CheckPoint 防火墙 双机 HA 实施 方案

防火墙基本操作及应急措施陈世雄安全工程师CCSE议程▪智能边界安全解决方案▪CheckPoint 配置基础▪常见问题及应急措施Check Point 简介▪最受信赖、最可依靠的互联网安全厂商–我们致力发展安全领域——并且比任何厂商更优秀!–全球财富100企业中，100%企业使用我们的产品–在防火墙和虚拟专用网络（VPN）市场中占有领导地位•在全球 VPN/防火墙软件市场销售额中占70%份额（Infonetics提供数据）•VPN/防火墙软件市场占有率超过 54% （IDC提供数据）•安全硬件设备市场份额中有 36% 为 Check Point 产品（由Infonetics 提供）▪以客为本的企业原则–业界领先的技术合作伙伴关系–强大且广泛的渠道合作伙伴关系状态检测 /FireWall-11993OPSEC 1997 VPN-11998Next Generation2001 SmartDefense2002 应用智能2003 Check Point:一直走在客户现实需求的前面创新历程1994 1995 19961999 2000Web 智能2004我们的策略2004上半年提供!▪ 安全远程访问 ▪ Web 服务器保护▪ 统一认证 ▪ 一致性策略管理▪ 市场领先▪ 十年的成功史 ▪ 最新发布- InterSpect 2.0 - Connectra 2.0 - Intergrity 6.0▪ Check Point InterSpect ▪ Zone LabsSMART 管理无忧保护边界深入检查智能 安全解决方案智能边界安全解决方案边界安全挑战边界的安全•攻击保护•分支机构之间的安全联接•远程员工的安全访问•能够控制的Internet 访问攻击保护必须能针对网络层和应用层的攻击必须能防范已知的和未知的攻击分支机构之间的安全联接高效地管理应用策略的一致性大规模地VPN部署远程员工的安全访问容易部署和配置客户端保护（即使不在办公室）能够控制Internet访问灵活地认证对新应用的支持PERIMETER防火墙的基本功能▪访问控制▪认证（可采用OPSEC智能卡：用来存储证书或用户名及密码）▪地址转换（多对一和一对一方式）Example FireWall-1 Security Policy▪内容的安全保护▪QoS带宽管理多层安全网关PERIMETER同时集成网络和应用层的功能提供全面的攻击防护和网络安全控制对Internet 网络资源的访问RPCP2PICMPDNSCIFS H.323 SIPSOAP IPSEC MGCPGTP TCP 序列 PERIMETERBitTorrentSkype重要的应用暴露Web 服务器邮件服务器FTP 服务器VoIP 网关DNSPeer-to-Peer黑客•拒绝为合法用户服务 ( DoS 攻击) •获取管理员权限访问服务器或客户端 •访问后台数据库•安装木马软件以避开安全检查•在服务器上安装 “嗅探” 软件以捕获用户名/口令黑客目标因特网安全策略通常 “允许”这些通信Microsoft 网络PERIMETER应用智能Application Intelligence 是一组高级功能– 被集成于Check Point FireWall-1 NG 和 SmartDefense 中 – 检测和避免应用层的攻击验证是否遵循标准 ✓ 验证协议是否符合预期用法✓ 阻止可疑数据 ✓ 控制应用的有害操作✓PERIMETERCIFS 支持–需求: 支持 Microsoft 环境–通常的解释: “安全的访问共享驱动器”–好处•安全: 你的用户可能使用Microsoft网络（很大的安全漏洞），而没有你的知识。

管理服务器（SmartCenter）的HA一．概述环境：一台设备是管理服务器+gateway（已经安装好），另一台设备只安装secondary 管理服务器（下面会显示安装和配置）。

这里只演示安装secondary管理服务器以及HA的配置。

Checkpoint的这个功能，不会自动切换的，需要手动进行切换。

二．安装Secondary Management光盘安装过程一样，仅仅在网页进行初始化的时候选择有不同。

在初始化只选择Security Management和选择secondary。

输入连接密码vpn123然后退出没配置HA的话是不能登录到Secondary的服务器上的。

三．配置Management HA登录到主Management的smartdashboard，右键新建一个Checkpoint的HOST类型的对象然后编辑这个对象，填上IP信息和management的相关属性打勾输入密码vpn123然后建立SIC建立成功然后在Topology里新建一个接口点击OK关闭编辑这个对象！这个时候这个对象就新建好了。

