CheckPoint 山东.docx
《CheckPoint 山东.docx》由会员分享,可在线阅读,更多相关《CheckPoint 山东.docx(29页珍藏版)》请在冰豆网上搜索。
CheckPoint山东
FireWall-1安装和测试
安装前的准备
网络环境准备
为了能使防火顺利的安装配置,在网关上安装前必须确定一些问题(比如:
当前的路由配置,DNS设置等)。
1.路由
请按下面的步骤来确认当前的路由配置情况:
a)从要内部网络(可信任网络)的一个主机经由网关向外部网络(不信任网络)的路由
器发送一个ICMP包(使用ping命令);
b)从要内部网络(可信任网络)的一个主机经由网关向向Internet网络发送一个TELNET
命令,确认能到达Internet主机;
c)从Internet主机向内部网络的主机发送TELNET命令。
如果任何一个测试没有成功,请查明原因再进行下一步。
2.IP转发
对于NT,打开“AdvancedTCP/IPConfiguration”中的“IPEnableRouting”选项。
3.DNS
确认您的DNS能正常工作,最简单的方法是让您的内部一台机器用浏览器浏览Internet上的某个著名的站点。
如果不能正常连接,这说明DNS服务是无效的,请在解决这个问题后继续下一步的操作。
4.IP地址
确认网关上所有网卡的IP地址的定义情况,当您配置防火墙的安全策略是您需要这些信息,如果您安装的是单网关产品你还需要知道外网卡(与Internet相连接的网卡)的名称。
NT上用ipconfig/all查看IP地址的有关信息。
注意:
在NT上用“-”来隔离MAC地址的字段。
5.网关
确认网关的外网卡对应的网关IP地址,可在lmhosts里查找。
这可以使在网关上定义一个网络对象时,在“WorkstationProperties”中单击“GetAddress”时得到它的IP地址。
如果没有正确配置,ISAKMP/OAKLEY加密功能将不能正常工作。
6.连通性
确认所有要安装防火墙模块的主机(包括GUI客户端)都是连通的,可以通过主机之间互相发出的ping命令来确认所有的主机是连通的。
如果在安装防火墙时不做这些工作,那么在安装了防火墙后一旦出现连通性方面的问题你将不能确定问题的根源在那里。
你可以节省很多时间去调试FireWall-1,就仅仅为了发现连通性的问题。
7.License
产品的包装盒里有临时的key,请到网上申请License.
注意:
如果你以前已经安装了防火墙请停止它们(包括图形控制界面)。
配置需求
FireWall-1GUIClient最小安装的硬件配置需求
操作系统
Windows95或WindowsNT
硬盘空间
20兆
内存
16兆
网卡
该操作系统支持的所有网卡
FireWall-1Managementserver最小安装的硬件配置需求
硬件平台
SunSPACE-basedsystem
Intelx86orPentium
HPPA-RISC700/800
RS6000PowerPC
操作系统
WindowsNT(Intelonly)
Solair2。
5或更高版本
HP-UX10。
x
IBMAIX4。
2。
1和4。
3。
0
硬盘空间
20兆
内存
管理模块最少需要32兆,建议使用40M
网卡
该操作系统支持的所有网卡
FireWall-1防火墙模块最小安装的硬件配置需求
硬件平台
SunSPACE-basedsystem
Intelx86orPentium
HPPA-RISC700/800
RS6000PowerPC
操作系统
WindowsNT(Intelonly)
Solair2。
5或更高版本
HP-UX10。
x
IBMAIX4。
2。
1和4。
3。
0
硬盘空间
20兆
内存
16兆
网卡
该操作系统支持的所有网卡
一步一步的安装
在WindowsNT下从CD-ROM安装FireWall-1软件模块,请按以下步骤进行:
首先:
将CHECKPOINT安装介质盘放入光区中,自动运行执行安装程序
第一步:
点NEXT执行下一步。
第二步:
点YES执行下一步。
第三步:
在窗口中选择“SERVER/GATEWAYCOMPONENTS”(如图4-1)。
图4-1
第四步:
选择VPN-1TM/FireWall-1TM(如图4-2)
图4-2
第五步:
选择STANDALONGINSTALLATION,如图4-3
图4-3
第六步:
选择VPN-1/FireWall-1GatewayModule–Limitedhost(25-250)如图4-4
图4-4
第七步:
如图4-5,选择Installwithoutbackwardcompaltibility
图4-5
第八步:
如图4-6,点NEXT执行下一步
图4-6
第九步:
如图4-7点NEXT执行下一步
图4-7
第十步:
如图4-8点NEXT执行下一步
图4-8
第十一步:
如图4-9,添加License,点击Add
图4-9
第十一步:
如图4-10
图4-10
第十二步:
如图4-11,添加管理员帐号.
