安装配置CHECKPOINT防火墙

大纲

 

一、             首先明确两个概念

二、             VPN/FW Moudule 或者 Managerment Server 在 WINDOWS上安装的最小需求

三、             GUI Client在 WINDOWS上安装的最小需求

四、             安装之前的准备工作

五、             安装软件总过程

六、             配置防火墙总过程

七、             具体安装过程

八、             安装Licenses

九、             启动GUI ，定义网络对象

十、             定义安全策略（Rule Base）

十一、      定义NAT

十二、      创建一个管理员账号 Administrator

十三、      创建一个GUI Cilent

十四、      Key Hit Session

十五、      Certificate Authority

十六、      Fingerprint（指纹）

十七、      高可用性HA（High Availability）

 

一、             首先明确两个概念：

1、  VPN/FW Moudule；

部署在网关上，其安全策略在 Managerment Server 上创建并编译后下载到Moudule上执行。它可以安装在多种硬件平台上。它包括两部分：一、检测模块：根据安全策略对所有通过它的通讯进行检测。二、安全服务器：提供认证和应用层的内容安全。

2、  Managerment Server：

在Policy Editor GUI上定义的安全策略，最后保存在Managerment Server上。它的主要工作是维护CHECK POINT 数据库，包括：定义的网络对象，定义的用户，LOG文件等。

 

二、             VPN/FW Moudule 或者 Managerment Server 在 WINDOWS上安装的最小需求：

1、  操作系统：NT 、WIN2000

2、  CPU：PII300以上

3、  硬盘剩余空间：40M

4、  内存：128M

 

三、             GUI Client在 WINDOWS上安装的最小需求：

1、  操作系统：WIN9X、WIN ME、WIN NT4+SP6、WIN2000professional

2、  硬盘剩余空间：40M

3、  内存：128M

 

四、             安装之前的准备工作

1、  在安装 VPN-1/FW-1的计算机去掉不需要的服务，例如：NETBEUI、FTP、HTTP server

2、  保证内网、外网、DMZ区都能互通（ping）

3、  关闭WINDOWS上的 IP  Forwding，该功能由VPN-1/FW-1来控制。

4、  验证DNS：在内网浏览一个外部知名网站，能访问即可。

5、  定义IP地址：记下准备分配给计算机各网卡的IP地址备用。（在计算机的DOS状态下键入 config  /all，即可显示各网卡的IP地址）

6、  确认网关计算机名与外网卡的IP地址相对应（可以查看计算机\system32\drivers\etc\lmhost.asm）目的是为了确保在把网关定义为一个网络对象时（见二、1、）通过点击 get address 时，可以自动获得IP地址，如果不能获取，IKE加密过程会不正常。

7、  决定在那台计算机上下列安装软件（module、management server、GUI），如果是安装单网关产品，module、management server、GUI可以安装在同一台计算机上，当然GUI也可以安装在另一台计算机上进行远程控制。

8、  确认计算机的操作系统软件版本和平台与VPN/FW组件相对应

9、  如果安装前已经有VPN/FW在本机上运行，那么，把他们退出运行（包括GUI）

 

五、             安装软件总过程

1、  在安装软件（module、management server）之前把计算机从网络上断开，安装完毕再接入网络中

2、  在网关设备/计算机上安装VPN/FW module

3、  在management server 上安装VPN-1/FW-1

4、  在管理工作站上安装GUI Client

5、  以上过程安装完毕之后，把他们接入到网络中去，并验证他们与网络的连通性。

6、  在management server 上定义 GUI主机

7、  在management server 上定义管理员账号（具备管理安全策略的权限）

8、  把以上计算机连接到网络中，并保证对网络的连通性

 

六、             配置防火墙总过程

1、  启动GUI Client 连接到management server

2、  创建安全策略

A、 定义网络对象，

B、 定义添加GUI Client主机名、定义管理员并设置权限。

C、 定义组，并把用户加入组

D、定义 Rule base （安全策略）

I、               外网用户只能访问DMZ区

II、            内网用户可以访问 内网、外网、DMZ区

III、          管理员可以从任何IP地址TELNET登陆到DMZ区的（SMTP、WEB、FTP）服务器

 

E、 定义NAT

F、 在本地验证安全策略的正确性

G、把安全策略分发到安装到VPN-1/FW-1 Moudule 的计算机上。

通过菜单 policy—》install

 

 

