checkpoint用户手册.docx
《checkpoint用户手册.docx》由会员分享,可在线阅读,更多相关《checkpoint用户手册.docx(39页珍藏版)》请在冰豆网上搜索。
checkpoint用户手册
CheckPoint
UTM-1
用户手册
第一章使用向导
一、从配置UTM开始
1、登陆UTM
2、配置网卡
3、配置路由
4、配置主机名
5、调整时间
二、步骤1-配置之前……一些有用的术语
这里介绍一些有助于理解本章内容的相关信息。
SecurityPolicy(安全策略)是由系统管理员创建的,用来管理进和出的网络通信连接。
Enforcementmodule(执行点模块)是可以执行网络安全策略的FireWall的系统引擎。
SmartCenterServer(SmartCenter服务器)是系统管理员用来管理安全策略的服务器。
所有的数据库和策略信息都存储在SmartCenter服务器上,并且在需要的时候下载到执行点模块中。
SmartConsoleClient(控制台)是一系列的GUI应用程序,能够管理安全策略的不同方面。
例如,SmartViewTracker就是一个管理日志的SmartConsole。
SmartDashboard是系统管理员用来创建和管理安全策略的SmartConsole。
独立的部署方式——示例
独立的部署方式是一种简单的部署方式,所有安全策略的管理端和执行端的相关组件(分别指SmartCenter服务器和执行点模块)都安装在同一台计算机上。
图3-1独立的部署方式
组件包括:
●EnforcementModule一般都安装在通向互联网的网关上;在网络中的位置是保护本地局域网。
●SmartCenterServer。
●SmartDashboard。
在独立部署方式中执行点模块和SmartCenter服务器都必须安装在同一台计算机中。
SmartDashboard以及其他的SmartConsole客户端可以安装在任何一台没有操作系统限制的计算机上。
可以参考最新版本的ReleaseNote获得更多信息。
三、步骤2-安装和配置
安装之前的介绍
安装SmartCenter和执行点模块的机器需要安装有TCP/IP协议。
这意味着这些机器必须有:
至少两块网卡。
一块是“外部网”或者是连接互联网的,另外一块是“内部网”或者是面向局域网的。
每块网卡都有自己的IP地址。
SmartCenter服务器必须能够查询DNS服务器来解析机器的IP地址。
四、步骤3-第一次登录到SmartCenter服务器
登录过程
图3-8登陆窗口
管理员通过SmartDashboard连接到SmartCenter服务器,这个过程对其他所有的SmartConsole客户端是一样的。
在这个过程中,管理员和SmartCenter服务器都需要被认证,然后在他们之间建立一个安全的通讯通道。
在成功完成认证以后,选定的SmartConsole将进行连接。
在第一次登录之后,管理员可以创建一个用于登录过程的证书。
使用证书的登录认证比使用用户名和口令的登录认证具有更好的安全性。
这个证书将在以后的阶段中创建,具体可以参考SmartCenter的用户手册。
认证管理员以及SmartCenter服务器
在SmartCenter服务器安装时,在配置工具的Administrator页面中定义使用UserName和Password进行登录。
在提供认证信息以后,指定目标SmartCenter服务器的IP地址或主机名,然后点击OK。
手工使用在配置过程中配置工具的指纹信息与SmartCenter的指纹信息进行核对,以验证SmartCenter服务器。
这个步骤只在第一次登录的时候出现,当SmartCenter服务器验证成功以后,指纹信息会保存在SmartConsole机器的注册表中。
演示模式
在登录SmartCenter时,系统管理员可以在Login窗口选择Demo模式。
这是一个没有连接到SmartCenter服务器的模式。
在创建真实的安全系统之前,可以用这个模式来熟悉不同的对象和功能特性。
它包含有许多预先配置好的网络对象的示例。
第一次使用SmartDashboard
图3-9SmartDashboard界面
选择Start>Programs>CheckPointSmartConsole(R65)>SmartDashboard来连接SmartDashboard,然后进行正确的登录。
一旦系统管理员登录成功,将显示SmartDashboard。
