CHECKPOINT安装配置中文手册

安装配置CHECKPOINT防火墙 安装配置CHECKPOINT防火墙 大纲 1、​ 首先明确两个概念 2、​ VPN/FW Moudule 或者 Managerment Server 在 WINDOWS上安装的最小需求 3、​ GUI Client在 WINDOWS上安装的最小需求 4、​ 安装之前的准备工作 5、​ 安装软件总过程 6、​ 配置防火墙总过程 7、​ 具体安装过程 8、​ 安装Licenses 9、​ 启动GUI ，定义网络对象 10、​ 定义安全策略（Rule Base） 11、​ 定义NAT 12、​ 创建一个管理员帐号 Administrator 13、​ 创建一个GUI Cilent 14、​ Key Hit Session 15、​ Certificate Authority 16、​ Fingerprint（指纹） 17、​ 高可用性HA（High Availability） 1、​ 首先明确两个概念： 1、​ VPN/FW Moudule； 部署在网关上，其安全策略在 Managerment Server 上创建并编译后下载到Moudule上执行。它可以安装在多种硬件平台上。它包括两部分：一、检测模块：根据安全策略对所有通过它的通讯进行检测。二、安全服务器：提供认证和应用层的内容安全。 2、​ Managerment Server： 在Policy Editor GUI上定义的安全策略，最后保存在Managerment Server上。它的主要工作是维护CHECK POINT 数据库，包括：定义的网络对象，定义的用户，LOG文件等。 2、​ VPN/FW Moudule 或者 Managerment Server 在 WINDOWS上安装的最小需求： 1、​ 操作系统：NT 、WIN2000 2、​ CPU：PII300以上 3、​ 硬盘剩余空间：40M 4、​ 内存：128M 3、​ GUI Client在 WINDOWS上安装的最小需求： 1、​ 操作系统：WIN9X、WIN ME、WIN NT4+SP6、WIN2000professional 2、​ 硬盘剩余空间：40M 3、​ 内存：128M 4、​ 安装之前的准备工作 1、​ 在安装 VPN-1/FW-1的计算机去掉不需要的服务，例如：NETBEUI、FTP、HTTP server 2、​ 保证内网、外网、DMZ区都能互通（ping） 3、​ 关闭WINDOWS上的 IP Forwding，该功能由VPN-1/FW-1来控制。 4、​ 验证DNS：在内网浏览一个外部知名网站，能访问即可。 5、​ 定义IP地址：记下准备分配给计算机各网卡的IP地址备用。（在计算机的DOS状态下键入 config /all，即可显示各网卡的IP地址） 6、​ 确认网关计算机名与外网卡的IP地址相对应（可以查看计算机\system32\drivers\etc\lmhost.asm）目的是为了确保在把网关定义为一个网络对象时（见二、1、）通过点击 get address 时，可以自动获得IP地址，如果不能获取，IKE加密过程会不正常。 7、​ 决定在那台计算机上下列安装软件（module、management server、GUI），如果是安装单网关产品，module、management server、GUI可以安装在同一台计算机上，当然GUI也可以安装在另一台计算机上进行远程控制。 8、​ 确认计算机的操作系统软件版本和平台与VPN/FW组件相对应 9、​ 如果安装前已经有VPN/FW在本机上运行，那么，把他们退出运行（包括GUI） 5、​ 安装软件总过程 1、​ 在安装软件（module、management server）之前把计算机从网络上断开，安装完毕再接入网络中 2、​ 在网关设备/计算机上安装VPN/FW module 3、​ 在management server 上安装VPN-1/FW-1 4、​ 在管理工作站上安装GUI Client 5、​ 以上过程安装完毕之后，把他们接入到网络中去，并验证他们与网络的连通性。 6、​ 在management server 上定义 GUI主机 7、​ 在management server 上定义管理员帐号（具备管理安全策略的权限） 8、​ 把以上计算机连接到网络中，并保证对网络的连通性 6、​ 配置防火墙总过程 1、​ 启动GUI Client 连接到management server 2、​ 创建安全策略 A、​ 定义网络对象， B、​ 定义添加GUI Client主机名、定义管理员并设置权限。 C、​ 定义组，并把用户加入组 D、​ 定义 Rule base （安全策略） I、​ 外网用户只能访问DMZ区 II、​ 内网用户可以访问 内网、外网、DMZ区 III、​ 管理员可以从任何IP地址TELNET登陆到DMZ区的（SMTP、WEB、FTP）服务器 E、​ 定义NAT F、​ 在本地验证安全策略的正确性 G、​ 把安全策略分发到安装到VPN-1/FW-1 Moudule 的计算机上。 通过菜单 policy—》install 7、​ 具体安装过程 1、​ 在WINDOWS中插入光盘会自动运行SETUP程序。 