VSX开通指导书可编辑

©2012CheckPointSoftwareTechnologiesLtd.Allrightsreserved.P.PAGE122©2012CheckPointSoftwareTechnologiesLtd.Allrightsreserved.P.PAGE1目录1 .防火墙介绍 21.1 CheckPoint12407 21.1.1 12407功能特性 21.1.2 12407面板接口说明 31.2 术语介绍 41.3 实验拓扑如下 52 .虚拟防火墙系统配置指南 52.1 初始化虚拟防火墙系统配置 52.1.1虚拟防火墙系统初始化 52.1.2SmartCenter安装 143 GAIAVSX虚拟系统配置 223.1创建VSXGateway 223.2创建虚拟防火墙VirtualSystem 293.3虚拟防火墙路由接口的配置 293.4启用软件刀片和定义策略 323.5 防火墙对象和策略配置 333.5.1 配置网络对象 343.5.2 配置服务对象 373.5.3 防火墙策略配置 393.5.4 配置网络地址转换(NAT) 433.5.5 限制用户每秒新建连接数 473.5.6 会话老化时间配置 474 入侵防护(IPS)策略的配置 484.1 IPS浏览 484.2 IPS配置 494.2.1 定义执行IPS的防火墙 494.2.2 定义IPSProfile 514.2.3 配置Protections 544.2.4 配置GeoProtection 554.2.5 配置NetworkExceptions 564.2.6 IPS安全更新 564.2.7 FollowUp选项 584.2.8 Advanced选项 584.3 禁用IPS 585 防火墙维护和监控 595.1 SmartDashboard 595.1.1 使用DataBaseReversionControl 595.2 SmartViewTracker 635.2.1 SmartViewTrackerMode 645.2.2 工具栏介绍 655.2.3 使用Filter 655.2.4 配置策略Track 665.3 SmartViewMonitor 675.3.1 配置Monitor 675.3.2 监控Gateway状态 685.3.3 监控Traffic 695.3.4 监控SystemCounters 705.4 SmartUpdate 705.4.1 申请防火墙License 715.4.2 安装安全更新 745.4.3 管理License 755.5 性能优化 766 SmartCenter备份恢复 786.1 SmartCenter备份和恢复 786.2 GAIA系统管理常用命令 817 完整配置示例 827.1 WorkingwithVirtualSystems 827.1.1 网络规划及拓扑图 827.1.2 IP地址规划 827.1.3 具体配置 827.2 WorkingwithVirtualSwitchandVitualSystem 957.2.1 网络规划及拓扑图 957.2.2 IP地址规划 957.2.3 具体配置 967.3 VSXCluster 1167.3.1 网络规划及拓扑图 1167.3.2 IP地址规划 1167.3.3 具体配置 117

.防火墙介绍CheckPoint1240712407功能特性CheckPoint12407安全平台是一种下一代高端安全设备，专门用于满足大企业及服务供应商苛刻的性价比要求和万兆级以太网吞吐量要求。CheckPoint12407安全平台只有2个机架单位高，CheckPoint的新型设备将快速网络处理技术与高性能多核能力结合在一起，提供最高层次的安全性，同时不会降低网络速度，保证你的数据、网络。12407设备是一种数据中心级平台，提供高级冗余和模块化。除了两个板载1GB铜以太网端口，三个可用扩展槽，可用于配置各种网络选项，如1GB以太网铜、1GB以太网光纤和10GB以太网光纤连接。CheckPoint12407设备通过热插拔冗余电源，热插拔冗余硬盘驱动器（RAID）和带外管理高级LOM卡等特点提供业务连续性和可用性。这些特点组合一起，可保证当这些设备部署在客户网络中时实现较高程度的业务连续性和可用性。CheckPoint12407群集和虚拟路由器冗余协议（VRRP）等功能。CheckPoint12407可与目前经过CheckPoint认证的PMC接口卡互操作，为客户提供更有效的投资保护。此外，CheckPointSmart-1可帮助实现对多台CheckPoint12407安全设备的集中远程管理。