checkpoint防火墙技术

Checkpoint与ASA做IPsec vpn 实验步骤实验拓扑：实验步骤：一、Checkpoint端配置步骤1、在防火墙属性页面里勾选IPsec VPN,并设置本端名称及外网口IP址，点击确认。

（红框部分为必要设置）再次打开防火墙属性，在Topology页面，定义本端VPN加密域，确保拓扑与实际一致，Localnet-1.0为本端内网网段2、添加VPN对端设备，定义对端名称及对端设备建立VPN使用的出口IP地址确保Topology与实际一致，定义对端拓扑和加密Domain，peer-2.0为对方需走VPN 隧道的内网网段3、建立Ipsec VPN隧道,点击Communities—New—Meshed设定隧道名称添加本地和对端VPN网关设备定义VPN建立过程中两个阶段的加密和验证方式，必须与路由器端一致，第一个阶段对应对端设备的IKE第一阶段配置crypto isakmp policy 10，第二个阶段对应对端设备转换集配置。

设置预共享密钥设置VPN的高级属性，注： group组两端必须一致4、定义VPN策略，双向允许，否则只能进行单向通信。

二、对端ASA防火墙IPSEC配置interface GigabitEthernet0/0nameif outsidesecurity-level 0ip address 192.168.2.1 255.255.255.0!interface GigabitEthernet0/1nameif insidesecurity-level 100ip address 172.16.2.1 255.255.255.0access-list CPVPN extended permit ip 172.16.2.0 255.255.255.0 172.16.1.0 255.255.255.0route outside 0.0.0.0 0.0.0.0 192.168.2.2 1crypto ipsec transform-set deppon esp-3des esp-md5-hmaccrypto map outside_map 10 match address CPVPNcrypto map outside_map 10 set peer 192.168.3.1crypto map outside_map 10 set transform-set depponcrypto map outside_map interface outsidecrypto isakmp enable outsidecrypto isakmp policy 10authentication pre-shareencryption 3deshash md5group 2lifetime 86400tunnel-group 180.168.12.10 type ipsec-l2ltunnel-group 180.168.12.10 ipsec-attributespre-shared-key hfq@123456至此配置完成！三、验证是否建立成功1、ASA端VPN状态ciscoasa# SH cry isa saIKEv1 SAs:Active SA: 1Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 11 IKE Peer: 192.168.3.1Type : L2L Role : initiatorRekey : no State : MM_ACTIVEThere are no IKEv2 SAsciscoasa# show cry ips sainterface: outsideCrypto map tag: outside_map, seq num: 10, local addr: 192.168.2.1access-list CPVPN extended permit ip 172.16.2.0 255.255.255.0 172.16.1.0 255.255.255.0local ident (addr/mask/prot/port): (172.16.2.0/255.255.255.0/0/0)remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)current_peer: 192.168.3.1#pkts encaps: 19, #pkts encrypt: 19, #pkts digest: 19#pkts decaps: 19, #pkts decrypt: 19, #pkts verify: 19#pkts compressed: 0, #pkts decompressed: 0#pkts not compressed: 19, #pkts comp failed: 0, #pkts decomp failed: 0#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #TFC rcvd: 0, #TFC sent: 0#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0#send errors: 0, #recv errors: 0local crypto endpt.: 192.168.2.1/0, remote crypto endpt.: 192.168.3.1/0 path mtu 1500, ipsec overhead 58(36), media mtu 1500PMTU time remaining (sec): 0, DF policy: copy-dfICMP error validation: disabled, TFC packets: disabledcurrent outbound spi: 36CA5528current inbound spi : 6901DACAinbound esp sas:spi: 0x6901DACA (1761729226)transform: esp-3des esp-md5-hmac no compressionin use settings ={L2L, Tunnel, IKEv1, }slot: 0, conn_id: 31961088, crypto-map: outside_mapsa timing: remaining key lifetime (kB/sec): (3914998/28704) IV size: 8 bytesreplay detection support: YAnti replay bitmap:0x00000000 0x000FFFFFoutbound esp sas:spi: 0x36CA5528 (919229736)transform: esp-3des esp-md5-hmac no compressionin use settings ={L2L, Tunnel, IKEv1, }slot: 0, conn_id: 31961088, crypto-map: outside_mapsa timing: remaining key lifetime (kB/sec): (3914998/28704) IV size: 8 bytesreplay detection support: YAnti replay bitmap:0x00000000 0x000000012、 Checkpoint端VPN状态。