2、​ 在第一个画面 for evaluation:当你仅需要作测试时点击该项，并且保证你手头有评估用的临时LIENCES for purchased product: NEXT: 当你手头已经有正式LIENCES时，点击该按钮 3、​ 在license agreement 页面，选择YES 4、​ 在Product Menu页面，选择你所购买的产品，一般选缺省项，点击 NEXT 5、​ 在Server/Gateway Componentss页面，选择你所要安装的具体模块，点击NEXT 说明： A、如果仅仅是在其他管理工作站上安装CLIENT，那么在以上页面只选中Management Client即可。 B、安装过程自动安装SVN Foundation ，SVN用于除GUI Client以外的所有NG产品。 6、​ 在VPN-1/FW-1 Enterprise Product 页面选择安装在本机上的产品的类型。 Enterprise Primary Management 在第一台计算机上安装 SERVER Enterprise Secondary Management 在第二台计算机上安装 SERVER Enforcement Module & Primary Management 同时安装SERVER 和 MODULE Enforcement Module 只安装 MODULE 7、​ 在Backward Compatibility页面，选择是否支持向下兼容： Install with backward compatibility. 如果你需要管理 CP 4.1 Module Install without backward compatibility. 8、​ 在Dynamically Assigned IP Address页面，选择是否使用动态分配IP地址？ 9、​ 在Choose Destination页面，显示CP安装的缺省路径，建议不要更改，否则以后还需要设置环境变量，很麻烦的。 10、​ 选择Management Client 要安装的具体内容，（无论用不用，最好都选中） 11、​ 安装完毕，重新启动计算机。 8、​ 安装Licenses （GUI Cient不需要Licenses） 1、​ 获取Licenses：所有CP产品都需要相应的Licenses来激活，GUI除外。 A、​ 如果你购买了正版的CP软件，那么在包装上会有一个 Certificate Key，例如是：“CK0123456789ab”你可以通过它来获取一个临时Licenses，（有效期一个月），而后可以获取永久Licenses，具体办法咨询你的集成商。 B、​ 如果你没有购买正版的CP软件，但是你想作测试，你也可以通过神州数码协调索取临时Licenses做测试。 2、​ 安装Licenses： 你必须有Licenses才能使用CP产品，如果没有在安装配置过程中输入Licenses，你还可以按照下面的步骤安装Licenses，Licenses应安装在 Management server 和 Module上。 在cpconfig Licenses 页面只能管理本机（要集中管理多个Licenses只能通过SecureUpdate）。在该页面有3项内容需要设置： IP Addreess： 本机外网卡的IP地址，在申请Licenses时提交的。 Expiration Date： Licenses的过期时间，如MAY 25，2002。 SKU/Feature： 例如：CPSUITE-EVAL-3DES-v50 Signature Key： 例如：SAFGGGEEF – SDFDSFDS – SDFSWER – SDFSERWT 手动填写完毕，点击按钮“Calculate”来计算你的输入是否有误。 安装Licenses也可以通过直接从文件（一般是EMAIL发来的TXT附件）中获取， 9、​ 启动GUI ，定义网络对象 1、​ 启动GUI，输入你的用户名，口令，和服务器名，进入Policy Editor界面。 2、​ 定义网络对象的一些注意事项： ​ 在CP数据库中不需要定义Primary Management Server的对象。 ​ 一般地，在安全策略中没有必要涉及Management Server。 ​ Management Server根据其数据库中的定义，可以自动与其他CP Module之间建立加密通讯。 ​ 相反，你必须明确的定义所有安装Module的计算机。 3、​ 在以下窗口中创建一个FWALL对象： 打开以上窗口有3种方式： A、在菜单“Manage”中选择“Network Objects”然后点击“NEW” B、在对象工具条上点击图标 C、网络对象树中点击图表 4、​ 填写FWALL对象的各项内容 A、NAME： 键入该计算机的HOSTNAME A、​ IP Address；键入外网卡IP地址，例如 192.168.3.1 B、​ Cvomment: 对该对象加以注释或描述 C、​ TYPE类型： 选择Gateway （如果是GUI可选择HOST） D、​ CP Products Installed：选择本机安装的CP版本：这里选择“NG” E、​ Object Management Managed by this Management Server(internal): 如本机同时安装SERVER 和Module Managed by another Management Server(internal): 与以上相反 F、​ Communication按钮：点击后出现： 输入ONE-TIME 口令，开始与Management Server进行第一次通讯， G、​ 点击“Intitaliza”按钮，此时，Management Server会加密发出签名认证到FWALL上，用于建立Management Server与Module 之间的信任关系。 