CheckPoint技术简介
CheckPoint技术简介
一、CheckPoint主要产品部件
1、FireWall-1/VPN-1
2、FloodGate-1
3、Reporting Module
4、Meta IP
5、SecuRemote
6、SecureClient
7、OPSEC SDK
二、FireWall-1产品组成:
CheckPoint FireWall-1产品包括以下模块:
·基本模块
√状态检测模块(Inspection Module):提供访问控制、用户认证、地址翻译和审计功能;
√防火墙模块(FireWall Module):包含一个状态检测模块,另外提供用户认证、内容安全和多防火墙同步功能;
√管理模块(Management Module):对一个或多个安全策略执行点(安装了FireWall-1的某个模块,如状态检测模块、防火墙模块或路由器安全管理模块等的系统)提供集中的、图形化的安全管理功能;
·可选模块
√连接控制(Connect Control):为提供相同服务的多个应用服务器提供负载平衡功能;
√路由器安全管理模块(Router Security Management):提供通过防火墙管理工作站配置、维护3Com,Cisco,Bay等路由器的安全规则;
√其它模块,如加密模块等。
·图形用户界面(GUI):是管理模块功能的体现,包括
√策略编辑器:维护管理对象、建立安全规则、把安全规则施加到安全策略执行点上去;
√日志查看器:查看经过防火墙的连接,识别并阻断攻击;
√系统状态查看器:查看所有被保护对象的状态。
产品部件主要功能
管理控制台·对一点或多点实行集中图形化安全管理
检测模块·访问控制
·客户和对话鉴别·网络地址转换·审查
防火墙模块·检测模块的全部功能·用户鉴定
·多防火墙同步
·信息保护
加密模块·加密
连接控制模块·自动实现各应用服务器的负载平衡
路由器安全管理·对一个或多个的路由器的路由器访问控制列表进行管理
功能模块:
·状态检查模块(Inspection Module)
·访问控制(Access Control)
·授权认证(Authentication)
·加密(Encryption)
·路由器安全管理(Router Security Management)
·网络地址翻译(NAT)
·内容安全(Content Security)
·连接控制(Connection Control)
·记帐(Auditing)
·企业安全策略管理(Enterprise-wide Security Managemant)
·高可靠性模块(High Availability)
···
Inspection状态检查模块
FireWall-1采用CheckPoint公司的状态检测(Stateful Inspection)专利技术,以不同的服务区分应用类型,为网络提供高安全、高性能和高扩展性保证。
FireWall-1状态检测模块分析所有的包通讯层,汲取相关的通信和应用程序的状态信息。状态检测模块能够理解并学习各种协议和应用,以支持各种最新的应用。
状态检测模块截获、分析并处理所有试图通过防火墙的数据包,保证网络的高度安全和数据完整。网络和各种应用的通信状态动态存储、更新到动态状态表中,结合预定义好的规则,实现安全策略。
Firewall-l检查模块存在于操作系统核心部分,在网络层之下,属于最低的软件层。在这个层次对通信量进行检查,Firewall-l能中途拦截且分析到达操作系统之前的所有包。然后根据安装在上面的安全规则来核实是否有相匹配的规则,来决定是否转发或阻塞它。在包被核实为遵守安全规则的包之前,协议簇的各层对任何包不作处理(如图所示)。
Figurel FireWall-1Inspection Module
状态检测模块可以识别不同应用的服务类型,还可以通过以前的通信及其它应用程序分析出
状态信息。状态检测模块检验IP地址、端口以及其它需要的信息以决定通信包是否满足安全策略。Firewall-l遵循“没有明确说明的包一律禁止通行”。缺省情况下,Firewall-l停止所有的Active。
状态检测模块把相关的状态和状态之间的关联信息存储到动态连接表中并随时更新,通过这些数据,FireWall-1可以检测到后继的通信。
状态检测技术对应用程序透明,不需要针对每个服务设置单独的代理,使其具有更高的安全性、高性能、更好的伸缩性和扩展性,可以很容易把用户的新应用添加到保护的服务中去。
FireWall-1提供的INSPECT语言,结合FireWall-1的安全规则、应用识别知识、状态关联信息以及通信数据构成了一个强大的安全系统。
INSPECT是一个面向对象的脚本语言,为状态检测模块提供安全规则。通过策略编辑器制定的规则存为一个用INSPECT写成的脚本文件,经过编译生成代码并被加载到安装有状态检测模块的系统上。脚本文件是ASCII文件,可以编辑,以满足用户特定的安全要求。
访问控制(Access Control)
限制未授权用户访问本企业网络和信息资源的措施,访问者必需要能适用于现行的所有服务和应用。
FireWall-1的状态监测技术,可以提供全七层应用识别,支持超过160种以上的预先定义应用、服务和协议,支持所有Internet服务,包括有安全Web浏览器、电子邮件、FTP、Telnet及RPC和UDP等,还支持重要商业应用,如Oracle SQL*Net,Sybase SQL服务器数据库访问,多媒体应用如RealAudio、VDOLive、CoolTalk、NetMeeting、Internet Phone等及Internet 广播服务,如BackWeb和PointCast。
另外,FireWall-1还可以提供基于时间为对象的安全策略定制方法,可以利用年、月、日、时定制时间对象。
授权认证(Authentication)
为提供企业网络资源给本地用户及各种远程用户、移动用户、电信用户使用,所以为了保护网络和信息安全,必需对访问连接用户采取有效的权限控制和身份认别,以确保系统安全。
FireWall-1提供三种认证方法:
用户认证(User Authentication)
基于对每个用户的访问权限认证,提供此方法认证的服务包括TELNET,FTP,RLOGIN,HTTP.用户认证的实施是在防火墙系统的网关上,就象用户LOGIN的程序一样,当用户请求连网到另一目的地时FireWall-1网关会自动截取并发出需要认证的请求,且把该会话转向相应的安全服务器去执行必要的安全措施策略。当用户通过认证无误后,即可建立与目的主机的会话(Session),其后所有的往来数据包都需经过网关上的FireWall-1检查。
客户机认证(Client Authentication)
基于客户端主机的IP地址的一种认证方式,系统管理员可以决定对每个用户如何授权,允许访问那些服务器资源和应用程序,何时可以访问。允许建立多少会话(Session)等。与用户认证不同的地方是客户机认证方式,不对访问的协议及服务做直接的限制。所有的服务器和客户端都无需增加或修改任何软件或程式。
会话认证(Session Authentication)
基于每个会话的认证方式,此种认证方式需在用户端安装会话代理(Session Agent)软件。会话认证的处理过程如下:
当用户发出直接到服务器上的连接需求时。防火墙系统模块截获该会话连接需求并向会话代理发出一个连接需求,由会话代理负责回应的认证,决定是否通过认证考验,如果通过则把该连接指向用户请求服务的服务器。
FireWall-1提供下列认证方案(Authentication Schemes)
S/Key
由S/Key发出要求用户输入密码,每次要求输入的密码都是不同的,本认证方式属于One-time 密码体系。
SecurID
系统要求用户输入Security Dynamics SecurID卡上所显示的数据。本认证方式属于外部服务
器提供的认证方法。
OS Password
系统要求用户输入本人的操作系统(OS)密码。
Internal
系统要求用户输入其在防火墙系统内所建立的用户密码。
RADIUS
系统要求用户按RADIUS服务器定义的方式输入相对应的密码方式。此方法亦属于利用外部安全服务器提供的认证方法。
AssureNet Pathways
系统要求用户按AssureNet Pathways服务器定义的方式对应系统。此方式亦为外部安全服务器提供的认证方法。
加密(Encryption)
FireWall-1提供100多种预定协议的可选择、透明的加密算法,允许企业充分利用Internet资源,安全地实现企业网的要求,并提供多种加密方案、密钥管理及内部权威钥认证。
FireWall-1提供VPN服务支持下列三种加密方式:
FWZ
此方式为FireWall-1内置的专用加密和密钥管理方式。主要采用FWZ1和DES加密算法。对于TCP/IP的包头不加密,而资料本文的TCP/IP头里含有话路密钥以用来对每一包的资料部分加密,因此不会有二个包的加密是共用一个密钥的。密码的校验内含在每一个包里。此方式加密不会改变数据包的长度。