项目CheckPoint12407防火墙性能25GbpsVPN性能3.5GbpsAES256最大并发会话5000000每秒新建会话110KVPN隧道数3KIPS性能12Gbps最大策略数Nolimitation10/100/1000Base-T/Max端口10/261000Base-FSFP(最大端口数)1210GBase-F（最大端口数）12AUX接口1Console1USB接口212407面板接口说明CHECKPOINT12407防火墙外观图ItemComponent12Harddiskdrives2SystemLEDs3LCDscreen4keypad5Consoleport6Managementport7LOMport8Expansionlinecard9USBport10Synchronizationport11Expansionlinecard12ExpansionlinecardCHECKPOINT12407防火墙后电源指示灯ItemComponent1Mainpowerswitch2Powersupplyunits术语介绍术语/定义描述GAIACheckPointIP平台防火墙底层操作系统，是基于FreeBSD类似UNIX的OS，经过优化和安全加固，支持CheckPoint增强路由和防火墙功能。支持telnet、ssh、CLI和web界面等管理方式.NetworkVoyagerNetworkVoyager是管理IPSO、基于Web界面的软件，主要用来配置接口IP地址、路由、VRRP等，也可以监控网络流量、设备物理状态等，同时也提供在线文档。BootmgrBootmanager是IPSO系统的引导系统SecurePlatform/SecurePlatformProCheckPointUTM-1、Power-1和Smart-1等平台防火墙底层操作系统，同时集成了CheckPoint软件，包括Firewall、VPN等软件刀片。支持ssh、web界面等管理方式，主要用来配置主机名、接口IP、静态路由、时区等，动态路由、SNMP等其他设置需通过CLI配置Expert专家模式，是SecurePlatform操作系统的高级模式，通常可以配置和修改防火墙更多的属性和使用更多的Unix命令。IPS入侵防御系统，是针对网络攻击、蠕虫病毒、以及网络和操作系统漏洞进行主动防御的安全功能模块。SecurityGateway/FirewallModule是指CheckPoint防火墙安全网关，通常也称是防火墙模块或者安全策略执行点。SmartCenter集中防火墙的管理服务器。用来集中管理防火墙设备，有Standalone(独立)和Distributed(分布式)两种部署模式Standalone：安全网关和安全管理服务器安装在同一台设备上Distributed：安全网关和安全管理服务器安装在不同设备上SmartConsole管理客户端组件(GUI)。包括SmartDashboard、SmartViewTracker、SmartViewMonitor和SmartUpdate等，用来添加网络对象、网段、对象组等，以及定义服务、添加策略、配置NAT、安装策略等，防火墙管理的大部分工作都通过SmartConsole完成，它需要首先连接到SmartCenter才能进行防火墙管理操作。具体各组件功能请参考后续章节License防火墙License分两种：LocalLicense：用于SmartCenter的Standalone部署模式，License绑定防火墙管理接口IP地址CentralLicense：用于SmartCenter的Distributed部署模式，License绑定管理服务器IP地址实验拓扑如下拓扑描述如下.虚拟防火墙系统配置指南初始化虚拟防火墙系统配置2.1.1虚拟防火墙系统初始化VSXGateway安装从光盘启动，进入安装向导，选择“InstallGaiaonthissystem”进入安装向导选择“OK”，进入下一步选择“OK”进入下一步手动配置磁盘分配，建议Logs区多留些空间，配置Web界面管理帐号密码，用户名默认为“admin”，配置管理口地址选择“OK”安装完成，设备重启WEB方式初始化防火墙在命令行完成初始化GAIA基本配置后，需要以WEB方式登陆，enable接口准备pc主机一台、网线一条，将网线连接到防火墙设备此前定义的接口，配置pc主机IPIP地址： 2/24在IE的地址栏中输入打开登录网页，用户名为“admin”，密码为此前命令行设置密码登录设备进入设备登录界面后，开始初始化.设置时间,时区设置设备主机名,dns.