CheckPoint 山东.docx

CheckPoint 山东.docx

《CheckPoint 山东.docx》由会员分享，可在线阅读，更多相关《CheckPoint 山东.docx（29页珍藏版）》请在冰豆网上搜索。

CheckPoint山东

FireWall-1安装和测试

安装前的准备

网络环境准备

为了能使防火顺利的安装配置，在网关上安装前必须确定一些问题（比如：

当前的路由配置，DNS设置等）。

1.路由

请按下面的步骤来确认当前的路由配置情况：

a）从要内部网络（可信任网络）的一个主机经由网关向外部网络（不信任网络）的路由

器发送一个ICMP包（使用ping命令）；

b）从要内部网络（可信任网络）的一个主机经由网关向向Internet网络发送一个TELNET

命令，确认能到达Internet主机；

c）从Internet主机向内部网络的主机发送TELNET命令。

如果任何一个测试没有成功，请查明原因再进行下一步。

2.IP转发

对于NT，打开“AdvancedTCP/IPConfiguration”中的“IPEnableRouting”选项。

3.DNS

确认您的DNS能正常工作，最简单的方法是让您的内部一台机器用浏览器浏览Internet上的某个著名的站点。

如果不能正常连接，这说明DNS服务是无效的，请在解决这个问题后继续下一步的操作。

4.IP地址

确认网关上所有网卡的IP地址的定义情况，当您配置防火墙的安全策略是您需要这些信息，如果您安装的是单网关产品你还需要知道外网卡（与Internet相连接的网卡）的名称。

NT上用ipconfig/all查看IP地址的有关信息。

注意：

在NT上用“-”来隔离MAC地址的字段。

5.网关

确认网关的外网卡对应的网关IP地址，可在lmhosts里查找。

这可以使在网关上定义一个网络对象时，在“WorkstationProperties”中单击“GetAddress”时得到它的IP地址。

如果没有正确配置，ISAKMP/OAKLEY加密功能将不能正常工作。

6.连通性

确认所有要安装防火墙模块的主机（包括GUI客户端）都是连通的，可以通过主机之间互相发出的ping命令来确认所有的主机是连通的。

如果在安装防火墙时不做这些工作，那么在安装了防火墙后一旦出现连通性方面的问题你将不能确定问题的根源在那里。

你可以节省很多时间去调试FireWall-1，就仅仅为了发现连通性的问题。

7.License

产品的包装盒里有临时的key,请到网上申请License.

注意：

如果你以前已经安装了防火墙请停止它们（包括图形控制界面）。

配置需求

FireWall-1GUIClient最小安装的硬件配置需求

操作系统

Windows95或WindowsNT

硬盘空间

20兆

内存

16兆

网卡

该操作系统支持的所有网卡

FireWall-1Managementserver最小安装的硬件配置需求

硬件平台

SunSPACE-basedsystem

Intelx86orPentium

HPPA-RISC700/800

RS6000PowerPC

操作系统

WindowsNT（Intelonly）

Solair2。

5或更高版本

HP-UX10。

x

IBMAIX4。

2。

1和4。

3。

0

硬盘空间

20兆

内存

管理模块最少需要32兆，建议使用40M

网卡

该操作系统支持的所有网卡

FireWall-1防火墙模块最小安装的硬件配置需求

硬件平台

SunSPACE-basedsystem

Intelx86orPentium

HPPA-RISC700/800

RS6000PowerPC

操作系统

WindowsNT（Intelonly）

Solair2。

5或更高版本

HP-UX10。

x

IBMAIX4。

2。

1和4。

3。

0

硬盘空间

20兆

内存

16兆

网卡

该操作系统支持的所有网卡

一步一步的安装

在WindowsNT下从CD-ROM安装FireWall-1软件模块，请按以下步骤进行：

首先：

将CHECKPOINT安装介质盘放入光区中，自动运行执行安装程序

第一步：

点NEXT执行下一步。

第二步：

点YES执行下一步。

第三步：

在窗口中选择“SERVER/GATEWAYCOMPONENTS”（如图4-1）。

图4-1

第四步:

