CHECKPOINT安装配置中文手册

1、安装配置CHECKPOINT防火墙大纲首先明确两个概念VPN/FW Moudule 或者 Managerment Server 在 WINDOWS上安装的最小需求GUI Client在 WINDOWS上安装的最小需求安装之前的准备工作安装软件总过程配置防火墙总过程具体安装过程安装Licenses启动GUI ，定义网络对象定义平安策略Rule Base定义NAT创立一个管理员帐号 Administrator创立一个GUI CilentKey Hit SessionCertificate AuthorityFingerprint指纹高可用性HAHigh Availability首先明确两个概念：V

2、PN/FW Moudule；部署在网关上，其平安策略在 Managerment Server 上创立并编译后下载到Moudule上执行。它可以安装在多种硬件平台上。它包括两局部：一、检测模块：根据平安策略对所有通过它的通讯进行检测。二、平安效劳器：提供认证和应用层的内容平安。Managerment Server：在Policy Editor GUI上定义的平安策略，最后保存在Managerment Server上。它的主要工作是维护CHECK POINT 数据库，包括：定义的网络对象，定义的用户，LOG文件等。VPN/FW Moudule 或者 Managerment Server 在 WIN

3、DOWS上安装的最小需求：操作系统：NT 、WIN2000CPU：PII300以上硬盘剩余空间：40M内存：128MGUI Client在 WINDOWS上安装的最小需求：操作系统：WIN9X、WIN ME、WIN NT4+SP6、WIN2000professional硬盘剩余空间：40M内存：128M安装之前的准备工作在安装 VPN-1/FW-1的计算机去掉不需要的效劳，例如：NETBEUI、FTP、HTTP server保证内网、外网、DMZ区都能互通ping关闭WINDOWS上的 IP Forwding，该功能由VPN-1/FW-1来控制。验证DNS：在内网浏览一个外部知名网站，能访问即

4、可。定义IP地址：记下准备分配给计算机各网卡的IP地址备用。在计算机的DOS状态下键入 config /all，即可显示各网卡的IP地址确认网关计算机名与外网卡的IP地址相对应目的是为了确保在把网关定义为一个网络对象时见二、1、通过点击 get address 时，可以自动获得IP地址，如果不能获取，IKE加密过程会不正常。决定在那台计算机上以下安装软件module、management server、GUI，如果是安装单网关产品，module、management server、GUI可以安装在同一台计算机上，当然GUI也可以安装在另一台计算机上进行远程控制。确认计算机的操作系统软件版本和平

5、台与VPN/FW组件相对应如果安装前已经有VPN/FW在本机上运行，那么，把他们退出运行包括GUI安装软件总过程在安装软件module、management server之前把计算机从网络上断开，安装完毕再接入网络中在网关设备/计算机上安装VPN/FW module在management server 上安装VPN-1/FW-1在管理工作站上安装GUI Client以上过程安装完毕之后，把他们接入到网络中去，并验证他们与网络的连通性。在management server 上定义 GUI主机在management server 上定义管理员帐号具备管理平安策略的权限把以上计算机连接到网络中，并保

6、证对网络的连通性配置防火墙总过程启动GUI Client 连接到management server 创立平安策略定义网络对象，定义添加GUI Client主机名、定义管理员并设置权限。定义组，并把用户参加组定义 Rule base 平安策略外网用户只能访问DMZ区内网用户可以访问 内网、外网、DMZ区管理员可以从任何IP地址TELNET登陆到DMZ区的SMTP、WEB、FTP效劳器定义NAT在本地验证平安策略的正确性把平安策略分发到安装到VPN-1/FW-1 Moudule 的计算机上。通过菜单 policy?install具体安装过程在WINDOWS中插入光盘会自动运行SETUP程序。在第一

7、个画面for evaluation:当你仅需要作测试时点击该项，并且保证你手头有评估用的临时LIENCESfor purchased product:NEXT: 当你手头已经有正式LIENCES时，点击该按钮在license agreement 页面，选择YES在Product Menu页面，选择你所购置的产品，一般选缺省项，点击 NEXT在Server/Gateway Componentss页面，选择你所要安装的具体模块，点击NEXT说明：A、如果仅仅是在其他管理工作站上安装CLIENT，那么在以上页面只选中Management Client即可。B、安装过程自动安装SVN Foundati

8、on ，SVN用于除GUI Client以外的所有NG产品。在VPN-1/FW-1 Enterprise Product 页面选择安装在本机上的产品的类型。Enterprise Primary Management 在第一台计算机上安装 SERVEREnterprise Secondary Management 在第二台计算机上安装 SERVEREnforcement Module & Primary Management 同时安装SERVER 和 MODULEEnforcement Module 只安装 MODULE在Backward Compatibility页面，选择是否支持向下兼容：I

