Checkpoint操作手册.docx

Checkpoint操作手册文档目录lSmart Dashboard3lSmartView Tracker6lSmartView monitor8lCheckpoint网关gateway模式10lPPPOE拨号15lcheckpoint桥接bridge模式18lISP双链路接入配置20lNAT地址转换27lSSL VPN30lSite-to-site 预共享密码vpn37lSite-to-site 证书vpn （cp270与edge/safeoffice）41lRemoteAccess vpn47lIPS51l Smart Dashboard 1. 登录smart center如果是刚下发规则、首次登陆可能会提示你等几分钟，这时你只要多登陆几次就可以了。（这里补充一句，checkpoint的任何更改都要在下发规则后才会生效）2. 功能介绍登陆成功后就是下图这个界面。我们主要用到的就是check point、nodes、network这三个。Check point就是我们的防火墙、nodes是节点-即一台具体的主机：如ftp或web服务器。Network是定义的网段，有自己内外网段、也可以定义对端的内外网段（如site-to-site vpn 对端的内外网段）Ø Checkpoint属性双击checkpoint对象打开它的属性界面。基本上针对checkpoint对象的配置都在这个界面完成：如软件刀片模块的启用、网络拓扑、vpn、日志等。 Ø 更新网络拓扑一般我们在web界面修改完端口ip后都要在这里更新网络拓扑，然后再下发规则。（修改端口ip的话一般是先修改管理端口以外的端口ip，然后再从修改好了的端口web进去改之前的那个管理端口ip：例如先从wan口web进去改lan口ip、下发规则后再从lan口web去改wan口的ip）还可定义端口是外口还是内口Ø Nodes对象右击Nodes新建一个节点：例如新建内部一台ftp服务器节点，名称ftp、ip地址为ftp服务器的ip地址，如果你想把这台服务器发布出去的话，只要在下面的nat选上add automatic address translation rules即可。Ø 网段Network如果你的内部局域网有多个网段，点network右击新建网段、如下图定义好各个内网网段即可。Ø 开启NAT功能定义好内网段后还不能上网，我们需要开启nat功能并下发规则。如下图：（如果还不能上网，可能是你没有在web界面定义默认理由）3. 安装策略配置完任何firewall防火墙规则，都需要安装策略，否则规则不会生效。在web界面的更改同样也要下发。l SmartView Tracker 1. Smartview tracker 登录2. 功能界面介绍Network&endpoint：记录网络安全日志，可根据功能分类查看、日志包括源、目的、服务、时间、动作、描述。Management：记录操作checkpoint日志l SmartView monitor1. 登录smartview monitor2. 界面介绍可根据端口、服务、网段、源，来查看具体的流量。Ø Traffic-Top servicesØ Traffic-Top InterfacesØ Traffic-Top souresl Checkpoint网关gateway模式1. 网络拓扑图2. 配置步骤：1) 登录SmartDashboard2) 新建网段对象将192.168.200.0定义为内网网段inside192.168.200.0将192.168.1.0定义为公网网段outside192.168.1.03) 开启NAT功能双击inside192.168.200.0，到NAT，将add automatic address translation打上钩，确定4) 建立防火墙规则防火墙firewall建立规则，允许源地址到目标地址任何服务5) 安装规则运行install policies6) 客户端配置l PPPOE拨号1. 在checkpoint的console口命令行中，增加下面语法Expertcp# mknod /dev/ppp c 108 0 （重启设备后，这条命令会丢失，需要在启动脚本里增加） Expertcp# vi $CPDIR/tmp/.CPprofile.csh （在脚本里增加此命令）在最后增加一行 内容是mknod /dev/ppp c 108 0保存，重启设备2. web界面新建pppoe拨号External接口接到moder，internal接到交换机External接口需要自动获取ip地址（adsl线路是动态，获取到的公网ip地址是动态。）如果adsl是固定ip，External接口需要手动填写固定ip地址新建pppoe拨号拨号成功注：checkpoint拨号时候要注意，用华为moder时候，会出现不兼容现象。与中国电信商务领航moder结合使用正常l checkpoint桥接bridge模式1. 登录checkpoint的web管理界面2. 将两个接口加入桥接bridge接口配置桥接时，必须把参与桥接的端口ip去掉才能加入桥。3. 