确认一下是否已经选择了自动同步（默认）然后在菜单栏选择Launch menu----policy----Install the Datebase将策略都下发到两个管理服务器上在菜单栏选择Launch menu----policy----Management High Availability查看同步状态：这里显示是Never Synchronization!等待变成Synchronization。

注意：记得添加防火墙规则，让GW和新的管理服务器能够互相通信四．如何切换如果要切换，直接点击“Change to Standby”(注意只开启dashboard,关闭其他smarconsole应用程序)，让主服务器变成Standby状态。

点击YES，将会失去和主管理服务器的连接然后输入副服务器的IP连接到新的管理服务器上。

NGX R70 checkpoint 防火墙双机热备安装文档说明：需要二个防火墙和一个管理服务器。

二个防火墙必须用3个以上的网卡（外网，内网，心跳线）。

我们先装第一台防火墙。

系统的提示信息出现，90秒内没有按键，安装将取消，立刻按enter 键。

其中，add driver可用于添加设备，可以通过device list查看设备驱动是否正常。

选择ok键继续选择你要安装的软件刀片。

动态路由的选择，如果不需要就选第一个。

选择US 键盘。

配置。

配置第一个防火墙的IP和默认网关，为避免冲突我们把WEB https://192.168.1.254:4434/访问的端口改成4434格式化你的硬盘选择OK。

安装完成OK，重新启动。

第二台防火墙的安装，和第一台一样（IP不太一样）。

立即按回车90秒以内。

选择OK按自己的需求选择软件刀片选择路由是否需要动态路由。

不需要选第一个。

US键盘编辑第一端口方便进入WEB https://192.168.1.253:4434/进行配置。

配置IP和默认网关。

修改成4434端口。

格式化。

重新启动。

在IE浏览器输入https://192.168.1.254:4434/进行第一台防火强的环境配置。

默认帐号和密码都是admin输入一个新的密码。

下一步。

配置3个接口，外网，内网，和心跳线。

配置外网的默认网关。

配置对应的DNS。

修改一下防火强的名称。

时间配置。

下一步，所有人都人访问这个CLIENT。

集群中的checkpoint防火墙此界面只选择安全网关Security Gateway，不需要在每个集群成员中安装管理服务Security ManagementSecurity Management组件需要安装到一个独立的服务器上（Windows/liunx均可），以便统一管理集群中的各个网关成员我们要配置的防火墙集群，所以这里的网关类型选择“this gateway is a member of a cluster”（这个网关是一个集群的成员）。

Checkpoint防火墙安全配置指南中国联通信息化事业部2012年 12月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章安全配置要求 (2)2.1系统安全 (2)2.1.1用户账号分配 (2)2.1.2删除无关的账号 (3)2.1.3密码复杂度 (3)2.1.4配置用户所需的最小权限 (4)2.1.5安全登陆 (5)2.1.6配置NTP (6)2.1.7安全配置SNMP (6)第3章日志安全要求 (7)3.1日志安全 (7)3.1.1启用日志功能 (7)3.1.2记录管理日志 (8)3.1.3配置日志服务器 (9)3.1.4日志服务器磁盘空间 (10)第4章访问控制策略要求 (11)4.1访问控制策略安全 (11)4.1.1过滤所有与业务不相关的流量 (11)4.1.2透明桥模式须关闭状态检测有关项 (12)4.1.3账号与IP绑定 (13)4.1.4双机架构采用VRRP模式部署 (14)4.1.5打开防御DDOS攻击功能 (15)4.1.6开启攻击防御功能 (15)第5章评审与修订 (16)第1章概述1.1 目的本文档规定了中国联通通信有限公司信息化事业部所维护管理的CheckPoint防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行CheckPoint防火墙的安全配置。

1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

本配置标准适用的范围包括：中国联通总部和各省公司信息化部门维护管理的CheckPoint防火墙。

1.3 适用版本CheckPoint防火墙；1.4 实施本标准的解释权和修改权属于中国联通集团信息化事业部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