Manual IPSec
此方式为一种使用固定密钥的加密和认证方式。密钥需通过其它途径手工交换。此方式对每一数据包的包头和资料部分均加密,且加密后数据包的长度均加大,当传送数据包时,可能将数据先传送到解密的主机去,再由此主机分送到其原定的目的主机上去。
SKIP(Simple Key-Management for Internet Protocols)
用于IP加密的密钥管理,可自动认证交换亦对数据包的包头加密,且加入自己的包头到数据包里,数据包的长度亦增大。
路由器安全管理(Router Security Management)
可以通过FireWall-1的管理工作站对企业范围内的路由器提供集中的安全管理:
·通过图形用户界面生成路由器的过滤和配置;
·引入、维护路由器的访问控制列表(Access Control Lists);
·记录路由器事件(需要路由器支持日志功能);
·在路由器上执行通过图形用户界面制定的安全策略。
FireWall-1可以集中管理以下路由器:
Bay Networks routers,version7.x-12.x
Cisco routers,IOS version9-11
Cisco PIX Firewall,version3.0,4.0
3Com NetBuilder,version9.x
Microsoft RAS(Steelhead)Routers for Windows NT server4.x
网络地址翻译(NAT)
IP地址翻译要求主要源于下列原因:
·网络管理员为避免网络内部的IP地址于Internet上被公开。
·将内部网络的IP地址翻译成外部可以使用的IP的地址。FireWall-1提供了透明的地址翻译功能,管理员可以根据需要来定义隐藏内部地址及建立外部IP地址对应内部IP地址范围的功能,以利接入Internet。
FireWall-1的网络地址翻译支持动态和静态二种地址翻译
1.动态模式(Dynamic Mode-many to one or hide)
把所有透过防火墙系统连接的内部网络IP地址,全部对应到同一个合法的外部IP地址,对内部IP地址的不同主机间采用动态分配的端口号来区分其不同。此模式的IP地址分配是按动态的方式来使用,所以适用于由内部网络主机发起的向外主机通讯。
使用动态模式需注意下列几个限制
·不允许由外部主机发起的向内部连接请求,此限制亦是此模式的优点,可防止电子欺骗。·不能用于支持ICMP(Internet Control Message Protocol)
·不能用于端口号不能改变的服务协议
·不能用于当外部服务器必须使用基于IP地址来判断客户端的应用,因为所有的内部客户端都使用相同的IP地址。
2.静态模式(Static Mode-One to one)
此模式又分为:
·静态源地址模式:当内部的一个数据包通过防火墙出去时,把其源地址(一般是一个内部保留地址)转换成一个合法地址。静态源地址翻译与静态目的地址翻译通常是配合使用的。
·静态目的地址模式:当外部的一个数据包通过防火墙进入内部网时,把其目的地址(合法地址)转换成一个内部使用的地址(一般是内部保留地址)。
内容安全(Content Security)
提供数据监测功能到高层服务协议,保护用户的网络系统及信息资源免遭病毒,恶意Java、Active X应用程序及含不必要的内容的Web文件的入侵和骚扰,并且提供最佳化的Internet访问。
FireWall-1利用其FireWall-1安全服务器为HTTP、SMTP及FTP协议提供内容安全监测功能的API接口,用户可根据需要自我选择所需内容扫描程式,结合支持OPSEC Alliance程序接口,透过GUI的集中管理,达到最安全的内容保护措施。
FireWall-1提供以下内容安全机制:
·计算机病毒扫描:利用第三方的防病毒服务器,通过防火墙规则配置,扫描通过防火墙的文件,清除计算机病毒;
·URL扫描(URL Scanning):用户定义过滤条件,过滤URL;
·Java、Active X小应用程序的剥离:根据安全策略,在访问WEB资源时,从Web页面剥离JavaApplet,ActiveX及JavaScript等代码;
·支持Mail(SMTP):SMTP的内容安全(隐藏内部地址、剥离特定类型的附件等);·HTTP过滤:过滤HTTP传输的内容
·支持FTP:控制FTP的操作,过滤FTP传输的文件内容;
连接控制(Connection Control)
----服务器负载均衡(Server Load Balancing)
Checkpoint Firewall-1内置了Connect Control模块。加载了Connect Control的Firewall-1不但能确保最大限度的网络连通性,还能为客户端请求提供最优的响应时间。它的实现方法是舍弃一台服务器包办Web访问(或其它访问)的模式,而替之以一个逻辑服务器群去共同分担负载。通过Connect Control模块,物理上看来有很多个IP地址的服务器群,被映射为一个IP地址,由Connect Control模块先接管对这个逻辑IP地址的访问,然后在服务器群中进行合理的负载分配。这样,通过服务器群的协同运作,网络连通性和响应时间都会得到很大改善,而这一切对于用户来说都是透明的。通过Connect Control模块,已有的服务器资源被充分利用,企业的硬件投资得到了保障。
灵活的服务器负载分担功能
Connect Control模块支持超过150种Internet应用和无限数目的网关接口。客户对特定服务器的连接请求可基于五种Connect Control负载分担机制在服务器端进行响应。
1、服务器负载(Server Load)
服务器负载机制可保证服务器群中的每台服务器处理与其负载能力相称的客户端请求,每一个新的客户端请求都被重定向到当前负载最轻的那台服务器上去处理。应用这种处理机制时,服务器群中的每台服务器上都安装了一个负载评估程序,这样每台服务器都会自动向Connect Control模块报告其当前负载(百分比形式)。Connect Control模块正是利用这些报告信息决定下一个客户端请求分配给哪一台服务器,每台服务器上的负载评估时间间隔可由用户指定,这样既保证了最大限度的灵活性,又不会因“负载评估”给服务器带来额外的延时和系统开销。
2、域名(Domain)
有些用户可能不只是定位于Internet单域环境,因此Connect Control模块也允许企业将服务器群的服务器分散于企业网中,利用负载均衡的方法去优化响应时间,这种机制是基于请求的服务
器域名来将连接重定向到“最近”的那台服务器上去。
3、往返延时(round trip)
此机制将客户端的连接请求定向到“往返延时”最短的服务器上去。“Ping”命令被用来得出Connect Control模块和服务器间的这种“往返延时”。此机制能确保连接请求得到最快的响应。
4、循环调度(round robin)
此机制的应用前提是假设服务器群中的每台服务器连接处理能力相同。Connect Control模块按顺序给每台服务器分配负载,循环往复。当然,这其间Connect Control模块会不断检查每台服务器的状态,假如发现某台服务器Down机或不可到达了,Connect Control模块将停止向其分配任务。
5、随机法(random)
假如服务器群中的每台服务器是完全相同的,可采用随机分配法来实现负载均衡。
维护HTTP Client/server会话
Connect Control模块提供一种重定向机制来确保同属于一个HTTP会话的所有连接被指向同一台服务器,这对于许多Web应用是至关重要的,例如那些使用基于HTTP的表格程序,需要单台服务器去处理全部用户数据。
HTTP重定向机制与Connect Control负载均衡机制配合运行
一个HTTP合法的第一个连接请求根据负载均衡机制被定向到相应的Web服务器上去,同时,Connect Control通知客户端随后的连接请求无需再指向服务器群的逻辑IP,而直接到此Web服务器的IP地址即可。这样,会话的剩余部分无需再根据负载均衡机制加以重定负,而始终指向同一台服务器。以上的所有操作对于客户端完全透明。
HTTP重定向机制在有效地进行负载分担的同时,保证了HTTP会话的连贯和完整。Checkpoint Firewall-1Connect Control模块可满足用户在保留现有硬件投资的前提下优化服务器响应时间的
需求。在维护企业网安全时,增强了网络连接性。
特点
可使用灵活的五种负载均衡机制在多个服务器间分配连接请求;
伸缩性极佳的服务器群架构;
可在实施负载均衡的同时保证HTTP会话的完整性;
支持超过150种Internet服务和应用;
----FireWall-1模块同步运行(Synchronization of FireWall-1Modules)