选择VPN-1TM/FireWall-1TM（如图4-2）

图4-2

第五步:

选择STANDALONGINSTALLATION，如图4-3

图4-3

第六步:

选择VPN-1/FireWall-1GatewayModule–Limitedhost（25-250）如图4-4

图4-4

第七步:

如图4-5，选择Installwithoutbackwardcompaltibility

图4-5

第八步:

如图4-6，点NEXT执行下一步

图4-6

第九步:

如图4-7点NEXT执行下一步

图4-7

第十步:

如图4-8点NEXT执行下一步

图4-8

第十一步:

如图4-9，添加License，点击Add

图4-9

第十一步:

如图4-10

图4-10

第十二步:

如图4-11，添加管理员帐号．

图4-11

第十三步:

如图4-12

图4-12

　　Administrator用户管理员

　　Password用户管理员口令

　　Confrim重复输入用户管理员口令

第十四步:

如图4-13，添加外网卡IP地址

图4-13

第十五步:

如图4-14，指定GUI远程管理主机IP地址

图4-14

第十六步:

如图4-15

图4-15

第十七步:

如图4-16选择ControlIPForwarding

如图4-16

第十八步:

如图4-17，随机输入一串字符直到出现Thankyou!

图4-17

CheckPointFireWall-1安全协议设置

定义网络目标

第一步:

启动CheckPointFireWall-1管理控制台GUI

UserName，Password为防火墙服务器端安装时设置的管理员用户和密码。

Management为防火墙网卡的IP地址。

第二步:

定义网络目标

1.打开网络对象窗口

从MANAGE菜单中选择NetworkObject。

屏幕上显示下面的菜单

2.建立一个新的网络目标

选择NEWWORKSTATION，显示下面的菜单

字段

解释

Name

这个网络对象的名称

IPaddress

网络对象IP地址

Comment

解释网络对象的含义

Location

是否为内部的网络对象

Type

ModulesInstalled

网络对象安装的模块

ManagementStation

管理站点

定义Workstation网络对象分两种情况

1。

定义Firewall网络对象

2。

定义普通网络对象，例如WWW，FTP，EMAIL服务器等

定义普通网络对象比较简单，只需输入网络对象的名称和网络对象IP地址即可。

字段

解释

Name

这个网络对象的名称

IPaddress

网络对象IP地址

如下图

定义Firewall网络对象如下图

字段

值

解释

Name

FireWall

这个网络对象的名称

IPaddress

防火墙的IP地址（外网卡）

网络对象IP地址

Comment

解释网络对象的含义

Location

Internal

是否为内部的网络对象

Type

Gatewag

防火墙的类型为网关

ModulesInstalled

VPN-1&FireWall

安装了VPN-1&FireWall模块

ManagementStation

选中

管理站点

在Interfaces表中添加网卡，如下图

点击Add，在网卡属性表中添加网卡名字，IP地址和掩码

设置网卡安全属性，防止IP地址欺骗，外网卡Others，内网卡Thisnet

定义基本规则

添加规则EditAddRuleBottom

添加网络对象

在规则条相应的单元格点击鼠标右健，点击Add添加已定义好的网络对象

添加网络服务，在规则条和Server相对应的单元格点击鼠标右健，点击Add添加已定义好的网络服务，防火墙已经定义好了一些常用的网络服务，用户可以直接使用，对于有特殊需要的用户可以自己定义。

自定义网络服务点击工具条Manage->Servers出现下面的窗口

点击New->TCP

Name:

自己定义（字母开头）

Port:

端口号

其他可不写

添加Action属性，在规则条和Action相对应的单元格点击鼠标右健，点击Add添加已定义好的网络服务，Action常用属性有两个accept，drop

accept允许数据包通过

drop丢弃数据包

以下是对于上图的解释

Ruleno。

解释

1

阻止任何人访问防火墙

2

允许任何人以HTTP方式访问WWW_Server

3

允许IIS_JN访问IIS_Local

4

拒绝除以上的内容外的一切通信联系

定义好安全协议后需要安装到防火墙上才能使安全协议生效如下图点击工具条PolicyInstall

FireWall-1在SunSolaris服务器上安装步骤

一步一步安装

粗体为手工输入

#cd/cdrom/cdrom0/solaris2

#pkgadd–d。

下列软件包是可以使用的:

1CKPfwCheckPointFireWall-14。

0forbackwardcompatibility（sparc）4。

0

2CPamc-11CheckPointAccountManagementClientversion1。

1（sparc）1。

1

3CPcvpm-41CheckPointCVPManager（sparc）4。

1

4CPdhcp-41CheckPointMetaIP4。

1DHCPService（sparc）4。

1。

4855

5CPdns-41CheckPointMetaIP4。

1DNSServiceVersion8。

2（sparc）4。

1。

4855

6CPdtm-41CheckPointPolicyServer（sparc）4。

1

7CPfw1-41CheckPointFireWall-1（sparc）4。

1

8CPgui-41CheckPointFireWall-1GUI（sparc）4。

1

9CPsmc-41CheckPointMetaIP4。

1SMC（sparc）4。

1。

4855

10CPtc-41CheckPointTrafficControl（sparc）4。

1

。

。

。

1moremenuchoicestofollow;

formorechoices，tostopdisplay:

^D

11CPutilCheckPointbasicservices（sparc）4。

1

选择你要执行的软件包（或选择'全部'执行所有的软件包）。

（default:

all）[?

，?

?

，q]:

7

处理软件包范例来自

CheckPointFireWall-1（sparc）4。

1

Copyright1994-1999CheckPointSoftwareTechnologiesLtd。

所选择的基本目录必须存在于开始安装之前

您要现在就创建这个目录吗？

[y，n，?

，q]y

Usingasthepackagebasedirectory。

##正在处理软件包信息。

##正在处理系统信息。

##检查磁盘空间需求

##检查同已经安装的软件包之间的冲突。

##检查setuid/setgid程序。

在这个软件包中包含了正文程序，只有具有超级-用户的权限才能在这个软件包

要继续安装吗?

y

安装CheckPointFireWall-1成为

##执行预安装正文

##正在安装1部分-1。

/var/opt/CPfw1-41/conf/ahclientd/ahclientd1。

html

/var/opt/CPfw1-41/conf/ahclientd/ahclientd4。

html

。

。

。

/var/opt/CPfw1-41/conf/smtp。

conf

/var/opt/CPfw1-41/conf/ver。

txt

/var/opt/CPfw1-41/conf/xlate。

conf

[确认类别]

/opt/CPfw1-41/LICENSE。

TXT

/opt/CPfw1-41/bin/alertf

/opt/CPfw1-41/bin/ela_proxy

。

。

。

/opt/CPfw1-41/well/fwell

/opt/CPfw1-41/well/wellfleet。

C

/opt/CPfw1-41/well/wellfleet。

mib

[确认类别]

##执行预安装正文

Done。

*******************************************************************************

Pleaseruncpconfigtoconfigurethefirewall。

PleasesettheFWDIRto/opt/CPfw1-41

DON'TFORGETTO:

1。

addtheline:

setenvFWDIR/opt/CPfw1-41to。

cshrc

orFWDIR=/opt/CPfw1-41;exportFWDIRto。

profile

2。

add$FWDIR/bintopath

Important:

Pleaseruncpconfigtoinstallthelicenseandto

configureFireWall-1。

Ifyouwishtoenablebackwardcompatibility，youmustinstallthebackwardcompatibilityfeature，whichwillallowyoutomanageVPN-1&FireWall-1Modulesofversions3。

0and4。

0

fromthismachine（provideditisconfiguredandlicensedasaremotemanagementstation）。

Thebackwardcompatibilityfeatureisaseparateinstallationpackagenamed'CKPfw'。

*******************************************************************************

安装成功

下列软件包是可以使用的:

1CKPfwCheckPointFireWall-14。

0forbackwardcompatibility（sparc）4。

0

2CPamc-11CheckPointAccountManagementClientversion1。

1（sparc）1。

1

3CPcvpm-41CheckPointCVPManager（sparc）4。

1

4CPdhcp-41CheckPointMetaIP4。

1DHCPService（sparc）4。

1。

4855

5CPdns-41CheckPointMetaIP4。

1DNSServiceVersion8。

2（sparc）4。

1。

4855

6CPdtm-41CheckPointPolicyServer（sparc）4。

1

7CPfw1-41CheckPointFireWall-1（sparc）4。

1

8CPgui-41CheckPointFireWall-1GUI（sparc）4。

1

9CPsmc-41CheckPointMetaIP4。

1SMC（sparc）4。

1。

4855

10CPtc-41CheckPointTrafficControl（sparc）4。

1

。

。

。

1moremenuchoicestofollow;

formorechoices，tostopdisplay:

^D

选择你要执行的软件包（或选择'全部'执行所有的软件包）。

（default:

all）[?

，?

?

，q]:

q

#

#reboot

#cpconfig

Doyouacceptallthetermsofthislicenseagreement（y/n）?

y

Checkingavailableoptions。

Pleasewait。

。

。

。

。

。

。

。

。

ChoosingInstallation

------------------------

（1）VPN-1&FireWall-1StandAloneInstallation

（2）VPN-1&FireWall-1DistributedInstallation

Option

（1）willinstallVPN-1&FireWall-1InternetGateWay（ManagementServerandEnforcementModule）onasinglemachine。

Option

（2）willallowyoutoinstallspecificcomponentsoftheVPN-1&FireWall-1EnterpriseProductsondifferentmachines。

Enteryourselection（1-2/a）:

1

InstallingVPN-1&FireWall-1StandAloneInstallation。

WhichModulewouldyouliketoinstall?

-------------------------------------------

（1）VPN-1&FireWall-1-Limitedhosts（25，50，100or250）

（2）VPN-1&FireWall-1-Unlimitedhosts

（3）VPN-1&FireWall-1-SecureServer

Enteryourselection（1-3/a）[2]:

1

****************VPN-1&FireWall-1kernelmoduleinstallation****************

installingVPN-1&FireWall-1kernelmodule。

。

。

Done。

****************InterfaceConfiguration****************

Scanningforunknowninterfaces。

。

。

DoyouwishtostartVPN-1&FireWall-1automaticallyfrom/etc/rc3。

d（y/n）[y]?

y

VPN-1&FireWall-1startupcodeinstalledin/etc/rc3。

d

ConfiguringLicenses。

。

。

‘添加Licenses

=======================

Thefollowinglicensesareinstalledonthishost:

Doyouwanttoaddlicenses（y/n）[n]?

y

Host:

61。

156。

37。

220‘外网卡的IP地址（网管网段）

Date:

14Dec2000

String:

aQ2uGpz3p-JkvqU7SEe-xNHWPLwLi-URt3ZdLio

Features:

cpsuite-eval-des-v41cprs:

4。

1:

rs5cpsuite-eval-des-v41cprs:

4。

1:

rs5CK-BEE23E8FC59F

ThisisVPN-1（TM）&FireWall-1Version4。

1（14Nov200016:

56:

47）

HostExpirationFeatures

61。

156。

37。

22014Dec2000cpsuite-eval-des-v41cprs:

4。

1:

rs5cpsuite-eval-des-v41cprs:

4。

1:

rs5CK-BEE23E8FC59F

ConfiguringAdministrators。

。

。

‘添加管理员

=============================

NoVPN-1&FireWall-1AdministratorsarecurrentlydefinedforthisManagementStation。

Doyouwanttoaddusers（y/n）[y]?

y

User:

admin‘用户名

PermissionsfortheEnterpriseproduct（read/[W]rite，[N]one，[C]ustomise）:

w

Password:

‘W有读写功能是超级用户能修改安全规则

VerifyPassword:

Useradminaddedsuccessfully

Addanotherone（y/n）[n]?

n

ConfiguringGUIclients。

。

。

‘指定管理防火墙的控制台机器

==========================

GUIclientsaretrustedhostsfromwhich

Administr