Check-point-防火墙基本操作手册V1.0

Checkpoint©2010CheckPointSoftwareTechnologiesLtd.Allrights Classification:[Confidential]ForCheckPointusersandapprovedthird[Confidential]ForCheckPointusersandapprovedthird[Confidential]ForCheckPointusersandapprovedthird文档修订记录Checkpoint管理文档 设计方案 实施文档配置文档 测试文档 其他Checkpoint201005CheckPointCheckPoint本文档中出现的任何文字叙述、文档格式、插图、照片、方法、代码等内容，除由特别注明，版权均属于以色列捷邦安全软件科技公司所有，受到有关产权及版权法保护。任何个人、机构未经以色列捷邦安全软件科技公司的书面授权许可，不得以任何方式复制或引用本文档的任何片断。Checkpoint防火墙的管理是通过一个三层架构来实现的。首先我们可以在任意的机器上安装防火墙客户端控制台，然后利用控制台的图形化界面登录checkpoint的管理服务器，定义出各个网络对象，定义企业各条策略，最后下发到防SmartDashboard是配置防火墙策略和对象的一个控制软件，我们定义对象和规则时就利用他来实现，SmartUpdateLicense，SmartViewTrackeripokDemoMode是查看防火墙的演示界面。点击DemoMode选择下拉列表框中的Advance选项可以查看Checkpoint公司定义的各项配置演示。Ctfcte（证书）选项是替代管理员用户名和密码验证的一种选择，这个证书有管理服务器生成，用户自己保存在本地，需要用它验证时点击旁边的小方块，添加这个证书，然后选择管理服kReadOnly注意：防火墙一次只可以容许一个用户以管理员身份登录，可以修改火墙配置，其他以管理员身份登录防火墙的用户，要么强制断开当前已登陆的帐户，要么以只读身份登录。上边标记处是添加防火墙规则的按钮。左边是定义各种对象的区域，有防火墙对象，主机对象，网络对象，以及组对象。右边Security已经定义的所有对象以及他们相应得属性。下面我们介绍定义对象的配置方法，如防火墙对象，主机对象，网络对象等。以及编辑这些对象属性。CheckpointNrs选择，第三是定义EDE网关设备时选择的。第四是虚拟防火墙时选择的，第五，是定义InterSpectConnectra部网关对象。这里我们只选择需要的对象，第一项，防火墙对象。然后回出现弹出界面以便我们配置其具体属性。编辑防火墙的相关属性，见图所示，所标记的地方都是必须要做相应配置的。然后点击TopologyGetinterfacewithTopology配置完成，点击ok。完成火墙配置。然后下面的配置节点对象以及网络对象都是相同意思，做好相应配NetWorksNewNetWork然后我们引用定义好的对象，制订规则。见下图：在图中我们要添加相应对象，直接在对应栏中点击右键，然后在弹出的对话框中选择相应对象。图中定义了内网到任何地方的http服务都接受，就是内网用户可以访问网页。其他规则类似，就是添上面就是定义规则的方式，规则定义是非常灵活的，我们只需要把相应对象定义出来，然后再定义访问的服务，然后是否接受就完成策略的定义了。Address地址转换功能是chckpit防火墙的一个主要功能模块，通过他我们可以很方便的把网络或者主机映射到公网，我们可以做静态地址映射，可以做地址映射，可以作端口映射。具体的操作见我们配置网络和主机属性章节，在他们属性页面中有NT一项，我们只需要编辑这一项既可实现NATNATAddressTranslationSmartDefenseSmartDefence相当于IPS，具有强大的入侵防护的功能，它可以防护针对网络层协议的攻击，应用层各种应用服务的攻击等，并且配置非常简单，如我们要启用某个防护只需要，选上其就可BTCheckpoint的日志功能是我们排出故障的有效工具，当初网络出现问题时，我们可以通过查看DROP[Confidential]ForCheckPointusersandapprovedthird[Confidential]ForCheckPointusersandapprovedthird选择第三项，SmartViewTrackerAllRecords,Firewall日志，VPN是显示的VPN 志。正中是日志显示区域 [Confidential]ForCheckPointusersandapprovedthird[Confidential]ForCheckPointusersandapprovedthirdActive攻击行为，我们可以立即阻断其攻击，具体是单击导航条中Tools，选择block。即可以采取阻我们定义了网络对象，并且制订了相应的策略，那么我们要把这些策略从管理服务器上下发到防火墙模块上，让他们执行这些策略，做访问控制保护我们的网络。所以，前面所作的那些策略真正的执行者是防火墙模块。策略的安装方式如图示：见图最上面标记出，按钮即是做策略下发，然后弹出对话框，所有的模块都将在这个界面中显示出来。我们选择规则下