Checkpoint安装手册介绍

CheckPoint VPN安装操作指引（适用内部员工远程办公）1.下载CheckPoint VPN用户端软件下载网址：ftp://130.52.1.52/download/work/vpn/ (不需密码) 或：ftp://211.96.252.252用户名：unicom 密码: unicomwindows98,windows me用户请下载vpn_9x.zipwindows2000,windows xp用户请下载vpn_w2k.zip2.解压后执行setup.exe安装，根据提示一直往下执行，当出现选择“Install VPN-1 SecuRemote”，Next续继安装，在这里，一般情况都选择”Install on dialup adapters only”,按next继续, 安装完成后，要求重启计算机。

（注意：这里设定VPN的绑定拨号连接还是所有连接，这个设定可以根椐不同的使用情况进行修改。

1.在公司里（使用局域网时），只能选择第2项绑定拨号，否则上网会出现问题2.在公司外，使用拨号上网，选择任何一项都可以3.在公司外，使用网卡上网（如小区宽带），只能选择第1项绑定所有连接。

4.修改绑定方法见第5条）3.重启后，在计算机的托盘里有一个图标，双击该图标，出现下图，并”new site”输入VPN服务器IP地址:211.96.243.1输入有用户名和密码：输入正确的用户名和密码后，出现认证对话框，点”ok:”确认之后出现两个对话框，均点”OK”即可，设置完毕后出现以下图标到此VPN就全部设定完毕。

4.VPN使用方法：使用VPN不需要特殊操作，只要VPN设定正确后，并连上互联网，像正常一样使用即可，当第一次使用到VPN资源时，VPN会自动弹出一个对话框要求输入VPN帐号和密码。

（注：VPN密码不能保存）5.更改VPN绑定方法：更改设定后需重启计算机。

checkpoint⽤户⼿册Check Point UTM-1⽤户⼿册第⼀章使⽤向导 (3)⼀、从配置UTM开始 (3)1、登陆UTM (3)2、配置⽹卡 (3)3、配置路由 (4)4、配置主机名 (5)5、调整时间 (5)⼆、步骤1－配置之前......⼀些有⽤的术语 (6)三、步骤2－安装和配置 (7)四、步骤3－第⼀次登录到SmartCenter服务器 (8)五、步骤4－在安全策略定义之前 (10)六、步骤5－为安全策略定义规则 (15)七、步骤6－来源和⽬的 (16)第⼆章策略管理 (16)⼀、有效的策略管理⼯具需要 (17)⼆、CheckPoint管理策略的解决⽅案 (17)1、策略管理概况 (17)2、策略集 (18)3、规则分节标题 (20)4、查询和排列规则以及对象 (20)三、策略管理需要注意的问题 (21)四、策略管理配置 (21)第三章SmartView Tracker (24)⼀、跟踪的需求 (25)⼆、CheckPoint对跟踪的解决⽅案 (25)1、跟踪概况 (25)2、SmartView Tracker (26)3、过滤 (27)4、查询 (28)5、通过⽇志切换维护⽇志⽂件 (28)6．通过循环⽇志来管理⽇志空间 (28)7、⽇志导出功能 (29)8、本地⽇志 (29)9、使⽤⽇志服务器记录⽇志 (29)10、⾼级跟踪操作 (29)三、跟踪需要考虑的问题 (30)四、跟踪配置 (31)1、基本跟踪配置 (31)2、SmartView的查看选项 (31)3、配置过滤器 (32)4、配置查询 (32)5、维护 (33)6、本地⽇志 (34)7、使⽤⽇志服务器 (34)8、⾃定义命令 (35)9、阻断⼊侵 (36)10、配置报警命令 (36)第⼀章使⽤向导⼀、从配置UTM开始1、登陆UTM2、配置⽹卡3、配置路由4、配置主机名5、调整时间⼆、步骤1－配置之前……⼀些有⽤的术语这⾥介绍⼀些有助于理解本章内容的相关信息。