七、             具体安装过程

1、  在WINDOWS中插入光盘会自动运行SETUP程序。

2、  在第一个画面

for evaluation:当你仅需要作测试时点击该项，并且保证你手头有评估用的临时LIENCES

for purchased product:

NEXT: 当你手头已经有正式LIENCES时，点击该按钮

3、  在license agreement 页面，选择YES

4、  在Product Menu页面，选择你所购买的产品，一般选缺省项，点击 NEXT

5、  在Server/Gateway Componentss页面，选择你所要安装的具体模块，点击NEXT

说明：

A、如果仅仅是在其他管理工作站上安装CLIENT，那么在以上页面只选中Management Client即可。

B、安装过程自动安装SVN Foundation ，SVN用于除GUI Client以外的所有NG产品。

6、  在VPN-1/FW-1 Enterprise Product 页面选择安装在本机上的产品的类型。

Enterprise Primary Management          在第一台计算机上安装 SERVER

Enterprise Secondary Management        在第二台计算机上安装 SERVER

Enforcement Module & Primary Management 同时安装SERVER 和 MODULE

Enforcement Module                       只安装 MODULE

 

7、  在Backward Compatibility页面，选择是否支持向下兼容：

Install with backward compatibility. 如果你需要管理 CP 4.1 Module

Install without backward compatibility.

8、  在Dynamically Assigned IP Address页面，选择是否使用动态分配IP地址？

9、  在Choose Destination页面，显示CP安装的缺省路径，建议不要更改，否则以后还需要设置环境变量，很麻烦的。

10、              选择Management Client 要安装的具体内容，（无论用不用，最好都选中）

11、              安装完毕，重新启动计算机。

 

八、             安装Licenses  （GUI Cient不需要Licenses）

1、  获取Licenses：所有CP产品都需要相应的Licenses来激活，GUI除外。

A、 如果你购买了正版的CP软件，那么在包装上会有一个 Certificate Key，例如是：“CK0123456789ab”你可以通过它来获取一个临时Licenses，（有效期一个月），而后可以获取永久Licenses，具体办法咨询你的集成商。

B、 如果你没有购买正版的CP软件，但是你想作测试，你也可以通过神州数码协调索取临时Licenses做测试。

2、  安装Licenses：

你必须有Licenses才能使用CP产品，如果没有在安装配置过程中输入Licenses，你还可以按照下面的步骤安装Licenses，Licenses应安装在 Management server 和 Module上。

       在cpconfig Licenses 页面只能管理本机（要集中管理多个Licenses只能通过SecureUpdate）。在该页面有3项内容需要设置：

       IP Addreess：       本机外网卡的IP地址，在申请Licenses时提交的。

       Expiration Date：    Licenses的过期时间，如MAY 25，2002。

       SKU/Feature：      例如：CPSUITE-EVAL-3DES-v50

       Signature Key：     例如：SAFGGGEEF – SDFDSFDS – SDFSWER – SDFSERWT

       手动填写完毕，点击按钮“Calculate”来计算你的输入是否有误。

       安装Licenses也可以通过直接从文件（一般是EMAIL发来的TXT附件）中获取，

九、             启动GUI ，定义网络对象

1、  启动GUI，输入你的用户名，口令，和服务器名，进入Policy Editor界面。

2、 定义网络对象的一些注意事项：

u       在CP数据库中不需要定义Primary Management Server的对象。

u       一般地，在安全策略中没有必要涉及Management Server。

u       Management Server根据其数据库中的定义，可以自动与其他CP Module之间建立加密通讯。

u       相反，你必须明确的定义所有安装Module的计算机。

3、 在以下窗口中创建一个FWALL对象：

打开以上窗口有3种方式：

A、在菜单“Manage”中选择“Network Objects”然后点击“NEW”

B、在对象工具条上点击图标

C、网络对象树中点击图表

4、 填写FWALL对象的各项内容

A、NAME：  键入该计算机的HOSTNAME

B、       IP Address；键入外网卡IP地址，例如 192.168.3.1

C、       Cvomment:  对该对象加以注释或描述

D、      TYPE类型： 选择Gateway （如果是GUI可选择HOST）

E、       CP  Products Installed：选择本机安装的CP版本：这里选择“NG”