设置端口地址选择securitygatewayorsecuritymanagement选择securitygateway（如果火墙是分布式部署）输入sic秘钥：该秘钥为防火墙与smartcenter通信所需一次性秘钥初始化完成设备重启后，进入Web配置界面，将所有端口“enable”双击防火墙接口对象呈现：点击enable选项，选择OK2.1.2SmartCenter安装从光盘启动，进入安装向导手动配置磁盘分配，建议Logs区多留些空间配置Web界面管理帐号密码，默认用户名为“admin”，配置SmartCenter地址，这里需要设置默认网关，便于以后更新IPS，AV，APP，Anti-bot等安全特征库安装完成，重启，重启后，通过Web输入进入配置向导进入配置向导，选择“Next”，设置时间和时区，“Next”，设置主机名和DNS，“Next”，校验之前输入的SMCIP地址，选择“SecurityGatewayorSecurityManagement”,因为这里是安装SmartCenter，所以按照如下选择，设置SmartCenter管理员帐号，“Next”，选择“AnyIPAddress”，“Next”,开始安装组件，设备重启后，进入Web配置界面，下载“SmartConsole”GUI管理客户端下载好后，双击执行SmartConsole的安装，默认配置，一路执行，GAIAVSX虚拟系统配置3.1创建VSXGateway注：VSX虚拟防火墙的所有配置均在SmartDashboard中完成！点击已经安装好的R76SmartDashboard，输入SmartCenter地址和帐号，登录（SMCIP:，Username:admin，Password:1qaz2wsx）出于安全性考虑，第一次登录会弹出指纹校验，选择“Approve”继续，弹出配置页面创建VSXGateway对象，右键单击“CheckPoint”→“VSX”→“Gateway”选择“yes”，在一般属性配置页面中配置以下参数：VSX网关名称：该名称不能包含空格或除了下划线之外的特殊字符VSX网关IP地址：管理接口的IP地址VSX网关的版本：在VSX网关从下拉列表中选择安装VSX版本选择创建模版创建模板页提供预定义的，默认的拓扑结构和路由定义，这确保虚拟系统是一致的，使得整个定义过程比较快速。默认创建模板选择如下：共享接口：虚拟防火墙系统共享一个外部接口，但保持独立的内部接口；独立的接口：虚拟防火墙系统使用自己独立的内部和外部接口，此模板默认情况下创建一个专用的管理接口（DMI）。如果默认的模板是不恰当的，你可以创建一个自定义的配置；自定义配置：自定义虚拟防火墙系统，虚拟路由器，虚拟交换机和接口配置。这里作为示例我们选择第一项“共享接口”，在VSXGateway和SmartCenter之间初始化安全内部通信的信任，如果没有信任，网关和管理服务器无法通信。输入SIC一次性密码，建立对VSXGateway的管理点击“Initialize”初始化SIC通道，如下图显示“信任关系建立”，在VSXGateway的接口窗口中，定义支持VLANTrunk的物理接口，该选项可以节省接口数量，使得从内部接入的接口可以识别各种VLAN信息，从而将接入流量定向到内部不同的虚拟防火墙来做处理！根据之前的Topo，这里无需选择VLANTrunk，所以不做任何选择！配置跟外部通信的物理接口，在“VSX网关管理”窗口中，可以定义保护VSX网关的安全策略，这个政策会自动安装在新的VSX网关上。注意：此政策只适用于指定的VSX网关的流量，虚拟系统、其他虚拟设备、外部网络和内部网络定制的流量都不受这个策略影响。安全策略由这些服务的预定义的规则组成：UDP-SNMP请求TCP-SSH通信ICMP-请求和回包（Ping）TCP-HTTPS流量选择“yes”,完成配置，初始化创建过程。VSXGateway创建成功3.2创建虚拟防火墙VirtualSystem右键单击之前创建好的VSXGateway，选择VSX→VirtualSystem，输入虚拟防火墙的名称，如“VS1”，选择继承之前“VSXGateway”定义的属性，3.3虚拟防火墙路由接口的配置按照之前拓扑结构定义VS1的外网口和内网口，网关虚拟防火墙VS1创建，按照之前创建VS1的流程和拓扑创建VS2和VS3！VS2：VS3:3个虚拟防火墙VS1，VS2，VS3创建完成！3.4启用软件刀片和定义策略本文档定义了3个VirtualSystem，及3个虚拟防火墙，每个虚拟防火墙的刀片启用和策略定义跟物理的实体墙一样，这里以VS1为例，其他不做重复描述！软件刀片启用双击VS1虚拟防火墙对象，勾选相应的软件刀片，如下：软件刀片对应的策略在每个标签页做相关配置策略加载选择相对应的虚拟防火墙SmartViewMonitor针对每个虚拟防火墙实施监控防火墙对象和策略配置==============================================================================注意事项:进行防火墙策略配置时，网关对象、主机、组等与策略相关的对象在定义是不能采用中文进行，只有在注释项能采用中文。