天诚世纪网络科技有限公司网络安全事业部Checkpoint操作手册文档目录●Smart Dashboard (3)●SmartView Tracker (7)●SmartView monitor (9)●Checkpoint网关gateway模式 (11)●PPPOE拨号 (16)●checkpoint桥接bridge模式 (19)●ISP双链路接入配置 (21)●NAT地址转换 (28)●SSL VPN (31)●Site-to-site 预共享密码vpn (38)●Site-to-site 证书vpn （cp270与edge/safe@office） (42)●RemoteAccess vpn (48)●IPS (52)Smart Dashboard1.登录smart center2.功能介绍Checkpoint属性更新网络拓扑Nodes对象网段Network开启NAT功能配置完任何firewall防火墙规则，都需要安装策略，否则规则不会生效1.Smartview tracker 登录2.功能界面介绍Network&endpoint：记录网络安全日志Management：记录操作checkpoint日志●SmartView monitor1.登录smartview monitor2.界面介绍Traffic---Top servicesTraffic---Top InterfacesTraffic---Top soures1.网络拓扑图2.配置步骤：1)登录SmartDashboard2)新建网段对象将192.168.200.0定义为内网网段inside192.168.200.0将192.168.1.0定义为公网网段outside192.168.1.03)开启NAT功能双击inside192.168.200.0，到NAT，将add automatic address translation打上钩，确定4)建立防火墙规则防火墙firewall建立规则，允许源地址到目标地址任何服务5)安装规则运行install policies6)客户端配置PPPOE拨号1.在checkpoint的console口命令行中，增加下面语法[Expert@cp]# mknod /dev/ppp c 108 0 （重启设备后，这条命令会丢失，需要在启动脚本里增加）[Expert@cp]# vi $CPDIR/tmp/.CPprofile.csh （在脚本里增加此命令）在最后增加一行内容是mknod /dev/ppp c 108 0保存，重启设备2.web界面新建pppoe拨号External接口接到moder，internal接到交换机External接口需要自动获取ip地址（adsl线路是动态，获取到的公网ip地址是动态。

NGX R70 checkpoint 防火墙双机热备安装文档说明：需要二个防火墙和一个管理服务器。

二个防火墙必须用3个以上的网卡（外网，内网，心跳线）。

我们先装第一台防火墙。

系统的提示信息出现，90秒内没有按键，安装将取消，立刻按enter 键。

其中，add driver可用于添加设备，可以通过device list查看设备驱动是否正常。

选择ok键继续选择你要安装的软件刀片。

动态路由的选择，如果不需要就选第一个。

选择US 键盘。

配置。

配置第一个防火墙的IP和默认网关，为避免冲突我们把WEB https://192.168.1.254:4434/访问的端口改成4434格式化你的硬盘选择OK。

安装完成OK，重新启动。

第二台防火墙的安装，和第一台一样（IP不太一样）。

立即按回车90秒以内。

选择OK按自己的需求选择软件刀片选择路由是否需要动态路由。

不需要选第一个。

US键盘编辑第一端口方便进入WEB https://192.168.1.253:4434/进行配置。

配置IP和默认网关。

修改成4434端口。

格式化。

重新启动。

在IE浏览器输入https://192.168.1.254:4434/进行第一台防火强的环境配置。

默认帐号和密码都是admin输入一个新的密码。

下一步。

配置3个接口，外网，内网，和心跳线。

配置外网的默认网关。

配置对应的DNS。

修改一下防火强的名称。

时间配置。

下一步，所有人都人访问这个CLIENT。

集群中的checkpoint防火墙此界面只选择安全网关Security Gateway，不需要在每个集群成员中安装管理服务Security ManagementSecurity Management组件需要安装到一个独立的服务器上（Windows/liunx均可），以便统一管理集群中的各个网关成员我们要配置的防火墙集群，所以这里的网关类型选择“this gateway is a member of a cluster”（这个网关是一个集群的成员）。

防火墙安装操作手册By Shixiong Chen一、准备安装介质和服务器安装CheckPoint防火墙基于开放的服务器平台需要准备两点:如果选用的是Checkpoint的硬件，UTM-1则不需要考虑这些问题。

第一，准备好服务器，服务器最好选择IBM\HP\或者其他大品牌厂商的硬件平台，并且事先确认该品牌和型号的服务器与CheckPoint软件兼容性，将网卡扩展至与真实火墙一致，服务器需要自带光驱。

第二，准备好CheckPoint防火墙安装介质，注意软件的版本号与真实环境火墙一致，同时准备好最新的防火墙补丁。

二、SecurePlatform系统安装过程硬件服务器初始状态是裸机，将服务器加电后，设置BIOS从光盘启动，将CheckPoint软件介质放入光驱，然后出现如下界面:敲回车键盘开始安装。