本文由no1moonboy贡献doc文档可能在WAP端浏览体验不佳。

建议您优先选择TXT，或下载源文件到本机查看。

双 CheckPoint 防火墙实施方案目录第一章客户环境概述…… 4 1.1 概述…… 4 1.2 网络拓扑与地址分配表…… 4 1.3 安装前准备事宜…… 6 第二章 Nokia IP380 安装与配置…… 7 2.1 概述…… 7 2.2 初始化 nokia380 …… 7 2.3 设置 nokia 基本信息…… 8 2.3.1 Nokia 端口 IP 地址设定…… 8 2.3.2 设置网关路由…… 8 2.3.3 设置 Nokia 平台时间…… 9 2.3.4 设定Nokia 高可用 VRRP 参数…… 9 2.4 初始化 checkpoint …… 14 2.4.1 在 nokia 平台上checkpoint 的安装与卸载…… 14 2.4.2 初始化 checkpoint …… 16 第三章管理服务器的安装与配置…… 17 3.1checkpoint smartcenter 的安装…… 18 3.1.1 安装前的准备…… 18 3.1.2 安装步骤…… 18 3.2 配置 checkpoint 对象和参数…… 20 3.2.1 建立 sic …… 20 3.2.2 定义防火墙对象拓扑结构…… 21 3.2.3 使用同样的步骤按照表 1 的参数建立 IP380B checkpoint gateway 对象。

…… 21 3.3 基于 nokia vrrp 或者cluster 的设置…… 22 3.3.1 基于 Nokia VRRP 的设置…… 22 3.3.2 为 nokia vrrp 定义策略…… 22 3.3.3 高可用性的检查…… 23 3.4nokia cluster 的设置…… 23 3.5 暂时没有…… 23 第四章策略设定…… 24 4.1 概述…… 24 4.2 netscreen 的策略……24 4.3 经过整理后转换成 checkpoint 的策略...... 24 4.4 设定策略...... 24 4.4.1 定义主机对象...... 24 4.4.2 定义网络对象...... 25 4.4.3 定义组...... 26 4.4.4 定义服务 (26)4.4.5 添加标准策略…… 27 4.4.6 添加 NAT 策略…… 27 第五章切换与测试……29 5.1 切换...... 29 5.2 测试...... 29 5.3 回退...... 30 第六章日常维护...... 31 6.1 防火墙的备份与恢复...... 31 6.1.1 nokia 防火墙的备份与恢复方法...... 31 6.1.2 checkpoint management 上的备份与恢复 (33)第一章客户环境概述1.1 概述XXXXXX 公司因应企业内部的网络需求，对总部网络进行扩容改动，中心防火墙从原来的 netscreen 换成两台 Nokia IP380，两台 nokia 互为热备。

checkpoint双机热备Cluster XL-----高可用性和负载均衡介绍Cluster XLCheck Point防火墙的ClusterXL功能是一个基于软件的高可用性和负载分担解决方案。

它能够在属于同一个ClusterXL群组里面的checkpoint网关上分配网络流量。

并且一个checkpoint网关出现故障不能工作的情况下，其他同组成员能过接替他的工作，保证网络能过正常、安全的为企业服务。

ClusterXL工作的条件是：Cluster 需要两台以上的checkpoint 防火墙，而且这两台防火墙的系统平台要一致，软件版本也要一致.拓扑图如下所示：群控制协议Cluster Control Protocol (CCP)将checkpoint网关加入的一个群组。

Ccp使用udp8116端口，群组内的设备使用此端口发送保活数据包报告他们的状态，同步成员时钟。

高可用性在故障切换期间能过保持所有链接的弹性安全，包括vpn链接。

如果一个主用网关不可用，所有的会话无需终端就可以安全的继续下去。

用户不需要重新连接和重新认证，也不需要知道备用网关接管了业务。

负载均衡通过负载均衡，在多个网关之见分配流量，ClusterXL可以扩展vpn的性能能力。

一个集群最多可以部署五个网关。

配置说明以两台checkpoint防火墙为例说明集群的配置过程。

实计环境如下：说明防火墙A、B使用三台交换机相连一台用于连入外网（outside）一台用于连入内网（inside）一台用于连接集群防火墙实现防火墙同步（心跳线）注意：若只有两台防火墙做集群心跳线可用网线直接相连1、新安装两台checkpoint防火墙（处不同地方均不在做说明）从ht tps登陆设备安装防火墙组件选择安装组件集群中的checkpoint防火墙此界面只选择安全网关VPN-1 Power，不需要在每个集群成员中安装管理服务Smartcenter。

