CheckPoint R77安装过程

Check_Point R75.45_Gaia安装手册（虚拟机）一．虚拟机硬件配置准备（1）注意CD/DVD的ISO Image file目录图1-1（2）确认你的虚拟网卡，是否已经桥接成功注意：NAT所分配到的192.168.2.0网段，就是以后防火墙安装，连接端口的地址。

图1–2图1-3（3）点击Power on 开始正式安装CheckPoint硬件底层图1-4二．硬件安装选第一个图2-1图2-2图2-3 注：选US图2-4注：选择默认Disk分配的配置，直接OK图2-5注：此环节配置的是CheckPoint设备Web界面登陆和CLI指令行的账号和密码；默认账号为：admin图2-6注：显示的端口，即虚拟机默认给分配的网卡，在本实验中，虚拟机共分配了2张虚拟网卡。

图2-7注：点击eth0进入该端口，配地址与网关，（与图1-2虚拟机分配的网段一致）图2-8注：硬件初始化图2-9图2-10注：初始化完成后，reboot重启图2-11注：在浏览器内，输入防火墙的端口地址，https://192.168.2.100图2-12注：输入图2-6所配置的用户名、密码。

图2-13三．GAIA平台初始化配置首次安装时，会提示出现GAIA平台的设置（谨慎配置）图3-1注：修改时区图3-2 注：修改Hostname图3-3注：再次配置eth0的端口配置信息图3-4 注：选择默认第一个图3-5注：很关键的一步。

Security Gateway 和Management 的选项一定要勾上（否则不能登入Dashboard），下方可选项根据需求，选择VRRP 协议或者CP自带的Cluster协议，并确认。

图3-6图3-7注：这里配置的是Dashboard上登陆的用户名与密码，请与前面CP 硬件配置的密码区别开。

图3-8注：选第一个，否则无法打开Dashboard图3-9注：开始安装。

图3-10 注：安装完成后，需重启。

图3-11图3-11重新打开web界面图3-12四.软件安装点击图3-12的上红框内的Download ，没啥花头，一直Next。

CheckPoint防火墙安全配置基线要点实用资料(可以直接使用，可编辑优秀版资料，欢迎下载）CheckPoint防火墙安全配置基线备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 01.1 目的 01.2 适用范围 01.3 适用版本 01.4 实施 01.5 例外条款 0第2章帐号管理、认证授权安全要求 (1)2.1 帐号管理 (1)用户帐号分配* (1)删除无关的帐号* (2)帐户登录超时* (3)帐户密码错误自动锁定* (4)2.2 口令 (5)口令复杂度要求 (5)2.3 授权 (6)远程维护的设备使用加密协议 (6)第3章日志与配置安全要求 (8)3.1 日志安全 (8)记录用户对设备的操作 (8)开启记录NAT日志* (9)开启记录VPN日志* (10)配置记录流量日志 (11)配置记录拒绝和丢弃报文规则的日志 (12)3.2 安全策略配置要求 (13)访问规则列表最后一条必须是拒绝一切流量 (13)配置访问规则应尽可能缩小范围 (13)配置OPSEC类型对象* (14)配置NAT地址转换* (16)限制用户连接数* (17)Syslog转发SmartCenter日志* (18)3.3 攻击防护配置要求 (22)定义执行IPS的防火墙* (22)定义IPS Profile* (23)第4章防火墙备份与恢复 (25)SmartCenter备份和恢复(upgrade_tools)* (25)第5章评审与修订 (27)第1章概述1.1 目的本文档旨在指导系统管理人员进行CheckPoint防火墙的安全配置。

1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3 适用版本CheckPoint防火墙。

1.4 实施1.5 例外条款第2章帐号管理、认证授权安全要求2.1 帐号管理2.1.1用户帐号分配*2.1.2删除无关的帐号*2.1.3帐户登录超时*2.1.4帐户密码错误自动锁定*2.2 口令2.2.1口令复杂度要求2.3 授权2.3.1远程维护的设备使用加密协议第3章日志与配置安全要求3.1 日志安全3.1.1记录用户对设备的操作1.判定条件SmartView Tracker2.检测操作可以通过“开始”“程序”“Check Point SmartCosole R75”“SmartView Tracker”或登录“SmartDashboard”“Windows”“SmartViewTracker”打开该工具，Management：显示审计相关的数据，记录管理员、应用和操作详细信息。

