Checkpoint防火墙安全配置手册V文档格式.doc
《Checkpoint防火墙安全配置手册V文档格式.doc》由会员分享,可在线阅读,更多相关《Checkpoint防火墙安全配置手册V文档格式.doc(41页珍藏版)》请在冰豆网上搜索。
3 Checkpoint防火墙自身加固 34
1综述
本配置手册介绍了Checkpoint防火墙的几种典型的配置场景,以加强防火墙对网络的安全防护作用。
同时也提供了Checkpoint防火墙自身的安全加固建议,防止针对防火墙的直接攻击。
通用和共性的有关防火墙管理、技术、配置方面的内容,请参照《中国移动防火墙安全规范》。
2Checkpoint的几种典型配置
2.1checkpoint初始化配置过程:
在安装完Checkpoint软件之后,需要在命令行使用cpconfig命令来完成Checkpoint的配置。
如下图所示,SSH连接到防火墙,在命令行中输入以下命令:
IP350[admin]#cpconfig
WelcometoCheckPointConfigurationProgram
=================================================
Pleasereadthefollowinglicenseagreement.
Hit'
ENTER'
tocontinue...
(显示CheckpointLicense版权信息,敲回车继续,敲q可直接跳过该License提示信息)
Doyouacceptallthetermsofthislicenseagreement(y/n)?
y
(输入y同意该版权声明)
WhichModulewouldyouliketoinstall?
-------------------------------------------
(1)VPN-1&
FireWall-1EnterprisePrimaryManagementandEnforcementModule
(2)VPN-1&
FireWall-1EnforcementModule
(3)VPN-1&
FireWall-1EnterprisePrimaryManagement
CheckpointFirewall-1/VPN-1支持多种安装模式,Firewall-1/VPN-1主要包括三个模块:
GUI:
用户看到的图形化界面,用于配置安全策略,上面并不存储任何防火墙安全策略和对象,安装于一台PC机上;
Management:
存储为防火墙定义的各种安全策略和对象;
EnforcementModule:
起过滤数据包作用的过滤模块,它只与Managerment通信,其上的安全策略由管理模块下载;
以上三个选项中如果Management与EnforcementModule安装于同一台设备上,则选择
(1),如果Management与EnforcementModule分别安装于不同的设备上,则选择
(2)或(3)。
在此处我们选择
(1)
Enteryourselection(1-3/a-abort)[1]:
1
IPforwardingdisabled
HardeningOSSecurity:
IPforwardingwillbedisabledduringboot.
Generatingdefaultfilter
DefaultFilterinstalled
DefaultFilterwillbeappliedduringboot.
Thisprogramwillguideyouthroughseveralstepswhereyou
willdefineyourCheckPointproductsconfiguration.
Atanylatertime,youcanreconfiguretheseparametersby
runningcpconfig
ConfiguringLicenses...
=======================
HostExpirationFeatures
Note:
TherecommendedwayofmanaginglicensesisusingSecureUpdate.
Thiswindowcanbeusedtomanagelocallicensesonlyonthismachine.
Doyouwanttoaddlicenses(y/n)[y]?
n
(询问用户是否需要安装CheckpointLicense,可以在此时输入,也可在安装完毕时用命令行方式输入,因为使用命令行方式输入较为方便,建议用户在安装完毕后使用copy->
paste的方式输入License。
在此处我们选择n)
ConfiguringAdministrators...
=============================
NoCheckPointAdministratorsarecurrently
definedforthisManagementStation.
Administratorname:
fwadmin
(配置CheckpointFirewall-1/VPN-1的管理员用户名,注意系统自身与Checkpoint的管理员不相同)
Password:
VerifyPassword:
(设置管理员的密码,Checkpoint管理员密码没有长度的限制)
PermissionsforallManagementClients(Read/[W]riteAll,[R]eadOnlyAll,[C]us
tomized)W
(设置该管理员的用户权限,有三种权限,写权限W,读权限R,自定义权限C,在此处选择W,给予管理员最大的权限)
Administratorfwadminwasaddedsuccessfullyandhas
Read/Writepermissiontoallmanagementclients
Addanotherone(y/n)[n]?
(提示是否还加入其它用户)
ConfiguringGUIclients...
==========================
GUIclientsaretrustedhostsfromwhich
AdministratorsareallowedtologontothisManagementStation
usingWindows/X-MotifGUI.
Doyouwantto[C]reateanewlist,[A]ddor[D]eleteone?
:
C
(CheckpointGUI软件需要安装在一台PC机上,但该GUI的IP地址需要定义,在此处我们选择C,创建一个GUIIP地址表)
PleaseenterthelisthoststhatwillbeGUIclients.
EnterhostnameorIPaddress,oneperline,terminatingwithCTRL-DoryourEOFcharacter.
10.0.0.15
Isthiscorrect(y/n)[y]?
(输入完地址后需要按CTRL-D结束定义GUI)
ConfiguringGroups...
=====================
CheckPointaccessandexecutionpermissions
Usually,aCheckPointmoduleisgivengrouppermission
foraccessandexecution.
Youmaynownamesuchagrouporinstructtheinstallation
proceduretogivenogrouppermissionstotheCheckPointmodule.
Inthelattercase,onlytheSuper-Userwill
beabletoaccessandexecutetheCheckPointmodule.
Pleasespecifygroupname[<
RET>
fornogrouppermissions]:
Nogrouppermissionswillbegranted.Isthisok(y/n)[y]?
SettingGroupPermissions...Done.
(为Checkpoint生成一个管理组,在此处不需要生成专门管理组,直接敲回车,不生成组)
ConfiguringRandomPool...
Youarenowaskedtoperformashortrandomkeystrokesession.
Therandomdatacollectedinthissessionwillbeusedin
variouscryptographicoperations.
Pleaseenterrandomtextcontainingatleastsixdifferent
characters.Youwillseethe'
*'
symbolafterkeystrokesthat
aretoofastortoosimilartoprecedingkeystrokes.These
keystrokeswillbeignored.
Pleasekeeptypinguntilyouhearthebeepandthebarisfull.
[....................]
Thankyou.
(随意敲入字符,以便Checkpoint用它作为随机的加密参数。
随意敲任意,直到出现Thankyou)
ConfiguringCertificateAuthority...
====================================
ThesystemusesaninternalCertificateAuthority
toprovideSecuredInternalCommunication(SIC)Certificates
forthecomponentsinyourSystem.
Notethatyourco
升级会员 