解决方案CheckPoint防火墙热备实施方案.docx
《解决方案CheckPoint防火墙热备实施方案.docx》由会员分享,可在线阅读,更多相关《解决方案CheckPoint防火墙热备实施方案.docx(31页珍藏版)》请在冰豆网上搜索。
解决方案CheckPoint防火墙热备实施方案
CheckPoint防火墙热备实施方案
目 录
第一章 客户环境概述...................................................................................................4
1.1概述....................................................................................................................4
1.2网络拓扑与地址分配表........................................................................................4
1.3安装前准备事宜...................................................................................................6
第二章NokiaIP380安装与配置.......................................................................................7
2.1概述....................................................................................................................7
2.2初始化nokia380...................................................................................................7
2.3设置nokia基本信息.............................................................................................8
2.3.1Nokia端口IP地址设定...........................................................................8
2.3.2设置网关路由...........................................................................................8
2.3.3设置Nokia平台时间.................................................................................9
2.3.4设定Nokia高可用VRRP参数.....................................................................9
2.4初始化checkpoint...............................................................................................14
2.4.1在nokia平台上checkpoint的安装与卸载..............................................14
2.4.2初始化checkpoint..................................................................................16
第三章管理服务器的安装与配置...................................................................................17
3.1checkpointsmartcenter的安装..............................................................................18
3.1.1安装前的准备.........................................................................................18
3.1.2安装步骤................................................................................................18
3.2配置checkpoint对象和参数................................................................................20
3.2.1建立sic...................................................................................................20
3.2.2定义防火墙对象拓扑结构........................................................................21
3.2.3使用同样的步骤按照表1的参数建立IP380Bcheckpointgateway对象。
....21
3.3基于nokiavrrp或者cluster的设置......................................................................22
3.3.1基于NokiaVRRP的设置..........................................................................22
3.3.2为nokiavrrp定义策略..............................................................................22
3.3.3高可用性的检查.......................................................................................23
3.4nokiacluster的设置............................................................................................23
3.5暂时没有............................................................................................................23
第四章策略设定............................................................................................................24
4.1概述...................................................................................................................24
4.2netscreen的策略.................................................................................................24
4.3经过整理后转换成checkpoint的策略..................................................................24
4.4设定策略...........................................................................................................24
4.4.1定义主机对象..........................................................................................24
4.4.2定义网络对象..........................................................................................25
4.4.3定义组.....................................................................................................26
4.4.4定义服务.................................................................................................26
4.4.5添加标准策略..........................................................................................27
4.4.6添加NAT策略.........................................................................................27
第五章切换与测试........................................................................................................29
5.1切换...................................................................................................................29
5.2测试...................................................................................................................29
5.3回退...................................................................................................................30
第六章日常维护............................................................................................................31
6.1防火墙的备份与恢复..........................................................................................31
6.1.1nokia防火墙的备份与恢复方法................................................................31
6.1.2checkpointmanagement上的备份与恢复...................................................33
第一章
客户环境概述
1.1
概述XXXXXX公司因应企业内部的网络需求,对总部网络进行扩容改动,中心防火墙从原来的netscreen换成两台NokiaIP380,两台nokia互为热备。
维持原有的服务不变。
由于这次网络改动比较大,所以先离线进行安装和测试,最后再进行切换
北京集团
网管中心
1.2
网络拓扑与地址分配表
XXXXXX改造前网络拓扑如下
改动后,XXX将按照以下图进行实施
给个设备及端口的地址分配入下表所示
IP地址分配表(表1)
管理服务器参数
IP地址
防火墙各端口参数
端口
用途
Nokia380A
Nokia380B
虚拟地址
Eth1
外网口
Eth2
DMZ
172.16.100.5/30
172.16.100.6/30
172.16.100.1/30
Eth3
内网
10.101.1.101/24
10.101.1.102/24
10.101.1.1/24
Eth4?
