checkpoint笔记(带实验手册).doc_第1页
checkpoint笔记(带实验手册).doc_第2页
checkpoint笔记(带实验手册).doc_第3页
checkpoint笔记(带实验手册).doc_第4页
checkpoint笔记(带实验手册).doc_第5页
已阅读5页,还剩48页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

Checkpoint 笔记2012/12/11目录1 实验拓扑 12实验网卡桥接 13 DynamipsGUI来制作 14实验平台与教程2 checkpoint 初始化与配置.21 smartConsole22 chekcpoint理论基础221 Policy packet 222 Policy design 223完全卸载安全策略224 cp 的implied Rules 隐含的策略225 Checkpoint NAT种类226 Checkpoint 认证方式227 Vpn 3 Checkpoint 实验手册31 Remote access vpn 实验32 Site to site vpn 实验33 Context filter 实验34用户认证实验341 user auth 342 session auth 343 client auth35 NAT实验351 Hide nat动态配置方法:352手动配置Hide nat353静态转换动态配置354静态转换手动的配置355端口转换36 开启Smartportal 实验1、实验拓扑:12实验网卡桥接13通过DynamipsGUI来制作 桥接的三台虚拟路由器生成BAT文件就可以了。14实验平台与教程Checkpoint 防火墙图形化界面配置Checkpoint IoS: CheckPoint_NGX_R65_Suite_SPLAT_Linux30.ISO视频教程: 秦柯CheckPoint防火墙.isz虚拟机安装 vmware 9 需要通过web进去初始化,初始化完成后,会应该默认的deny 策略。(只支持IE浏览器)二、checkpoint 初始化与配置基本的信息都可以通过web去做修改和查看。全功能版的授权只有15天,如果15天后想继续使用,只能够重装checkpoint 系统,授权是跟网卡绑在一起,暂时还没有找到办法去破解。到web管理页面去下载smartconsole软件21 smartConsole安装完成后桌面会出现:SmartDashboard R65添加完策略后需要安装才会生效基本的操作界面这个要做成可互联的设备,不然无法拨VPNSmartView Tracker R65日志查看工具,功能非常强大SmartView Monitor R65是不是看起来这个好像是sniffe的功能,常用就是以上三款软件22 chekcpoint理论基础Checkpoint Smart center 一看就知道smart center 是统一管理checkpoint 防火墙的221 Policy packet 1、 为每一个GW创建一个policy packet2、 所有的GW统一使用一个policy packet3、 为某一策略创建一个policy package (Desktop policy)Checkpoint 修改完策略会提交verify和安装 , 策略才会生效Database Rervision control 相当于虚拟机的快照机功能Checkpoint 常用配置的两个地方:1、 policyglobal properties2、 Gateway 属性基本上大部份的设置都在这里设置222 Policy design cp policy 的特点:1、 Accept only the traffic that is required ,drop anything else 接受允许的,拒绝其他的2、 When a rule is match ,that action is followed and no more rules are checked.策略是从上到下匹配的,当前面策略已经匹配的情况下,是不会再去往下匹配3、 there is an invisible rule at the bottom of runbase : drop anything隐含一条拒绝所有两条特殊的rule Stealth Rule Placed near the top of the policy and explicitly blocks access to the firewall Clean up rule Placed at the bottom of the policy and explicitly drops and log all traffic that has not match other rules .but the clean up rule ensure it get logged.223完全卸载安全策略Request that the security policy be unloaded from remote gateways1、 from the menu,policy uninstall2、 run the command fw unload local from the command line of the gateway itself224 cp 的implied Rules 隐含的策略1- Viewimplied rules 显示security pane 里边的这些隐含的策略,无法手动删除2- policyglobal properties firewall225 Checkpoint NAT种类1、 自动配置A、 Hide NAT (相当于PAT)B、 Static Nat 2、 手动配置A、 Hide Nat B、 Static Nat C、 Port translation 静态NAT优先于PAT的转换手动配置(最大的问题是Proxy ARP)226 Checkpoint 认证方式1、 user Authentication 1、 只能够支持http ftp telnet rlogin2、 User authentication 是基于每一个connection3、 类似cisco 的cute-through放行snauth流量(tcp/261)Fwl_snauth2、 session auth3、 client auth1、 client需要放行FWl_clntauth_http (http/900)和FWl_clntauth_telnet(telnet/259)2、 client属性里有许多登陆方式a、 manualb、 partially autoc、 full autod、 agent auto signe、 single sign on (1)、partially auto:http 、Ftp、telnet 和rlogn 使用user auth ,其它协议使用client auth 的manual auth(2)、full auto:http ftp telnet 和rlogin 使用user auth ,其它协议使用session auth ,manual auth 依然存在。