图4-11
第十三步:
如图4-12
图4-12
Administrator用户管理员
Password用户管理员口令
Confrim重复输入用户管理员口令
第十四步:
如图4-13,添加外网卡IP地址
图4-13
第十五步:
如图4-14,指定GUI远程管理主机IP地址
图4-14
第十六步:
如图4-15
图4-15
第十七步:
如图4-16选择ControlIPForwarding
如图4-16
第十八步:
如图4-17,随机输入一串字符直到出现Thankyou!
图4-17
CheckPointFireWall-1安全协议设置
定义网络目标
第一步:
启动CheckPointFireWall-1管理控制台GUI
UserName,Password为防火墙服务器端安装时设置的管理员用户和密码。
Management为防火墙网卡的IP地址。
第二步:
定义网络目标
1.打开网络对象窗口
从MANAGE菜单中选择NetworkObject。
屏幕上显示下面的菜单
2.建立一个新的网络目标
选择NEWWORKSTATION,显示下面的菜单
字段
解释
Name
这个网络对象的名称
IPaddress
网络对象IP地址
Comment
解释网络对象的含义
Location
是否为内部的网络对象
Type
ModulesInstalled
网络对象安装的模块
ManagementStation
管理站点
定义Workstation网络对象分两种情况
1。
定义Firewall网络对象
2。
定义普通网络对象,例如WWW,FTP,EMAIL服务器等
定义普通网络对象比较简单,只需输入网络对象的名称和网络对象IP地址即可。
字段
解释
Name
这个网络对象的名称
IPaddress
网络对象IP地址
如下图
定义Firewall网络对象如下图
字段
值
解释
Name
FireWall
这个网络对象的名称
IPaddress
防火墙的IP地址(外网卡)
网络对象IP地址
Comment
解释网络对象的含义
Location
Internal
是否为内部的网络对象
Type
Gatewag
防火墙的类型为网关
ModulesInstalled
VPN-1&FireWall
安装了VPN-1&FireWall模块
ManagementStation
选中
管理站点
在Interfaces表中添加网卡,如下图
点击Add,在网卡属性表中添加网卡名字,IP地址和掩码
设置网卡安全属性,防止IP地址欺骗,外网卡Others,内网卡Thisnet
定义基本规则
添加规则EditAddRuleBottom
添加网络对象
在规则条相应的单元格点击鼠标右健,点击Add添加已定义好的网络对象
添加网络服务,在规则条和Server相对应的单元格点击鼠标右健,点击Add添加已定义好的网络服务,防火墙已经定义好了一些常用的网络服务,用户可以直接使用,对于有特殊需要的用户可以自己定义。
自定义网络服务点击工具条Manage->Servers出现下面的窗口
点击New->TCP
Name:
自己定义(字母开头)
Port:
端口号
其他可不写
添加Action属性,在规则条和Action相对应的单元格点击鼠标右健,点击Add添加已定义好的网络服务,Action常用属性有两个accept,drop
accept允许数据包通过
drop丢弃数据包
以下是对于上图的解释
Ruleno。
解释
1
阻止任何人访问防火墙
2
允许任何人以HTTP方式访问WWW_Server
3
允许IIS_JN访问IIS_Local
4
拒绝除以上的内容外的一切通信联系
定义好安全协议后需要安装到防火墙上才能使安全协议生效如下图点击工具条PolicyInstall
FireWall-1在SunSolaris服务器上安装步骤
一步一步安装
粗体为手工输入
#cd/cdrom/cdrom0/solaris2
#pkgadd–d。
下列软件包是可以使用的:
1CKPfwCheckPointFireWall-14。
0forbackwardcompatibility(sparc)4。
0
2CPamc-11CheckPointAccountManagementClientversion1。
1(sparc)1。
1
3CPcvpm-41CheckPointCVPManager(sparc)4。
1
4CPdhcp-41CheckPointMetaIP4。
1DHCPService(sparc)4。
1。
4855
5CPdns-41CheckPointMetaIP4。
1DNSServiceVersion8。
2(sparc)4。
1。
4855
6CPdtm-41CheckPointPolicyServer(sparc)4。
1
7CPfw1-41CheckPointFireWall-1(sparc)4。
1
8CPgui-41CheckPointFireWall-1GUI(sparc)4。
1
9CPsmc-41CheckPointMetaIP4。
1SMC(sparc)4。
1。
4855
10CPtc-41CheckPointTrafficControl(sparc)4。
1
。
。
。
1moremenuchoicestofollow;
formorechoices,tostopdisplay:
^D
11CPutilCheckPointbasicservices(sparc)4。
1
选择你要执行的软件包(或选择'全部'执行所有的软件包)。
(default:
all)[?
,?
?
,q]:
7
处理软件包范例来自
CheckPointFireWall-1(sparc)4。
1
Copyright1994-1999CheckPointSoftwareTechnologiesLtd。
所选择的基本目录必须存在于开始安装之前
您要现在就创建这个目录吗?
[y,n,?
,q]y
Usingasthepackagebasedirectory。
##正在处理软件包信息。
##正在处理系统信息。
##检查磁盘空间需求
##检查同已经安装的软件包之间的冲突。
##检查setuid/setgid程序。
在这个软件包中包含了正文程序,只有具有超级-用户的权限才能在这个软件包
要继续安装吗?
y
安装CheckPointFireWall-1成为
##执行预安装正文
##正在安装1部分-1。
/var/opt/CPfw1-41/conf/ahclientd/ahclientd1。
html
/var/opt/CPfw1-41/conf/ahclientd/ahclientd4。
html
。
。
。
/var/opt/CPfw1-41/conf/smtp。
conf
/var/opt/CPfw1-41/conf/ver。
txt
/var/opt/CPfw1-41/conf/xlate。
conf
[确认类别]
/opt/CPfw1-41/LICENSE。
TXT
/opt/CPfw1-41/bin/alertf
/opt/CPfw1-41/bin/ela_proxy
。
。
。
/opt/CPfw1-41/well/fwell
/opt/CPfw1-41/well/wellfleet。
C
/opt/CPfw1-41/well/wellfleet。
mib
[确认类别]
##执行预安装正文
Done。
*******************************************************************************
Pleaseruncpconfigtoconfigurethefirewall。
PleasesettheFWDIRto/opt/CPfw1-41
DON'TFORGETTO:
1。
addtheline:
setenvFWDIR/opt/CPfw1-41to。
cshrc
orFWDIR=/opt/CPfw1-41;exportFWDIRto。
profile
2。
add$FWDIR/bintopath
Important:
Pleaseruncpconfigtoinstallthelicenseandto
configureFireWall-1。
Ifyouwishtoenablebackwardcompatibility,youmustinstallthebackwardcompatibilityfeature,whichwillallowyoutomanageVPN-1&FireWall-1Modulesofversions3。
0and4。
0
fromthismachine(provideditisconfiguredandlicensedasaremotemanagementstation)。
Thebackwardcompatibilityfeatureisaseparateinstallationpackagenamed'CKPfw'。
*******************************************************************************
安装成功
下列软件包是可以使用的:
1CKPfwCheckPointFireWall-14。
0forbackwardcompatibility(sparc)4。
0
2CPamc-11CheckPointAccountManagementClientversion1。
1(sparc)1。
1
3CPcvpm-41CheckPointCVPManager(sparc)4。
1
4CPdhcp-41CheckPointMetaIP4。
1DHCPService(sparc)4。
1。
4855
5CPdns-41CheckPointMetaIP4。
1DNSServiceVersion8。
2(sparc)4。
1。
4855
6CPdtm-41CheckPointPolicyServer(sparc)4。
1
7CPfw1-41CheckPointFireWall-1(sparc)4。
1
8CPgui-41CheckPointFireWall-1GUI(sparc)4。
1
9CPsmc-41CheckPointMetaIP4。
1SMC(sparc)4。
1。
4855
10CPtc-41CheckPointTrafficControl(sparc)4。
1
。
。
。
1moremenuchoicestofollow;
formorechoices,tostopdisplay:
^D
选择你要执行的软件包(或选择'全部'执行所有的软件包)。
(default:
all)[?
