器的负载，管理员可以安装日志服务器并且配置模块给这些日志服务器发送日志。在这种情况下，SmartView Tracker登录到日志服务器（替代SmartCenter服务器）来查看日志。对于日志管理目的

51、来说，日志服务器与SmartCenter服务器类似：可以执行在规则中定义的事件操作（例如发送报警和邮件）；当日志文件达到2GB时自动进行日志切换，允许导出日志等。10、高级跟踪操作阻断入侵在SmartView Tracker中的Active模式允许切断入侵，你选择认为是入侵的连接，然后执行以下操作来进行阻断：l The Connection阻断选定的或其他有相同服务、源或目的连接。l The source of the connection阻断来自于这个源的访问，这将阻断所有来自于这个指定源对象的访问。l The destination of the connection阻断到这个目的的访问，

52、这将阻断所有到这个指定目的对象的访问。l 定义希望阻断的时间期限。自定义命令SmartView Tracker允许你方便地在SmartConsole上运行命令，而不用使用命令行界面。缺省的有效命令是ping和whois。随着手工添加一个命令，就可以在Record栏中相关的元素右键菜单上激活。三、跟踪需要考虑的问题选择哪个规则跟踪从事件日志当中获取好处的多少依赖于感兴趣的网络通信部分。因此，必须确保安全策略是跟踪所有稍后需要研究的事件。另一方面，需要注意记录太多的事件结果会使日志文件急剧增长，这将导致需要更多的磁盘空间和管理操作。为了平衡这些矛盾的需求，可以考虑信息的利用程度来决定策略规则中对哪

53、些要进行跟踪。例如，考虑以下内容：l 改善网络的安全性。l 增强对用户行为的了解。l 希望在报表中看到的数据。l 可能对将来很有用。选择适当的跟踪选项对于每个需要跟踪的规则，可以定义以下的跟踪选项：l Log将事件的详细信息保存到日志文件，以备将来参考。这可以获得网络通信的基本信息。l Account需要在保存的记录中包含字节的信息。l Alert进行日志记录的同时SmartCenter服务器执行一个预设的关联命令：显示一个弹出窗口，发送一个邮件或SNMP陷阱警告，或者允许自定义脚本。在线发送日志以及使用时间表发送日志缺省情况下，模块逐条地给目的端（SmartCenter服务器或日志服务器）在

54、线发送日志记录。在这种情况下，当最新日志送到机器时就可以使用SmartView Tracker进行查看。为了提高模块的性能，可以将它配置为本地日志模式，将日志保存在本地日志文件当中。如果设定了日志发送时间表，可以在SmartView Tracker中打开这个文件（不是在线的文件）。另外，可以使用SmartView Tracker的远程文件管理操作从模块上手工导入这个文件。四、跟踪配置本节内容1、 基本跟踪配置2、 SmartView Tracker查看选项3、 配置过滤器4、 配置查询5、 维护6、 本地日志7、 使用日志服务器8、 自定义命令9、 阻断入侵10、配置报警命令1、基本跟踪配置为

55、了能够跟踪网络情况，操作如下：1） 在策略表中每条需要跟踪的规则上选定Track列，然后点击鼠标右键选择菜单中的Log选项。所有匹配这个规则的事件都会被记录。2） 从SmartDashboard的Window菜单中打开SmartView Tracker。在Log模式中显示所有的记录。2、SmartView的查看选项SmartView Tracker的显示不能为了审计的需要而进行修改。如果需要，表51列出了能够调整查看的操作。表51 SmartView Tracker的查看选项操作过程锁定查询树以及查询属性栏的显示选择View Query Tree或Query Properties（分别进行）。调整列长度