(3)、Agent auto 所有协议使用session auth,manual auth 依然存在。(4)、single sign-on :使用user authority server 实现一次性登陆。Opsec 安全公共平台CiFS windows的文件共享227 Vpn 1、 简单的VPN方式2、 传统的VPN方式3、 简单与传统的VPN方式VPN Communities 特点1、 加入这个VPN communities 的设备拥有着相同的策略2、 这样的配置不容易出现配置上的错误3、 Smartcenter能够对多VPN device进行统一配置Vpn communities types 1、 meshed(网状)2、 star(星形)在设备上加入communities 在设备上定义感兴趣流Remote access vpn 客户端在checkpoint 上下载三、Checkpoint 实验手册31 Remote access vpn 实验在outside 端,放置一台拨号VPN用的PC机,让他登陆成功后能ping通内部网络/241、 PC设配置确定pc已经正确的桥接到outside 网卡上2、ping checkpint outside 口地址 202.100.10 由于我已经在cp 上放置了所有到它上面的流量都是允许的。2、 修改SmartDashboard 软件里的remote Access把cp 网关加进去把组加进去如果没有组的话,那必须先建组,再做以上VPN组加入的操作。建组建用户步骤1、 先建立temp模版2、 建组3、 建用户4、 在CP上加入防火墙的策略允许VPN的来回流量通过在vpn 流量那里,右键edit cell 就会弹出此窗口,选择remote access 的comm5、 install 策略6、 在pc上进行VPN拨号测试VPN软件:desktop_simp_win_598000191_1.msi如果是使用office mode 的地址池方式,ip 地址就会是地址池里分配的,如没有指定,就会源用于网卡的公网地址:Pool /24 地址池分配置下来的IP地址32 Site to site vpn 实验R1 outside 路由器上启用lo0 /24 R1 的 ping 通/24 1、R1:VPN配置ip access-list extended vpn permit ip 55 55!crypto isakmp policy 10 hash md5 authentication pre-sharecrypto isakmp key test123 address 0!crypto ipsec transform-set cisco esp-des esp-md5-hmac !crypto map cisco 10 ipsec-isakmp set peer 0 set transform-set cisco match address vpn!interface Loopback0 ip address !interface FastEthernet0/0 ip address 54 duplex auto speed auto crypto map cisco2、CP上的配置新建一个L2L的communities将网关加入调试时可以通过smart view 来查看log策略如下:在CP上把流入流量定义为inside在outside-h1上把outside-vpn定义流入的流量在outside-1 上使用扩展ping 测试能ping通,测试正常。33 Context filter 实验检测http URL中不允许有exec关键字1、R1 上开启http 方式2、把PC桥接到inside vmnet2 网卡上这是没有过滤时的,通过网站来进行访问会出现安全风险,怎么去过滤这样的访问操作。1、新建一个new-url filter这里只过滤掉exec关键字的其它选项下都是默认即可。3、 新建一条策略,应用刚才新建的那个new-url4、 然后安装策略5、 测试效果重新登陆后,发现已经不能正常使用了。在匹配到符合以后,可以采取多种动作,拒绝只是其中一种,也可以采用重定向到别的地方。1、 在new-url的Action 前面都跟上面一样,只是action 上有一点出入这里假设将其重定向到一个不存在的网址2、 安装策略3、 测试因为这个网址不存在,重定向了无法打网页34用户认证实验1、 user auth 2、 session auth 3、 client auth 341 user auth 1、 建组、建用户2、 配置策略开放icmp 3、 telnet 54 认证成功后,才会弹出窗口在inside 路由器上对外访问不认证成功,是无法对外访问342 session auth 无法下载到软件,暂时无法测试放行snauth 流量(tcp/261)Fw1-snauth343 client auth1、修改策略,开放fw1-clntauth_http、fw1_clntauth_telnet、fw1_snauth a) telnet 0 259b) 0:900登陆成功后,就可以登陆了 35 NAT实验Inside 地址/24 转换成hide nat (PAT)351 Hide nat动态配置方法:在inside 路由器上在outside 路由器上做debug 显示出来的IP地址是0,这个就是防火墙的eth0 口。352手动配置Hide nat :在Nat 下添加一条策略353静态转换动态配置:一般做静态NAT就是要让外边的来访问我内部的服务,所以还需要有策略放行。354静态转换手动的配置:在nat 下在策略下:测试:手动做静态NA
人人文库> 全部分类> 行业资料 > 管理策划

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论