FireWall-1版本3.0开始提供此功能,不同的防火墙模块运行在不同的网关机器硬设备中可以互相共享资料及互相更新状况。另外同步防火墙模块还提供当有任一网关发生死机现象,可以互相取代,确保系统正常运行的功能。
记帐(Auditing)
FireWall-1可以对用户在网络中的活动情况进行记录,如对用户入退网时间、传送的字节数、传送的包数量等进行记录。同时FireWall-1提供实时报警功能,报警方式可以是通知系统管理员、发送Email,发送SNMP给其他网络系统或激活用户定义的报警方式,如接入寻呼机等。FireWall-1允许系统管理员对选择的连接进行记帐处理。一旦定义了记帐功能后,FireWall-1在通常的记录字段信息外,还记录用户连接的持续时间,传送的字节数、包数量,系统管理员可以用命令生成记帐报表,也可以通过FireWall-1通过的安全机制(加密和论证)把记帐信息转入第三方的报表应用程序或数据库中。
企业安全策略管理(Enterprise-wide Security Managemant)
透过提供集中的安全管理机制,只要在一工作站中,即可在保障网络安全性的条件下,实时对网
络配置控制及实时报警等功能。
High Availability高可靠性模块
高可靠性模块使得用户能够创建VPN/防火墙网关的群集。在主网关失效的时候,所有的连接被从网关接管,保证网络的持续畅通。可以同时支持20个防火墙模块的同步。
透明的VPN接管
高可靠性模块在VPN/Firewall网关失效的时候,维护所有的VPN隧道连接。在主网关失效的时候,所有的VPN会话仍然正常进行,用户无需重新连接,重新认证。用户甚至感觉不到另外一个网关已经接管了所有网络连接。这样,关键的商务交易和大的文件传输持续进行,无需从头开始。
自动恢复/热交换
在一个正在运行的VPN-1/Firewall-1群集中增减网关可实时进行,且无需重新配置或重新启动群集。例如,如果某台网关意外失效,该失效的网关可以自动重新启动(如果系统管理员已经这样配置的话),并重新加入群集中去,而无需管理员介入。这使得在商务时间进行群集系统的维护成为可能。
“健康”检查
高可靠性模块内置了可编程的网关“健康”检查功能,通过它持继地监测网关的运行状态,可以及早地发现一些潜在的问题。除了检测VPN-1/Firewall-1是否失效外,它还能与第三方应用程序通讯以判定系统的“健康”状况。例如,一个磁盘空间代理程序可以通知高可靠性模块磁盘空间即将耗尽。这样,系统能够强制性切换到另一个备份网关上。“健康”监测能在一系列问题发生之前做出及早响应,虽然这些问题中有的并不意味着灾难性的Down机,但都可能影响到系统的整体性能和可靠性。
集成的管理界面
高可靠性模块的配置直接在checkpoint Firewall-1/VPN-1的管理界面上进行,配置数据也被存
储到checkpoint Firewall-1/VPN-1管理服务器中。一旦主网关失效,checkpoint的日志功能即启动。对该事件加以记录并通过Email、SNMP、寻呼机等方式通知管理员。除此之外,所有群集网关的状态可以通过checkpoint状态浏览器实时监测。因此,由于使用高可靠性模块而新增加的管理费用被降到了最低限度。
流量控制软件FloodGate-1
CheckPoint软件技术用FloodGate-1解决了网络拥挤问题,FloodGate-1是一个基于策略的,企业范围的带宽管理解决方案。代替追赶更高的带宽,FloodGate-1智能地管理有限的带宽资源,使重要的互联网应用和用户获得可靠的性能。
利用CheckPoint的专利状态检测技术和智能排队(IQ)引擎,FloodGate-1精确地控制着所有基于IP的通信的双向流量。总带宽管理是通过控制全部级别的通信带宽实现的。FloodGate-1也提供强大的实时通信流量监视能力,用来诊断网络拥挤的来源。组织可以定义和执行带宽管理策略,为重要和高优先级的应用分配资源,消除多数互联网通信量固有的突发和延迟影响。
FloodGate-1系统结构
FloodGate-1利用一个灵活的三层客户机/服务器结构,使得一个独立的带宽管理策略能通过企业网络来分配。FloodGate-1包括三个组成部分:策略编辑器、管理服务器和执行模块。所有的这些部分可以运行在单一平台上或分布到多个工作站/服务器上。
1、策略编辑器(FloodGate-1GUI)
FloodGate-1图形用户界面有一个Windows的外观和感觉,包括策略编辑器,用来创建和修改带宽管理策略,定义网络对象。作为Java应用,FloodGate-1GUI可以运行在任何平台上。
2、管理服务器(FloodGate-1Management Server)
管理服务器为执行模块控制和分布带宽管理策略,它也存储所有的日志和监测数据。
3、执行模块(FloodGate-1Module)
执行模块在网络的入口处执行带宽管理策略,每一个执行模块都包括状态监控(Status Monitoring),检测虚拟机(INSPECT Virtual Machine)和智能队列引擎(Intelligent Queuing Engine)。
智能队列引擎:
Floodgate-1的智能队列引擎使用一种创新的“分级加权公平队列”法则去精确地控制有效的带宽分配。该引擎使用源于“检测虚拟机”的详细通讯信息,对网络通讯予以精确分类,然后再导入相应的传输队列中。
网络通讯导入智能队列引擎后,再按照用户定义的带宽管理策略进行统一调度、传输。智能队列引擎包括一个通讯优先权调度器以确保高优先权的网络通讯总是能得以优先传输。即使在两种Internet通讯的加权优先级“权值”为50:1的悬殊情况下,通讯调度器对两者的带宽分配仍然极为精确。
产品特色
1.由单一的、集中管理的企业策略分配带宽资源;
2.使用加权优先、限制和担保排列网络双向通信的优先顺序;
3.支持虚拟专用网络(VPNs)和网络地址转换(NAT);
4.可伸缩性,从低速拨号连线到高速网络连接;
5.监视和分析用户、应用、连接和方向的带宽消耗;
6.Java应用,任何平台相同的外观和感觉。
产品优点
1.诊断和缓解互联网/企业网连接的通信量拥挤;
2.确保关键的商业应用的可靠性和最佳效果;
3.通过减少数据重发,提高网络效率;
4.降低增加昂贵带宽的需求;
5.为了实现安全的企业连接,集成带宽管理和安全管理策略。
报告模块Reporting Module
Reporting Module可以对防火墙内所有的事务进行监控和审计,你可以对所有日志记录生成详细的或摘要的报告。
IP管理软件Meta IP
Check Point的Meta IP提供了以IP为基础的网络服务,内建弹性且易于使用的图形管理介面,报告(reporting)与审计(auditing)工具;此外还整合了LDAP目录服务与使用者资料集中管理的能力。
Meta IP通过使IP地址进程自动化和管理所有的通过大的多点网络的DNS和DHCP服务,为企业建立了一个可靠的IP地址和命名空间,促进了更大的网络可靠性和控制。Meta IP提供给企业一个集中的管理、综合的LDAP数据存储、基于标准的DNS和DHCP服务和独特的动态IP 地址管理的能力。通过集成综合所有的IP地址和命名信息,也包括用户信息,企业能够产生一个牢固的网络连接的基础。
自动容错的IP地址分配和命名
·自动IP地址分配并降低了用DHCP的地址复用错误。
·减少IP管理消耗80%。
·用复制的DHCP提供IP地址分配错误。
·应用最新标准,包括BIND8.2.2pl6,提高了稳定性和安全性。
·用IXFR提高DNS效率。
·支持动态更新(Windows2000需要),基于标准的动态DNS。
·用DHCP可编程租赁过滤(Programmable Lease Filtering)控制IP地址分配。
网络服务的集中管理
·集中管理整个系统,或将特殊任务委派给网络中其它部分实施。
·在多平台上控制IP服务包括Windows NT和Unix。
·远程或在当地采用Win32或Java界面管理。
·用GUI和配置向导简化DNS和DHCP配置。
·以微粒访问控制委派管理任务。
综合的基于用户的审计和跟踪
·用MAC地址和设备名正确的跟踪和审计IP地址分配。
·通过绘制用户地址地图将IP地址与登陆名相联系。
·实时地观察地址分配、命名和其它状态信息。
VPN-1SECUREMOTE
FireWall-1SecuRemote使Win95和WinNT的移动用户和远程用户得以访问他们的企业网络,可以直接或通过ISP连接到企业的服务器,同时保证企业敏感数据的安全传送。
该模块把VPN技术扩展到了远程用户。SecuRemote是一种称为客户端加密的技术。因为SecuRemote在数据离开客户端平台之前就已对数据进行了加密,故能为远程用户到企业防火墙系统间的通信连接提供完全的安全解决方案。FireWall-1SecuRemote可以透明地加密任何TCP/IP 通信,没有必要对现有用户使用的网络应用程序作任何修改。FireWall-1SecuRemote支持任何现有的网络适配卡和TCP/IP栈。运行SecuRemote的PC机可以连接到VPN中的多个不同地点。
