Check Point 用户手册.docx
《Check Point 用户手册.docx》由会员分享,可在线阅读,更多相关《Check Point 用户手册.docx(39页珍藏版)》请在冰豆网上搜索。
CheckPoint用户手册
CheckPoint
UTM-1
用户手册
第一章使用向导3
一、从配置UTM开始3
1、登陆UTM3
2、配置网卡4
3、配置路由5
4、配置主机名6
5、调整时间7
二、步骤1-配置之前……一些有用的术语7
三、步骤2-安装和配置8
四、步骤3-第一次登录到SmartCenter服务器9
五、步骤4-在安全策略定义之前11
六、步骤5-为安全策略定义规则16
七、步骤6-来源和目的17
第二章策略管理17
一、有效的策略管理工具需要18
二、CheckPoint管理策略的解决方案18
1、策略管理概况18
2、策略集19
3、规则分节标题21
4、查询和排列规则以及对象21
三、策略管理需要注意的问题22
四、策略管理配置22
第三章SmartViewTracker25
一、跟踪的需求25
二、CheckPoint对跟踪的解决方案26
1、跟踪概况26
2、SmartViewTracker27
3、过滤28
4、查询29
5、通过日志切换维护日志文件29
6.通过循环日志来管理日志空间29
7、日志导出功能30
8、本地日志30
9、使用日志服务器记录日志30
10、高级跟踪操作30
三、跟踪需要考虑的问题31
四、跟踪配置32
1、基本跟踪配置32
2、SmartView的查看选项32
3、配置过滤器33
4、配置查询33
5、维护34
6、本地日志35
7、使用日志服务器35
8、自定义命令36
9、阻断入侵37
10、配置报警命令37
第一章使用向导
一、从配置UTM开始
1、登陆UTM
2、配置网卡
3、配置路由
4、配置主机名
5、调整时间
二、步骤1-配置之前……一些有用的术语
这里介绍一些有助于理解本章内容的相关信息。
SecurityPolicy(安全策略)是由系统管理员创建的,用来管理进和出的网络通信连接。
Enforcementmodule(执行点模块)是可以执行网络安全策略的FireWall的系统引擎。
SmartCenterServer(SmartCenter服务器)是系统管理员用来管理安全策略的服务器。
所有的数据库和策略信息都存储在SmartCenter服务器上,并且在需要的时候下载到执行点模块中。
SmartConsoleClient(控制台)是一系列的GUI应用程序,能够管理安全策略的不同方面。
例如,SmartViewTracker就是一个管理日志的SmartConsole。
SmartDashboard是系统管理员用来创建和管理安全策略的SmartConsole。
独立的部署方式——示例
独立的部署方式是一种简单的部署方式,所有安全策略的管理端和执行端的相关组件(分别指SmartCenter服务器和执行点模块)都安装在同一台计算机上。
图3-1独立的部署方式
组件包括:
●EnforcementModule一般都安装在通向互联网的网关上;在网络中的位置是保护本地局域网。
●SmartCenterServer。
●SmartDashboard。
在独立部署方式中执行点模块和SmartCenter服务器都必须安装在同一台计算机中。
SmartDashboard以及其他的SmartConsole客户端可以安装在任何一台没有操作系统限制的计算机上。
可以参考最新版本的ReleaseNote获得更多信息。
三、步骤2-安装和配置
安装之前的介绍
安装SmartCenter和执行点模块的机器需要安装有TCP/IP协议。
这意味着这些机器必须有:
至少两块网卡。
一块是“外部网”或者是连接互联网的,另外一块是“内部网”或者是面向局域网的。
每块网卡都有自己的IP地址。
SmartCenter服务器必须能够查询DNS服务器来解析机器的IP地址。
四、步骤3-第一次登录到SmartCenter服务器
登录过程
图3-8登陆窗口
管理员通过SmartDashboard连接到SmartCenter服务器,这个过程对其他所有的SmartConsole客户端是一样的。
在这个过程中,管理员和SmartCenter服务器都需要被认证,然后在他们之间建立一个安全的通讯通道。
在成功完成认证以后,选定的SmartConsole将进行连接。
在第一次登录之后,管理员可以创建一个用于登录过程的证书。
使用证书的登录认证比使用用户名和口令的登录认证具有更好的安全性。
这个证书将在以后的阶段中创建,具体可以参考SmartCenter的用户手册。
认证管理员以及SmartCenter服务器
在SmartCenter服务器安装时,在配置工具的Administrator页面中定义使用UserName和Password进行登录。
在提供认证信息以后,指定目标SmartCenter服务器的IP地址或主机名,然后点击OK。
手工使用在配置过程中配置工具的指纹信息与SmartCenter的指纹信息进行核对,以验证SmartCenter服务器。
这个步骤只在第一次登录的时候出现,当SmartCenter服务器验证成功以后,指纹信息会保存在SmartConsole机器的注册表中。
演示模式
在登录SmartCenter时,系统管理员可以在Login窗口选择Demo模式。
这是一个没有连接到SmartCenter服务器的模式。
在创建真实的安全系统之前,可以用这个模式来熟悉不同的对象和功能特性。
它包含有许多预先配置好的网络对象的示例。