航信2012防火墙初始化向导防火墙安装简介及版本一：通过Console选择防火墙版本和安装二：通过WEB UI初始化防火墙三：通过WEB UI配置防火墙基本信息，包括（主机名、接口IP、路由、NTP、SIC）四：通过SmartConsole连接到SmartCenter配置防火墙对象及ClusterXL五：防火墙安装版本为基于GAIA的R75.47一：通过Console选择防火墙版本和安装1：通过Console线连接防火墙，COM口参数设置（bps:9600，Data bits:8,Parity:none,Stop bits:1,Flow control:None）2：启动防火墙，当提示Press any key to …….任意键进入如下界面，下行键选择Reset to factory defaults – Gaia R75.473：当提示将清空所有配置，你是否继续，输入yes4：当命令行进入如下界面开始从Web UI初始化防火墙二：通过WEB UI初始化防火墙1：本机电脑IP配置成192.168.1.xxx/24，通过RJ45网线连接防火墙Mgmt端口，Web界面输入https://192.168.1.1进入如下界面：2：输入User name：admin Password：admin（默认用户名和密码）进入如下界面3：点击Next，进入如下界面，选择Continue with configuration of Gaia R75.474：点击Next进入如下界面，输入密码：njhgfc123$ 并确认密码5：点击Next进入如下界面：选择日期、时间及时区6：点击Next进入如下界面：输入Host Name: TSN-FW4600-JC1A （此主机名仅为举例）7：点击Next进入如下界面：输入分配的管理地址：DHCP Server选择Disabled8：点击Next，出现如下对话框，意思是管理口IP已经改变，为了保持当前浏览器不关闭，系统保留了192.168.1.1为第二个IP地址作为管理。

NGX R70 checkpoint 防火墙双机热备安装文档说明：需要二个防火墙和一个管理服务器。

二个防火墙必须用3个以上的网卡（外网，内网，心跳线）。

我们先装第一台防火墙。

系统的提示信息出现，90秒内没有按键，安装将取消，立刻按enter 键。

其中，add driver可用于添加设备，可以通过device list查看设备驱动是否正常。

选择ok键继续选择你要安装的软件刀片。

动态路由的选择，如果不需要就选第一个。

选择US 键盘。

配置。

配置第一个防火墙的IP和默认网关，为避免冲突我们把WEB https://192.168.1.254:4434/访问的端口改成4434格式化你的硬盘选择OK。

安装完成OK，重新启动。

第二台防火墙的安装，和第一台一样（IP不太一样）。

立即按回车90秒以内。

选择OK按自己的需求选择软件刀片选择路由是否需要动态路由。

不需要选第一个。

US键盘编辑第一端口方便进入WEB https://192.168.1.253:4434/进行配置。

配置IP和默认网关。

修改成4434端口。

格式化。

重新启动。

在IE浏览器输入https://192.168.1.254:4434/进行第一台防火强的环境配置。

默认帐号和密码都是admin输入一个新的密码。

下一步。

配置3个接口，外网，内网，和心跳线。

配置外网的默认网关。

配置对应的DNS。

修改一下防火强的名称。

时间配置。

下一步，所有人都人访问这个CLIENT。

集群中的checkpoint防火墙此界面只选择安全网关Security Gateway，不需要在每个集群成员中安装管理服务Security ManagementSecurity Management组件需要安装到一个独立的服务器上（Windows/liunx均可），以便统一管理集群中的各个网关成员我们要配置的防火墙集群，所以这里的网关类型选择“this gateway is a member of a cluster”（这个网关是一个集群的成员）。

防火墙安装操作手册By Shixiong Chen一、准备安装介质和服务器安装CheckPoint防火墙基于开放的服务器平台需要准备两点:如果选用的是Checkpoint的硬件，UTM-1则不需要考虑这些问题。

第一，准备好服务器，服务器最好选择IBM\HP\或者其他大品牌厂商的硬件平台，并且事先确认该品牌和型号的服务器与CheckPoint软件兼容性，将网卡扩展至与真实火墙一致，服务器需要自带光驱。