SecuRemote支持以下特点:
-支持动态IP地址
-提供DH,RSA算法的用户认证
-支持FWZ,DES加密算法
VPN-1SECURECLIENT
增强的客户软件,具有集中管理个人防火墙的能力并对企业的全部VPN用户进行安全识别。
VPN-1SecureClient通过确保入侵者——如在外部共享网络的使用者——不能利用不安全的远程客户机截取现存的VPN连接进入公司网络,来加强整个公司网络的安全性。VPN-1 SecureClient通过加入有力的客户安全性能,如进入控制、安全配置控制,来加强客户机的安全。
VPN-1SecureClient还提供自动检测用户跨越扩展企业的机器安全配置的能力。
产品特点
·远程与本地客户的加密交流
·在整个公司网络中,提供个人PC的防火墙政策
·加强客户机系统的安全配置
产品优势
·保护客户机—网关、客户机—服务器的交流,防止窃听和数据干扰
·通过在所有客户机上加强进入控制,来保护整个网络
·通过要求网络的客户机安全配置来加强整个公司的安全
OPSEC(Open Platform for Security)
CheckPoint提出了OPSEC标准并成立了企业安全连接开放平台组织。OPSEC是一种开放的、可扩展的标准,它允许企业在FireWall-1安全套件中集成第三方安全产品,可合并多种安全应用程序成为单一的、集中管理的安全系统。企业能够应用CheckPoint的全部安全技术且更新个别组件,而无需重新配置整个安全系统。
企业能够通过以下几种途径加入到CheckPoint OPSEC
OEM/bounding
FirWall-l的检查模块可在第三方安全设备上运行。
发布的APIS
CheckPoint为开放协议提供应用程序接口。
网络安全应用
Firewall-l支持所有已发布的第三方安全应用程序。
CheckPoint 防火墙 双机 HA 实施 方案
本文由no1moonboy贡献 doc1。 双 CheckPoint 防火墙实施方案 目 录 第一章 客户环境概述…… 4 1.1 概述 …… 4 1.2 网络拓扑与地址分配表 …… 4 1.3 安装前准备事宜 …… 6 第二章 Nokia IP380 安装与配置 …… 7 2.1 概述 …… 7 2.2 初始化 nokia380 …… 7 2.3 设置 nokia 基本信息 …… 8 2.3.1 Nokia 端口 IP 地址设定 …… 8 2.3.2 设置网关路由 …… 8 2.3.3 设置 Nokia 平台时间 …… 9 2.3.4 设定 Nokia 高可用 VRRP 参数 …… 9 2.4 初始化 checkpoint …… 14 2.4.1 在 nokia 平台上 checkpoint 的安装与卸载 …… 14 2.4.2 初始化 checkpoint …… 16 第三章 管理服务器的安装与配置…… 17 3.1checkpoint smartcenter 的安装…… 18 3.1.1 安装前的准备 …… 18 3.1.2 安装步骤 …… 18 3.2 配置 checkpoint 对象和参数 …… 20 3.2.1 建立 sic …… 20 3.2.2 定义防火墙对象拓扑结构 …… 21 3.2.3 使用同样的步骤按照表 1 的参数建立 IP380B checkpoint gateway 对象。 …… 21 3.3 基于 nokia vrrp 或者 cluster 的设置…… 22 3.3.1 基于 Nokia VRRP 的设置 …… 22 3.3.2 为 nokia vrrp 定义策略 …… 22 3.3.3 高可用性的检查 …… 23 3.4nokia cluster 的设置 …… 23 3.5 暂时没有 …… 23 第四章 策略设定…… 24 4.1 概述 …… 24 4.2 netscreen 的策略 …… 24 4.3 经过整理后转换成 checkpoint 的策略 …… 24 4.4 设定策略 …… 24 4.4.1 定义主机对象 …… 24 4.4.2 定义网络对象 …… 25 4.4.3 定义组 …… 26 4.4.4 定义服务 …… 26 4.4.5 添加标准策略 …… 27 4.4.6 添加 NAT 策略…… 27 第五章 切换与测试…… 29 5.1 切换 …… 29 5.2 测试 …… 29 5.3 回退 …… 30 第六章 日常维护…… 31 6.1 防火墙的备份与恢复 …… 31 6.1.1 nokia 防火墙的备份与恢复方法 …… 31 6.1.2 checkpoint management 上的备份与恢复 …… 33 第一章 客户环境概述 1.1 概述 XXXXXX 公司因应企业内部的网络需求,对总部网络进行扩容改动,中心 防火墙从原来的 netscreen 换成两台 Nokia IP380,两台 nokia 互为热备。维持原 有的服务不变。 由于这次网络改动比较大,所以先离线进行安装和测试,最后再进行切换 1.2 网络拓扑与地址分配表 XXXXXX 改造前网络拓扑如下 改动后,XXX 将按照以下图进行实施 改动后, 给个设备及端口的地址分配入下表所示 IP 地址分配表(表 1) 管理服务器参数 IP 地址 防火墙各端口参数 端口 Eth1 用途 外网 口 Eth2 Eth3 Eth4 ? DMZ 内网 同步 口 gateway 静态路 由 172.16.100.5/30 172.16.100.6/30 172.16.100.1/30 10.101.1.101/24 10.101.1.102/24 10.101.1.1/24 192.168.11.1/24 192.168.11.2/24 Nokia380A Nokia380B 虚拟地址 1.3 安装前准备事宜 1.管理服务器硬件平台 CPU 奔腾 3 500 以上 内存 128 以上 硬盘 60M 以上 操作系统,windows 2000 server +SP4 补丁 2.网络连线 3.Checkpoint 及 nokia 管理软件 Checkpoint NG AI R55 安装包 for windows hotfix09 或以上 4.Nokia IP380 设备两台 内置 IPSO3.8 build 39 内置 checkpoint NG AI R55 安装包 第二章 Nokia IP380 安装与配置 2.1 概述 首先我们可以对两台 Nokia IP380 进行安装与配置,由于 Nokia 防火墙将会 替代 Netscreen,所以 Nokia 防火墙可以进行离线配置。配置步骤如下。 2.2 初始化 nokia380 1. 使用 nokia console 线,连接 nokia console 口和管理 pc 的串行端口,
Check Point教程
Check point 防火墙基本操作手册 CheckPoint(中国) TEL:(86)10 8419 3348 FAX:(86)10 8419 3399 ?2010 Check Point Software Technologies Ltd. All rights reserved. Classification:
目录 目录 (2) 防火墙架构 (3) 防火墙的Web管理 (3) 配置IP: (4) 配置DNS和Host: (5) 配置路由: (5) 通过防火墙的管理客户端管理 (5) 添加防火墙 (7) 添加策略步骤 (10) IP节点添加 (10) 添加网段 (11) IPS的配置 (13) 更新IPS库 (14) 新建IPS动作库 (14) 应用控制 (16) 更新数据库 (16) 添加应用控制策略 (17) App Wike (18) 自定义添加应用 (18) QOS配置 (20) Qos策略的添加 (20) 日志工具的使用 (20) 筛选日志 (21) 临时拦截可以连接 (22) ?2010 Check Point Software Technologies Ltd. All rights reserved. Classification:
?2010 Check Point Software Technologies Ltd. All rights reserved. Classification: 防火墙架构 Check point 防火墙的管理是通过一个三层架构来实现的。首先我们可以在任意的机器上安装防火墙客户端控制台,然后利用控制台的图形化界面登录check point 的管理服务器,定义出各个网络对象,定义企业各条策略,最后下发到防火墙执行模块。具体实现过程见图示: 防火墙的Web 管理 首先打开Web 管理界面,出现登录界面:
CheckPoint 防火墙基本操作及应急措施
防火墙基本操作及应急措施陈世雄安全工程师 CCSE
议程 ?智能边界安全解决方案?CheckPoint 配置基础?常见问题及应急措施