配置网络对象在前文了解CheckPoint防火墙管理构架后，下面就从防火墙管理的第一步开始，首先登录到SmartConsole，点击“开始”，“程序”打开安装好的SmartConsole文件，如下图配置主机对象 定义防火墙策略时，如需对IP地址进行安全策略控制则需首先配置这个对象，下面介绍主机对象配置步骤，在“NetworkObjects”图标处，选择“Nodes”属性上点击右键，选择“Node”，点击“Host”选项，定义主机对象的名称，IPAddress属性，同时可按照该主机的重要性定义颜色，配置完成后点击OK，主机对象创建完成。项目GeneralProperties主机一般属性定义（必配）Topology主机对象接口定义（选配）NAT主机对象NAT配置（选配）Advance主机高级属性配置（选配）配置网段对象 定义防火墙策略时，如需对网段进行安全策略控制则需首先配置这个网络对象，配置步骤如下，在防火墙“Network”属性上点击右键，选择“Network”，选项，定义网段名称，比如DMZ，Internal，建议根据网段所处位置定义，配置网段地址和子网掩码，如有必要可以添加注释(Comment)，配置完成后点击确认。项目General网段一般属性定义（必配）NAT网段对象NAT配置（选配）配置网络组对象 如果需要针对单个IP地址、IP地址范围或者整个网段进行安全策略控制，可以将这些对象添加到网络组，如下在防火墙“Group”属性上点击右键，选择“SimpleGroup”选项，项目SimpleGroup一般组对象定义GroupWithExclusion排除组中特例对象定义如下图从左面的“NotinGroup”对象中选择需要添加到“InGroup”对象中，配置完成后点击OK即可。配置地址范围对象 除了配置IP地址，网段，也可以指定地址范围(IPrange)，地址范围对象配置步骤是，如下在防火墙“Network”属性上点击右键，选择去掉“Donotshowemptyfolders”选项，让IPRange配置属性显示出来。配置“AddressRage”，选择“AddressRanges”，如下图；输入地址的名称、起始IP地址与结束IP地址，完成后点击OK即可.注意事项：地址范围对象如果能利用网段对象进行配置，尽量利用网段对象进行创建。===============================================================================配置服务对象配置TCP服务对象CheckPoint防火墙内置了预定义的近千种服务，包括TCP、UDP、RPC、ICMP等各种类型服务，通常在定义防火墙安全策略时，大多数服务已经识别并内置，因此无需额外添加，但也有很多企业自有开发程序使用特殊端口需要自行定义，下面介绍如何自定义服务，如下图所示，点击第二个模块标签，即Services，已经预定义多种类型服务，用户根据需要自定义新的服务类型，下面举例定义TCP类型服务，右键点击“TCP”，选择“NewTCP”，如下图，可以点以单个TCP服务端口服务对象，如果是一段端口，可以定义端口范围。以上举例新建TCP协议的端口服务，如需定义UDP协议或其他协议类型按照同样流程操作即可。配置UDP服务对象如下图所示，点击第二个模块标签，即Services，已经预定义多种类型服务，用户根据需要自定义新的服务类型，下面举例定义UDP类型服务，右键点击“UDP”，选择“NewUDP”，如下图，可以点以单个UDP服务端口服务对象，如果是一段端口，可以定义端口范围。如果有其他特殊协议类型需要定义，如RPC、ICMP等，配置方式与TCP和UDP服务端口定义类似。注意：在定义服务时，在选择port的同时选择协议类型。防火墙策略配置配置防火墙策略步骤防火墙配置界面如图所示：在SmartDashboard上面，如需从导航条中选择添加策略，则点击“Rules”，项目Bottom在rulebase最下面添加策略Top在rulebase最上面添加策略Below在当前高亮显示策略之下添加策略Above在当前高亮显示策略之上添加策略在SmartDashboard上面,也有添加规则的快捷按钮，将鼠标停留在快捷按钮上会有提示。在下面标签中，“Firewall”是定义防火墙的策略区域也称“rulebase”或“规则库”，另外还有其他标签分别是配置不同模块功能的区域，如下图所示：项目描述Firewall定义安全策略NAT定义NAT策略IPS配置IPS软件刀片ApplicationControl配置应用控制软件刀片Anti-Spam&Mail配置垃圾邮件过滤软件刀片MobileAccess配置移动客户端VPN访问软件刀片DLP配置数据防泄密软件刀片Anti-Virus&URLFiltering配置防病毒和网址过滤软件刀片IPSecVPN配置IPSecVPN软件刀片QOS配置流量控制刀片Desktop配置移动客户端桌面安全策略点击图中快捷按钮，在规则库中添加一条策略，然后点击下图中“”，输入需要添加的地址或者网段，分别包含“SOURCE”，“DESTINATION”，“VPN”，“SERVICE”，“ACTION”等属性。