第一次使用SmartDashboard
图3-9SmartDashboard界面
选择Start>Programs>CheckPointSmartConsole(R65)>SmartDashboard来连接SmartDashboard,然后进行正确的登录。
一旦系统管理员登录成功,将显示SmartDashboard。
SmartDashboard的GUI包括以下的组件:
●SecurityRule——这里系统管理可以创建和管理安全策略。
●ObjectTree——根据分类列出系统中的所有对象(网络对象、服务、资源等)。
第一次登录时缺省包含SmartCenter服务器对象。
●ObjectList——显示所有在对象树中选定的对象的详细信息。
●SmartMap——使用图形化的形式显示系统中相关的对象。
这个视图有一些缺省的对象,例如,SmartCenter服务器对象,还有关联互联网的对象。
大部分管理操作(例如添加、编辑或删除)在菜单栏和工具栏等位置执行,或者右键点击选定的对象执行。
五、步骤4-在安全策略定义之前
为了完成安全策略,系统管理首先需要检查网络内部所有的特定需求,以及所有的安全和网络访问的需要。
本章将定义一个简单的安全策略,运行所有从LAN发起的连接,并且只有Email连接能够进入LAN。
在定义安全策略之前,关联系统中不同组件的各种特定对象(例如网关、网络和服务器)必须先定义好。
然后,这些对象应用在规则中组成安全策略。
定义对象
对象是规则的组成部分。
对象关联到实际的计算机和网络组件,以及逻辑的组件(例如动态对象)。
为了设定本章中定义的简单安全策略,需要定义以下的对象:
一个关联LAN的Network对象。
一个关联Mail服务器的Host对象。
缺省的SmartCenter服务器对象。
缺省的SmartCenter服务器必须做修改,以便正确地关联SmartCenter服务器和执行点模块,因为是独立部署。
注意:
手册中独立部署的示例对象可以在Demo模式查看。
1)创建关联LAN的网络对象
处理过程如下:
在对象树(ObjectTree)中,创建一个新的网络。
图3-10在对象树中创建一个新的网络对象
网络对象包含有两个选项卡:
在General选项卡中,为网络对象提供名称,名称必须能够明确说明对象的关联。
在本章的规则指定中,这个网络对象命名为Alaska_RND_LAN。
然后填写相应的IP地址和掩码。
Alaska_RND_LAN这个对象的详细信息如下:
⏹IPAddress——10.111.254.0
⏹NetMask——255.255.255.0
图3-11网络属性窗口
●在NAT选项卡中配置网络地址转换的设定。
对于示例部署中的简单策略定义,不需要进行网络地址转换。
2)创建一个关联网络Mail服务器的Node对象
必须创建一个关联网络内部Mail服务器的对象。
这个对象会使用在简单的规则表中。
处理过程如下:
在对象树中,参见图3-12创建一个新的HostNode。
图3-12在对象树中创建一个新的HostNode
●在HostNode窗口包含有不同的选项卡。
确保在General页面中定义Mail服务器的名称和IP地址。
在规则表中这个Mail服务器名为Alaska_DMZ_mail。
3)修改缺省的SmartCenter对象
在对象树的网络对象分页中会显示缺省的SmartCenter服务器对象。
这个对象必须进行配置,以便执行点模块能够正确地工作。
操作过程如下:
选择SmartCenter服务器对象。
双击这个对象来显示属性页面。
●在GeneralProperties页面,确认在CheckPointProducts列表框选中了FireWall(如图3-13)。
图3-13CheckPointGateway窗口
在Topology页面中(如图3-14):
点击Get>InterfaceswithTopology可以自动地检索网关上的所有网卡。
另外,也可以点击Add手工添加一块网卡。
你可以在任何一个网卡的Topology页面中编辑网卡。
选中后双击即弹出InterfaceProperties窗口。
图3-14CheckPointGateway窗口,Topology页面
六、步骤5-为安全策略定义规则
对象是建立规则的一部分,规则是创建安全策略的一部分。
安全策略中的规则是一系列的指令,决定哪些通信可以进入LAN或从LAN外出。
在这个示例部署中,将执行下列的规则:
允许所有由LAN发起到外部的通信连接的规则。
允许email从外部发送到内部的LAN当中的规则。
下面的规则在规则表中缺省的显示,并作为最后的规则使用,所以,它不需要做明确的定义:
这条规则将丢弃除了上述允许规则的通信连接之外的所有数据包。
表3-1允许所有内部LAN对外发起访问的规则
表3-2允许进入内部网络的SMTP连接(email)
保存和安装你的策略
一旦定义好规则以后:
选择File>Save保存策略。
你可以使用缺省提供的选项,也可以自定义。
●选择Policy>Install安装策略。
在安装窗口选择你需要安装策略的网关。
最后,你成功地创建了你的第一个安全策略。
七、步骤6-来源和目的
你已经学习了开始需要的基础知识。
下一步是获得更多关于CheckPoint的高级知识。
在CheckPoint的产品CD上有关于这个信息的CheckPoint文档(以PDF格式存储)。
当你在使用CheckPoint的SmartConsole客户端时,你也可以使用在线的帮助。
为了获得关于CheckPoint产品的更多技术信息,可以访问http:
//support
升级会员 