Check Point 简介 ?最受信赖、最可依靠的互联网安全厂商 –我们致力发展安全领域——并且比任何厂商更优秀! –全球财富100企业中,100%企业使用我们的产品 –在防火墙和虚拟专用网络(VPN)市场中占有领导 地位 ?在全球 VPN/防火墙软件市场销售额中占70%份额 (Infonetics提供数据) ?VPN/防火墙软件市场占有率超过 54% (IDC提供数据) ?安全硬件设备市场份额中有 36% 为 Check Point 产品(由 Infonetics 提供) ?以客为本的企业原则 –业界领先的技术合作伙伴关系 –强大且广泛的渠道合作伙伴关系
状态检测 / FireWall-1 1993 OPSEC 1997 VPN-1 1998 Next Generation 2001 SmartDefense 2002 应用智能 2003 Check Point: 一直走在客户现实需求的前面 创新历程 1994 1995 1996 1999 2000 Web 智能 2004
我们的策略 2004上半年提供! ? 安全远程访问 ? Web 服务器保护 ? 统一认证 ? 一致性策略管理 ? 市场领先 ? 十年的成功史 ? 最新发布 - InterSpect 2.0 - Connectra 2.0 - Intergrity 6.0 ? Check Point InterSpect ? Zone Labs SMART 管理 无忧保护 边界 深入检查 智能 安全解决方案
CheckPoint防火墙安装手册
防火墙安装操作手册By Shixiong Chen
一、准备安装介质和服务器 安装CheckPoint防火墙基于开放的服务器平台需要准备两点: 如果选用的是Checkpoint的硬件,UTM-1则不需要考虑这些问题。 第一,准备好服务器,服务器最好选择IBM\HP\或者其他大品牌厂商的硬件平台,并且事先确认该品牌和型号的服务器与CheckPoint软件兼容性,将网卡扩展至与真实火墙一致,服务器需要自带光驱。 第二,准备好CheckPoint防火墙安装介质,注意软件的版本号与真实环境火墙一致,同时准备好最新的防火墙补丁。 二、SecurePlatform系统安装过程 硬件服务器初始状态是裸机,将服务器加电后,设置BIOS从光盘启动,将CheckPoint软件介质放入光驱,然后出现如下界面: 敲回车键盘开始安装。出现如下界面,选择OK,跳过硬件检测。
选择安装的操作系统类型,根据自己防火墙操作系统的版本选择。SecurePlatform Pro是带有高级路由和支持Radius的系统版本。 选择键盘支持的语言,默认选择US,按TAB键,继续安装。 配置网络接口,初始我们配置外网接口即可,选择eth0配置IP, 输入IP地址、子网掩码、以及默认网关,然后选择OK,继续。 选择OK.开始格式化磁盘。
格式化完成后开始拷贝文件,最后提示安装完成,按照提示点击OK.系统会自动重新启动。然后出现登陆界面,如下所示。 第一次登陆系统,默认账号和密码都是admin,登陆后需要出入新的密码和管理员账号。 三、CheckPoint防火墙软件安装过程
运行sysconfig 命令,启动安装防火墙包。选择n,继续安装。 打开网络配置页面,选择1,配置主机名,选择3配置DNS服务器,选择4配置网络,选择5配置路由,注意要与生产线设备的配置保持一致,特别是路由要填写完整,主机名、接口IP和子网掩码要填写正确。 配置完成后,选择n,下一步继续配置,如下图所示,选择1配置时区(选择5,9,1),选择2配置日期,选择3配置本地系统时间,选择4查看配置情况。注意配置时间和日期的格式。完成后选择n, 然后会出现提示是否从tftp服务器下载安装软件,选择n.然后出现如下界面,选择N,继续安装。 选择Y,接受安装许可协议。
Checkpoint防火墙测试用例
Checkpoint R65 Test Plan Revision 0.1 2009-10-14 Author: Peng Gong
Revision History
1‘FW MONITOR’ USAGE (7) 2TEST SUITES (7) 2.1R65I NSTALL &U NINSTALL (7) 2.1.1Create a v3 vap-group with vap-count/max-load-count set >1, Confirm R65 and related HFA could be installed on all vap within vap-group successfully (7) 2.1.2Create a v4 vap-group, confirm XOS would prompt correctly message and failure install would cause unexpected issue to system (9) 2.1.3Create a v5 vap-group, confirm XOS would prompt correctly message and failure install would cause unexpected issue to system (10) 2.1.4Create a v5_64 vap-group, confirm XOS would prompt correctly message and failure install would cause unexpected issue to system (11) 2.1.5Try to install R65 on a v3 vap-group and abort the install process, confirm nothing is left afterwards12 2.1.6Reduce max-load-count down to 1, confirm only one Vap is allowed to run R65 accordingly (13) 2.1.7Increase vap-count and max-load-count to maximum vap count and executing "application-update", confirm all the Vap are running R65 properly (14) 2.1.8Reduce vap-count to 3, Confirm the surplus Vap is stopped from running R65 and related partitions are removed from CPM (15) 2.1.9Enable/Disable IPv6 in vap-group and w/o ipv6-forwarding, confirm R65 wouldn't be affected. (16) 2.1.10Confirm the installed R65 could be stopped through CLI (17) 2.1.11Confirm the installed R65 could be started through CLI (18) 2.1.12Confirm the installed R65 could be restarted through CLI (18) 2.1.13Confirm the installed R65 could be reconfigured through CLI (19) 2.1.14Confirm checkpoint could be upgraded to R70 by CLI: application-upgrade (19) 2.1.15Confirm R65 could run properly while reload vap-group totally (20) 2.1.16Confirm R65 could run properly while reload all chassis totally (20) 2.1.17Create 2 vap groups, install R65 on both. Confirm R65 are running on both vap-groups without any mutual impact. (21) 2.1.18Confirm configure operation couldn't be allowed if some Vap don't run R65 properly. (23) 2.1.19Confirm uninstall/Configure operation couldn't be allowed if some Vap don't run properly. (24) 2.1.20Confirm start/stop/restart operation could works prope rly if R65 