9、nstall with backward compatibility. 如果你需要管理 CP ModuleInstall without backward compatibility.在Dynamically Assigned IP Address页面，选择是否使用动态分配IP地址？在Choose Destination页面，显示CP安装的缺省路径，建议不要更改，否那么以后还需要设置环境变量，很麻烦的。选择Management Client 要安装的具体内容，无论用不用，最好都选中安装完毕，重新启动计算机。安装Licenses GUI Cient不需要Licenses获取Licenses：所有

10、CP产品都需要相应的Licenses来激活，GUI除外。如果你购置了正版的CP软件，那么在包装上会有一个 Certificate Key，例如是：“CK0123456789ab你可以通过它来获取一个临时Licenses，有效期一个月，而后可以获取永久Licenses，具体方法咨询你的集成商。如果你没有购置正版的CP软件，但是你想作测试，你也可以通过神州数码协调索取临时Licenses做测试。安装Licenses：你必须有Licenses才能使用CP产品，如果没有在安装配置过程中输入Licenses，你还可以按照下面的步骤安装Licenses，Licenses应安装在 Management se

11、rver 和 Module上。在cpconfig Licenses 页面只能管理本机要集中管理多个Licenses只能通过SecureUpdate。在该页面有3项内容需要设置：IP Addreess： 本机外网卡的IP地址，在申请Licenses时提交的。Expiration Date： Licenses的过期时间，如MAY 25，2002。SKU/Feature： 例如：CPSUITE-EVAL-3DES-v50Signature Key： 例如：SAFGGGEEF SDFDSFDS SDFSWER SDFSERWT手动填写完毕，点击按钮“Calculate来计算你的输入是否有误。安装Lic

12、enses也可以通过直接从文件一般是EMAIL发来的TXT附件中获取，启动GUI ，定义网络对象启动GUI，输入你的用户名，口令，和效劳器名，进入Policy Editor界面。定义网络对象的一些考前须知：在CP数据库中不需要定义Primary Management Server的对象。一般地，在平安策略中没有必要涉及Management Server。Management Server根据其数据库中的定义，可以自动与其他CP Module之间建立加密通讯。相反，你必须明确的定义所有安装Module的计算机。在以下窗口中创立一个FWALL对象：翻开以上窗口有3种方式：A、在菜单“Manage中

13、选择“Network Objects然后点击“NEWB、在对象工具条上点击图标C、网络对象树中点击图表填写FWALL对象的各项内容A、NAME： 键入该计算机的HOSTNAMEIP Address；键入外网卡IP地址Cvomment: 对该对象加以注释或描述TYPE类型： 选择Gateway 如果是GUI可选择HOSTCP Products Installed：选择本机安装的CP版本：这里选择“NGObject ManagementManaged by this Management Server(internal): 如本机同时安装SERVER 和ModuleManaged by anoth

14、er Management Server(internal): 与以上相反Communication按钮：点击后出现：输入ONE-TIME 口令，开始与Management Server进行第一次通讯，点击“Intitaliza按钮，此时，Management Server会加密发出签名认证到FWALL上，用于建立Management Server与Module 之间的信任关系。如果返回的Trust state是“Trust Establish，那么说明二者之间的信任关系已经建立。点击“CLOSE添加一个接口Interface在以下窗口中点击“Topology定义接口的最简单的方法就是点击上图

15、中的“GetTopology按钮，可以直接获取接口信息。祥见以下图：当然，你也可以手动定义接口信息：通过点击上图中的“ADD按钮即可然后输入每个接口的NAME、IP 地址、子网掩码，是内网卡还是外网卡最终的定义结果如下：定义内网loaclnet定义该网络的NAME、IP 地址、子网掩码，注释内容，是否把播送地址看作网络的一局部定义DMZ区网络具体内容同上定义DMZ区中的WEB、FTP、MAIL SERVER 主机输入该主机的 NAME、IP 地址、子网掩码，注释内容，TYPE类型选择HOST不要选中“CheckPoint product installed创立Users在以下图中点击“ADD，

16、缺省只显示标准用户的模板，然后输入该USER的用户名，设置其认证方法为操作系统口令。定义平安策略Rule Base在定义完网络对象和USER之后，就可以开始定义平安策略了。点击工具栏中的图标，来添加一条策略了1、缺省的一套丢弃一切包的策略必须更改。2、开始定义策略，以上的 SOURCE源设备或地址、DESTINATION、目的设备或地址SERVICE：效劳ACTION：对应的操作TRACK：是否跟踪INSTALL ON：安装位置TIME：时间以上所有内容都可以通过点击对应的位置来选择对象3、以下举例说明：第一条：任何设备、地址对FWALL的访问都拒绝响应，并记录下来，发送告警第二条：内网可以访

