收藏
下载资源 加入VIP免费专享

Checkpoint操作手册.docx

上传人:sccc 文档编号:5138254 上传时间:2023-06-07 格式:DOCX 页数:53 大小:4.10MB
返回 下载 相关 举报
Checkpoint操作手册.docx_第1页
第1页 / 共53页
Checkpoint操作手册.docx_第2页
第2页 / 共53页
Checkpoint操作手册.docx_第3页
第3页 / 共53页
Checkpoint操作手册.docx_第4页
第4页 / 共53页
Checkpoint操作手册.docx_第5页
第5页 / 共53页
点击查看更多>>
资源描述

《Checkpoint操作手册.docx》由会员分享,可在线阅读,更多相关《Checkpoint操作手册.docx(53页珍藏版)》请在三一办公上搜索。

1、Checkpoint操作手册文档目录lSmart Dashboard3lSmartView Tracker6lSmartView monitor8lCheckpoint网关gateway模式10lPPPOE拨号15lcheckpoint桥接bridge模式18lISP双链路接入配置20lNAT地址转换27lSSL VPN30lSite-to-site 预共享密码vpn37lSite-to-site 证书vpn (cp270与edge/safeoffice)41lRemoteAccess vpn47lIPS51l Smart Dashboard 1. 登录smart center如果是刚下发规则

2、、首次登陆可能会提示你等几分钟,这时你只要多登陆几次就可以了。(这里补充一句,checkpoint的任何更改都要在下发规则后才会生效)2. 功能介绍登陆成功后就是下图这个界面。我们主要用到的就是check point、nodes、network这三个。Check point就是我们的防火墙、nodes是节点-即一台具体的主机:如ftp或web服务器。Network是定义的网段,有自己内外网段、也可以定义对端的内外网段(如site-to-site vpn 对端的内外网段) Checkpoint属性双击checkpoint对象打开它的属性界面。基本上针对checkpoint对象的配置都在这个界面完

3、成:如软件刀片模块的启用、网络拓扑、vpn、日志等。 更新网络拓扑一般我们在web界面修改完端口ip后都要在这里更新网络拓扑,然后再下发规则。(修改端口ip的话一般是先修改管理端口以外的端口ip,然后再从修改好了的端口web进去改之前的那个管理端口ip:例如先从wan口web进去改lan口ip、下发规则后再从lan口web去改wan口的ip)还可定义端口是外口还是内口 Nodes对象右击Nodes新建一个节点:例如新建内部一台ftp服务器节点,名称ftp、ip地址为ftp服务器的ip地址,如果你想把这台服务器发布出去的话,只要在下面的nat选上add automatic address tra

4、nslation rules即可。 网段Network如果你的内部局域网有多个网段,点network右击新建网段、如下图定义好各个内网网段即可。 开启NAT功能定义好内网段后还不能上网,我们需要开启nat功能并下发规则。如下图:(如果还不能上网,可能是你没有在web界面定义默认理由)3. 安装策略配置完任何firewall防火墙规则,都需要安装策略,否则规则不会生效。在web界面的更改同样也要下发。l SmartView Tracker 1. Smartview tracker 登录2. 功能界面介绍Network&endpoint:记录网络安全日志,可根据功能分类查看、日志包括源、目的、服务

5、、时间、动作、描述。Management:记录操作checkpoint日志l SmartView monitor1. 登录smartview monitor2. 界面介绍可根据端口、服务、网段、源,来查看具体的流量。 Traffic-Top services Traffic-Top Interfaces Traffic-Top souresl Checkpoint网关gateway模式1. 网络拓扑图2. 配置步骤:1) 登录SmartDashboard2) 新建网段对象将192.168.200.0定义为内网网段inside192.168.200.0将192.168.1.0定义为公网网段out

6、side192.168.1.03) 开启NAT功能双击inside192.168.200.0,到NAT,将add automatic address translation打上钩,确定4) 建立防火墙规则防火墙firewall建立规则,允许源地址到目标地址任何服务5) 安装规则运行install policies6) 客户端配置l PPPOE拨号1. 在checkpoint的console口命令行中,增加下面语法Expertcp# mknod /dev/ppp c 108 0 (重启设备后,这条命令会丢失,需要在启动脚本里增加) Expertcp# vi $CPDIR/tmp/.CPprofi

7、le.csh (在脚本里增加此命令)在最后增加一行 内容是mknod /dev/ppp c 108 0保存,重启设备2. web界面新建pppoe拨号External接口接到moder,internal接到交换机External接口需要自动获取ip地址(adsl线路是动态,获取到的公网ip地址是动态。)如果adsl是固定ip,External接口需要手动填写固定ip地址新建pppoe拨号拨号成功注:checkpoint拨号时候要注意,用华为moder时候,会出现不兼容现象。与中国电信商务领航moder结合使用正常l checkpoint桥接bridge模式1. 登录checkpoint的web