doesn’t run properly on some Vaps.25 2.1.21Confirm configure operation couldn't be allowed if vap-count>max-load-count causing some Vap don't run properly (26) 2.1.22Confirm uninstall operation couldn't be allowed if vap-count>max-load-count causing some Vap don't run properly (27) 2.1.23Confirm start/stop/restart operation couldn't be allowed if vap-count>max-load-count causing some Vap don't run properly (28) 2.1.24Confirm R65 could be uninstalled from vap-group (29) 2.1.25Confirm R65 installation package could be remove from XOS by CLI: application-remove (30) 2.2C HECKPOINT F EATURES (31) 2.2.1Create GW and Set SIC, get topology from Smart Dashboard (31) 2.2.2Configure Policy and push policy (31) 2.2.3Confirm R65 could be started/stoped/restarted by cp-command (32) 2.2.4Confirm different kinds of rule actions could work - allow/drop/reject (33) 2.2.5Verify different kinds of tracking actions could work properly - log/alert/account (33) 2.2.6Verify static NAT and hide NAT work properly (34) 2.2.7Verify default license is installed automatically (34) 2.2.8Verify some usual fw commands output - fw ver -k/ fw ctl pstat/ fw tab/ fw stat/ cphaprob stat /fw fetch /fw unloadlocal / fwaccel stat (34) 2.2.9Verify SXL status if enable/disable it (36) 2.2.10Verify the log information in SmartViewer are displayed correctly. (37) 2.2.11Verify the GW and its member information in SmartViewer are displayed correctly (37) 2.2.12Define a VPN Community between two GW; Confirm traffic can pass (37) 2.2.13Create a VPN client tunnel, make sure client can login and traffic is encrypted as it should (38) 2.2.14Enabling/Disabling SXL during connections (39) 2.2.15Fail over the active member during connections (39) 2.3I NTERFACE T EST-T RAFFIC MIXED WITH IPV6 AND IPV4 (39) 2.3.1Verify traffic pass through the interface without SXL - non vlan<--->vlan (tcp+udp+icmp) (39)
CheckPoint防火墙配置
C h e c k P o i n t防火墙配置 S p e c i f i c a t i o n f o r C h e c k P o i n t F i r e W a l l C o n f i g u r a t i o n U s e d i n C h i n a M o b i l e 版本号:1.0.0 ╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施 中国移动通信有限公司网络部
目录 1概述 (2) 1.1适用范围 (2) 1.2内部适用性说明 (2) 1.3外部引用说明 (4) 1.4术语和定义 (4) 1.5符号和缩略语 (4) 2CHECKPOINT防火墙设备配置要求 (5)
前言 概述 1.1适用范围 本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOINT防火墙设备。本规范明确了设备的基本配置要求,为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求提供指南。本规范可作为编制设备入网测试规范,工程验收手册,局数据模板等文档的参考 1.2内部适用性说明 本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出的CHECKPOINT防火墙配置要求规范,为便于比较,特作以下逐一比较及说明(在“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、“不采纳”。在“补充说明”部分,对于增强要求的情况,说明在本规范的相应条款中描述了增强的要求。对于“不采纳”的情况,说明采纳的原因)。 内容采纳意见备注 1.不同等级管理员分配不同账号,避 完全采纳 免账号混用。 完全采纳 2.应删除或锁定与设备运行、维护等 工作无关的账号。 完全采纳 3.防火墙管理员账号口令长度至少8 位,并包括数字、小写字母、大写 字母和特殊符号4类中至少2类。 4.账户口令的生存期不长于90天。部分采纳IPSO操作系统支持 5.应配置设备,使用户不能重复使用 部分采纳IPSO操作系统支持最近5次(含5次)内已使用的口 令。 6.应配置当用户连续认证失败次数超 部分采纳IPSO操作系统支持过6次(不含6次),锁定该用户使 用的账号。 完全采纳 7.在设备权限配置能力内,根据用户 的管理等级,配置其所需的最小管
checkpoint防火墙技术
CheckPoint FireWall-1防火墙技术 2007-11-14 18:22:23 随着Internet的迅速发展,如何保证信息和网络自身安全性的问题,尤其是在开放互联环境中进行商务等机密信息的交换中,如何保证信息存取和传输中不被窃取、篡改,已成为企业非常关注的问题。 作为开放安全企业互联联盟(OPSEC)的组织和倡导者之一,CheckPoint公司在企业级安全性产品开发方面占有世界市场的主导地位,其FireWall-1防火墙在市场占有率上已超过44%,世界上许多著名的大公司,如IBM、HP、CISCO、3COM、BAY等,都已成为OPSEC的成员或分销CheckPoint FireWall-1产品。 CheckPoint FireWall-1 V3.0防火墙的主要特点。 从网络安全的需求上来看,可以将FireWall-1的主要特点分为三大类,第一类为安全性类,包括访问控制、授权认证、加密、内容安全等;第二类是管理和记帐,?包括安全策略管理、路由器安全管理、记帐、监控等;第三类为连接控制,包括负载均衡高可靠性等;下面分别进行介绍。 1.访问控制 这是限制未授权用户访问本公司网络和信息资源的措施。评价访问控制的一个重要因素是要看其能否适用于现行的所有服务和应用。第一代包过滤技术,无法实施对应用级协议处理,也无法处理UDP、RPC或动态的协议。第二代应用代理网关防火墙技术,为实现访问控制需要占用大量的CPU资源,对Internet上不断出现的新应用(如多媒体应用),无法快速支持. CheckPoint FireWall-1的状态监测技术,结合强大的面向对象的方法,可以提供全七层应用识别,对新应用很容易支持。目前支持160种以上的预定义应用和协议,包括所有Internet服务,如安全Web浏览器、传统Internet应用(mail、ftp、telnet)、UDP、RPC等,此外,支持重要的商业应用,如OracleSQL*Net、SybaseSQL服务器数据库访问;支持多媒体应用,如RealAudio、CoolTalk、NetMeeting、InternetPhone等,以及Internet广播服务,如BackWeb、PointCast。 