,?
?
,q]:
q
#
#reboot
#cpconfig
Doyouacceptallthetermsofthislicenseagreement(y/n)?
y
Checkingavailableoptions。
Pleasewait。
。
。
。
。
。
。
。
。
ChoosingInstallation
------------------------
(1)VPN-1&FireWall-1StandAloneInstallation
(2)VPN-1&FireWall-1DistributedInstallation
Option
(1)willinstallVPN-1&FireWall-1InternetGateWay(ManagementServerandEnforcementModule)onasinglemachine。
Option
(2)willallowyoutoinstallspecificcomponentsoftheVPN-1&FireWall-1EnterpriseProductsondifferentmachines。
Enteryourselection(1-2/a):
1
InstallingVPN-1&FireWall-1StandAloneInstallation。
WhichModulewouldyouliketoinstall?
-------------------------------------------
(1)VPN-1&FireWall-1-Limitedhosts(25,50,100or250)
(2)VPN-1&FireWall-1-Unlimitedhosts
(3)VPN-1&FireWall-1-SecureServer
Enteryourselection(1-3/a)[2]:
1
****************VPN-1&FireWall-1kernelmoduleinstallation****************
installingVPN-1&FireWall-1kernelmodule。
。
。
Done。
****************InterfaceConfiguration****************
Scanningforunknowninterfaces。
。
。
DoyouwishtostartVPN-1&FireWall-1automaticallyfrom/etc/rc3。
d(y/n)[y]?
y
VPN-1&FireWall-1startupcodeinstalledin/etc/rc3。
d
ConfiguringLicenses。
。
。
‘添加Licenses
=======================
Thefollowinglicensesareinstalledonthishost:
Doyouwanttoaddlicenses(y/n)[n]?
y
Host:
61。
156。
37。
220‘外网卡的IP地址(网管网段)
Date:
14Dec2000
String:
aQ2uGpz3p-JkvqU7SEe-xNHWPLwLi-URt3ZdLio
Features:
cpsuite-eval-des-v41cprs:
4。
1:
rs5cpsuite-eval-des-v41cprs:
4。
1:
rs5CK-BEE23E8FC59F
ThisisVPN-1(TM)&FireWall-1Version4。
1(14Nov200016:
56:
47)
HostExpirationFeatures
61。
156。
37。
22014Dec2000cpsuite-eval-des-v41cprs:
4。
1:
rs5cpsuite-eval-des-v41cprs:
4。
1:
rs5CK-BEE23E8FC59F
ConfiguringAdministrators。
。
。
‘添加管理员
=============================
NoVPN-1&FireWall-1AdministratorsarecurrentlydefinedforthisManagementStation。
Doyouwanttoaddusers(y/n)[y]?
y
User:
admin‘用户名
PermissionsfortheEnterpriseproduct(read/[W]rite,[N]one,[C]ustomise):
w
Password:
‘W有读写功能是超级用户能修改安全规则
VerifyPassword:
Useradminaddedsuccessfully
Addanotherone(y/n)[n]?
n
ConfiguringGUIclients。
。
。
‘指定管理防火墙的控制台机器
==========================
GUIclientsaretrustedhostsfromwhich
Administr