出现如下界面，选择OK,跳过硬件检测。

选择安装的操作系统类型，根据自己防火墙操作系统的版本选择。

SecurePlatform Pro是带有高级路由和支持Radius的系统版本。

选择键盘支持的语言，默认选择US，按TAB键，继续安装。

配置网络接口，初始我们配置外网接口即可，选择eth0配置IP, 输入IP地址、子网掩码、以及默认网关，然后选择OK,继续。

选择OK.开始格式化磁盘。

格式化完成后开始拷贝文件，最后提示安装完成，按照提示点击OK.系统会自动重新启动。

然后出现登陆界面，如下所示。

第一次登陆系统，默认账号和密码都是admin，登陆后需要出入新的密码和管理员账号。

三、CheckPoint防火墙软件安装过程运行sysconfig 命令，启动安装防火墙包。

选择n,继续安装。

打开网络配置页面，选择1,配置主机名，选择3配置DNS服务器，选择4配置网络，选择5配置路由，注意要与生产线设备的配置保持一致，特别是路由要填写完整，主机名、接口IP和子网掩码要填写正确。

配置完成后，选择n,下一步继续配置，如下图所示，选择1配置时区(选择5，9，1)，选择2配置日期，选择3配置本地系统时间，选择4查看配置情况。

CheckPoint基本操作⼿册-中⽂1. CheckPoint架构 (2)2. 设置系统配置 (2)2.1 设置IP地址 (2)2.2 设置路由 (3)2.3 配置备份 (4)2.4 下载SmartConsole（GUI Client） (6)2.5 命令⾏（Console/SSH）登陆专家模式 (6)3. 配置防⽕墙策略 (6)3.1 安装SmartConsole，登录策略配置管理 (7)3.2 创建对象 (7)3.2.1 创建主机对象 (7)3.2.2 创建⽹络对象 (8)3.2.3 创建组对象 (9)3.3 创建策略 (10)3.3.1 策略分组 (13)3.4 创建地址转换（NAT） (14)3.4.1 ⾃动地址转换（Static） (15)3.4.2 ⾃动地址转换（Hide） (15)3.4.3 ⼿动地址转换 (16)3.5 Install Policy (18)4. ⽤户识别及控制 (18)4.1 启⽤⽤户识别及控制 (18)4.2 创建AD Query策略 (22)4.3 创建Browser-Based Authentication策略 (24)5. 创建应⽤及⽹址（URL）控制策略 (25)5.1 启⽤应⽤或⽹址（URL）控制功能 (25)5.2 创建应⽤及⽹址（URL）对象 (25)5.3 创建应⽤及⽹址（URL）组对象 (27)5.4 创建应⽤及⽹址（URL）控制策略 (29)6. 创建防数据泄露（DLP）策略 (31)6.1 启⽤防数据泄露（DLP）功能 (31)6.2 创建防数据泄露（DLP）对象 (31)6.2.1 创建防数据泄露（DLP）⽹络对象 (31)6.2.2 创建防数据泄露（DLP）分析内容对象 (31)6.2.3 创建防数据泄露（DLP）分析内容组对象 (31)6.3 创建防数据泄露（DLP）控制策略 (31)7. ⽣成报表（SmartReporter） (31)7.1 启⽤报表功能 (32)7.2 ⽣成报表前参数调整 (32)7.3 ⽣成报表 (35)8. 事件分析（SmartEvent） (36)8.1 启⽤事件分析功能 (36)8.2 查看事件分析 (37)1. CheckPoint 架构CheckPoint 分为三层架构，GUI 客户端（SmartConsole ）是⼀个可视化的管理配置客户端，⽤于连接到管理服务器（SmartCenter ），管理服务器（SmartCenter ）是⼀个集中管理平台，⽤于管理所有设备，将策略分发给执⾏点（Firewall ）去执⾏，并收集所有执⾏点（Firewall ）的⽇志⽤于集中管理查看，执⾏点（Firewall ）具体执⾏策略，进⾏⽹络访问控制2. 设置系统配置设备的基本配置需要在WEB 下进⾏，如IP 、路由、DNS 、主机名、备份及恢复、时间⽇期、管理员账户，默认web 管理页⾯的连接地址为https://192.168.1.1:4434，如果已更改过IP ，将192.168.1.1替换为更改后的IP 2.1 设置IP 地址例：设置LAN2⼝的IP 为10.0.255.2 登录web 后选择Network Connections直接点击LAN2管理服务器 SmartCenterGUI ClientSmartConsole执⾏点 Firewall填⼊IP地址和掩码，点击Apply2.2设置路由例：设置默认路由为10.0.255.1登录web后选择Network→Routing点击New→Default Route，（如果设置普通路由，点击Route）填⼊默认路由，点击Apply2.3配置备份此备份包括系统配置和CheckPoint策略等所有配置例：将配置备份出来保存选择Applicance→Backup