第二，准备好CheckPoint防火墙安装介质，注意软件的版本号与真实环境火墙一致，同时准备好最新的防火墙补丁。

二、SecurePlatform系统安装过程硬件服务器初始状态是裸机，将服务器加电后，设置BIOS从光盘启动，将CheckPoint软件介质放入光驱，然后出现如下界面:敲回车键盘开始安装。

出现如下界面，选择OK,跳过硬件检测。

选择安装的操作系统类型，根据自己防火墙操作系统的版本选择。

SecurePlatform Pro是带有高级路由和支持Radius的系统版本。

选择键盘支持的语言，默认选择US，按TAB键，继续安装。

配置网络接口，初始我们配置外网接口即可，选择eth0配置IP, 输入IP地址、子网掩码、以及默认网关，然后选择OK,继续。

选择OK.开始格式化磁盘。

格式化完成后开始拷贝文件，最后提示安装完成，按照提示点击OK.系统会自动重新启动。

然后出现登陆界面，如下所示。

第一次登陆系统，默认账号和密码都是admin，登陆后需要出入新的密码和管理员账号。

三、CheckPoint防火墙软件安装过程运行sysconfig 命令，启动安装防火墙包。

选择n,继续安装。

打开网络配置页面，选择1,配置主机名，选择3配置DNS服务器，选择4配置网络，选择5配置路由，注意要与生产线设备的配置保持一致，特别是路由要填写完整，主机名、接口IP和子网掩码要填写正确。

配置完成后，选择n,下一步继续配置，如下图所示，选择1配置时区(选择5，9，1)，选择2配置日期，选择3配置本地系统时间，选择4查看配置情况。

Check Point防火墙基础操作手册（IPS）上海证券交易所（SSE）上海迅扬信息科技有限公司二零一五年一月目录第1章SmartDashboard的使用及基本管理技术 (3)1.1编辑防火墙对象 (3)1.2添加主机和网络对象 (8)1.2.1添加主机对象： (8)1.2.2添加网络对象： (9)1.3制定访问策略和配置地址翻译（NAT） (10)1.3.1配置访问策略 (10)1.3.2地址翻译（NA T） (11)1.4防地址欺骗功能介绍 (15)1.5策略的下发 (17)第2章入侵防护（IPS）策略的配置 (19)2.1 IPS概览 (19)2.2 IPS配置 (20)2.2.1 定义IPS的防火墙 (20)2.2.2 定义IPS Profile (22)2.2.3 配置Protections (27)2.2.4 配置Geo Protection (29)2.2.5 IPS特征库更新 (30)2.2.6 Follow Up选项 (33)2.2.7 Additional Setting选项 (33)2.3禁用IPS (34)第3章防病毒（Anti-Virus/Anti-Bot）策略配置 (35)第4章SmartView Tracker的使用 (40)第1章 SmartDashboard的使用及基本管理技术SmartDashboard是配置防火墙策略和对象的一个控制软件，我们定义对象和规则时就利用它来实现，SmartUpdate是用于添License时要用到的一个控制软件，SmartView Tracker是查看日志时用到的客户端软件。

（注：由于上证所本次采用桥模式（透明模式）部署实施checkpoint NGTP 设备，防火墙配置基于网络全通模式配置，无需特别单独配置防火墙策略。

）1.1 编辑防火墙对象首先打开控制台软件，出现登录界面：点击SmartDashboard后出现登录界面，如图：这里输入用户名、密码以及管理服务器的IP地址。

C h e c k p o i n t防火墙安全配置指南This model paper was revised by the Standardization Office on December 10, 2020Checkpoint防火墙安全配置指南中国联通信息化事业部2012年 12月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述1.1目的本文档规定了中国联通通信有限公司信息化事业部所维护管理的CheckPoint防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行CheckPoint防火墙的安全配置。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

本配置标准适用的范围包括：中国联通总部和各省公司信息化部门维护管理的CheckPoint防火墙。

1.3适用版本CheckPoint防火墙；1.4实施本标准的解释权和修改权属于中国联通集团信息化事业部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国联通集团信息化事业部进行审批备案。