SmartDashboard的GUI包括以下的组件:
●SecurityRule——这里系统管理可以创建和管理安全策略。
●ObjectTree——根据分类列出系统中的所有对象(网络对象、服务、资源等)。
第一次登录时缺省包含SmartCenter服务器对象。
●ObjectList——显示所有在对象树中选定的对象的详细信息。
●SmartMap——使用图形化的形式显示系统中相关的对象。
这个视图有一些缺省的对象,例如,SmartCenter服务器对象,还有关联互联网的对象。
大部分管理操作(例如添加、编辑或删除)在菜单栏和工具栏等位置执行,或者右键点击选定的对象执行。
五、步骤4-在安全策略定义之前
为了完成安全策略,系统管理首先需要检查网络内部所有的特定需求,以及所有的安全和网络访问的需要。
本章将定义一个简单的安全策略,运行所有从LAN发起的连接,并且只有Email连接能够进入LAN。
在定义安全策略之前,关联系统中不同组件的各种特定对象(例如网关、网络和服务器)必须先定义好。
然后,这些对象应用在规则中组成安全策略。
定义对象
对象是规则的组成部分。
对象关联到实际的计算机和网络组件,以及逻辑的组件(例如动态对象)。
为了设定本章中定义的简单安全策略,需要定义以下的对象:
一个关联LAN的Network对象。
一个关联Mail服务器的Host对象。
缺省的SmartCenter服务器对象。
缺省的SmartCenter服务器必须做修改,以便正确地关联SmartCenter服务器和执行点模块,因为是独立部署。
注意:
手册中独立部署的示例对象可以在Demo模式查看。
1)创建关联LAN的网络对象
处理过程如下:
在对象树(ObjectTree)中,创建一个新的网络。
图3-10在对象树中创建一个新的网络对象
网络对象包含有两个选项卡:
在General选项卡中,为网络对象提供名称,名称必须能够明确说明对象的关联。
在本章的规则指定中,这个网络对象命名为Alaska_RND_LAN。
然后填写相应的IP地址和掩码。
Alaska_RND_LAN这个对象的详细信息如下:
⏹IPAddress——10.111.254.0
⏹NetMask——255.255.255.0
图3-11网络属性窗口
●在NAT选项卡中配置网络地址转换的设定。
对于示例部署中的简单策略定义,不需要进行网络地址转换。
2)创建一个关联网络Mail服务器的Node对象
必须创建一个关联网络内部Mail服务器的对象。
这个对象会使用在简单的规则表中。
处理过程如下:
在对象树中,参见图3-12创建一个新的HostNode。
图3-12在对象树中创建一个新的HostNode
●在HostNode窗口包含有不同的选项卡。
确保在General页面中定义Mail服务器的名称和IP地址。
在规则表中这个Mail服务器名为Alaska_DMZ_mail。
3)修改缺省的SmartCenter对象
在对象树的网络对象分页中会显示缺省的SmartCenter服务器对象。
这个对象必须进行配置,以便执行点模块能够正确地工作。
操作过程如下:
选择SmartCenter服务器对象。
双击这个对象来显示属性页面。
●在GeneralProperties页面,确认在CheckPointProducts列表框选中了FireWall(如图3-13)。
图3-13CheckPointGateway窗口
在Topology页面中(如图3-14):
点击Get>InterfaceswithTopology可以自动地检索网关上的所有网卡。
另外,也可以点击Add手工添加一块网卡。
你可以在任何一个网卡的Topology页面中编辑网卡。
选中后双击即弹出InterfaceProperties窗口。
图3-14CheckPointGateway窗口,Topology页面
六、步骤5-为安全策略定义规则
对象是建立规则的一部分,规则是创建安全策略的一部分。
安全策略中的规则是一系列的指令,决定哪些通信可以进入LAN或从LAN外出。
在这个示例部署中,将执行下列的规则:
允许所有由LAN发起到外部的通信连接的规则。
允许email从外部发送到内部的LAN当中的规则。
下面的规则在规则表中缺省的显示,并作为最后的规则使用,所以,它不需要做明确的定义:
这条规则将丢弃除了上述允许规则的通信连接之外的所有数据包。
表3-1允许所有内部LAN对外发起访问的规则
表3-2允许进入内部网络的SMTP连接(email)
保存和安装你的策略
一旦定义好规则以后:
选择File>Save保存策略。