项目NO安全策略的编号NAME安全策略的名称SOURCE安全策略控制的源地址DESTINATION安全策略控制的目标地址VPN安全策略是否通过VPN，没有则为默认SERVICE安全策略控制的端口、服务ACTION安全策略控制的动作，运行还是丢弃TRACK安全策略控制的审计INSTALATION安全策略在指定火墙执行TIME安全策略在知道火墙生效时间COMMET安全策略的注释网络对象取反配置配置策略举例，如果策略配置的需求是除了不允许主机C访问FileServer之外，允许其他对象文件服务器的任何访问，则我们需要运用到取反设置，配置如下；取反对象可以用在“Source”，“Destination”，用户可根据实际环境需求进行灵活配置。配置策略组当网络安全策略比较多时，需要很快找到规则库中的位置，通常建议在策略定义时培养出良好的习惯，即为不同区域和不同应用的策略划分单独的策略组。如DMZ区域策略，Internal区域策略，VPN策略等，我们将这些策略命名后放在一起，配置如下；选中策略的序号，点击右键，选择“AddSectionTitle”，如上图，可以分别根据策略的应用区域定义其标题，一会类似的策略就放在同一个策略组中，以便快速查找。项目AddRule在当前策略之上添加一条新策略Delete删除选中的策略Copy复制选中的策略Cut剪切选中的策略Paste粘贴选中的策略RuleExpiration配置策略的有效期AddSectionTitle为策略添加组标题Hide隐藏选中的策略DisableRule(s)禁用选中的策略SelectAll选中所有策略定义防火墙策略包在大规模管理上百台设备时，通常建议为不同的防火墙建立单独的策略包(RuleBase)，这样的好处是显而易见的，主要有如下好处;首先是易于管理该防火墙的管理，修改策略时，只需打开该防火墙的策略包，即可修改和配置策略，不要担心改动其他防火墙策略。其次是便于策略的优化，单个防火墙策略包只给指定的防火墙，因此不会像所有策略放在一个策略包(RuleBase)时的管理混乱。策略编译的速度会更加快，打开防火墙规则库时，在下发策略时策略可以自动下发到当前配置的策略库(Rulebase)的防火墙。默认的防火墙规则库名称叫做“Standard”，当点击下发策略时，可以选择该规则库下发到指定防火墙，如果SmartCenter集中管理多台防火墙时，我们十分建议您为不同的防火墙定义单独的策略包，这样管理方便也能优化SmartCenter对策略的校验速度。具体配置如下；点击“SmartDashBoard”导航条上“File属性”，选择“New”，项目New新建一个规则库的策略包Open打开一个已经建立的策略包Save保存当前策略包Saveas保存当前策略包为另外一个策略包Delete删除一个已经建立的策略包CopyPolicytoPackage拷贝一个策略包到另一个策略包DatabaseRevisionControl创建策略与配置数据库备份Print打印当前的策略PrintPreview打印预览当前的策略PrintSetup打印设置Exit退出点击“New”属性后，为新建的“PolicyPackage”定义名称，比如为内网防火墙定义的安全策略，该策略包保护防火墙、NAT和ApplicationControl策略，以及Qos策略等。点击“OK”，完成新建策略包。如果要打开“Standard”的策略包，则点击“Open”选择“Standard”策略包即可。======================================================================注意事项：在没有需求的时候，建议不开启QoS策======================================================================配置网络地址转换(NAT)CheckPoint防火墙可以灵活的配置StaticNAT（基于一对一的静态NAT），ManualNAT(多端口对应一个地址的端口NAT)，以及HideNAT(地址隐藏在单个IP之后的NAT)配置HideNATHideNAT配置通常是把需要保护的私有地址的网段隐藏在一个公网地址之后实现访问Internet的功能需求，内部私有地址可以隐藏在防火墙的公网之后访问Internet，也可以是隐藏在一个单独的地址之后访问Internet。具体配置如下；通常是内部网段要通过防火墙访问到Internet，因此我给需要访问internet的网络对象配置NAT，Hide在防火墙后面访问到互联网；首先定义内部网段对象，新建一个“Network”配置“Network”的名称，网络地址，子网掩码，然后点击“NAT”属性，项目AddAutomaticAddressTranslationrules勾选此项对该网段启用NATTranslationmethod网络地址转换的方式，静态还是端口HidebehindGateway该对象隐藏在网关后面访问出去HidebehindIPAddress该对象隐藏在一个IP之后访问出去InstallonGateway该对象的NAT策略在哪个防火墙执行注意，点击“OK”之后，此时在NAT页的标签里会自动生成NAT的策略；根据NAT策略的匹配顺序，第一条策略是该网段的互访不需要做NAT转换，会优先匹配，第二条策略是该网段访问到任何地方会自动以防火墙的地址访问出去。