H、​ 如果返回的Trust state是“Trust Establish”，则说明二者之间的信任关系已经建立。 I、​ 点击“CLOSE” 4、​ 添加一个接口（Interface） 在以下窗口中点击“Topology” 定义接口的最简单的方法就是点击上图中的“GetTopology”按钮，可以直接获取接口信息。 祥见下图： 当然，你也可以手动定义接口信息：通过点击上图中的“ADD”按钮即可 然后输入每个接口的NAME、IP 地址、子网掩码，是内网卡还是外网卡 最终的定义结果如下： 5、​ 定义内网（loaclnet） 定义该网络的NAME、IP 地址、子网掩码，注释内容，是否把广播地址看作网络的一部分 6、​ 定义DMZ区网络 具体内容同上 7、​ 定义DMZ区中的WEB、FTP、MAIL SERVER （主机） 输入该主机的 NAME、IP 地址、子网掩码，注释内容，TYPE类型（选择HOST） 不要选中“□CheckPoint product installed 8、​  创建Users 在下图中点击“ADD”，（缺省只显示 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 用户的模板，） 然后输入该USER的用户名，设置其认证方法为操作系统口令。 10、​ 定义安全策略（Rule Base） 在定义完网络对象和USER之后，就可以开始定义安全策略了。 点击工具栏中的 图标，来添加一条策略了 1、缺省的一套丢弃一切包的策略必须更改。 2、开始定义策略，以上的 SOURCE源设备或地址、 DESTINATION、目的设备或地址 SERVICE：服务 ACTION：对应的操作 TRACK：是否跟踪 INSTALL ON：安装位置 TIME：时间 以上所有内容都可以通过点击对应的位置来选择对象 3、以下举例说明： 第一条：任何设备、地址对FWALL的访问都拒绝响应，并记录下来，发送告警 第二条：内网可以访问除了FTP服务器之外的所有地址或设备。 第三条：内网对FTP服务器的访问，只开放了FTP服务，其他服务均被拒绝 第四条；所有网络或地址均可通过SMTP协议访问EMAIL服务器 第五条：所有网络或地址均可通过HTTP协议访问WEB服务器 第六条：Managers用户组内的所有成员均可通过TELNET协议访问FTP服务器，但是必须通过口令认证。 第七条：除以上允许的策略外，其他所有通过FWALL的通讯都被拒绝。 注意：以上只是个例子，绝对不可照搬！！！！ 你必须根据你公司的网络拓扑和实际需求情况制定自己的安全策略。 4、在本地验证你的安全策略 5、验证无误，下发你的安全策略到相应的FWALL上去。 在“Policy”菜单上选择“Install”来下发你的安全策略 11、​ 定义NAT 1、有两种方法可以进行IP地址转换， Hiding：把你所有的非法IP地址隐藏在合法地址之后， 优点：你仍使用你已有的有限的合法地址 缺点：外网不能建立与非法地址主机的连接。 Static；静态转换，在一一对应的基础上实现非法地址与合法地址的转换（对应） 优点：外网能建立与非法地址主机的连接。 缺点：需要太多的合法地址 2、定义过程 A、​ 定义一台主机（HOST） B、​ 点击“NAT”标签 C、​ 选中“∨Add Automatic Address Translation Rules” D、​ 设置“Hide”和“Static”NAT 12、​ 创建一个管理员帐号 Administrator 1、​ 必须至少定义一个管理员，否则将无人能管理SERVER 2、​ 输入NAME，口令（至少四个字符，不能有空格） 3、​ 设定权限：主管理员最好选 Read/Write All，对于其他级别的管理员可以分别单独设置其权限。 4、​ 对于并发会话（几个管理员同时登陆）的处理 为防止几个管理员同时修改一个安全策略，VPN/FW执行一个锁定机制：即若干管理员可以同时浏览一个安全策略，但是只能有一个有写入的权限。 管理员获得写入权限的条件是： A、​ 该管理员必须具有Read/Write All的权限 B、​ 同一时间内没有其他管理员获得 写入的权限，如果你登陆时已经有人登陆进去，那么系统会提示你是否愿意退出登陆还是愿意以只读的方式登陆。 当然，如果你愿意，你也可以了直接以只读的方式登陆，在登陆界面选中“Read Only”即可。 13、​ 创建一个GUI Cilent 1、​ 如果 management server 和 Module 安装在同一台计算机上，就不再需要指定GUI主机名了。 2、​ 如果不指定其他GUI主机名，那么，只能在同一台计算机安装的GUI上进行管理工作。 