F、       Object Management

Managed by this Management Server(internal): 如本机同时安装SERVER 和Module

Managed by another Management Server(internal): 与以上相反

G、      Communication按钮：点击后出现：

输入ONE-TIME 口令，开始与Management Server进行第一次通讯，

H、       点击“Intitaliza”按钮，此时，Management Server会加密发出签名认证到FWALL上，用于建立Management Server与Module 之间的信任关系。

I、         如果返回的Trust state是“Trust Establish”，则说明二者之间的信任关系已经建立。

J、        点击“CLOSE”

 

4、 添加一个接口（Interface）

在以下窗口中点击“Topology”

定义接口的最简单的方法就是点击上图中的“GetTopology”按钮，可以直接获取接口信息。

祥见下图：

当然，你也可以手动定义接口信息：通过点击上图中的“ADD”按钮即可

然后输入每个接口的NAME、IP 地址、子网掩码，是内网卡还是外网卡

              最终的定义结果如下：

 

5、 定义内网（loaclnet）

定义该网络的NAME、IP 地址、子网掩码，注释内容，是否把广播地址看作网络的一部分

6、 定义DMZ区网络

具体内容同上

 

7、 定义DMZ区中的WEB、FTP、MAIL SERVER （主机）

输入该主机的 NAME、IP 地址、子网掩码，注释内容，TYPE类型（选择HOST）

不要选中“□CheckPoint product installed

 

8、  创建Users

在下图中点击“ADD”，（缺省只显示标准用户的模板，）

 

 

然后输入该USER的用户名，设置其认证方法为操作系统口令。

 

 

十、             定义安全策略（Rule Base）

在定义完网络对象和USER之后，就可以开始定义安全策略了。

点击工具栏中的图标，来添加一条策略了

1、缺省的一套丢弃一切包的策略必须更改。

2、开始定义策略，以上的 SOURCE源设备或地址、

DESTINATION、目的设备或地址

SERVICE：服务

ACTION：对应的操作

TRACK：是否跟踪

INSTALL ON：安装位置

TIME：时间

以上所有内容都可以通过点击对应的位置来选择对象

       3、以下举例说明：

第一条：任何设备、地址对FWALL的访问都拒绝响应，并记录下来，发送告警

第二条：内网可以访问除了FTP服务器之外的所有地址或设备。

第三条：内网对FTP服务器的访问，只开放了FTP服务，其他服务均被拒绝

第四条；所有网络或地址均可通过SMTP协议访问EMAIL服务器

第五条：所有网络或地址均可通过HTTP协议访问WEB服务器

第六条：Managers用户组内的所有成员均可通过TELNET协议访问FTP服务器，但是必须通过口令认证。

第七条：除以上允许的策略外，其他所有通过FWALL的通讯都被拒绝。

注意：以上只是个例子，绝对不可照搬！！！！

你必须根据你公司的网络拓扑和实际需求情况制定自己的安全策略。

 

4、在本地验证你的安全策略

 

5、验证无误，下发你的安全策略到相应的FWALL上去。

在“Policy”菜单上选择“Install”来下发你的安全策略

 

十一、      定义NAT

1、有两种方法可以进行IP地址转换，

Hiding：把你所有的非法IP地址隐藏在合法地址之后，

       优点：你仍使用你已有的有限的合法地址

       缺点：外网不能建立与非法地址主机的连接。

Static；静态转换，在一一对应的基础上实现非法地址与合法地址的转换（对应）

       优点：外网能建立与非法地址主机的连接。

       缺点：需要太多的合法地址

2、定义过程

A、 定义一台主机（HOST）

B、 点击“NAT”标签

C、 选中“∨Add Automatic Address Translation Rules”

D、设置“Hide”和“Static”NAT

公网地址

十二、      创建一个管理员账号 Administrator

1、  必须至少定义一个管理员，否则将无人能管理SERVER

2、 输入NAME，口令（至少四个字符，不能有空格）

3、 设定权限：主管理员最好选 Read/Write All，对于其他级别的管理员可以分别单独设置其权限。

4、  对于并发会话（几个管理员同时登陆）的处理

为防止几个管理员同时修改一个安全策略，VPN/FW执行一个锁定机制：即若干管理员可以同时浏览一个安全策略，但是只能有一个有写入的权限。

管理员获得写入权限的条件是：

A、 该管理员必须具有Read/Write All的权限

B、 同一时间内没有其他管理员获得 写入的权限，如果你登陆时已经有人登陆进去，那么系统会提示你是否愿意退出登陆还是愿意以只读的方式登陆。

当然，如果你愿意，你也可以了直接以只读的方式登陆，在登陆界面选中“Read Only”即可。

 