内网网段的HideNAT做好之后，还需要定义防火墙策略允许内网的访问。配置StaticNATStaticNAT的配置即一对一的NAT配置，比如发布DMZ区域服务器到Internet，或者其他内网发布到Internet的需求。具体配置如下；首先选择需要对外发布应用服务的“Node”主机对象，双击该对象，出现如下图所示界面，选择“NAT”属性，点击“NAT”选项，弹出如下页面，项目AddAutomaticAddressTranslationrules勾选此项，对该网段启用NATTranslationmethod网络地址转换的方式，选择StaticTranslatetoIPAddress配置该对象NAT后的地址InstallonGateway该对象的NAT策略在哪个防火墙执行如果是内网服务器对外发布应用端口，则需要在配置完成NAT后，再添加安全策略，如下“Any”访问到“Web-Server”的“http”服务都“Accept”并且记录“log”。配置ManualNAT配置手工(Manual)NAT通常是在公网IP地址不够或者其他原因的前提下使用，比如只有一个公网地址，并且配置在防火墙的外网口，但企业内部多个服务器需要对Internet分别发布HTTP或者FTP服务。因此我们分别将防火墙公网IP的HTTP80端口，FTP21端口分别映射给内网主机A和主机B，具体手工NAT策略的配置如下，首先配置防火墙外网口地址为一个主机对象，命名为“FW-Ext-IP”,然后在“NAT”规则库中手工添加如下NAT策略。如上图所示，手工NAT配置就完成，然后在“Firewall”规则库中定义防火墙安全策略允许外网访问即可。配置IPPoolNAT如果需要实现多个网段给一个IPPool做NAT，具体配置是在NetworkObject中先定义NAT地址IPPool的公网地址范围，定义IPPool的名称和公网地址范围，然后，定义ManualNAT策略，新增加一条NAT策略，配置从Internal_Net到任何地址的任何服务，替换成NAT_IP_Pool的地址出去。然后定义防火墙策略，允许Internal_Net到Internet的安全策略。如下图所示；注意事项：在进行IPPoolNAT配置时检测进行arp静态绑定，详见介绍======================================================================限制用户每秒新建连接数如下图所示，在IPS模块中定义网络防护，选择IPSIPandICMPNetworkQuotaChangeAction为PreventEditAllowupto100connectionspersecondfromthesamesource.会话老化时间配置配置会话防老化需要在SmartCenter全局属性中配置TCP、UDP或者ICMP协议类型的会话时间，修改全局属性，将对所有管理的防火墙生效，配置会话老化时间的具体步骤如下：点击“SmartDashboard”导航条中“Policy”选项，然后选择“GlobalProperties”，打开全局属性配置。然后，在“GlobalProperties”全局属性中选择“StatefulInspection”选项，项目TCPstarttimeoutTCP三次握手第一个会话包发起时间超时设置TCPsessiontimeoutTCP会话建立后在火墙会话表中保持时间超时TCPendtimeoutTCP会话结束FIN包发送超时设置UDPvirtualsessiontimeoutUDP会话开放时间超时设置ICMPvirtualsessiontimeoutICMP的虚拟会话时间超时设置OtherIPprotocolsvirtualsessiontimeout非TCP、UDP、ICMP协议超时时间设置TCP默认超时时间是3600秒，用户可根据需要修改，将会话超时时间减少可以提高防火墙处理会话的效率，降低防火墙负载。入侵防护(IPS)策略的配置CheckPoint防火墙基础IPS软件刀片，IPS是一个入侵防御系统，通过分析流量内容来检查它是否对你的网络存在风险。IPS全面保护网络、服务器和操作系统安全，使其免受网络攻击、程序漏洞、以及恶意代码和间谍软件、蠕虫爆发等带来的网络安全威胁。