另外,FireWall-1还可以提供基于时间为对象的安全策略定制方法。 FireWall-1开放系统具有良好的扩展性,可以方便的定制用户的服务,提供复杂的访问控制。 2.授权认证(Authentication) 由于一般企业网络资源不仅提供给本地用户使用,同时更要面向各种远程用户、移动用户、电信用户的访问,为了保护自身网络和信息的安全,有必要对访问连接的用户采取有效的权限控制和访问者的身份识别。经过认证,FireWall-1能保证一个用户发起的通信连接在允许之前,就其真实性进行确认。FireWall-1提供的认证无须在服务器和客户端的应用进行任何修改。FireWall-1的服务认证是集成在整个企业范围内的安全策略,可以通过防火墙的GUI进行集中管理。同时对在整个企业范围内发生的认证过程进行全程的监控、跟踪和记录。FireWall-1提供三种认证方法: 用户认证(Authentication) 用户认证(UA)是基于每个用户的访问权限的认证,与用户的IP地址无关,FireWall-1提供的认证服务器包括:FTP、TELNET、HTTP、RLOGIN。 UA对移动用户特别有意义,用户的认证是在防火墙系统的网关上实施的。
Checkpoint SIC
Secure Internal Communications (SIC) 26-Jun-2001 NG-FCS Version Abstract Check Point Software has enhanced the Internal Communications method for the components within a Next Generation (NG) Check Point System. This method is based on Digital Certificates, and will be further described below. This is a new and improved method for all of the internal communications, so if you are familiar with "fw putkeys", you will not have to go back there… Document Title: Secure Internal Communications Creation Date: 08-Feb-2001 Modified Date: 26-Jun-2001 Document Revision: 2 (meaning this is the 3rd revision) Product Class: FireWall-1 / VPN-1 Product and Version: NG Author: Joe DiPietro DISCLAIMER The Origin of this information may be internal or external to Check Point Software Technologies. Check Point Software Technologies makes all reasonable efforts to verify this information. However, the information provided in this document is for your information only. Check Point Software Technologies makes no explicit or implied claims to the validity of this information. Any trademarks referenced in this document are the property of their respective owners. Consult your product manuals for complete trademark information.
CheckPoint 防火墙 双机 HA 实施 方案
本文由no1moonboy贡献 doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。 双 CheckPoint 防火墙实施方案 目录 第一章客户环境概述…… 4 1.1 概述…… 4 1.2 网络拓扑与地址分配表…… 4 1.3 安装前准备事宜…… 6 第二章 Nokia IP380 安装与配置…… 7 2.1 概述…… 7 2.2 初始化 nokia380 …… 7 2.3 设置 nokia 基本信息…… 8 2.3.1 Nokia 端口 IP 地址设定…… 8 2.3.2 设置网关路由…… 8 2.3.3 设置 Nokia 平台时间…… 9 2.3.4 设定Nokia 高可用 VRRP 参数…… 9 2.4 初始化 checkpoint …… 14 2.4.1 在 nokia 平台上checkpoint 的安装与卸载…… 14 2.4.2 初始化 checkpoint …… 16 第三章管理服务器的安装与配置…… 17 3.1checkpoint smartcenter 的安装…… 18 3.1.1 安装前的准备…… 18 3.1.2 安装步骤…… 18 3.2 配置 checkpoint 对象和参数…… 20 3.2.1 建立 sic …… 20 3.2.2 定义防火墙对象拓扑结构…… 21 3.2.3 使用同样的步骤按照表 1 的参数建立 IP380B checkpoint gateway 对象。…… 21 3.3 基于 nokia vrrp 或者cluster 的设置…… 22 3.3.1 基于 Nokia VRRP 的设置…… 22 3.3.2 为 nokia vrrp 定义策略…… 22 3.3.3 高可用性的检查…… 23 3.4nokia cluster 的设置…… 23 3.5 暂时没有…… 23 第四章策略设定…… 24 4.1 概述…… 24 4.2 netscreen 的策略…… 24 4.3 经过整理后转换成 checkpoint 的策略...... 24 4.4 设定策略...... 24 4.4.1 定义主机对象...... 24 4.4.2 定义网络对象...... 25 4.4.3 定义组...... 26 4.4.4 定义服务 (26) 4.4.5 添加标准策略…… 27 4.4.6 添加 NAT 策略…… 27 第五章切换与测试…… 29 5.1 切换...... 29 5.2 测试...... 29 5.3 回退...... 30 第六章日常维护...... 31 6.1 防火墙的备份与恢复...... 31 6.1.1 nokia 防火墙的备份与恢复方法...... 31 6.1.2 checkpoint management 上的备份与恢复 (33) 第一章 客户环境概述 1.1 概述 XXXXXX 公司因应企业内部的网络需求,对总部网络进行扩容改动,中心防火墙从原来的 netscreen 换成两台 Nokia IP380,两台 nokia 互为热备。维持原有的服务不变。由于这次网络改动比较大,所以先离线进行安装和测试,最后再进行切换 1.2 网络拓扑与地址分配表 XXXXXX 改造前网络拓扑如下 改动后,XXX 将按照以下图进行实施改动后, 给个设备及端口的地址分配入下表所示 IP 地址分配表(表 1) 管理服务器参数 IP 地址防火墙各端口参数端口 Eth1 用途外网口 Eth2 Eth3 Eth4 ? DMZ 内网同步口gateway 静态路由172.16.100.5/30 172.16.100.6/30 172.16.100.1/30 10.101.1.101/24 10.101.1.102/24 10.101.1.1/24 192.168.11.1/24 192.168.11.2/24 Nokia380A Nokia380B 虚拟地址 1.3 安装前准备事宜 1.管理服务器硬件平台 CPU 奔腾 3 500 以上内存 128 以上硬盘 60M 以上操作系统,windows 2000 server +SP4 补丁 2.网络连线 3.Checkpoint 及 nokia 管理软件 Checkpoint NG AI R55 安装包 for windows hotfix09 或以上 4.Nokia IP380 设备两台内置 IPSO3.8 build 39 内置 checkpoint NG AI R55 安装
checkpoint用户手册
Check Point UTM-1 用户手册
