Checkpoint操作手册.docx

checkpoint操作手册文档目录lsmart dashboard3lsmartview tracker6lsmartview monitor8lcheckpoint网关gateway模式10lpppoe拨号15lcheckpoint桥接bridge模式18lisp双链路接入配置20lnat地址转换27lssl vpn30lsite-to-site 预共享密码vpn37lsite-to-site 证书vpn （cp270与edge/safeoffice）41lremoteaccess vpn47lips51l smart dashboard 1. 登录smart center如果是刚下发规则、首次登陆可能会提示你等几分钟，这时你只要多登陆几次就可以了。（这里补充一句，checkpoint的任何更改都要在下发规则后才会生效）2. 功能介绍登陆成功后就是下图这个界面。我们主要用到的就是check point、nodes、network这三个。check point就是我们的防火墙、nodes是节点-即一台具体的主机：如ftp或web服务器。network是定义的网段，有自己内外网段、也可以定义对端的内外网段（如site-to-site vpn 对端的内外网段） checkpoint属性双击checkpoint对象打开它的属性界面。基本上针对checkpoint对象的配置都在这个界面完成：如软件刀片模块的启用、网络拓扑、vpn、日志等。 更新网络拓扑一般我们在web界面修改完端口ip后都要在这里更新网络拓扑，然后再下发规则。（修改端口ip的话一般是先修改管理端口以外的端口ip，然后再从修改好了的端口web进去改之前的那个管理端口ip：例如先从wan口web进去改lan口ip、下发规则后再从lan口web去改wan口的ip）还可定义端口是外口还是内口 nodes对象右击nodes新建一个节点：例如新建内部一台ftp服务器节点，名称ftp、ip地址为ftp服务器的ip地址，如果你想把这台服务器发布出去的话，只要在下面的nat选上add automatic address translation rules即可。 网段network如果你的内部局域网有多个网段，点network右击新建网段、如下图定义好各个内网网段即可。 开启nat功能定义好内网段后还不能上网，我们需要开启nat功能并下发规则。如下图：（如果还不能上网，可能是你没有在web界面定义默认理由）3. 安装策略配置完任何firewall防火墙规则，都需要安装策略，否则规则不会生效。在web界面的更改同样也要下发。l smartview tracker 1. smartview tracker 登录2. 功能界面介绍network&endpoint：记录网络安全日志，可根据功能分类查看、日志包括源、目的、服务、时间、动作、描述。management：记录操作checkpoint日志l smartview monitor1. 登录smartview monitor2. 界面介绍可根据端口、服务、网段、源，来查看具体的流量。 traffic-top services traffic-top interfaces traffic-top souresl checkpoint网关gateway模式1. 网络拓扑图2. 配置步骤：1) 登录smartdashboard2) 新建网段对象将定义为内网网段inside将定义为公网网段outside3) 开启nat功能双击inside，到nat，将add automatic address translation打上钩，确定4) 建立防火墙规则防火墙firewall建立规则，允许源地址到目标地址任何服务5) 安装规则运行install policies6) 客户端配置l pppoe拨号1. 在checkpoint的console口命令行中，增加下面语法expertcp# mknod /dev/ppp c 108 0 （重启设备后，这条命令会丢失，需要在启动脚本里增加） expertcp# vi $cpdir/tmp/.cpprofile.csh （在脚本里增加此命令）在最后增加一行 内容是mknod /dev/ppp c 108 0保存，重启设备2. web界面新建pppoe拨号external接口接到moder，internal接到交换机external接口需要自动获取ip地址（adsl线路是动态，获取到的公网ip地址是动态。）如果adsl是固定ip，external接口需要手动填写固定ip地址新建pppoe拨号拨号成功注：checkpoint拨号时候要注意，用华为moder时候，会出现不兼容现象。与中国电信商务领航moder结合使用正常l checkpoint桥接bridge模式1. 登录checkpoint的web管理界面2. 将两个接口加入桥接bridge接口配置桥接时，必须把参与桥接的端口ip去掉才能加入桥。3. 