你可以使用缺省提供的选项,也可以自定义。
●选择Policy>Install安装策略。
在安装窗口选择你需要安装策略的网关。
最后,你成功地创建了你的第一个安全策略。
七、步骤6-来源和目的
你已经学习了开始需要的基础知识。
下一步是获得更多关于CheckPoint的高级知识。
在CheckPoint的产品CD上有关于这个信息的CheckPoint文档(以PDF格式存储)。
当你在使用CheckPoint的SmartConsole客户端时,你也可以使用在线的帮助。
为了获得关于CheckPoint产品的更多技术信息,可以访问。
第二章策略管理
本章内容
一、有效的策略管理工具需要
二、CheckPoint管理策略的解决方案
三、策略管理中需要注意的问题
四、策略管理的配置
一、有效的策略管理工具需要
随着网络结构的不断增长,更多的网络资源、计算机以及服务器、路由器被部署在网络当中。
这造成了安全策略需要处理更多的网络对象以及逻辑结构(关联相关的实体),并且使用更多数量的规则,对系统管理员来说,使得策略变得更复杂以及更富有挑战性。
因为安全策略的复杂性,很多管理员的操作倾向于“如果没有被攻击,就不处理”的方式:
●他们倾向于在看似安全的位置放置新的策略(例如在规则表的最后),而不是放在最合适的位置上。
●规则陈旧而且对象很少去做清理。
这些不好的趋势使得安全策略变得混乱以及不协调,并且数据库不清晰,这使得安全策略的有效功能下降,并且使得系统管理员难于管理。
对于系统管理员来说,一个简单有效无弱点的解决方案更加有助于管理,所以需要重视易于使用的策略管理工具。
●由于网络的复杂性,能够针对不同的节点和分支建立自己合适的结构。
●能够快速定位对象。
●能够分析规则表。
二、CheckPoint管理策略的解决方案
本节内容
1、策略管理概况
2、策略集
3、规则分节标题
4、查询和存储规则以及对象
1、策略管理概况
SmartCenter服务器提供了大量的工具进行不同的策略管理任务,其中包括定义部分和维护部分。
●PolicyPackages允许简单地对不同类型的策略(一般指在同一个安装目标上的策略)进行分组。
●PredefinedInstallationTargets允许将每个策略集管理到适合的模块上。
这个功能可以在每次安装(卸载)策略时自由地选定需要的模块,并且可以在任何时候方便地修改列表。
另外可以减少安装策略时的风险。
●SectionTitle允许可视化地中断在项目中的规则表,因此可以立即改善定位感兴趣的规则和对象的能力。
●Queries可以对使用的规则和对象提供多方面的搜索功能。
●Sorting可以通过排列在对象树和对象列表中的对象的简单快速定位对象。
这个功能可以通过命名和颜色的定义来大大提高效能。
2、策略集
策略集允许通过对每个类型的节点创建特定策略集来满足内部网络中不同节点的特定需求。
图2-1中示例了包含有4个节点的网络。
图2-1包含有不同节点的示例网络
每个不同节点使用不同的CheckPoint产品:
●ServersFarm安装有FireWall-1。
●SalesAlaska和SalesCalifornia节点安装有FireWall-1和VPN-1。
●ExecutiveManagement安装有FireWall-1、VPN-1和FloodGate-1。
即使各个节点使用了相同的产品但是有不同的安全需求,针对他们的策略也需要不同的规则。
为了有效地管理不同类型的节点,你需要三种不同的策略集。
每个策略集必须包含有管理有相关产品的不同策略。
因此,一个策略集由下面一个或多个类型的策略组成,每个策略管理不同的CheckPoint产品:
●安全和地址转换策略,控制FireWall-1模块。
这些策略也决定VPN配置模式。
●QoS策略,控制FloodGate-1模块。
●桌面安全策略,控制SecuRemote/SecureClient机器。
与上面策略不同的是,VPN规则表管理器不会应用到单个的节点,但是会应用到关联的节点之间。
因此,这个规则表针对所有的节点。
WebAccessRule(Web访问规则)是独立的策略集,因为它相对于网络来说是应用全部(例如阻断一个指定的节点)。
在SmartDashboard的全局属性(GlobalProperties)中设置可以将这个规则表显示出来(在GlobalProperties窗口的SmartDashboardCustomization页面中)。
文件操作
