checkpoint培训手册.pptx
- 文档编号:18732854
- 上传时间:2023-10-22
- 格式:PPTX
- 页数:83
- 大小:3.27MB
checkpoint培训手册.pptx
《checkpoint培训手册.pptx》由会员分享,可在线阅读,更多相关《checkpoint培训手册.pptx(83页珍藏版)》请在冰点文库上搜索。
Crossbeam防火墙培训,SmartDashboard部分,SmartDashboard(策略编辑器),安全策略及对象定义,什么是安全策略?
关于一个组织的内网安全规则的集合安全策略定义考虑事项:
涉及到哪些服务包括组织自定义的服务可以允许在组织的网络上运行?
需要什么样的用户权限和认证机制来保证组织资源的正确使用?
组织网络中包括哪些资源?
比如网关,主机,网段,路由器和安全区域等。
定义规则注意事项,规则序号规则名称源地址(对象)目的地址(对象)VPN服务动作:
Accept,Drop,Reject追踪:
Log,Alert,AccountInstallOn(在哪个防火墙上生效)时间,对象防火墙,创建Cluster对象,添加一个防火墙Cluster,选择创建防火墙的模式,配置防火墙的基本属性,添加并配置Cluster成员,添加Cluster1,管理地址(192.168.0.246),点击Communication按钮,输入SIC密码,点击Initialize进行验证,添加Cluster2,管理地址(192.168.0.247),点击Communication按钮,输入SIC密码,点击Initialize进行验证,编辑Topology,点击EditTopology进入编辑窗口,在编辑窗口点击Getallmemberstopology按钮,topology内容自动获取,创建VXS防火墙,对象节点/主机,对象网络/网段,策略的创建,在第一次添加规则的时候,我们点击图中的按钮,然后在规则库中会出现一条默认规则。
然后我们引用定义好的对象,制订规则。
见下图:
在图中我们要添加相应对象,直接在对应栏中点击右键,然后在弹出的对话框中选择相应对象。
图中定义了内网到任何地方的http服务都接受,就是内网用户可以访问网页。
其他规则类似,就是添加,谁,到哪里,访问什么服务,是否接受,是否记录日志,以及安装在哪台防火墙上。
上面就是定义规则的方式,规则定义是非常灵活的,我们只需要把相应对象定义出来,然后再定义访问的服务,然后是否接受就完成策略的定义了。
地址翻译,地址转换功能是checkpoint防火墙的一个主要功能模块,通过他我们可以很方便的把网络或者主机映射到公网,我们可以做静态地址映射(StaticNAT),可以作动态地址映射(HideNAT)。
具体的操作见我们配置网络和主机属性章节,在他们属性页面中有NAT一项,我们只需要编辑这一项既可实现NAT该对象到公网,当然我们需要具有相应公网的地址分配给这个对象。
任何作了NAT的对象,我们在AddressTranslation中我们都可以看到其对应的规则,这是它自动生成的。
无须我们自己定义。
对主机做HideNAT,因为我们部分主机可以访问到公网,所以要把这些主机作HideNat,先把所有的主机建立出来,然后对配置他们的NAT属性,选择其中一台做操作,其他配置都相同。
然后选择NAT属性,选择AddAutomaticAddress。
,Translationmethod选择Hide,InstallonGateway选择下拉列表框选择我们的防火墙网关对象。
完成点击确定。
完成HideNAT的配置后我们需要验证NAT是否配置成功,对服务器作静态NAT,首先把服务器对象定义出来,在Nodes上点击右键,然后选择Host,然后配置服务器的属性,再选择左边窗口中的NAT属性。
点击NAT,编辑NAT属性,选择AddAutomaticAddressTranslationrules,然后在Translationmethod中选择选择Static,然后在下面的小框中输入自己分配给服务器的公网地址。
最后在installon上选择当前防火墙然后点击确定。
静态NAT就配置完成。
手工添加NAT,不同的防火墙映射成不同的地址,防地址欺骗,AntiSpoofing是防止地址欺骗的功能,其意思是不容许假冒的从外网口收到的冒充源地址为内网地址的数据包访问内网其他主机,或者不是某个网段但冒充是这个网段地址企图访问某些主机的数据包,都将被阻止,其功能就是在防火墙外网和内网口上实现,具体配置过程如下,首先双击防火墙对象,打开属性配置界面,然后选择Topology,见图:
出现防火墙接口信息,如果我们系统的接口和路由配置好后,我们单击Get,然后选择Interface或是interfacewithtopology就可以得到接口配置信息。
这里我们需要在网络接口上配置AntiSpoofing,所以首先双击其中任一接口开始配置。
首先双击外网接口,在下面弹出的对话框中选择Topology,因为是外网口,按照默认的配置启用了AntiSpoofing.在图中Anti-Spoofing选项中查看”performAnti-Spoofingbasedoninterface”点击确定。
外网口Anti-Spoofing功能启用了。
然后在内网口我们也配置Anti-Spoofing功能。