3、​ 在 GUI Client 页面的 Rmote Hostname 栏中输入以下五种格式的地址： IP 地址： 例如：10.1.222.3 计算机名： 例如：CLIENTAAA Any： 表示对CLIENT计算机没有限制，但是必须在RULE BASE 中添 加明确的允许或禁止的主机的策略条目 IP1-IP2： 设定一个地址范围，例如10.1.111.1-10.1.111.20 设定20台主机 Wild Card： 例如：10.1.33.* 或者 *.checkpoit.com 4、​ 注意：如果GUI 与 management server 之间的连接通过 Module，那么，安全策略必须首先安装在 Module上，保证新创建的 GUI 能串过Module 连接到management server 。 14、​ Key Hit Session 为生成一个随机加密关键字的 seeds，你需要任意输入若干字符，但是，键入每个字符应有几秒的时间间隔，不要连续输入同样的两个字符，字符输入之间的延时尽量不同。 15、​ Certificate Authority 1、​ 该页面用于安装Internal Certificate Authority，并生成一个授权给Management Server的加密内部通讯Secure Internal Communication (SIC) ，SIC 认证用于对CP通讯组件之间的通讯进行授权。或者对CP通讯组件与OPSEC 应用程序之间的通讯的授权。 . 2、​ 该页面用于对Primary Management Server 与本机（GUI）之间的一次连接（one-time link）通讯进行加密。Primary Management Server沿着这条链路把认证分发到本机上，一旦认证到达本机，那么本机就可以与其他的CP通讯组件之间进行通讯。 3、​ 为了初始化一个Module 的通讯，在Policy Editor上输入同样的one-time口令。 4、​ 在GUI Client上连接到Management Server，并打开Policy Editor，创建一个Module对象，设置一个NAME，和一个IP地址 5、​ 在General Propeties页面，选择 Check Point Gateway ,点击“Communication” 6、​ 输入口令。 7、​ 在进行下一步以前必须确保在Module上已经启动 SVN Foundation服务和 VPN-1/FW-1 服务，并且保证 Module和Management Server能够进行IP通讯 8、​ 点击“Intalize”按钮，开始 Module 的初始化进程。此时，签名认证被加密传输到Module上。 9、​ Trust State栏会报告Module 的状态： 在Management Server上的ICA（Internernal Certificate Authority）发出认证Certificate ，并且已发送到Module上之后，就算建立起了Trust State信任状态 10、​ 如果Module 被初始化或者 RESET，那么，cpconfig 中报告的Module的信任状态将和 Policy Editor 中报告的不同。 11、​ cpconfig 中报告的Module的信任状态有以下三种： A、​ Uninitialized —Module没有被初始化，因此也就不能进行通讯，因为它没有收到Management Server.上的ICA发来的认证certificate B、​ Initialized but trust not established —在cpconfig中的Secure Internal Communication页面显示Module的这个状态表示一次one-time口令已经输入，但是Module还没有收到Management Server.上的ICA发来的认证certificate C、​ Trust established —Module和 Management Server之间的认证已经建立，并且Module可以进行加密通讯。 16、​ Fingerprint（指纹） 1、​ 指纹是一个字符串，由Management Server的认证分发，用于校验GUI 所连接的Management Server是不是真实身份。 2、​ 当你通过GUI 第一次连接到Management Server时，你应该比较一下该指纹内容和Policy Editor 中的指纹内容是否相同。 3、​ 如何用指纹来验证Management Server的真实身份： A、​ 在以上页面，点击“Export to file”，来保存成一个文件。 B、​ 把这个文件通过非网络手段（例如，软盘、优盘、电话、传真）传到GUI Client端，来比较验证GUI所连接的Management Server是否真实的身份。 4、​ 在GUI Client端，当第一次连接到Management Server时，Management Server的指纹会显示出来： 5、​ 确保刚才通过非网络手段传来的Management Server的指纹跟上图显示的一样。 17、​ 高可用性HA（High Availability） 1、​ 在下图中指定这个网关是否是一个High Availability Gateway Cluster 的一个成员。