Smartcenter组件需要安装到一个独立的服务器上（Windows/liunx均可），以便统一管理集群中的各个网关成员。

SmartCenter HA实施方案2012年10月目录1. 概述 (2)2.网络环境 (2)2.1 当前网络管理架构 (2)2.2 高可用管理架构 (3)3. 实施前准备 (3)4. 实施步骤 (4)4.1 安装Secondary SmartCenter (4)4.2 配置Secondary SmartCenter (4)4.3 HA配置 (5)4.4 Log server配置 (5)4.5 状态查看 (6)4.6 状态切换 (7)1. 概述大型网络中,当网络中只有一台管理服务器对防火墙进行管理时,一旦管理服务器出现故障,checkpoint设备将立刻变得不可管理，策略的变更以及设备状态的监控就无法实现。

当前网络中，有多台checkpoint安全设备，且目前只有一台管理服务器。

为了保障管理的高可靠性，需要两台管理服务器SmartCenter组成高可用的管理架构。

2.网络环境2.1 当前网络管理架构网络中只有一台Smart Center管理服务器，当服务器出现故障时，会导致所有checkpoint 设备无法管理。

2.2 高可用管理架构网络中同时有两台smart Center管理服务器，任何一台设备出现故障，另外一台将会变成主管理服务器。

每次主管理服务器保存配置或下发配置时，备管理服务器会自动从主管理服务器同步配置信息，从而实现配置的同步。

3. 实施前准备1. 确保新上线管理服务器软件版本和当前网络中的管理服务器一致。

2. 管理服务器网络基本配置：(1) IP地址(2) 网关(3) DNS3. 新管理服务器IP和当前管理服务器IP之间没有防火墙策略。

（建议两台设备IP在同一网段）4. 实施步骤4.1 安装Secondary SmartCenter在安装过程中直接选择Secondary SmartCenter，并且输入SIC值。

注意事项：最好与Primary SmartCenter同一网段必须与Primary SmartCenter安装相同的组件必须与Primary SmartCenter的操作系统相同4.2 配置Secondary SmartCenter登陆Primary SmartCenter，然后新建Host对象，注意主机名、IP、系统版本与安装的模块，然后同步SIC如下图:4.3 HA配置选择Policy Globle Properties Management High Ability ,配置SmartCenter同步的方式，选择点击Save时同步和下发策略时同步。

防火墙双机热备方案1目录前言 (4)第二章网络安全建设需求分析 (6)2.1 网络安全建设原则 (6)2.2 网络安全建设目标 (6)2.3网络结构分析 (6)第三章设备选型 (10)3．1 NSA E6500重要性能指标 (千兆安全过滤网关) (10)第四章防火墙功能实现 (13)4．1 免重组深度包检测防火墙 (13)4．2 强大的防御功能 (13)4．3 SonicWALL防火墙的售后服务 (13)4．4 SonicWALL 防火墙的操作系统 (14)4．5 支持动态IP（DHCP Client） (14)4．6 支持ADSL 接入 (14)4．7 支持DDN、PPTP或L2TP等多种上网方式 (15)4．8 NAT(Network Address Translation)地址转换 (15)4．9 反向地址映射 (16)4．10 面向对象可视化的规则编辑和管理工具 (16)4．11 支持DHCP服务器 (16)4．12 支持各种应用服务协议 (17)4．13 提供进出双方向的带宽管理服务 (17)4．14 虚拟专用网(VPN) (18)4．15 VPN 客户端（软件） (19)4．16 内容过滤（选项） (19)4．17 网络防病毒（选项） (20)4．18 监测、报告软件ViewPoint（选项） (21)4．19 全球管理系统（选项） (22)4．20 支持双机热备 (23)24．21 链路备份及负载均衡 (24)4．22 入侵防御服务 (IPS) (25)4．23 网关防病毒功能 (26)4．24 反间谍软件功能 (26)3前言随着计算机技术和通讯技术的飞速发展，网络正逐步改变着人们的工作方式和生活方式，成为当今社会发展的一个主题。

网络的开放性，互连性，共享性程度的扩大，特别是Internet的出现，使网络的重要性和对社会的影响也越来越大。

随着网络上电子商务，电子现金，数字货币，网络保险等新兴业务的兴起，网络安全问题变得越来越重要。