IPS浏览登录SmartDashboard，点击IPS选项卡，出现如下图IPS策略配置界面，左侧是IPS策略导航面板，右边是配置界面，项目描述Overview查看IPS状态、活动和安全更新等EnforcingGateways执行IPS防护的安全网关列表Profiles定义IPS配置文件Protections各种防护配置GeoProtection按照源或目的国家执行防护NetworkExceptions定义不执行IPS的资源DownloadUpdates手动或自动更新IPS安全数据库FollowUp跟踪作了标记的防护AdvancedHTTP检测IPS配置定义执行IPS的防火墙打开IPS->EnforcingGateways，可以查看目前运行IPS的安全网关，双击Gateway进行编辑。在Firewall选项卡，打开NetworkObjects->CheckPoint，双击要启用IPS的防火墙对象，选中IPS选项，即在该防火墙上启用了IPS。在IPS页面，“AssignIPSProfile”为该网关分配一个IPS配置文件。“Protectinternalhostsonly”只保护内网主机。“PerformIPSinspectiononalltraffic”对所有流量执行IPS检测，此选项将占用更多防火墙资源。选择“BypassIPSinspectionwhengatewayisunderheavyload”和“Track”“log”，防火墙在高负荷下不再执行IPS检测并记录log，可在“Advanced”处定义当CPU在什么范围时为高负荷。FailoverBehavior“Prefersecurity”优先考虑安全性，关闭不能执行IPS检测的连接；“Preferconnectivity”优先考虑连通性，尽管IPS检测不能执行仍保持连接可用定义IPSProfile打开IPS->Profiles页面，可以查看当前已定义的IPS配置(Default和Recommended为系统自定义配置)点击New->Createnewprofile可以手动创建一个IPSProfile说明：两种IPSMode：’Prevent’检测到异常，阻止连接；’Detect’只检测不阻止’ActivateprotectionsaccordingtoIPSPolicy’根据IPSPolicy激活相关防护；’Activateprotectionsmanually’手动激活相关防护，选择此项后’IPSPolicy’页面所有选项为灰色打开’IPSPolicy’见下图ClientProtections’保护客户端ServerProtections保护服务器Donotactivateprotectionswithseverity’不激活危害性为指定级别或以下的防护Donotactivateprotectionswithconfidence-level不激活信任级别为指定或以下的防护Donotactivateprotectionswithperformanceinpact不激活对性能影响为指定或以下的防护DonotactivateProtocolAnomalies’不激活协议异常的防护Donotactivateprotectionsinthefollowingcategories不激知指定类别的防护在“UpdatesPolic”页面指定最新更新的防护自动设定为“Detect”还是“Prevent”，打开“NetworkExceptions”页面定义不执行IPS检测的资源(新建的Profile需要先完成创建过程才能添加排除)，点击New按钮项目描述Singleprotections选择某种防护属性Allsupportedprotections针对所有支持的防护Sorece选择源Destination选择目的Service选择服务ApplythisexceptiononallR70gateways应用此设置在所有R70或以上安全网关上Applythisexceptionon只在指定防火墙上应用此设置例如：定义IT部门主机访问Fileserver时不执行所有防护打开Troubleshooting页，点击Detect-Only按钮，则该IPSProfile只执行检测而不阻止。此功能主要用于排查故障。配置Protections打开Protections页面，可以查看所有系统内置Protections，可以按ByType和ByProtocol进行分类。双击想要配置的“Protection”，可以看到该“Protections”的类型、危害级别和对性能的影响等信息，以及它在各IPSProfile的“Action”。如下图“Protections”在“Default_ProtectionProfile”下未激活，在“Recommended_ProtectionsProfile”下是阻止动作。