Checkpoint防火墙安全配置手册V.doc

Checkpoint防火墙安全配置手册V.doc

《Checkpoint防火墙安全配置手册V.doc》由会员分享，可在线阅读，更多相关《Checkpoint防火墙安全配置手册V.doc（41页珍藏版）》请在冰豆网上搜索。

Checkpoint防火墙安全配置手册v1.1

CheckPoint防火墙

安全配置手册

Version1.1

XX公司

二零一五年一月

第41页共41页

目录

1 综述 5

2 Checkpoint的几种典型配置 6

2.1 checkpoint初始化配置过程：

6

2.2 CheckpointFirewall-1GUI安装 13

2.3 CheckpointNG的对象定义和策略配置 18

3 Checkpoint防火墙自身加固 34

1综述

本配置手册介绍了Checkpoint防火墙的几种典型的配置场景，以加强防火墙对网络的安全防护作用。

同时也提供了Checkpoint防火墙自身的安全加固建议，防止针对防火墙的直接攻击。

通用和共性的有关防火墙管理、技术、配置方面的内容，请参照《中国移动防火墙安全规范》。

2Checkpoint的几种典型配置

2.1checkpoint初始化配置过程：

在安装完Checkpoint软件之后，需要在命令行使用cpconfig命令来完成Checkpoint的配置。

如下图所示，SSH连接到防火墙，在命令行中输入以下命令：

IP350[admin]#cpconfig

WelcometoCheckPointConfigurationProgram

=================================================

Pleasereadthefollowinglicenseagreement.

Hit'ENTER'tocontinue...

（显示CheckpointLicense版权信息，敲回车继续，敲q可直接跳过该License提示信息）

Doyouacceptallthetermsofthislicenseagreement（y/n）?

y

（输入y同意该版权声明）

WhichModulewouldyouliketoinstall?

-------------------------------------------

（1）VPN-1&FireWall-1EnterprisePrimaryManagementandEnforcementModule

（2）VPN-1&FireWall-1EnforcementModule

（3）VPN-1&FireWall-1EnterprisePrimaryManagement

CheckpointFirewall-1/VPN-1支持多种安装模式，Firewall-1/VPN-1主要包括三个模块：

GUI：

用户看到的图形化界面，用于配置安全策略，上面并不存储任何防火墙安全策略和对象，安装于一台PC机上；

Management：

存储为防火墙定义的各种安全策略和对象；

EnforcementModule：

起过滤数据包作用的过滤模块，它只与Managerment通信，其上的安全策略由管理模块下载；

以上三个选项中如果Management与EnforcementModule安装于同一台设备上，则选择

（1），如果Management与EnforcementModule分别安装于不同的设备上，则选择

（2）或（3）。

在此处我们选择

（1）

Enteryourselection（1-3/a-abort）[1]:

1

IPforwardingdisabled

HardeningOSSecurity:

IPforwardingwillbedisabledduringboot.

Generatingdefaultfilter

DefaultFilterinstalled

HardeningOSSecurity:

DefaultFilterwillbeappliedduringboot.

Thisprogramwillguideyouthroughseveralstepswhereyou

willdefineyourCheckPointproductsconfiguration.

Atanylatertime,youcanreconfiguretheseparametersby

runningcpconfig

ConfiguringLicenses...

=======================

HostExpirationFeatures

Note:

TherecommendedwayofmanaginglicensesisusingSecureUpdate.

Thiswindowcanbeusedtomanagelocallicensesonlyonthismachine.

Doyouwanttoaddlicenses（y/n）[y]?

n

（询问用户是否需要安装CheckpointLicense，可以在此时输入，也可在安装完毕时用命令行方式输入，因为使用命令行方式输入较为方便，建议用户在安装完毕后使用copy->paste的方式输入License。

在此处我们选择n）

ConfiguringAdministrators...

=============================

NoCheckPointAdministratorsarecurrently

definedforthisManagementStation.

Administratorname:

fwadmin

（配置CheckpointFirewall-1/VPN-1的管理员用户名，注意系统自身与Checkpoint的管理员不相同）

Password:

VerifyPassword:

（设置管理员的密码，Checkpoint管理员密码没有长度的限制）

PermissionsforallManagementClients（Read/[W]riteAll,[R]eadOnlyAll,[C]us

tomized）W

（设置该管理员的用户权限，有三种权限，写权限W，读权限R，自定义权限C，在此处选择W，给予管理员最大的权限）

Administratorfwadminwasaddedsuccessfullyandhas

Read/Writepermissiontoallmanagementclients

Addanotherone（y/n）[n]?

（提示是否还加入其它用户）

ConfiguringGUIclients...

==========================

GUIclientsaretrustedhostsfromwhich

AdministratorsareallowedtologontothisManagementStation

usingWindows/X-MotifGUI.

Doyouwantto[C]reateanewlist,[A]ddor[D]eleteone?

:

C

（CheckpointGUI软件需要安装在一台PC机上，但该GUI的IP地址需要定义，在此处我们选择C，创建一个GUIIP地址表）

PleaseenterthelisthoststhatwillbeGUIclients.

EnterhostnameorIPaddress,oneperline,terminatingwithCTRL-DoryourEOFcharacter.

10.0.0.15

Isthiscorrect（y/n）[y]?

（输入完地址后需要按CTRL-D结束定义GUI）

ConfiguringGroups...

=====================

CheckPointaccessandexecutionpermissions

-------------------------------------------

Usually,aCheckPointmoduleisgivengrouppermission

foraccessandexecution.

Youmaynownamesuchagrouporinstructtheinstallation

proceduretogivenogrouppermissionstotheCheckPointmodule.

Inthelattercase,onlytheSuper-Userwill

beabletoaccessandexecutetheCheckPointmodule.

Pleasespecifygroupname[fornogrouppermissions]:

Nogrouppermissionswillbegranted.Isthisok（y/n）[y]?

SettingGroupPermissions...Done.

（为Checkpoint生成一个管理组，在此处不需要生成专门管理组，直接敲回车，不生成组）

ConfiguringRandomPool...

==========================

Youarenowaskedtoperformashortrandomkeystrokesession.

Therandomdatacollectedinthissessionwillbeusedin

variouscryptographicoperations.

Pleaseenterrandomtextcontainingatleastsixdifferent

characters.Youwillseethe'*'symbolafterkeystrokesthat

aretoofastortoosimilartoprecedingkeystrokes.These

keystrokeswillbeignored.

Pleasekeeptypinguntilyouhearthebeepandthebarisfull.

[....................]

Thankyou.

（随意敲入字符，以便Checkpoint用它作为随机的加密参数。

随意敲任意，直到出现Thankyou）

ConfiguringCertificateAuthority...

====================================

ThesystemusesaninternalCertificateAuthority

toprovideSecuredInternalCommunication（SIC）Certificates

forthecomponentsinyourSystem.

Notethatyourco