回到防火墙属性的Topology界面点击内网接口,双击它打开配置属性页面,选择Topology,在上图中我们看到定义了此接口为“Internal(leadstothelocal)”然后在下面的IPAddressesbehindthis有三个选项,第一个NotDefined(不定义),第二个是定义此接口后面的网段后面的IP如果我们防火墙后面只有一个网段我们通常选择这项,如果我们防火墙内网有几个网段,则需要选择第三项Specify,要把所有的内网网段定义成一个组,选择这个组,就完成,下面的Anti-Spoofing选择”performAnti-Spoofingbasedoninterface”就启用Anti-Spoofing了。
策略的下发,我们定义了网络对象,做了地址翻译,并且制订了相应的策略,那么我们要把这些策略从管理服务器上下发到防火墙模块上,让他们执行这些策略,做访问控制保护我们的网络。
所以,前面所作的那些策略真正的执行者是防火墙模块。
策略的安装方式如图示:
Crossbeam防火墙培训,SmartViewMonitor部分,SmartViewMonitor,状态查看器SmartViewMonitor是一个高效的网络和安全分析系统,使用它可帮助安全管理员更容易的管理他们的网络.SmartViewMonitor可以查看防火墙状态、CPU利用率、内存利用率、硬盘剩余百分比等,Crossbeam防火墙培训,SmartViewTracker部分,SmartViewTracker是我们排出故障的有效工具,当网络出现问题时,我们可以通过查看防火墙日志是否是防火墙作了阻断。
如果发现是防火墙DROP掉了,则检查策略,排除故障。
图中我们看到有相应注释,左边AllRecords是显示防火墙的所有日志,Firewall是显示防火墙的日志,VPN是显示的VPN的日志,如果我们点击图中上面的向下的小箭头,即显示最新出现的日志。
正中是日志显示区域。
在日志界面中我们如果点击Active就会显示当前活动连接的日志,如果我们发现其中某个连接有攻击行为,我们可以立即阻断其攻击,具体是单击导航条中Tools,选择block。
即可以采取阻断。
Crossbeam防火墙培训,添加License篇,添加License步骤,确认服务器与防火墙是否连通,把原来的LicenseDetach,在防火墙上重置SIC,在防火墙上重置SICadminC25-HJZX-IDC-1admin$suPassword:
rootC25-HJZX-IDC-1admin#cpconfigThisprogramwillletyoure-configureyourCheckPointproductsconfiguration.ConfigurationOptions:
-
(1)Licenses
(2)SNMPExtension(3)GroupPermissions(4)PKCS#11Token(5)RandomPool(6)SecureInternalCommunication(7)VPNx(8)Disableclustermembershipforthisgateway(9)DisableCheckPointSecureXL(10)AutomaticstartofCheckPointProducts(11)Exit,Enteryourchoice(1-11):
6ConfiguringSecureInternalCommunication.=TheSecureInternalCommunicationisusedforauthenticationbetweenCheckPointcomponentsTrustState:
TrustestablishedWouldyoulikere-initializecommunication?
(y/n)n?
yNote:
TheSecureInternalCommunicationwillberesetnow,andallCheckPointServiceswillbestopped(cpstop).Nocommunicationwillbepossibleuntilyouresetandre-initializethecommunicationproperly!
Areyousure?
(y/n)n?
yEnterActivationKey:
xxxxxxRetypeActivationKey:
xxxxxxinitial_module:
CompiledOK.,HardeningOSSecurity:
InitialpolicywillbeapplieduntilthefirstpolicyisinstalledTheSecureInternalCommunicationwassuccessfullyinitializedConfigurationOptions:
-
(1)Licenses
(2)SNMPExtension(3)GroupPermissions(4)PKCS#11Token(5)RandomPool(6)SecureInternalCommunication(7)VPNx(8)Disableclustermembershipforthisgateway(9)DisableCheckPointSecureXL(10)AutomaticstartofCheckPointProducts(11)ExitEnteryourchoice(1-11):
11此时checkpoint会重新启动,等待checkpoint完全启动。
在服务器上建立SIC连接,把Licenses添加到管理服务器上,在管理服务器上Attach/GetLicenses,在防火墙上Attach/GetLicenses,完成后检查Licenses是否生效。
检查防火墙各项业务是否正常。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- checkpoint 培训 手册