防火墙基本操作及应急措施陈世雄安全工程师CCSE议程▪智能边界安全解决方案▪CheckPoint 配置基础▪常见问题及应急措施Check Point 简介▪最受信赖、最可依靠的互联网安全厂商–我们致力发展安全领域——并且比任何厂商更优秀!–全球财富100企业中，100%企业使用我们的产品–在防火墙和虚拟专用网络（VPN）市场中占有领导地位•在全球 VPN/防火墙软件市场销售额中占70%份额（Infonetics提供数据）•VPN/防火墙软件市场占有率超过 54% （IDC提供数据）•安全硬件设备市场份额中有 36% 为 Check Point 产品（由Infonetics 提供）▪以客为本的企业原则–业界领先的技术合作伙伴关系–强大且广泛的渠道合作伙伴关系状态检测 /FireWall-11993OPSEC 1997 VPN-11998Next Generation2001 SmartDefense2002 应用智能2003 Check Point:一直走在客户现实需求的前面创新历程1994 1995 19961999 2000Web 智能2004我们的策略2004上半年提供!▪ 安全远程访问 ▪ Web 服务器保护▪ 统一认证 ▪ 一致性策略管理▪ 市场领先▪ 十年的成功史 ▪ 最新发布- InterSpect 2.0 - Connectra 2.0 - Intergrity 6.0▪ Check Point InterSpect ▪ Zone LabsSMART 管理无忧保护边界深入检查智能 安全解决方案智能边界安全解决方案边界安全挑战边界的安全•攻击保护•分支机构之间的安全联接•远程员工的安全访问•能够控制的Internet 访问攻击保护必须能针对网络层和应用层的攻击必须能防范已知的和未知的攻击分支机构之间的安全联接高效地管理应用策略的一致性大规模地VPN部署远程员工的安全访问容易部署和配置客户端保护（即使不在办公室）能够控制Internet访问灵活地认证对新应用的支持PERIMETER防火墙的基本功能▪访问控制▪认证（可采用OPSEC智能卡：用来存储证书或用户名及密码）▪地址转换（多对一和一对一方式）Example FireWall-1 Security Policy▪内容的安全保护▪QoS带宽管理多层安全网关PERIMETER同时集成网络和应用层的功能提供全面的攻击防护和网络安全控制对Internet 网络资源的访问RPCP2PICMPDNSCIFS H.323 SIPSOAP IPSEC MGCPGTP TCP 序列 PERIMETERBitTorrentSkype重要的应用暴露Web 服务器邮件服务器FTP 服务器VoIP 网关DNSPeer-to-Peer黑客•拒绝为合法用户服务 ( DoS 攻击) •获取管理员权限访问服务器或客户端 •访问后台数据库•安装木马软件以避开安全检查•在服务器上安装 “嗅探” 软件以捕获用户名/口令黑客目标因特网安全策略通常 “允许”这些通信Microsoft 网络PERIMETER应用智能Application Intelligence 是一组高级功能– 被集成于Check Point FireWall-1 NG 和 SmartDefense 中 – 检测和避免应用层的攻击验证是否遵循标准 ✓ 验证协议是否符合预期用法✓ 阻止可疑数据 ✓ 控制应用的有害操作✓PERIMETERCIFS 支持–需求: 支持 Microsoft 环境–通常的解释: “安全的访问共享驱动器”–好处•安全: 你的用户可能使用Microsoft网络（很大的安全漏洞），而没有你的知识。

XXXX公司网络安全项目解决方案建议书目录一、项目需求分析···························错误!未定义书签。

项目背景·····························错误!未定义书签。

网络拓扑结构···························错误!未定义书签。

网络安全需求分析·························错误!未定义书签。

网络安全设计原则···························错误!未定义书签。

CheckPoint技术简介一、CheckPoint主要产品部件1、FireWall-1/VPN-12、FloodGate-13、Reporting Module4、Meta IP5、SecuRemote6、SecureClient7、OPSEC SDK二、FireWall-1产品组成：CheckPoint FireWall-1产品包括以下模块：·基本模块√状态检测模块（Inspection Module）：提供访问控制、用户认证、地址翻译和审计功能；√防火墙模块（FireWall Module）：包含一个状态检测模块，另外提供用户认证、内容安全和多防火墙同步功能；√管理模块（Management Module）：对一个或多个安全策略执行点（安装了FireWall-1的某个模块，如状态检测模块、防火墙模块或路由器安全管理模块等的系统）提供集中的、图形化的安全管理功能；·可选模块√连接控制（Connect Control）：为提供相同服务的多个应用服务器提供负载平衡功能；√路由器安全管理模块（Router Security Management）：提供通过防火墙管理工作站配置、维护3Com，Cisco，Bay等路由器的安全规则；√其它模块，如加密模块等。

