UTM-1 Quick Start产品培训PPT演示课件

Check Point UTM-1 Quick Start 产品培训,Agenda,Check Point防火墙基本架构UTM-1设备初始化SmartConsole 安装UTM-1对象定义UTM-1防火墙属性的基本配置UTM-1防火墙的网络对象定义UTM-1防火墙的服务对象定义UTM-1防火墙的时间对象定义UTM-1防火墙的访问控制规则配置UTM-1防火墙的NAT规则配置Remote Access VPN配置Site to Site VPN配置备份和恢复,Check Point 防火墙基本架构 基本模块和部署模式,Check Point 防火墙基本架构,基本架构介绍SmartConsole 管理客户端（用户管理的主界面）SmartCenter 管理服务器Gateway 防火墙功能执行模块,Check Point 防火墙的部署方式分布式（Distributed）,分布式部署防火墙模块和SmartCenter部署在不同的设备上,分布式部署的通信模式,两个基本要素SVN Foundation（Check Point 基本安全系统）Secure Internal Communications (SIC) （内部安全通信机制，基于SSL 和内部数字证书）,Check Point 防火墙的部署方式独立式（Standlone）,SmartCenter和Gateway模块部署在同一台设备上,Check Point 防火墙基本架构 Gateway模块和状态检测引擎,Gateway 防火墙模块的核心-状态检测引擎,状态检测引擎的工作过程,UTM-1的部署模式,UTM-1即可以分布式部署，也可以独立式部署,Check Point 防火墙基本架构 SmartConsole各管理模块,SmartDashboard,进行产品配置的管理客户端,SmartView Tracker,进行日志管理的管理客户端,SmartView Monitor,进行系统状态检测和流量监测的管理客户端,Eventia Reporter,进行报表处理的管理客户端,UTM-1设备初始化,Step1，登录UTM-1设备,PC机连接UTM-1设备INT端口（内端口）浏览器输入，https:/:4434UTM-1出厂设置为， INT 端口 :4434,Step2，网络、时间等信息配置,根据系统提示，配置UTM-1设备网络地址，时间，DNS等信息,Step3，Check Point应用模块初始化,初始化设备的CheckPoint应用模块Locally Managed Standlone 安装，SmartCenter和Gateway模块将同时安装在该UTM-1设备上；Centrally ManagedDistribute安装，只有Gateway 模块安装在该UTM-1设备上，此时，将需要额外的SmartCenter来管理该UTM-1s设备注意，该过程是不可逆的。要更改Local 或者Central的配置，只能恢复出厂配置后，再重新初始化,登录UTM-1设备安装配置SmartConsole,Step 1： 登录WEB 管理界面,Step 2： 下载SmartConsole,Step3：安装SmartConsole（傻瓜式安装）,根据安装程序引导，安装SmartConsole,Step 4： 启动SmartDashBoard,Step 5： 登录SmartCenter,如果选择Demo 模式，则运行模拟程序如果不选择，则登录到实际的SmartCenter,输入SmartCente人IP地址,DEMO 模式是进行产品学习和模拟操作的重要工具在Demo模式可以模拟完成绝大多数的实际环境操作,Step 6 ：关于 Fingerprint,如果是第一次登录，会让你确认系统的Fingerprint，单击“是”，将登录到SmartCenter,Step 7 :登录到SmartCenter配置界面,Step 8,如何登录到SmartView Tracker？如何登录到SmartView Monitor？方法一：和SmartDashboard 相同；方法二：在SmartDashboard直接打开上述两个程序,UTM-1防火墙的基本属性配置,Step 1：定义UTM-1基本属性,启用你所需要的功能，考虑到性能优化，只启用你需要的功能。