8、管理界面2. 将两个接口加入桥接bridge接口配置桥接时,必须把参与桥接的端口ip去掉才能加入桥。3. 新建bridge,如下图:新建桥把Extermal和Internal添加到桥l ISP双链路接入配置网络拓扑:Isp-1线路 192.168.1.221 Isp-2线路 192.168.10.21) 登陆Checkpoint web界面配置接口ip地址Isp-1 分配到External 接口 192.168.1.221 Isp-2 分配到Lan1接口 192.168.10.2Internal接口 192.168.20.1 是内网网关2) 增加两条isp的默认路由isp-1 线路的网关isp

9、-2 线路的网关3) 登陆smartdashboard,双击cp2704) 选择Topology,get各个网卡接口ip地址信息Lan1 与 External 都被定义为外接口 internal被定义为内接口5) Topologyisp Redundancy,把support isp Redundancy选择上 在Redundancy mode中选择负载均衡模式,还是主次模式 在ISP Links in order of priority 中Add建立isp-1线路Add 建立isp-2线路 电信与网通的所使用DNS域名解释地址不同,分别填写各自的DNSl NAT地址转换网络拓扑:1. 新建n

10、odes-host 2. NAT-选择手动static,指定公网ip地址3. 新建防火墙规则source是所有人,访问destination是ftpserver,server是any,动作是允许4. 安装策略5. 验证ftp服务器是否映射成功l SSL VPN1) 网管对象软件版本使用R70更改端口:SSL VPN需要使用443端口确认此端口没有被checkpoint使用。默认情况下checkpoint的路由、接口的配置使用此端口:如果此端口被使用,进入超级终端使用下列命令更换端口:webui enable (webui enable 444)此时通过端口444访问上页。2.配置SSL VPN

11、双击checkpoint对象,添加一个远程接入团体。启用office模式,选择参与vpn的用户组(自己之前在用户和组中定义的)并定义vpn连接后分配给客户端的地址池。黑框标注的是需要定义的支持visitor模式只有启动了visitor模式,才能启动SSL VPN启动SSL VPN最后配置远程接入团体的属性,选择checkpoint网关。选择远程接入用户组,这里选择开始在office mode 中的vpngroups新建规则下发3.使用SSL VPN访问通过IE登陆VPN使用SSL VPN的客户端机器需要安装相应的ActiveX/Java控件,使用IE登录后会有相应安装提示,安装即可。登录输入用

12、户名密码即可登陆。默认可以连接8小时。PC右下角提示连接状态5.测试l 拓扑l Ping内网接口连接成功后断开后l Site-to-site 预共享密码vpn1. 定义vpn对象Interoperable device,右击network objects新建interoprable device2. 定义site-to-site vpn community加密方式默认即可点击edit输入一个共享密钥3. 配置防火墙vpn规则l Site-to-site 证书vpn (cp270与edge/safeoffice)网络描述:总部使用静态ip地址,分部使用动态ip地址,通过证书方式来建立vpn连接网

13、络拓扑:1. 分别在cp 270和UTM-1 edge上建立网段并做NAT,确保两台pc能正常接入外网(以cp270为例):在定义内部网段,开启NAT功能下发策略完成后就可以正常和外网通讯:和外网连接正常:UTM-edge同样道理。2. 在cp 270上建立VPN对象:证书和预共享密钥的vpn对象不同;对端是静态ip的话一般用预共享密钥的方式,动态就用证书的方式。对象信息如下红色矩形为注意事项:Key可以任意填写,主要作用是集中管理认证时候需要的key。配置vpn时候不需要用到此功能。在vpn里,新增加证书,把证书名,CA服务器选择一台内内置CA选择生成证书Generate,就会弹出下面界面方

14、框中的内容两者用逗号隔开为 CN=vpnedge VPN Certificate, O=cp270.c9eq8u将内容复制下来点击Matching Criteria按钮,把刚才复制下来的内容填上DN然后确定后,再打开UTM-1 Edge Gatewayvpn,点击Export p 12,将证书导出来,发给Edge设备,把证书导入到edge设备3. Vpn communitysite to sitemyintranet-center gateways添加中心网关为cp270Satellite gateways分支网关选EDGE:4. 将生成的证书到过来并在EDGE上安装(web界面VPN选择第三

15、项证书然后安装)5. 在firewall建立VPN选择site-to-site认证方式是证书方式,目标网关(是对端)192.168.1.221 网段是192.168.10.0即可 ,尝试VPN连接。l RemoteAccess vpn1. 配置checkpoint的remoteAcces vpn 属性 勾选L2TP support2. RemoteAccess-office mode3. 定义用户4. 定义remote vpn communities5. 配置防火墙vpn规则l IPS1. 启动IPS刀片a) 双击cp130,点击general properties选项卡b) 在networks security上打勾IPSc) 点击IPS选项卡,点击Protections By type-Applications Intelligence,在Lockfor:搜索qqd) 双击QQ,选中Default Protection,点击Edit,开启Prevent;选中Recommended Protection,开启Prevente) 安装策略

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 建筑/施工/环境 > 农业报告


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号