同步口
192.168.11.1/24
192.168.11.2/24
gateway
静态路由
1.3安装前准备事宜1.管理服务器硬件平台
CPU奔腾3500以上
内存128以上
硬盘60M以上
操作系统,windows2000server+SP4补丁
2.网络连线
3.Checkpoint及nokia管理软件
CheckpointNGAIR55安装包forwindows
hotfix09或以上
4.NokiaIP380设备两台
内置IPSO3.8build39
内置checkpointNGAIR55安装包
第二章
NokiaIP380安装与配置
2.1概述首先我们可以对两台NokiaIP380进行安装与配置,由于Nokia防火墙将会替代Netscreen,所以Nokia防火墙可以进行离线配置。
配置步骤如下。
2.2初始化nokia3801.
使用nokiaconsole线,连接nokiaconsole口和管理pc的串行端口,并打开电源家电。
2.
打开windows超级终端按照下图设置
3.
NokiaIP380正常开机后填入防火墙的名字:
IP380A。
如下图
4.
输入默认管理员用户admin的密码并确认密码,这里密码填password,密码以后可以通过web界面进行修改。
如下图所示
5.
设定使用基于web的浏览器进行管理还是基于文本的浏览器进行管理,这里选择1
6.
设定初始网络参数,这里需要设定一块网卡的IP地址,以方便进行基于web的管理,如下图所示,分别填入网卡号和IP地址,暂时不设定defaultroute,并配置端口成100M全双工。
7.
确认以上信息正确,由于网络上并没有VLAN设置,所以并不需要进行Vlan配置。
如下图
2.3设置nokia基本信息
主要设定nokia底层基本参数,包括IP地址,路由,时间,VRRP设定
2.3.1Nokia端口IP地址设定1.使用网线连接管理机和nokia端口,打开IE浏览器,输入刚才定义的nokiaIP地址http:
//192.168.11.1,使用用户名admin,密码password登陆。
如下图所示。
2.登陆后点击config按钮,进入配置界面,如下图所示。
3.点击interface按钮后,进入interface配置界面。
点击逻辑端口Eth3c0配置Eth3的IP的,如下图所示。
在Active选项上选On,NewIPaddress框添上IP地址,NewMaskLength框填上子网掩码的长度,如下图所示。
4.
Apply键。
5.
配置网卡物理参数。
点击UP按钮,回到Interfaceconfiguration界面,点击物理端口号Eth3出现以下界面。
修改linkspeed的参数为100M,修改Duplex为Full。
6.Apply键和Save键,保存配置。
7.重复以上步骤,按照IP列表分配表(表1)中参数配置各个端口地址。
如下图
(图略)
2.3.2设置网关路由
完成IP地址的设定以后,需要做的是设定默认网关和静态路由
1.
进入配置界面,点击RoutingConfiguration->StaticRoute,进入下图所示
在default项选择On,nexthoptype选normal,然后点击apply
2.
在原来的参数下面会出现新一项参数GatewayType,这里选择address,点击APPLY如下图所示:
3.
填上nokia的网关,然后点击apply后点击save,完成默认网关的设置。
如下图所示
这里网关地址填:
?
?
?
?
?
4.
在newstaticroute填上要网段地址,在masklength填上网段掩码,nexthoptype选上normal,gatewaytype选上address,并点击apply,如下图所示
5.
Apply后会出现gatewayaddress参数框,填入下一跳地址,点击apply,完成静态路由的添加。
如下图
6.重复步骤4、5添加更多的静态路由,完成后按save保存
这里需要设置的静态路由有?
?
?
?
?
?
?
2.3.3设置Nokia平台时间1.
进入配置界面后,点击systemconfiguration下的localtimesetup
2.
在secectcity中选择China/HongKong,在manualsetdayandtime分别填上日期和时间,如下图,完成后点击apply,再点击save。
2.3.4设定Nokia高可用VRRP参数a.
设定时间同步
管理服务器与执行点之间必须做到时间同步,才可以成功建立安全连接(SIC),同时,再做VRRP时两个执行点之间的时间也必须做到同步,他们的状态表才能正常及时地交换。
所以,必须为设备设置NTP时间服务。
我们以IP380A作为时间的基准服务,IP380B作为作为客户段,进行参数配置。
1.