17、问除了FTP效劳器之外的所有地址或设备。第三条：内网对FTP效劳器的访问，只开放了FTP效劳，其他效劳均被拒绝第四条；所有网络或地址均可通过SMTP协议访问EMAIL效劳器第五条：所有网络或地址均可通过HTTP协议访问WEB效劳器第六条：Managers用户组内的所有成员均可通过TELNET协议访问FTP效劳器，但是必须通过口令认证。第七条：除以上允许的策略外，其他所有通过FWALL的通讯都被拒绝。注意：以上只是个例子，绝对不可照搬！你必须根据你公司的网络拓扑和实际需求情况制定自己的平安策略。4、在本地验证你的平安策略5、验证无误，下发你的平安策略到相应的FWALL上去。在“Policy菜单上

18、选择“Install来下发你的平安策略定义NAT1、有两种方法可以进行IP地址转换，Hiding：把你所有的非法IP地址隐藏在合法地址之后，优点：你仍使用你已有的有限的合法地址缺点：外网不能建立与非法地址主机的连接。Static；静态转换，在一一对应的根底上实现非法地址与合法地址的转换对应优点：外网能建立与非法地址主机的连接。缺点：需要太多的合法地址2、定义过程定义一台主机HOST点击“NAT标签选中“Add Automatic Address Translation Rules设置“Hide和“StaticNAT公网地址创立一个管理员帐号 Administrator必须至少定义一个管理员，否

19、那么将无人能管理SERVER输入NAME，口令至少四个字符，不能有空格设定权限：主管理员最好选 Read/Write All，对于其他级别的管理员可以分别单独设置其权限。对于并发会话几个管理员同时登陆的处理为防止几个管理员同时修改一个平安策略，VPN/FW执行一个锁定机制：即假设干管理员可以同时浏览一个平安策略，但是只能有一个有写入的权限。管理员获得写入权限的条件是：该管理员必须具有Read/Write All的权限同一时间内没有其他管理员获得 写入的权限，如果你登陆时已经有人登陆进去，那么系统会提示你是否愿意退出登陆还是愿意以只读的方式登陆。当然，如果你愿意，你也可以了直接以只读的方式登陆，

20、在登陆界面选中“Read Only即可。创立一个GUI Cilent如果 management server 和 Module 安装在同一台计算机上，就不再需要指定GUI主机名了。如果不指定其他GUI主机名，那么，只能在同一台计算机安装的GUI上进行管理工作。在 GUI Client 页面的 Rmote Hostname 栏中输入以下五种格式的地址：计算机名：例如：CLIENTAAAAny： 表示对CLIENT计算机没有限制，但是必须在RULE BASE 中添 加明确的允许或禁止的主机的策略条目IP1-IP2：设定一个地址范围，例如-0 设定20台主机注意：如果GUI 与 management

21、 server 之间的连接通过 Module，那么，平安策略必须首先安装在 Module上，保证新创立的 GUI 能串过Module 连接到management server 。Key Hit Session为生成一个随机加密关键字的 seeds，你需要任意输入假设干字符，但是，键入每个字符应有几秒的时间间隔，不要连续输入同样的两个字符，字符输入之间的延时尽量不同。Certificate Authority该页面用于安装Internal Certificate Authority，并生成一个授权给Management Server的加密内部通讯Secure Internal Communica

22、tion (SIC) ，SIC 认证用于对CP通讯组件之间的通讯进行授权。或者对CP通讯组件与OPSEC 应用程序之间的通讯的授权。.该页面用于对Primary Management Server 与本机GUI之间的一次连接one-time link通讯进行加密。Primary Management Server沿着这条链路把认证分发到本机上，一旦认证到达本机，那么本机就可以与其他的CP通讯组件之间进行通讯。为了初始化一个Module 的通讯，在Policy Editor上输入同样的one-time口令。在GUI Client上连接到Management Server，并翻开Policy Ed

23、itor，创立一个Module对象，设置一个NAME，和一个IP地址在General Propeties页面，选择 Check Point Gateway ,点击“Communication输入口令。在进行下一步以前必须确保在Module上已经启动 SVN Foundation效劳和 VPN-1/FW-1 效劳，并且保证 Module和Management Server能够进行IP通讯点击“Intalize按钮，开始 Module 的初始化进程。此时，签名认证被加密传输到Module上。Trust State栏会报告Module 的状态：在Management Server上的ICAInternernal Certificate Authority发出认证Certificate ，并且已发送到Module上之后，就算建立起了Trust State信任状态如果Module 被初始化或者 RESET，那么，cpconfig 中报告的Module的信任状态将和 Policy Editor 中报告的不同。cpconfig 中报告的Module的信任状态有以下三种：Uninitiali