新建bridge，如下图：新建桥把extermal和internal添加到桥l isp双链路接入配置网络拓扑：isp-1线路 21 isp-2线路 1) 登陆checkpoint web界面配置接口ip地址isp-1 分配到external 接口 21 isp-2 分配到lan1接口 internal接口 是内网网关2) 增加两条isp的默认路由isp-1 线路的网关isp-2 线路的网关3) 登陆smartdashboard，双击cp2704) 选择topology，get各个网卡接口ip地址信息lan1 与 external 都被定义为外接口 internal被定义为内接口5) topologyisp redundancy，把support isp redundancy选择上 在redundancy mode中选择负载均衡模式，还是主次模式 在isp links in order of priority 中add建立isp-1线路add 建立isp-2线路 电信与网通的所使用dns域名解释地址不同，分别填写各自的dnsl nat地址转换网络拓扑：1. 新建nodes-host 2. nat-选择手动static，指定公网ip地址3. 新建防火墙规则source是所有人，访问destination是ftpserver，server是any，动作是允许4. 安装策略5. 验证ftp服务器是否映射成功l ssl vpn1) 网管对象软件版本使用r70更改端口：ssl vpn需要使用443端口确认此端口没有被checkpoint使用。默认情况下checkpoint的路由、接口的配置使用此端口：如果此端口被使用，进入超级终端使用下列命令更换端口：webui enable (webui enable 444)此时通过端口444访问上页。2.配置ssl vpn双击checkpoint对象，添加一个远程接入团体。启用office模式，选择参与vpn的用户组（自己之前在用户和组中定义的）并定义vpn连接后分配给客户端的地址池。黑框标注的是需要定义的支持visitor模式只有启动了visitor模式，才能启动ssl vpn启动ssl vpn最后配置远程接入团体的属性，选择checkpoint网关。选择远程接入用户组，这里选择开始在office mode 中的vpngroups新建规则下发3.使用ssl vpn访问通过ie登陆vpn使用ssl vpn的客户端机器需要安装相应的activex/java控件，使用ie登录后会有相应安装提示，安装即可。登录输入用户名密码即可登陆。默认可以连接8小时。pc右下角提示连接状态5.测试l 拓扑l ping内网接口连接成功后断开后l site-to-site 预共享密码vpn1. 定义vpn对象interoperable device，右击network objects新建interoprable device2. 定义site-to-site vpn community加密方式默认即可点击edit输入一个共享密钥3. 配置防火墙vpn规则l site-to-site 证书vpn （cp270与edge/safeoffice）网络描述：总部使用静态ip地址，分部使用动态ip地址，通过证书方式来建立vpn连接网络拓扑：1. 分别在cp 270和utm-1 edge上建立网段并做nat，确保两台pc能正常接入外网（以cp270为例）：在定义内部网段，开启nat功能下发策略完成后就可以正常和外网通讯：和外网连接正常：utm-edge同样道理。2. 在cp 270上建立vpn对象：证书和预共享密钥的vpn对象不同；对端是静态ip的话一般用预共享密钥的方式，动态就用证书的方式。对象信息如下红色矩形为注意事项：key可以任意填写，主要作用是集中管理认证时候需要的key。配置vpn时候不需要用到此功能。在vpn里，新增加证书，把证书名，ca服务器选择一台内内置ca选择生成证书generate，就会弹出下面界面方框中的内容两者用逗号隔开为 cn=vpnedge vpn certificate, o=cp270.c9eq8u将内容复制下来点击matching criteria按钮，把刚才复制下来的内容填上dn然后确定后，再打开utm-1 edge gatewayvpn，点击export p 12，将证书导出来，发给edge设备，把证书导入到edge设备3. vpn communitysite to sitemyintranet-center gateways添加中心网关为cp270satellite gateways分支网关选edge：4. 将生成的证书到过来并在edge上安装（web界面vpn选择第三项证书然后安装）5. 在firewall建立vpn选择site-to-site认证方式是证书方式，目标网关（是对端）21 网段是即可 ，尝试vpn连接。l remoteaccess vpn1. 配置checkpoint的remoteacces vpn 属性 勾选l2tp support2. remoteaccess-office mode3. 定义用户4. 定义remote vpn communities5. 配置防火墙vpn规则l i