新建bridge，如下图：新建桥把Extermal和Internal添加到桥l ISP双链路接入配置网络拓扑：Isp-1线路 192.168.1.221 Isp-2线路 192.168.10.21) 登陆Checkpoint web界面配置接口ip地址Isp-1 分配到External 接口 192.168.1.221 Isp-2 分配到Lan1接口 192.168.10.2Internal接口 192.168.20.1 是内网网关2) 增加两条isp的默认路由isp-1 线路的网关isp-2 线路的网关3) 登陆smartdashboard，双击cp2704) 选择Topology，get各个网卡接口ip地址信息Lan1 与 External 都被定义为外接口 internal被定义为内接口5) Topologyisp Redundancy，把support isp Redundancy选择上Ø 在Redundancy mode中选择负载均衡模式，还是主次模式Ø 在ISP Links in order of priority 中Add建立isp-1线路Add 建立isp-2线路Ø 电信与网通的所使用DNS域名解释地址不同，分别填写各自的DNSl NAT地址转换网络拓扑：1. 新建nodes-host 2. NAT-选择手动static，指定公网ip地址3. 新建防火墙规则source是所有人，访问destination是ftpserver，server是any，动作是允许4. 安装策略5. 验证ftp服务器是否映射成功l SSL VPN1) 网管对象软件版本使用R70更改端口：SSL VPN需要使用443端口确认此端口没有被checkpoint使用。默认情况下checkpoint的路由、接口的配置使用此端口：如果此端口被使用，进入超级终端使用下列命令更换端口：webui enable <port number> (webui enable 444)此时通过端口444访问上页。2.配置SSL VPN双击checkpoint对象，添加一个远程接入团体。启用office模式，选择参与vpn的用户组（自己之前在用户和组中定义的）并定义vpn连接后分配给客户端的地址池。黑框标注的是需要定义的支持visitor模式只有启动了visitor模式，才能启动SSL VPN启动SSL VPN最后配置远程接入团体的属性，选择checkpoint网关。选择远程接入用户组，这里选择开始在office mode 中的vpngroups新建规则下发3.使用SSL VPN访问通过IE登陆VPN使用SSL VPN的客户端机器需要安装相应的ActiveX/Java控件，使用IE登录后会有相应安装提示，安装即可。登录输入用户名密码即可登陆。默认可以连接8小时。PC右下角提示连接状态5.测试l 拓扑l Ping内网接口连接成功后断开后l Site-to-site 预共享密码vpn1. 定义vpn对象Interoperable device，右击network objects新建interoprable device2. 定义site-to-site vpn community加密方式默认即可点击edit输入一个共享密钥3. 配置防火墙vpn规则l Site-to-site 证书vpn （cp270与edge/safeoffice）网络描述：总部使用静态ip地址，分部使用动态ip地址，通过证书方式来建立vpn连接网络拓扑：1. 分别在cp 270和UTM-1 edge上建立网段并做NAT，确保两台pc能正常接入外网（以cp270为例）：在定义内部网段，开启NAT功能下发策略完成后就可以正常和外网通讯：和外网连接正常：UTM-edge同样道理。2. 在cp 270上建立VPN对象：证书和预共享密钥的vpn对象不同；对端是静态ip的话一般用预共享密钥的方式，动态就用证书的方式。对象信息如下红色矩形为注意事项：Key可以任意填写，主要作用是集中管理认证时候需要的key。配置vpn时候不需要用到此功能。在vpn里，新增加证书，把证书名，CA服务器选择一台内内置CA选择生成证书Generate，就会弹出下面界面方框中的内容两者用逗号隔开为 CN=vpnedge VPN Certificate, O=cp270.c9eq8u将内容复制下来点击Matching Criteria按钮，把刚才复制下来的内容填上DN然后确定后，再打开UTM-1 Edge Gatewayvpn，点击Export p 12，将证书导出来，发给Edge设备，把证书导入到edge设备3. Vpn communitysite to sitemyintranet-center gateways添加中心网关为cp270Satellite gateways分支网关选EDGE：4. 将生成的证书到过来并在EDGE上安装（web界面VPN选择第三项证书然后安装）5. 在firewall建立VPN选择site-to-site认证方式是证书方式，目标网关（是对端）192.168.1.221 网段是192.168.10.0即可 ，尝试VPN连接。l RemoteAccess vpn1. 配置checkpoint的remoteAcces vpn 属性 勾选L2TP support2. RemoteAccess-office mode3. 定义用户4. 定义remote vpn communities5. 配置防火墙vpn规则l IPS1. 启动IPS刀片a) 双击cp130，点击general properties选项卡b) 在networks security上打勾IPSc) 点击IPS选项卡，点击Protections By type-Applications Intelligence，在Lockfor:搜索qqd) 双击QQ，选中Default Protection,点击Edit,开启Prevent；选中Recommended Protection，开启Prevente) 安装策略