详细说明，请参考本页注释,Step2： 定义拓扑结构,通过定义拓扑结构，UTM-1将自动获取已经定义的端口（网卡）配置；拓扑结构定义是UTM-1配置的重要步骤，一定要注意,Step3： 定义端口（网卡）属性（1）,定义端口的基本属性：名称，IP地址，子网掩码；需要注意的是，这些基本属性，是通过Topology 自动获取的，不要手工更改；修改端口IP地址的正确方法是：1，通过WEB界面（或者命令行）修改端口的IP地址和子网掩码；2，通过上一页PPT的“Get”按钮，自动获取该端口的IP地址信息；,Step 4， 定义端口的其他属性（2）-External 端口,External 端口连接Internet的端口定义为Exnternal；Internal 端口连接局域网的端口（包括DMZ），定义为Internal端口Anti-Spoof 防止伪造源地址攻击，启用该属性，需要精确的定义拓扑属性，特别是Internal端口的拓扑属性（见下一页）；可以不选择Anti-Spoof选项，但系统会有报警提示；,Step 5，定义端口属性（3）-Internal端口,对于Internal 端口的三个选择：Not Define（不定义）-不定义内端口拓扑（不推荐使用）Network Defined by the Interface IP与Internal端口具有相同网络地址的网段；自定义自定义Internal端口所保护的所有网段（怎样定义，请参考“定义网络对象”；,Step 6，完成UTM-1基本属性的定义,如果选择了在Step1中选择了VPN功能，则系统会弹出窗口如下“已经为UTM-1生成了数字证书”。单击确定，完成基本属性的定义。,UTM-1防火墙的网络对象定义,Step1 ，定义主机,鼠标右键单击Nodes，选择Host,定义主机的名称和IP地址注意规范命名（名字中不能包含“空格”）；注意，NAT也是在本页中定义的（NAT章节中会介绍）,Step 2， 定义网段,鼠标右键单击Networks选择New Network,定义网段，网络地址，子网掩码，其他采用缺省配置；注意，网段的NAT也在本页配置（NAT章节中介绍）,Step3，地址范围（Address Range）定义,尽量用“主机”，“网段”定义你的网络对象；不推荐使用Address Range,Step4，定义一台SafeOffice,定义SafeOffice的基本属性名字（可以随便起）IP地址（Safe的Internet端口地址）,手工添加Safe的端口属性，注意Topology属性的定义(Internal ,External 端口）,Step 5， 添加“另外一台UTM-1”防火墙,假设如下：“另外一台UTM-1”在初始化时，采用了Central Manage的方式（即，只安装了防火墙模块）；本例中的UTM-1在初始化时，采用了Local Manage的方式（即，安装了SmartCenter和防火墙模块）,输入SIC密码，单击Initialize,以命令行方式登录到”另外一台UTM-1(以Central Manage方式安装的）”Expert模式，运行cpconfig选择SIC(Secure Internal Communication),根据程序引导，创建SIC密码，重设密码后，防火墙服务将自动重启；注意：千万不要重设一台正在运行的正常防火墙的SIC！,Step 5.1，“另外一台UTM-1的 SIC”密码从哪儿来的？,UTM-1防火墙的服务对象定义,Check Point预定义的服务（Service）对象,Check Point预定义了超过300个服务；用户可以自定义任意TCP/UDP/IP服务；注意“服务”的“高级属性”属性配置，提供了更加灵活的选择；,自定义TCP服务,端口号,高级属性一般不用配置,UDP 服务的自定义，与TCP类似,UTM-1防火墙的时间对象定义,自定义时间对象,对象为，每天8：3017：30选择Days标签，可以进行更灵活的定义,UTM-1防火墙访问控制规则（rule）配置,访问控制规则的说明（1）,Implicit Rule 与Expilict RuleImplicit Rule防火墙隐式定义的规则，通常不显示在“规则面板”中，通过菜单Policy/Global Properities/Firwall定义；Explicit Rule防火墙显示定义（管理员定义）的规则，在“规则面板”中显示；后面讲的主要就是针对Explicit Rule的定义；,访问控制规则的说明（2）,Stealth Rule通常配置在规则库的最上面，防止外界对防火墙的非法访问；Clean Up rule通常配置在规则库的最下面，“显式”的禁止所有数据流的访问（除配置规则允许的数据流）；Clean Up的好处在于：1，记录所有被防火墙Drop的数据包；2，防止潜在的安全漏洞；,访问控制规则的说明（3）,规则匹配的顺序访问控制规则遵循从上往下（规则序号从小到大）的匹配；认证规则除外规则库优化尽量把最常用的规则放在最上面（更小的规则序号）,添加规则（rule）的两种方法（菜单/快捷键）,Add Buttom添加在当前规则的下面；Add Above添加在当前规则的上面；,访问控制规则（RULE)的要素,规则选项介绍：NO（顺序号）系统自动产生NAME(规则名称）-可以不写SOURCE(源地址)DESTINATION(目的地址)VPN（是否通过VPN加密，VPN章节再介绍）SERVICE(需要开放的服务，或者端口）ACTION(动作，例如：允许，拒绝等TACK（日志，例如：log，audit等等）INSTALL ON (该规则安装在哪个防火墙上）TIME(该规则在合适生效）,必须要进行配置的选项SOURCEDESTINATIONVPN（在VPN配置时需要）SERVICEACTIONTACKINSTALL ON,规则要素说明1Source/Destination,Source /Desitination可以是以下对象：主机网段地址范围网络对象组用户组（SOURCE,主要用于认证规则和VPN访问规则）当该值为“ANY”时，表示任意地址范围,规则要素说明2-Service,可以是任意如下对象TCPUDPIP服务服务组其他自定义服务当该值为”ANY”时，表示开放所有端口,规则要素说明3-ACTION,ACTION可以是如下值：Accept允许，允许该数据包通过Drop不允许，丢弃该数据包Reject通过发送RST包，中端该连接（session），主要用于一些基于resource的规则；User Auth基于用户认证，用于用户认证规则Client Auth基于客户端认证，用于用户认证规则Session Auth基于Session认证，用于用户认证规则,用户认证规则部分，请参考Administrator Guide,规则要素说明4-TRACK,TRACK可以包含如下值：NONE不做任何日志记录LOG记录（该规则产生的）日志，最常用的TRACK选项；AUDIT审计，比LOG更详细的日志记录，可以统计通过该规则的数据包，如果要作流量统计，则需要选中AUDIT,但需要注意的是，启用Audit时，会对防火墙的性能有不超过10%的影响；ALERT发送报警，在记录日志的同时，发送报警到SmartView monitor控制台；SNMP TRAP发送snmp trap到相应的管理端；MAIL发送邮件到相应服务器；User Define执行用户自定义的动作； 注意后三者（snmp trap，MAIL, USER Define）的配置，还需要在全局策略中作相应的配置，请参考本页注释,规则要素说明5INSTALL ON,INSTALL ON 通常可以是以下值：Policy Targets所有的防火墙；Gateways选择你所需要的安装该规则的防火墙；,示例：一条完整的规则如下,养成及时保存规则的好习惯,规则的其他动作DISABLE/HIDE/删除等操作,DISABLE禁用该规则，在“策略安装（Policy Install）后”，该规则才不会其作用；HIDE隐藏该规则，该规则将不会在面板上显示，但是，任然起动作；删除删除该规则，在“策略安装（Policy Install）后”，该规则才不会其作用； 上述动作的操作，只需要选中该规则的“序号(NO)”，单击右键（取消隐藏除外），选择所要进行的动作就可以了。规则还可以进行Copy/Paste,大家自己试试看；也可以为某一组规则添加一个标题，以利于标识,添加规则标题,取消规则隐藏,Policy Install,在定义完成访问控制规则后，需要Install Policy，该规则才能够生效，Policy Install有以下集中方法：通过菜单选择菜单Policy/Install,选择你所有安装策略的防火墙，安装策略；通过快捷键,创建一个新的Policy Package,Policy Packege 防火墙策略包，所有安全策略和安全对象存储在策略包中。,UTM-1防火墙NAT规则配置,NAT规则分类,自动NAT规则 和 手动NAT规则自动NAT规则（可以满足绝大部分用户的需求）在网络对象中定义，系统自动产生NAT规则；手动NAT规则在NAT规则库中，自定义NAT规则；NAT的类型静态NAT;动态NAT；端口NAT； 本文将只描述自动NAT规则的定义，手动NAT规则，请参考Administrator Guide,Step1，配置主机(HOST)的静态NAT,自动生成的静态NAT规则，管理员不可以直接修改,Step2，配置主机(HOST)的动态NAT,自动生成的静态NAT规则，管理员不可以直接修改,Hide behind Gateway -动态NATI为防火墙端口地址；Hide behind IP -动态NAT为自定义IP地址,Step 3， 配置网段的动态NAT,自动生成的静态NAT规则，管理员不可以直接修改,Step 4， 配置Host的端口NAT,目标把WEB_Server （01） 的 80端口，NAT为防火墙外网口（18）的80端口；步骤定义一个Host对象（名字为Ex_Web），IP地址为18；在NAT 规则库中添加一条规则，如下：,同样的，在配置完任何NAT规则后，需要Install Policy 才能够生效,UTM-1防火墙Remote Access VPN配置,Remote Access VPN的基本定义,用户通过SecureClient,以虚拟拨号的方式，和UTM-1建立IPSEC隧道，访问内部网络； 注意：UTM-1缺省支持5用户的远程拨号用户，如果需要更多的远程接入能力，需要购买额外的SecureClient License.,Remote Access