and Restore选择Backup→Start Backup输⼊备份的⽂件名，点击Apply（由于⽇志可能会较⼤，增加备份⽂件的⼤⼩，可考虑去掉Include Check Point Products log files in the backup前⾯的勾）选择Yes等待备份⽂件打包当弹出下载⽂件提⽰后，将⽂件保存⾄本地2.4下载SmartConsole（GUI Client）选择Product Configuration Download SmartConsole选择Start Download2.5命令⾏（Console/SSH）登陆专家模式登陆命令⾏（Console/SSH）默认模式下仅⽀持部分操作及命令，如需要执⾏更⾼权限的命令或操作时需登陆专家模式在命令⾏中输⼊expert回车，根据提⽰输⼊密码即可登陆，默认密码同web、console、SSH登陆密码相同# expertEnter expert password:You are in expert mode now.3.配置防⽕墙策略CheckPoint防⽕墙的策略执⾏顺序为⾃上⽽下执⾏，当满⾜某⼀条策略时将会执⾏该策略设定的操作，并且不再匹配后⾯的策略***如果策略中包含⽤户对象，即使匹配该策略，仍然会继续匹配后⾯的策略，只有当后⾯的策略没有匹配或者后⾯的策略中匹配的操作是drop时才会执⾏之前包含⽤户的策略通常CheckPoint策略配置的顺序依次为防⽕墙的管理策略、VPN策略、服务器（DMZ）策略、内⽹上⽹策略、全部Drop策略创建CheckPoint防⽕墙策略的步骤为创建对象、创建策略并在策略中引⽤对象、Install Policy***CheckPoint中配置的更改必须Install Policy之后才会⽣效3.1安装SmartConsole，登录策略配置管理直接运⾏下载的SmartConsole安装包进⾏安装，安装完成后登陆SmartDashboard例：打开策略管理运⾏SmartDashboard输⼊⽤户名、密码以及SmartCenter（管理服务器）的IP地址，点击OK登陆3.2创建对象CheckPoint配置策略的基本步骤为创建需要的对象、创建策略、在策略中引⽤对象、Install Policy 3.2.1创建主机对象例：创建IP为192.168.10.1的对象选择Nodes→Node→Host在Name处输⼊对象名（字母开头），在IP Address处输⼊对象的IP地址，如192.168.10.1，点击OK3.2.2创建⽹络对象例：创建⽹段为192.168.10.0，掩码为255.255.255.0的对象选择Networks Network…输⼊⽹段对象名，⽹段，掩码（由于是中⽂版系统的关系，部分字样可能显⽰不全），点击OK3.2.3创建组对象如果有多个对象需要在策略中引⽤，⽅便起见可将这些对象添加到⼀个组中，直接在策略中引⽤该组即可例：将⽹段192.168.10.0和192.168.11.0添加到⼀个组对象中选择Groups→Groups→Simple Group…输⼊组对象的名字，将⽹段对象192.168.10.0和192.168.11.0在左侧Not in Group窗⼝中双击移⼊到右侧的In Group窗⼝中，点击OK3.3创建策略创建策略前需根据需求先确定创建的位置例：在第6条和第7条之间创建1条允许192.168.10.0⽹段访问任何地⽅任何端⼝的策略，并记录⽇志选中第7条策略，单击右键，选择Add Rule Above添加后会出现⼀条默认策略，需要做的就是在这条策略上引⽤对象在Source对应的⼀栏中，右键点击Any，选择Network Object…找到192.168.10.0这个⽹段的对象后选中，并点击OK由于是访问任何地址的任何端⼝，所以在Destination、VPN、Service栏中保持Any不变在Action栏中点击右键选择Accept在Track栏中点击右键选择Log，这样凡是被这条策略匹配的连接都会记录下⽇志，⽤于在SmartView Tracker中查看完成后的策略如下图3.3.1策略分组当策略数⽬较多时，为了⽅便配置和查找，通常会对策略进⾏分组例：将7、8、9三条⽇志分为⼀个组选中第7条策略，点击右键，选择Add Section Title Above输⼊名字后点击OK如下图所⽰，7、8、9三条策略就分在⼀个组中了，点击前⾯的+-号可以打开或缩进3.4创建地址转换（NAT）在CheckPoint中地址转换分为⾃动和⼿动两种，其中⾃动⼜分为Static NAT和Hide NAT Static NATStatic是指将内部⽹络的私有IP地址转换为公有IP地址，IP地址对是⼀对⼀的，是⼀成不变的，某个私有IP地址只转换为某个公有IP地址。

