Check Point 用户手册.docx

1、Check Point 用户手册Check PointUTM-1用户手册第一章 使用向导 3一、 从配置UTM开始 31、登陆UTM 32、配置网卡 43、配置路由 54、配置主机名 65、调整时间 7二、步骤1配置之前一些有用的术语 7三、步骤2安装和配置 8四、步骤3第一次登录到SmartCenter服务器 9五、步骤4在安全策略定义之前 11六、步骤5为安全策略定义规则 16七、步骤6来源和目的 17第二章 策略管理 17一、有效的策略管理工具需要 18二、CheckPoint管理策略的解决方案 181、策略管理概况 182、策略集 193、规则分节标题 214、查询和排列规则以及对象

2、21三、策略管理需要注意的问题 22四、策略管理配置 22第三章 SmartView Tracker 25一、跟踪的需求 25二、CheckPoint对跟踪的解决方案 261、跟踪概况 262、SmartView Tracker 273、过滤 284、查询 295、通过日志切换维护日志文件 296通过循环日志来管理日志空间 297、日志导出功能 308、本地日志 309、使用日志服务器记录日志 3010、高级跟踪操作 30三、跟踪需要考虑的问题 31四、跟踪配置 321、基本跟踪配置 322、SmartView的查看选项 323、配置过滤器 334、配置查询 335、维护 346、本地日志 3

3、57、使用日志服务器 358、自定义命令 369、阻断入侵 3710、配置报警命令 37第一章 使用向导一、 从配置UTM开始1、登陆UTM2、配置网卡3、配置路由4、配置主机名5、调整时间二、步骤1配置之前一些有用的术语 这里介绍一些有助于理解本章内容的相关信息。 Security Policy（安全策略）是由系统管理员创建的，用来管理进和出的网络通信连接。 Enforcement module（执行点模块）是可以执行网络安全策略的FireWall的系统引擎。 SmartCenter Server（SmartCenter服务器）是系统管理员用来管理安全策略的服务器。所有的数据库和策略信息都存

4、储在SmartCenter服务器上，并且在需要的时候下载到执行点模块中。 SmartConsole Client（控制台）是一系列的GUI应用程序，能够管理安全策略的不同方面。例如，SmartView Tracker就是一个管理日志的SmartConsole。 SmartDashboard是系统管理员用来创建和管理安全策略的SmartConsole。独立的部署方式示例 独立的部署方式是一种简单的部署方式，所有安全策略的管理端和执行端的相关组件（分别指SmartCenter服务器和执行点模块）都安装在同一台计算机上。 图3-1 独立的部署方式 组件包括： Enforcement Module一般

5、都安装在通向互联网的网关上；在网络中的位置是保护本地局域网。 SmartCenter Server。 SmartDashboard。在独立部署方式中执行点模块和SmartCenter服务器都必须安装在同一台计算机中。SmartDashboard以及其他的SmartConsole客户端可以安装在任何一台没有操作系统限制的计算机上。可以参考最新版本的Release Note获得更多信息。三、步骤2安装和配置 安装之前的介绍 安装SmartCenter和执行点模块的机器需要安装有TCP/IP协议。这意味着这些机器必须有：至少两块网卡。一块是“外部网”或者是连接互联网的，另外一块是“内部网”或者是面向

6、局域网的。每块网卡都有自己的IP地址。SmartCenter服务器必须能够查询DNS服务器来解析机器的IP地址。四、步骤3第一次登录到SmartCenter服务器登录过程 图3-8 登陆窗口 管理员通过SmartDashboard连接到SmartCenter服务器，这个过程对其他所有的SmartConsole客户端是一样的。在这个过程中，管理员和SmartCenter服务器都需要被认证，然后在他们之间建立一个安全的通讯通道。在成功完成认证以后，选定的SmartConsole将进行连接。 在第一次登录之后，管理员可以创建一个用于登录过程的证书。使用证书的登录认证比使用用户名和口令的登录认证具有更

7、好的安全性。这个证书将在以后的阶段中创建，具体可以参考SmartCenter的用户手册。 认证管理员以及SmartCenter服务器在SmartCenter 服务器安装时，在配置工具的Administrator页面中定义使用User Name和Password进行登录。在提供认证信息以后，指定目标SmartCenter服务器的IP地址或主机名，然后点击OK。手工使用在配置过程中配置工具的指纹信息与SmartCenter的指纹信息进行核对，以验证SmartCenter服务器。这个步骤只在第一次登录的时候出现，当SmartCenter服务器验证成功以后，指纹信息会保存在SmartConsole机器

8、的注册表中。 演示模式在登录SmartCenter时，系统管理员可以在Login窗口选择Demo模式。这是一个没有连接到SmartCenter服务器的模式。在创建真实的安全系统之前，可以用这个模式来熟悉不同的对象和功能特性。它包含有许多预先配置好的网络对象的示例。 第一次使用SmartDashboard 图3-9 SmartDashboard界面 选择Start Programs Check Point SmartConsole(R65) SmartDashboard来连接SmartDashboard，然后进行正确的登录。 一旦系统管理员登录成功，将显示SmartDashboard。Smart