第一章使用向导 (3) 一、从配置UTM开始 (3) 1、登陆UTM (3) 2、配置网卡 (3) 3、配置路由 (4) 4、配置主机名 (5) 5、调整时间 (5) 二、步骤1-配置之前......一些有用的术语 (6) 三、步骤2-安装和配置 (7) 四、步骤3-第一次登录到SmartCenter服务器 (8) 五、步骤4-在安全策略定义之前 (10) 六、步骤5-为安全策略定义规则 (15) 七、步骤6-来源和目的 (16) 第二章策略管理 (16) 一、有效的策略管理工具需要 (17) 二、CheckPoint管理策略的解决方案 (17) 1、策略管理概况 (17) 2、策略集 (18) 3、规则分节标题 (20) 4、查询和排列规则以及对象 (20) 三、策略管理需要注意的问题 (21) 四、策略管理配置 (21) 第三章SmartView Tracker (24) 一、跟踪的需求 (25) 二、CheckPoint对跟踪的解决方案 (25) 1、跟踪概况 (25) 2、SmartView Tracker (26) 3、过滤 (27) 4、查询 (28) 5、通过日志切换维护日志文件 (28) 6.通过循环日志来管理日志空间 (28) 7、日志导出功能 (29) 8、本地日志 (29) 9、使用日志服务器记录日志 (29) 10、高级跟踪操作 (29) 三、跟踪需要考虑的问题 (30) 四、跟踪配置 (31) 1、基本跟踪配置 (31) 2、SmartView的查看选项 (31) 3、配置过滤器 (32) 4、配置查询 (32) 5、维护 (33) 6、本地日志 (34) 7、使用日志服务器 (34)
通信公司CheckPoint VPN安全配置手册
密级: 文档编号: 项目代号: A移动CheckPoint VPN 安全配置手册 A移动通信有限公司
拟制: 审核: 批准: 会签: 标准化:
版本控制 分发控制
目录 1CHECKPOINT VPN概述 (2) 1.1简介 (2) 1.2分类及其工作原理 (2) 1.3功能与定位 (3) 1.4特点与局限性 (4) 2CHECKPOINT VPN适用环境及部署原则 (4) 2.1适用环境 (4) 2.2安全部署原则 (4) 3CHECKPOINT VPN的安全管理与配置 (4) 3.1服务器端设置 (4) 3.2客户端设置 (18) 3.3登陆过程 (23) 3.4日志查询 (24)
1Checkpoint VPN概述 1.1 简介 VPN(Virtual Private Network)虚拟专用网,是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接,可以形象地看做是一条穿过混乱的公用网络的安全、稳定的隧道,所以VPN中使用的加密传输协议被称为隧道协议。 用户使用VPN使需要在PC机上安装一个客户端软件,该客户端和企业的VPN Server互相配合,能保证用户端到企业内部的数据是被加密,无法监听。 VPN的设计目标是保护流经Internet的通信的保密性和完整性,在数据在互联网上传输之前进行加密,在到达最终用户之前进行解密。但尽管如此,VPN并不完备,许多用户在使用VPN时,密码经常被窃,使整个VPN系统失去安全。这种密码盗窃是VPN中经常遭受的、最具危害性的攻击。 一般来说,大多数对用户身份的确认是通过用户名和固定的密码实现的,然而,固定密码容易被窃或被黑客随处可得的“Cracker”工具破译,某些软件可以自动完成猜测密码的工作,更糟糕的是,某些特定的单词,如“password”或“123456”等,经常被用做密码。 对密码保护的最好办法就是不要密码――不采用固定密码,采用动态密码,俗称一时一密,每个密码只能用一次,每次的有效时间只有很短的时间。对VPN采用动态密码,很好解决了数据的传输安全和密码安全,是一个完美结合。
CheckPoint防火墙配置
C h e c k P o i n t防火墙配 置 公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
C h e c k P o i n t 防火墙配置 ╳╳╳╳-╳╳-╳╳发布 ╳╳╳╳-╳╳-╳╳实施 S p e c i f i c a t i o n f o r C h e c k P o i n t F i r e W a l l C o n f i g u r a t i o n U s e d i n C h i n a M o b i l e 版本号:1.0.0 中国移动通信有限公司网络部
目录 前言 概述 1.1适用范围 本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOINT 防火墙设备。本规范明确了设备的基本配置要求,为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求提供指南。本规范可作为编制设备入网测试规范,工程验收手册,局数据模板等文档的参考1.2内部适用性说明 本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出的CHECKPOINT防火墙配置要求规范,为便于比较,特作以下逐一比较及说明(在“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、“不采纳”。在“补充说明”部分,对于增强要求的情况,说明在本规范的相应条款中描述了增强的要求。对于“不采纳”的情况,说明采纳的原因)。 内容采纳意见备注
1.不同等级管理员分配不同账 号,避免账号混用。 完全采纳 2.应删除或锁定与设备运行、 维护等工作无关的账号。 完全采纳 3.防火墙管理员账号口令长度 至少8位,并包括数字、小 写字母、大写字母和特殊符 号4类中至少2类。 完全采纳 4.账户口令的生存期不长于90 天。部分采纳IPSO操作系统 支持 5.应配置设备,使用户不能重 复使用最近5次(含5次) 内已使用的口令。部分采纳IPSO操作系统 支持 6.应配置当用户连续认证失败 次数超过6次(不含6 次),锁定该用户使用的账 号。部分采纳IPSO操作系统 支持 7.在设备权限配置能力内,根 据用户的管理等级,配置其 所需的最小管理权限。 完全采纳 8.设备应配置日志功能,对用 户登录进行记录,记录内容 包括用户登录使用的账号, 登录是否成功,登录时间, 以及远程登录时,用户使用 的IP地址。 完全采纳 9.设备应配置日志功能,记录 用户对设备的重要操作。 完全采纳 10.设备应配置日志功能, 记录对与设备相关的安全事 件。 完全采纳 11.设备配置远程日志功 能,将需要重点关注的日志 内容传输到日志服务器。 完全采纳 12.防火墙应根据业务需要,配 置基于源IP地址、通信协 议TCP或UDP、目的IP地 址、源端口、目的端口的流 量过滤,过滤所有和业务不 相关的流量。 完全采纳13.对于使用IP协议进行远完全采纳
系统管理员日常维护操作手册讲解学习
系统管理员日常维护操作手册一、信息部工作日志
一、服务器日常开关机器规定 (一)、开机步骤 1、先开启ups电源,待UPS电源运转正常,加电稳定; 2、开启服务器电源,系统将自动启动UNIX操作系统,密切注意操作系统启 动过程中的系统提示信息,如果有异常的提示必须作好数据库操作启动的日志记录。 3、待服务器操作系统正常启动后,再以sybase用户身份登陆到sybase,启 动sybase数据库,在sybase数据库启动过程中如果有异常的提示,同样要记录启动过程中的日志。 4、服务器的任何异常提示,个人不得以任何形式任意进行服务器的非授权 处理; 5、如果要进行数据库大小的扩充操作则必须以数据库扩充标准及步骤进 行,并记录数据库扩充的系统提示信息,如果有异常情况则必须告诉公司系统集成部。 6、一般服务器至少20天左右要进行一次系统的关机动作。对于专用服务器 则不需要进行此操作。 (二)、系统运行过程中的数据库维护操作 7、一般数据库至少30天要进行一次数据库的dbcc检查。 8、数据库系统每一个月结帐后必须做月末的整理索引操作。 9、每天必须做好数据库的日常备份工作,同时必须进行数据库至少存放在 服务器的2个地方,或者备份到磁带机上,同时保存好备份数据。(三)、服务器的关机操作步骤
10、先备份数据库数据到备份设备上; 11、关sybase数据库; 12、关UNIX操作系统; 13、关服务器电源; 14、关UPS电源; 二、服务器操作系统启动关闭及备份操作步骤 (一)、服务器数据库系统的启动和日常维护: 1.开机<按电源开关后,等待了现SCO界面,接着按下Ctrl+Alt+F1>进入 unix系统 Login:Sybase< 回车 > Password:asdf<密码,如有错继续回车,正确时出现> $ <表示启动成功,pwd查看正确路径应为 /u/sybase> $ Run <启动成功> $ isql -Usa < > Password:<无密码,回车> Sybase>