文件操作(New、Open、Save等)是在策略集的水准上进行操作(相对于单个策略而言)。
●New允许定义一个新的策略集,或者向已存在的策略集添加一个单一的策略。
●Open允许打开已经存在的策略集。
包含有策略集的策略类型决定在规则表中显示哪些分页内容。
●SaveAs允许存储一个完整的策略集,或者将规则表中指定的策略进行储存(例如SecurityandAddressTranslation,QoS或者DesktopSecurity)。
注意:
在修改策略集之前备份它,可以使用数据库修订控制功能。
不需要使用文件操作来进行备份和测试的目的,从而不会因为无关的策略集混乱系统。
另外,如果只有一个对象数据库但是有不同集合的话,在对象数据库中保存集合不一定会协调这个变化。
安装目标
为了正确安装(卸载)策略集并排除错误,每个策略集需要管理到相关的安装目标上。
这个管理可以在每次安装时排除重复选择目标模块,并且确认策略集在安装到目标时没有错误。
可以对整个策略集定义安装目标,因而可以排除在每个策略当中具体地定义每条规则的安装目标。
在每次进行Install(安装)和Uninstall(卸载)时可以自动地显示选择的目标(参见图2-2)。
图2-2在InstallPolicy窗口的安装目标示例
在所有的安装目标当中你可以从缺省状态中通过选中或不选中来设置策略集的安装(在GlobalProperties窗口的SmartDashboardcustomization页面中),然后根据需要来对每个安装进行设置。
3、规则分节标题
规则的分节可以依照各自的主题进行可视化的分组。
例如,中等规模的网络可能对内部所有节点有一个单一的策略,然后对每个节点的规则使用分节的标题进行定义(更大更复杂的网络可能需要使用策略集)。
使用分节进行规则的排列不必将大部分一般匹配的规则放置在规则的起始部分。
4、查询和排列规则以及对象
查询规则
查询规则可以加深对策略的理解以及验证新规则放置在合适的地方。
你可以在Security、DesktopSecurity以及WebAccess等规则表中查询。
一个查询可以包含一个或多个子查询。
每个子句可以指向已经选择的对象或者规则中的指定列。
你可以针对单个的对象、组或者全部进行查询。
为了增强查询能力,可以使用适当的逻辑条件(“Negate”,“And”和“Or”)。
一旦应用查询以后,则在规则表中只显示查询后匹配的规则。
匹配的规则被隐藏,但仍是整个策略集的一部分并且能够被安装。
可以通过调试额外的查询来精简查询结果。
例如,在规则表中当一个服务器从主机A移到主机B时查询就很有用了。
这个变化要求更新所有主机的访问权限。
为了找到需要修改的规则,可以在所有的规则中查询Destination列中包含有主机A或主机B的规则。
缺省情况下查询不仅搜索规则中所包含的主机,也搜索规则中那些可能包含这些主机的网络对象或者组对象,包括在规则中的Destination是Any的。
查询网络对象
网络对象查询可以搜索到符合查询标准的对象。
可以使用这个工具进行控制和排除对象关联错误。
查询系统中所有的对象(缺省选择下)或者指定类型的对象(例如FireWall-1installed,FloodGate-1installed,GateWayClusters等),以使用不同的过滤(例如SearchbyName,SearchbyIP等)来精简这个列表以及使用通配符来搜索。
除了这些基本的搜索之外,还可以完成更高级的查询:
●IP地址与接口卡不匹配的对象。
●被几个对象使用的相同IP地址。
●没有使用的对象。
注意:
在LDAP服务器上定义的对象实体一般在查询中当作“notused”。
你可以将查询结果进行分组。
例如,希望创建一个包含系统中所有邮件服务器的分组,然后在规则表中使用。
如果命名习惯是在邮件服务器命名中包含有字符“Mail”,那么可以通过选择SearchbyName的过滤器,以及在此输入*Mail*就可以简单地在所有的网络对象中找到指定的对象。
然后创建一个包含有这个结果的分组并在适用的规则使用。
分组的对象也一样是通过CheckPoint的SmartConsole来激活,例如,如果使用SmartViewReporter,可以把这个分组包含在EmailActivity报告连接的源中。
在对象树和对象列表中进行分类排列(Sorting)
在对象树右键菜单中的Sort允许使用名字或颜色通过类型对每个分页进行分类(在缺省选择中)。
分类参数在对象列表的窗口中应用。
另外,在对象列表窗口中也可以点击相应的列来进行分类。