9、Dashboard的GUI包括以下的组件： Security Rule这里系统管理可以创建和管理安全策略。 Object Tree根据分类列出系统中的所有对象（网络对象、服务、资源等）。第一次登录时缺省包含SmartCenter服务器对象。 Object List显示所有在对象树中选定的对象的详细信息。 SmartMap使用图形化的形式显示系统中相关的对象。这个视图有一些缺省的对象，例如，SmartCenter服务器对象，还有关联互联网的对象。大部分管理操作（例如添加、编辑或删除）在菜单栏和工具栏等位置执行，或者右键点击选定的对象执行。五、步骤4在安全策略定义之前 为了完成安全策略，系统管理首

10、先需要检查网络内部所有的特定需求，以及所有的安全和网络访问的需要。本章将定义一个简单的安全策略，运行所有从LAN发起的连接，并且只有Email连接能够进入LAN。 在定义安全策略之前，关联系统中不同组件的各种特定对象（例如网关、网络和服务器）必须先定义好。然后，这些对象应用在规则中组成安全策略。 定义对象 对象是规则的组成部分。对象关联到实际的计算机和网络组件，以及逻辑的组件（例如动态对象）。 为了设定本章中定义的简单安全策略，需要定义以下的对象：一个关联LAN的Network对象。一个关联Mail服务器的Host对象。缺省的SmartCenter服务器对象。缺省的SmartCenter服务器

11、必须做修改，以便正确地关联SmartCenter服务器和执行点模块，因为是独立部署。注意：手册中独立部署的示例对象可以在Demo模式查看。 1）创建关联LAN的网络对象 处理过程如下： 在对象树（Object Tree）中，创建一个新的网络。 图3-10 在对象树中创建一个新的网络对象 网络对象包含有两个选项卡： 在General选项卡中，为网络对象提供名称，名称必须能够明确说明对象的关联。在本章的规则指定中，这个网络对象命名为Alaska_RND_LAN。然后填写相应的IP地址和掩码。Alaska_RND_LAN这个对象的详细信息如下： IP Address10.111.254.0 Net

12、Mask255.255.255.0图3-11 网络属性窗口 在NAT选项卡中配置网络地址转换的设定。对于示例部署中的简单策略定义，不需要进行网络地址转换。2）创建一个关联网络Mail服务器的Node对象必须创建一个关联网络内部Mail服务器的对象。这个对象会使用在简单的规则表中。处理过程如下：在对象树中，参见图3-12创建一个新的Host Node。图3-12 在对象树中创建一个新的Host Node 在Host Node窗口包含有不同的选项卡。确保在General页面中定义Mail服务器的名称和IP地址。在规则表中这个Mail服务器名为Alaska_DMZ_mail。3）修改缺省的Smart

13、Center对象在对象树的网络对象分页中会显示缺省的SmartCenter服务器对象。这个对象必须进行配置，以便执行点模块能够正确地工作。操作过程如下：选择SmartCenter服务器对象。双击这个对象来显示属性页面。 在General Properties页面，确认在CheckPoint Products列表框选中了FireWall（如图3-13）。图3-13 CheckPoint Gateway窗口在Topology页面中（如图3-14）：点击Get Interfaces with Topology可以自动地检索网关上的所有网卡。另外，也可以点击Add手工添加一块网卡。你可以在任何一个网卡

14、的Topology页面中编辑网卡。选中后双击即弹出Interface Properties窗口。图3-14 CheckPoint Gateway窗口，Topology页面 六、步骤5为安全策略定义规则 对象是建立规则的一部分，规则是创建安全策略的一部分。安全策略中的规则是一系列的指令，决定哪些通信可以进入LAN或从LAN外出。在这个示例部署中，将执行下列的规则：允许所有由LAN发起到外部的通信连接的规则。允许email从外部发送到内部的LAN当中的规则。下面的规则在规则表中缺省的显示，并作为最后的规则使用，所以，它不需要做明确的定义：这条规则将丢弃除了上述允许规则的通信连接之外的所有数据包。表

15、3-1 允许所有内部LAN对外发起访问的规则表3-2 允许进入内部网络的SMTP连接（email） 保存和安装你的策略 一旦定义好规则以后：选择File Save保存策略。你可以使用缺省提供的选项，也可以自定义。 选择Policy Install安装策略。在安装窗口选择你需要安装策略的网关。最后，你成功地创建了你的第一个安全策略。七、步骤6来源和目的 你已经学习了开始需要的基础知识。下一步是获得更多关于CheckPoint的高级知识。 在CheckPoint的产品CD上有关于这个信息的CheckPoint文档（以PDF格式存储）。当你在使用CheckPoint的SmartConsole客户端时，你也可以使用在线的帮助。为了获得关于CheckPoint产品的更多技术信息，可以访问http:/support