在IP380A上点击RouterServices下的NTP,进入NTP配置界面,在EnableNBT上选yes
在NTPReferenceClock下的NTPMaster选yes,Stratum填上3(这项填写范围为1-15),点击APPLY,再点击SAVE,这样IP380A便成为时间服务器。
2.
在IP380B配置页面上点击RouterServices下的NTP,进入NTP配置界面,在NTPGlobalSettings上选yes,点击APPLY,如下图:
在NTPservers下addnewserveraddress上添加IP380A的地址192.168.11.1。
点击APPLY,出现下图
点击save保存配置,时间同步配置完毕。
注意,第一次时间同步时间比较长。
b.
配置VRRP参数
同一设备的某一端口监控另一端口,当发现被监控端口出现问题时(例如,端口断开),按照预先设定的规则,监控端口更改自身的优先级。
属于同一VRRP组的成员共享一个虚拟IP地址,这个地址将作为终端设备的网关或者路由设备的下一跳地址使用。
一般来说,是高优先级的设备在本机故障的情况下降低自身的优先级,使得原来低优先级的设备接管工作,实现服务的高可用性。
本方案采用IP380A作为主防火墙。
配置步骤如下:
1.
选择VRRPmonitoredCircuit模式
在IP380A,IP380B的配置页面上点击RouterService下的VRRP,进入VRRP配置界面,点击LegacyVRRPConfiguration,在需要做VRRP的端口下选择MonitoredCircuit,点击apply如下图,填上virtualrouter的数值。
注意,每个对应的子端口的virturalrouter值应该一样(例如IP380A的eth1c0的virtualrouter和IP380B的eth1c0的virtualrouter值相同),这样才能保证这对端口在同一个vrrp组里面。
VRRP协议主要可以防止网络中断造成的服务中断,提供接口方面的高可用性,因此需要选择VRRPMonitoredCircuit模式,点击APPLY然后在CreateVirtualRouter中填写一个自定义的编号,这个编号用于识别同一网络内的高可用设备成员所属的高可用分组,因此两个防火墙属于同一网段的接口必须使用同一VirtualRouterID。
在本例中,分别使用81,82,83作为三个网段的virtual值,由于同步口并不用参与数据传输,所以同步端口并不用配置vrrp属性。
IP380A
IP380B
2.
配置虚拟IP地址,MAC地址,监控接口,优先级,认证。
IP380A作为主用机使用,因此优先级较高,填写以下参数:
外网:
eth1c0IP?
?
Priority:
254
Hellointerval:
2
BackupAddress:
IP?
?
?
?
(虚拟IP地址)
MonitorInterface:
eth2c0(这里选择的是要监控的端口,即DMZ)
PriorityDelta:
16
点击APPLY,完成设定第一个监控端口
MonitorInterface:
eth3c0(这里选择要监控的端口,即内网)
PriorityDelta:
16
点击APPLY,点击SAVE完成设定第二个监控端口
DMZ:
eth2c0IP?
?
?
?
?
?
Priority:
254
Hellointerval:
2
BackupAddress:
?
?
?
?
?
?
?
(虚拟IP地址)
MonitorInterface:
eth1c0(这里选择的是要监控的网口,即外网口)
PriorityDelta:
16
点击APPLY,完成设定第一个监控端口
MonitorInterface:
eth3c0(这里选择要监控的端口,即内网)
PriorityDelta:
16
点击APPLY,点击SAVE完成设定第二个监控端口
内网:
eth3c0IP?
?
?
?
Priority:
254
Hellointerval:
2
BackupAddress:
IP?
?
?
?
?
(虚拟IP地址)
MonitorInterface:
eth1c0(这里选择的是要监控的网口,即外网口)
PriorityDelta:
16
点击APPLY,完成设定第一个监控端口
MonitorInterface:
eth2c0(这里选择的是要监控的端口,即DMZ)
PriorityDelta:
16
点击APPLY,点击SAV
升级会员 