第2章安全配置要求2.1系统安全2.1.1用户账号分配2.1.2删除无关的账号2.1.3密码复杂度2.1.4配置用户所需的最小权限2.1.5安全登陆2.1.6配置NTP安全配置SNMP2.1.7第3章日志安全要求3.1日志安全3.1.1启用日志功能3.1.2记录管理日志3.1.3配置日志服务器3.1.4日志服务器磁盘空间第4章访问控制策略要求4.1访问控制策略安全4.1.1过滤所有与业务不相关的流量4.1.2透明桥模式须关闭状态检测有关项4.1.3账号与IP绑定4.1.4双机架构采用VRRP模式部署4.1.5打开防御DDOS攻击功能4.1.6开启攻击防御功能第5章评审与修订本标准由中国联通集团信息化事业部定期进行审查，根据审视结果修订标准，并颁发执行。

CheckPoint基本操作⼿册-中⽂1. CheckPoint架构 (2)2. 设置系统配置 (2)2.1 设置IP地址 (2)2.2 设置路由 (3)2.3 配置备份 (4)2.4 下载SmartConsole（GUI Client） (6)2.5 命令⾏（Console/SSH）登陆专家模式 (6)3. 配置防⽕墙策略 (6)3.1 安装SmartConsole，登录策略配置管理 (7)3.2 创建对象 (7)3.2.1 创建主机对象 (7)3.2.2 创建⽹络对象 (8)3.2.3 创建组对象 (9)3.3 创建策略 (10)3.3.1 策略分组 (13)3.4 创建地址转换（NAT） (14)3.4.1 ⾃动地址转换（Static） (15)3.4.2 ⾃动地址转换（Hide） (15)3.4.3 ⼿动地址转换 (16)3.5 Install Policy (18)4. ⽤户识别及控制 (18)4.1 启⽤⽤户识别及控制 (18)4.2 创建AD Query策略 (22)4.3 创建Browser-Based Authentication策略 (24)5. 创建应⽤及⽹址（URL）控制策略 (25)5.1 启⽤应⽤或⽹址（URL）控制功能 (25)5.2 创建应⽤及⽹址（URL）对象 (25)5.3 创建应⽤及⽹址（URL）组对象 (27)5.4 创建应⽤及⽹址（URL）控制策略 (29)6. 创建防数据泄露（DLP）策略 (31)6.1 启⽤防数据泄露（DLP）功能 (31)6.2 创建防数据泄露（DLP）对象 (31)6.2.1 创建防数据泄露（DLP）⽹络对象 (31)6.2.2 创建防数据泄露（DLP）分析内容对象 (31)6.2.3 创建防数据泄露（DLP）分析内容组对象 (31)6.3 创建防数据泄露（DLP）控制策略 (31)7. ⽣成报表（SmartReporter） (31)7.1 启⽤报表功能 (32)7.2 ⽣成报表前参数调整 (32)7.3 ⽣成报表 (35)8. 事件分析（SmartEvent） (36)8.1 启⽤事件分析功能 (36)8.2 查看事件分析 (37)1. CheckPoint 架构CheckPoint 分为三层架构，GUI 客户端（SmartConsole ）是⼀个可视化的管理配置客户端，⽤于连接到管理服务器（SmartCenter ），管理服务器（SmartCenter ）是⼀个集中管理平台，⽤于管理所有设备，将策略分发给执⾏点（Firewall ）去执⾏，并收集所有执⾏点（Firewall ）的⽇志⽤于集中管理查看，执⾏点（Firewall ）具体执⾏策略，进⾏⽹络访问控制2. 设置系统配置设备的基本配置需要在WEB 下进⾏，如IP 、路由、DNS 、主机名、备份及恢复、时间⽇期、管理员账户，默认web 管理页⾯的连接地址为https://192.168.1.1:4434，如果已更改过IP ，将192.168.1.1替换为更改后的IP 2.1 设置IP 地址例：设置LAN2⼝的IP 为10.0.255.2 登录web 后选择Network Connections直接点击LAN2管理服务器 SmartCenterGUI ClientSmartConsole执⾏点 Firewall填⼊IP地址和掩码，点击Apply2.2设置路由例：设置默认路由为10.0.255.1登录web后选择Network→Routing点击New→Default Route，（如果设置普通路由，点击Route）填⼊默认路由，点击Apply2.3配置备份此备份包括系统配置和CheckPoint策略等所有配置例：将配置备份出来保存选择Applicance→Backup and Restore选择Backup→Start