安装checkpoint防火墙简单操作1.安装系统到虚拟机
选择OK
选择OK
自己合理分配每个目录下的空间大小；之后选择OK
设置登录密码，默认账号是admin（此账号用于登陆命令行和web管理界面的）；
设置登录的管理地址ip地址和默认网关。

完成之后reboot设备就可以。

2.Checkpoint防火墙初始化
打开web页面输入刚刚设置的管理地址，输入登录账号密码。

一直点击next
这是设置修改管理地址的；
设置设备主机名的
设置设备的时间
2.1选择management，这是把该设备设置成一台单独的smart center管理中心
设置登录smartdashboard的账号密码
设置允许登录center的设备，我们测试选择any
2.2选择security gateway，表示这是台单独的FW
设置SIC，用于center管理FW的key
3.center关联FW
右击checkpoint。

选择如下图所示：
输入FW的name和ip，点击conmmunication，输入之前设置的key，点击initialize
关联正常，之后就是添加策略和对象进行测试。

Checkpoint防⽕墙安全配置⼿册V1.1Checkpoint防⽕墙安全配置⼿册v1.1CheckPoint防⽕墙安全配置⼿册Version 1.1XX公司⼆零⼀五年⼀⽉第1页共41 页⽬录1 综述 (3)2 Checkpoint的⼏种典型配置 (4)2.1 checkpoint 初始化配置过程： (4)2.2 Checkpoint Firewall-1 GUI安装 (13)2.3 Checkpoint NG的对象定义和策略配置 (19)3 Checkpoint防⽕墙⾃⾝加固 (37)1综述本配置⼿册介绍了Checkpoint防⽕墙的⼏种典型的配置场景，以加强防⽕墙对⽹络的安全防护作⽤。

同时也提供了Checkpoint防⽕墙⾃⾝的安全加固建议，防⽌针对防⽕墙的直接攻击。

通⽤和共性的有关防⽕墙管理、技术、配置⽅⾯的内容，请参照《中国移动防⽕墙安全规范》。

2Checkpoint的⼏种典型配置2.1checkpoint 初始化配置过程：在安装完Checkpoint软件之后，需要在命令⾏使⽤cpconfig命令来完成Checkpoint 的配置。

如下图所⽰，SSH连接到防⽕墙，在命令⾏中输⼊以下命令：IP350[admin]# cpconfigWelcome to Check Point Configuration Program================================================= Please read the following license agreement.Hit 'ENTER' to continue...（显⽰Checkpoint License版权信息，敲回车继续，敲q可直接跳过该License提⽰信息）Do you accept all the terms of this license agreement (y/n) ?y（输⼊y同意该版权声明）Which Module would you like to install ?-------------------------------------------(1) VPN-1 & FireWall-1 Enterprise Primary Management and Enforcement Module(2) VPN-1 & FireWall-1 Enforcement Module(3) VPN-1 & FireWall-1 Enterprise Primary ManagementCheckpoint Firewall-1/VPN-1⽀持多种安装模式，Firewall-1/VPN-1主要包括三个模块：GUI：⽤户看到的图形化界⾯，⽤于配置安全策略，上⾯并不存储任何防⽕墙安全策略和对象，安装于⼀台PC机上；Management：存储为防⽕墙定义的各种安全策略和对象；Enforcement Module：起过滤数据包作⽤的过滤模块，它只与Managerment通信，其上的安全策略由管理模块下载；以上三个选项中如果Management与Enforcement Module安装于同⼀台设备上，则选择（1），如果Management与Enforcement Module分别安装于不同的设备上，则选择（2）或（3）。