项目描述Edit修改该Protections在相应IPSProfile的配置ChangeAction修改该Protections在相应IPSProfile的Action‘PreventonallProfiles’:在所有Profile的Action设置为Prevent‘DetectonallProfiles’:在所有Profile的Action设置为Detect‘DeactivateonallProfiles’:在所有Profile禁用该ProtectionFollowUp‘MarkforFollowUP’:作标记，用于跟踪‘UnmarkforFollowUP’:如果已作标记，此选项才可用，用于取消标记‘EditFollowUpCommont’:编辑标记备注ViewLogs跳转到SmartViewTracker，查看IPS日志若要修改该Protection在某个Profile的配置，双击相应Profile项目描述ActionaccordingtoIPSPolicy根据IPSPolicy定义ActionOverrideIPSPolicywith手动指定Action，此设置重置IPSPolicy定义的ActionTrack记录日志CapturePackets抓包，用于故障排查配置GeoProtection打开“GeoProtections”页面，可以配置允许或拒绝去往或来自某个国家的流量。首先配置“Profile”和“Action”，即是否为指定“IPSProfile”激活“GeoProtection”。PolicyforSpecificCountries：只有激活后才可以针对指定国家添加Policy，点击Add按钮项目描述Country选择国家Direction选择方向Action执行的动作,AlloworBlockTrack跟踪选项，Log或AlertPolicyforothercountries：除了以上指定国家，为其他国家设置策略。配置NetworkExceptions打开NetworkExceptions页面，设置不执行IPS检测的资源，点击New新建排除规则，选择应用到哪个IPSProfile。项目描述Singleprotections选择某一种ProtectionAllsupportedprotections针对所有支持的防护Sorece选择源Destination选择目的Service选择服务ApplythisexceptiononallR70gateways应用此设置在所有R70或以上安全网关上Applythisexceptionon只在指定防火墙上应用此设置IPS安全更新打开DownloadUpdates页面，显示最新更新日期及版本。点击UpdateNow，现在更新IPS数据库。输入CheckPointSupportAccount进行更新，更新及安装过程需要一段时间点击ScheduledUpdate配置IPS按计划更新项目描述Editschedule制定更新计划User更新帐户Onupdatefailureperform更新失败后尝试次数OnSuccessfulupdateperforminstallpolicy更新成功后安装策略点击OfflineUpdate，选择更新包，可以执行离线更新‘ApplyRevisonControl’:更新前保存配置并创建数据库备份‘Checkfornewupdate…’:登录SmartDashboard时即检查IPS更新。FollowUp选项打开“IPS”“FollowUp”选项，可以查看已标记的“Protections”，“Marknewlydownloadedprotectionsforfollowup”最新下载的“Protections”自动作标记。点击“Mark”按钮可以手动指定“Protection”作标记；右击所选“Protection”可取消标记。Advanced选项“HTTPinspection”：“EnableHTTPinspectiononnonstardardportsfortheIPSBlade”启用非标准端口的http检测禁用IPS打开SmartDashboard，登录SmartCenter，双击打开防火墙对象，取消IPS选项，确定退出，安装策略即可。防火墙维护和监控SmartDashboardSmartDashboard是SmartConsole的重要组件，大多数管理工作是通过SmartDashboard来完成。主要用来添加网络对象、定义服务、配置NAT、添加和安装策略、以及配置其他软件刀片(VPN、IPS等)等，同时检查策略配置，以及审核策略都需要通过该模块操作。有关SmartDashboard的使用，请参考2.5节。使用DataBaseReversionControl在开始介绍使用SmartDashboard之前，先推荐一个有用的工具，该工具能帮助管理员快速错误的策略配置中恢复到此前的备份，因此建议管理员在做不确定的变更前经常使用该工具做好配置容错机制，一旦出现配置问题，能够快速恢复上一个版本的策略，具体配置如下；从file中选择“DatabaseRev