·图形用户界面（GUI）：是管理模块功能的体现，包括√策略编辑器：维护管理对象、建立安全规则、把安全规则施加到安全策略执行点上去；√日志查看器：查看经过防火墙的连接，识别并阻断攻击；√系统状态查看器：查看所有被保护对象的状态。

产品部件主要功能管理控制台·对一点或多点实行集中图形化安全管理检测模块·访问控制·客户和对话鉴别·网络地址转换·审查防火墙模块·检测模块的全部功能·用户鉴定·多防火墙同步·信息保护加密模块·加密连接控制模块·自动实现各应用服务器的负载平衡路由器安全管理·对一个或多个的路由器的路由器访问控制列表进行管理功能模块：·状态检查模块(Inspection Module)·访问控制(Access Control)·授权认证(Authentication)·加密(Encryption)·路由器安全管理(Router Security Management)·网络地址翻译(NAT)·内容安全(Content Security)·连接控制(Connection Control)·记帐(Auditing)·企业安全策略管理(Enterprise-wide Security Managemant)·高可靠性模块(High Availability)···Inspection状态检查模块FireWall-1采用CheckPoint公司的状态检测（Stateful Inspection）专利技术，以不同的服务区分应用类型，为网络提供高安全、高性能和高扩展性保证。

checkpoint的工作流程Checkpoint是一种用于网络防火墙和安全设备的软件和硬件系统。

它的主要功能是检查网络上的流量，防止未经授权的访问和攻击。

Checkpoint的工作流程可以分为以下几个步骤：1. 收集信息Checkpoint首先会收集网络上的信息，包括流量、日志、事件等。

这些信息可以从多个源头获取，例如网络设备、安全设备、服务器等。

收集的信息会被存储在Checkpoint的数据库中，以供后续的分析和处理。

2. 分析Checkpoint会对收集到的信息进行分析，以确定是否存在安全威胁。

分析的过程包括以下几个方面：- 安全策略分析：检查网络上的流量是否符合安全策略，例如是否允许访问某个特定的端口或协议。

- 威胁分析：检查网络上的流量是否包含恶意的攻击行为，例如病毒、木马、DoS攻击等。

- 行为分析：检查网络上的流量是否存在异常行为，例如大量的连接请求、重复的访问等。

3. 决策根据分析的结果，Checkpoint会做出相应的决策，以保护网络的安全。

决策的过程包括以下几个方面：- 阻止：如果分析结果表明存在安全威胁，Checkpoint会立即阻止相关的流量，以保护网络的安全。

- 警告：如果分析结果表明存在潜在的安全威胁，但尚未达到阻止的程度，Checkpoint会发出警告，以提醒管理员注意。

- 允许：如果分析结果表明网络上的流量是合法的，Checkpoint 会允许其通过，以确保业务的正常运行。

4. 记录和报告Checkpoint会记录所有的决策和事件，并生成报告。

这些报告可以帮助管理员了解网络上的安全状况，以及采取相应的措施。

报告的内容包括以下几个方面：- 安全事件：记录所有的安全事件，包括被阻止的攻击、警告信息等。

- 流量统计：统计网络上的流量情况，包括流量的来源、目的、协议等。

- 安全策略：记录所有的安全策略，并统计其使用情况。

总结Checkpoint的工作流程可以帮助管理员保护网络的安全，防止未经授权的访问和攻击。

CheckPoint防火操作手册1 配置主机对象定义防火墙策略时，如需对I P 地址进行安全策略控制则需首先配置这个对象，下面介绍主机对象配置步骤，在“Network Objects”图标处，选择“Nodes”属性上点击右键，选择“Node”，点击“Host”选项，定义主机对象的名称，IP Address属性，同时可按照该主机的重要性定义颜色，配置完成后点击OK,主机对象创建完成。