VPN的配置步骤,UTM-1防火墙端配置定义用户和用户组；定义防火墙的VPN属性；定义VPN加密域定义Remote Access VPN 社区；定义Remote Access VPN规则；Install Policy；修改内部路由（可选）拨号客户端主机配置在客户端安装SecureClient 软件；和UTM-1建立Site 获取Topology 信息；进行拨号认证；访问内部网络,UTM-1防火墙端配置,本例将采用UTM-1 内部数据库认证；UTM-1 还支持内部数字证书认证；UTM-1也支持和LDAP,Raidus,MS AD结合的用户管理,Step1，定义用户和用户组,Step 2， 定义UTM-1的VPN属性,确认VPN功能已经开启,配置本地路由（可选），请参考本页注释,Step3， 定义VPN加密域（VPN Domain),什么是VPN加密域（VPN Domain） 需要被Remote Access 客户端加密访问的内部网段。防火墙将根据“加密域”的定义，判断哪些网段被访问时，需要通过IPSEC隧道加密。 通常情况下，可以把所有“内网”定义为“加密域”，例如，本例中，定义OA_Net_1网段为“加密域”,Step 4，定义Remote Access VPN社区,添加需要进行VPN拨号的UTM-1设备,添加需要进行认证的用户组，本例为Step1中定义的Group1,Step5，定义Remote Access VPN规则,添加需要访问的服务,定义规则动作,定义日志记录,定义该规则需要安装的防火墙,Step 6， Install Policy,一条定义好的完整的Remote Access VPN规则,Install Policy,VPN客户端配置,Step 1，Remote Access VPN客户端安装,客户端安装基本为傻瓜式安装，根据程序引导，完成安装；注意：在安装过程中，需要让你选择安装程序的类型时：SecureClient SecureRemote一定要选择SecureClient最新的SecureClient客户端程序可以通过以下链接下载：/downloads/quicklinks/eula_sr.htmlSecureClient安装完成后，会在Windows标签栏产生如下图标：目前，SecureClient支持的客户端操作系统包括：Win2000Win2003WinXPWin Vista(32位）Mac OS,Step2， 和UTM-1建立Site，获取Topology信息,右键单击，SecureClient 图标选择Setting,输入UTM-1外网口IP地址，本例为18，单击NEXT,选择 User/password,当然，如果采用数字证书认证，则可以选择Certificate,输入已定义号的VPN用户名/密码，本例为liugang/liugang,根据程序引导，选择缺省配置，完成Site定义,定义好的Site如下,Step3，拨号认证,双击SecureClient图标，出现拨号认证画面,拨号连接成功后，Secureclient图标将变为左图,Step 4，访问内部网络,访问内部网络完成访问后，中断VPN连接，方法鼠标右键单击Secureclient图标，选择Disconnect通过SmartView Tracker查看VPN访问日志通过SmartView Monitor，监控VPN拨号用户的状态 大家试试看,UTM-1防火墙Site to Site VPN配置,Site to Site VPN的基本结构,两个UTM-1防火墙，通过Internet连接，建立IPSEC VPN隧道，实现数据的安全传输,关于SITE TO SITE VPN的说明（1）,通过同一个SmartCenter管理的2台UTM-1（VPN-1 Edge)可以建立Site to Site VPN隧道；（主要采用数字证书作为密钥管理方式）通过不同SmartCenter管理的2台UTM-1也可以建立Site to Site VPN隧道；（主要采用Pre-Share Key作为密钥管理方式）UTM-1也可以和其他产品线的防火墙（如SafeOffice）建立Site to Site VPN隧道；（主要采用Pre-Share Key作为密钥管理方式）,下文将着重阐述第一种类型，即，通过同一个SmartCenter管理的2台UTM-1之间建立Site to SiteVPN,Site to Site VPN的配置步骤,定义需要参加VPN的所有防火墙的属性；定义VPN加密域定义Site to Site VPN社区（community）；定义Site to Site VPN访问控制规则；Install Policy，进行测试；,下文将以两台UTM-1防火墙, NGX R65和UTM2为例，建立Site to Site VPN,Step 1， 定义UTM-1设备的VPN属性,确认VPN功能已经开启,Step2， 定义VPN加密域（VPN Domain),什么是VPN加