分类是一个很有用的排错工具,例如:
●可以方便确定对象属于哪个节点,可以将每个节点的对象使用不同的颜色进行定义,然后在对象树当中使用颜色进行分类。
●显示复制的IP地址,在对象树当中显示NetworkObject分页以及在对象列表中使用IPAddress列进行分类。
●查找希望占用端口的服务,显示对象树中的Services分页,然后在对象列表中使用Port列进行分类。
三、策略管理需要注意的问题
惯例
建议使用一个定义对象命名和颜色的习惯,这样可以方便快速地定位需要查找的对象。
例如,如果使用一个前缀指定对象的位置(例如NYC_Mail_Server),可以快速地使用位置进行分组,也可以在对象列表中使用Name的列进行简单的分类。
同样的,可以使用颜色的定义来区分对象属于哪些节点,并且在对象树中通过颜色来快速的分类。
四、策略管理配置
策略集
创建一个新的策略集
1.在菜单中选择File>New…。
然后弹出NewPolicyPackage窗口。
2.输入NewPolicyPackageName信息,这个名字不能包括:
·包含有保留字。
·包含有空格。
·在起始位置使用数字。
·包含以下任意字符:
%,#,’,&,*,!
,@,?
,<,>,/,\,:
。
·任何以下后缀的结尾:
.w,.pf,.W。
3.在IncludethefollowingPolicytypes的节中,为包含的策略集选择下列部分或所有的策略类型。
·SecurityandAddressTranslation,选择Simplified(简单)或者Traditional(传统)的VPN配置模式。
·QoS,选择Traditionalmode或者Expressmode。
·DesktopSecurity,表2-1列出了针对每种策略类型的规则表分页。
表2-1每种策略类型的规则表分页
4.点击OK创建一个策略集。
SmartDashboard当中显示新的策略集,包括选中的策略类型分页。
定义策略集的安装目标
1.在菜单当中选择Policy>PolicyInstallationTargets…。
然后弹出SelectInstallationTargets窗口。
2.选择以下条件:
·Allinternalmodules(全部内部模块,为缺省选项)
·Specificmodules,从NotinInstallationTargets的列表中选择相关的目标移动到InInstallationTargets列表中。
3.点击OK。
不论是安装还是卸载策略集都对选定的安装目标起作用。
4.将所有模块的缺省状态设定为Selected或者NotSelected,因此方便策略的安装(卸载)过程。
选择Policy>GlobalProperties可以在GlobalProperties窗口的SmartDashboardCustomization页面中选择适当的设定。
5.可以在安装(卸载)的操作过程中进一步的修改安装目标:
·为了只在这个操作中修改目标,选定相关的模块和策略并且取消对其他的选定。
·为了可以在将来的操作中修改目标,点击SelectTargets…来打开SelectInstallationTargets窗口,然后根据需要对列表进行修改。
向一个已存在的策略集增加策略
1.在菜单中选择File>New…。
然后弹出NewPolicyPackages窗口。
2.选择AddPolicytoanexistingPackage,然后在下拉列表(包含有所有未被激活策略类型的策略集)中选中需要的策略集。
3.在IncludethefollowingPolicytypes节中,选择所有希望添加到策略集的策略类型(关联不同策略类型的规则表分页,具体参见表2-1)。
4.点击OK。
显示选定的策略集,包括需要增加的相关策略类型的规则表分页。
规则分节
增加一个节的标题
1.选择一个需要在此之上或之后添加节标题的规则。
2.从菜单中选择Rules>AddSectionTitle>Above或者Below(分别进行)。
然后弹出Header窗口。
3.为新的分节定义标题,然后点击OK。
在适当的位置显示新设定的分节标题。
所有在这个标题之后以及到下一个标题之前的规则都被可视化地进行分组。
4.缺省情况下,分节是展开的。
可以点击(-)符号进行这个分节的规则进行隐藏。
5.如果在某个分节之后的策略不属于这个分节,可以增加一个结尾的分节来标注这些规则(例如”EndofAlaskaRules”)。
查询规则表
配置一个新的查询
1.显示需要查
升级会员 