2 配置网段对象定义防火墙策略时，如需对网段进行安全策略控制则需首先配置这个网络对象，配置步骤如下，在防火墙“Network”属性上点击右键，选择“Network”，选项，定义网段名称，比如DMZ，Internal，建议根据网段所处位置定义，配置网段地址和子网掩码，如有必要可以添加注释（Comment），配置完成后点击确认。

3 配置网络组对象如果需要针对单个I P 地址、IP 地址范围或者整个网段进行安全策略控制，可以将这些对象添加到网络组，如下在防火墙“Group”属性上点击右键，选择“Simple Group”选项，成后点击O K 即可4 配置地址范围对象除了配置I P 地址，网段，也可以指定地址范围(IP range)，地址范围对象配置步骤是，如下在防火墙“Network”属性上点击右键，选择去掉“Do not show empty folders”选项，让I P Range 配置属性显示出来。

配置“Address Rage”，选择“Address Ranges”，如下图输入地址名称、起始IP地址与结束IP地址，完成后点击OK即可。

5 配置服务对象5.1 配置T CP 服务对象Check Point 防火墙内置了预定义的近千种服务，包括T CP、UDP、RPC、ICMP 等各种类型服务，通常在定义防火墙安全策略时，大多数服务已经识别并内置，因此无需额外添加，但也有很多企业自有开发程序使用特殊端口需要自行定义，下面介绍如何自定义服务，如下图所示，点击第二个模块标签，即S ervices，已经预定义多种类型服务，用户根据需要自定义新的服务类型，下面举例定义T CP 类型服务，右键点击“TCP”，选择“New TCP如下图，可以点以单个TCP服务端口服务对象，如果是一段端口，可以定义端口范围以上举例新建T CP 协议的端口服务，如需定义U DP 协议或其他协议类型按照同样流程操作即可。

Nokia安全平台CheckPoint防⽕墙操作⼿册Nokia安全平台&CheckPoint防⽕墙操作⼿册上海数讯信息技术有限公司⼆○○三年⼗⽉⽬录⼀、NOKIA平台操作⼿册 (2)1、IPSO的安装 (2)2、CHECKPOINT的安装 (10)3、N OKIA平台基本配置 (11)⼆、CHECKPOINT防⽕墙（FP3版本）操作⼿册 (17)1、安装 (17)2、设置 (36)A、增加⼀个Cluster对象 (36)B、增加⼀个主机对象 (41)C、增加⼀个⽹络对象 (43)D、设置全局属性 (45)E、编辑安全策略 (46)F、编辑VPN策略 (47)G、编辑QoS策略 (51)3、系统窗⼝ (52)数讯科技信息⽆限数讯科技信息⽆限⼀、 N okia 平台操作⼿册1、IPSO 的安装Nokia 平台的操作系统IPSO 的安装可以有两种⽅式：●串⼝控制台⽅式● WEB 界⾯voyager ⽅式A 、串⼝控制台⽅式将Nokia 平台的串⼝控制线连接到⼀台PC 的串⼝上，并开启终端仿真程序，将Nokia 平台上电后出现下列界⾯：选择1：bootmgr;待出现BOOTMGR 提⽰符后，键⼊命令：install,然后系统提⽰是否继续，回答yes,出现如下界⾯：系统提⽰从匿名FTP服务器安装还是从⼀个有⽤户名和密码的FTP服务器安装，选择你喜欢的⽅式，并按回车，数讯科技信息⽆限选择你想从哪个端⼝上传⽂件，并输⼊这个端⼝的IP、服务器IP、FTP ⽤户名、密码、路径等，并按回车，数讯科技信息⽆限系统⾃动下载⽂件并安装到系统中，然后⾃动重启，数讯科技信息⽆限IPSO安装完成。

B、WEB 界⾯voyager⽅式第⼀次打开NOKIA 平台，使⽤Console连接上去，出现如下界⾯：输⼊主机名：firewall；输⼊admin⽤户的Password，并确认；选择使⽤基于Web的浏览⽅式——选择1；数讯科技信息⽆限2、使⽤Web界⾯对NOKIA进⾏管理，⾸先需要定义⼀块⽹卡地址、掩码和⽹卡的属性，我们定义在eth-s1p3上，定义地址为192.1.2.2，掩码长度24位，然后定可以通过这个地址对NOKIA进⾏基于Web的管理。