十三、      创建一个GUI Cilent

1、 如果 management server 和 Module 安装在同一台计算机上，就不再需要指定GUI主机名了。

2、 如果不指定其他GUI主机名，那么，只能在同一台计算机安装的GUI上进行管理工作。

3、 在 GUI Client 页面的 Rmote Hostname 栏中输入以下五种格式的地址：

IP 地址：                    例如：10.1.222.3

计算机名：                 例如：CLIENTAAA

Any：               表示对CLIENT计算机没有限制，但是必须在RULE BASE 中添 加明确的允许或禁止的主机的策略条目

IP1-IP2：                     设定一个地址范围，例如10.1.111.1-10.1.111.20 设定20台主机

Wild Card：                 例如：10.1.33.*  或者 *.checkpoit.com

4、 注意：如果GUI 与 management server 之间的连接通过 Module，那么，安全策略必须首先安装在 Module上，保证新创建的 GUI 能串过Module 连接到management server 。

 

十四、      Key Hit Session

为生成一个随机加密关键字的 seeds，你需要任意输入若干字符，但是，键入每个字符应有几秒的时间间隔，不要连续输入同样的两个字符，字符输入之间的延时尽量不同。

 

十五、      Certificate Authority

1、  该页面用于安装Internal Certificate Authority，并生成一个授权给Management Server的加密内部通讯Secure Internal Communication (SIC) ，SIC 认证用于对CP通讯组件之间的通讯进行授权。或者对CP通讯组件与OPSEC 应用程序之间的通讯的授权。

.

2、  该页面用于对Primary Management Server 与本机（GUI）之间的一次连接（one-time link）通讯进行加密。Primary Management Server沿着这条链路把认证分发到本机上，一旦认证到达本机，那么本机就可以与其他的CP通讯组件之间进行通讯。

3、  为了初始化一个Module 的通讯，在Policy Editor上输入同样的one-time口令。

4、  在GUI Client上连接到Management Server，并打开Policy Editor，创建一个Module对象，设置一个NAME，和一个IP地址

5、  在General Propeties页面，选择 Check Point Gateway ,点击“Communication”

6、  输入口令。

7、 在进行下一步以前必须确保在Module上已经启动 SVN Foundation服务和 VPN-1/FW-1 服务，并且保证 Module和Management Server能够进行IP通讯

8、 点击“Intalize”按钮，开始 Module 的初始化进程。此时，签名认证被加密传输到Module上。

9、 Trust State栏会报告Module 的状态：

在Management Server上的ICA（Internernal Certificate Authority）发出认证Certificate ，并且已发送到Module上之后，就算建立起了Trust State信任状态

10、             如果Module 被初始化或者 RESET，那么，cpconfig 中报告的Module的信任状态将和 Policy Editor 中报告的不同。

11、              cpconfig 中报告的Module的信任状态有以下三种：

A、 Uninitialized

—Module没有被初始化，因此也就不能进行通讯，因为它没有收到Management Server.上的ICA发来的认证certificate

B、 Initialized but trust not established

—在cpconfig中的Secure Internal Communication页面显示Module的这个状态表示一次one-time口令已经输入，但是Module还没有收到Management Server.上的ICA发来的认证certificate

C、 Trust established

—Module和 Management Server之间的认证已经建立，并且Module可以进行加密通讯。

 

十六、      Fingerprint（指纹）

1、  指纹是一个字符串，由Management Server的认证分发，用于校验GUI 所连接的Management Server是不是真实身份。

2、 当你通过GUI 第一次连接到Management Server时，你应该比较一下该指纹内容和Policy Editor 中的指纹内容是否相同。

3、  如何用指纹来验证Management Server的真实身份：

A、  在以上页面，点击“Export to file”，来保存成一个文件。

B、  把这个文件通过非网络手段（例如，软盘、优盘、电话、传真）传到GUI Client端，来比较验证GUI所连接的Management Server是否真实的身份。

4、 在GUI Client端，当第一次连接到Management Server时，Management Server的指纹会显示出来：

5、 确保刚才通过非网络手段传来的Management Server的指纹跟上图显示的一样。

十七、      高可用性HA（High Availability）

1、 在下图中指定这个网关是否是一个High Availability Gateway Cluster 的一个成员。