Backup输⼊备份的⽂件名，点击Apply（由于⽇志可能会较⼤，增加备份⽂件的⼤⼩，可考虑去掉Include Check Point Products log files in the backup前⾯的勾）选择Yes等待备份⽂件打包当弹出下载⽂件提⽰后，将⽂件保存⾄本地2.4下载SmartConsole（GUI Client）选择Product Configuration Download SmartConsole选择Start Download2.5命令⾏（Console/SSH）登陆专家模式登陆命令⾏（Console/SSH）默认模式下仅⽀持部分操作及命令，如需要执⾏更⾼权限的命令或操作时需登陆专家模式在命令⾏中输⼊expert回车，根据提⽰输⼊密码即可登陆，默认密码同web、console、SSH登陆密码相同# expertEnter expert password:You are in expert mode now.3.配置防⽕墙策略CheckPoint防⽕墙的策略执⾏顺序为⾃上⽽下执⾏，当满⾜某⼀条策略时将会执⾏该策略设定的操作，并且不再匹配后⾯的策略***如果策略中包含⽤户对象，即使匹配该策略，仍然会继续匹配后⾯的策略，只有当后⾯的策略没有匹配或者后⾯的策略中匹配的操作是drop时才会执⾏之前包含⽤户的策略通常CheckPoint策略配置的顺序依次为防⽕墙的管理策略、VPN策略、服务器（DMZ）策略、内⽹上⽹策略、全部Drop策略创建CheckPoint防⽕墙策略的步骤为创建对象、创建策略并在策略中引⽤对象、Install Policy***CheckPoint中配置的更改必须Install Policy之后才会⽣效3.1安装SmartConsole，登录策略配置管理直接运⾏下载的SmartConsole安装包进⾏安装，安装完成后登陆SmartDashboard例：打开策略管理运⾏SmartDashboard输⼊⽤户名、密码以及SmartCenter（管理服务器）的IP地址，点击OK登陆3.2创建对象CheckPoint配置策略的基本步骤为创建需要的对象、创建策略、在策略中引⽤对象、Install Policy 3.2.1创建主机对象例：创建IP为192.168.10.1的对象选择Nodes→Node→Host在Name处输⼊对象名（字母开头），在IP Address处输⼊对象的IP地址，如192.168.10.1，点击OK3.2.2创建⽹络对象例：创建⽹段为192.168.10.0，掩码为255.255.255.0的对象选择Networks Network…输⼊⽹段对象名，⽹段，掩码（由于是中⽂版系统的关系，部分字样可能显⽰不全），点击OK3.2.3创建组对象如果有多个对象需要在策略中引⽤，⽅便起见可将这些对象添加到⼀个组中，直接在策略中引⽤该组即可例：将⽹段192.168.10.0和192.168.11.0添加到⼀个组对象中选择Groups→Groups→Simple Group…输⼊组对象的名字，将⽹段对象192.168.10.0和192.168.11.0在左侧Not in Group窗⼝中双击移⼊到右侧的In Group窗⼝中，点击OK3.3创建策略创建策略前需根据需求先确定创建的位置例：在第6条和第7条之间创建1条允许192.168.10.0⽹段访问任何地⽅任何端⼝的策略，并记录⽇志选中第7条策略，单击右键，选择Add Rule Above添加后会出现⼀条默认策略，需要做的就是在这条策略上引⽤对象在Source对应的⼀栏中，右键点击Any，选择Network Object…找到192.168.10.0这个⽹段的对象后选中，并点击OK由于是访问任何地址的任何端⼝，所以在Destination、VPN、Service栏中保持Any不变在Action栏中点击右键选择Accept在Track栏中点击右键选择Log，这样凡是被这条策略匹配的连接都会记录下⽇志，⽤于在SmartView Tracker中查看完成后的策略如下图3.3.1策略分组当策略数⽬较多时，为了⽅便配置和查找，通常会对策略进⾏分组例：将7、8、9三条⽇志分为⼀个组选中第7条策略，点击右键，选择Add Section Title Above输⼊名字后点击OK如下图所⽰，7、8、9三条策略就分在⼀个组中了，点击前⾯的+-号可以打开或缩进3.4创建地址转换（NAT）在CheckPoint中地址转换分为⾃动和⼿动两种，其中⾃动⼜分为Static NAT和Hide NAT Static NATStatic是指将内部⽹络的私有IP地址转换为公有IP地址，IP地址对是⼀对⼀的，是⼀成不变的，某个私有IP地址只转换为某个公有IP地址。