checkpoint培训手册PPT课件

Crossbeam防火墙培训 SmartDashboard部分 1 SmartDashboard 策略编辑器 2 安全策略及对象定义 什么是安全策略 关于一个组织的内网安全规则的集合安全策略定义考虑事项 涉及到哪些服务包括组织自定义的服务可以允许在组织的网络上运行 需要什么样的用户权限和认证机制来保证组织资源的正确使用 组织网络中包括哪些资源 比如网关 主机 网段 路由器和安全区域等 3 4 定义规则注意事项 规则序号规则名称源地址 对象 目的地址 对象 VPN服务动作 Accept Drop Reject追踪 Log Alert AccountInstallOn 在哪个防火墙上生效 时间 5 对象 防火墙 6 7 8 创建Cluster对象 添加一个防火墙Cluster 9 选择创建防火墙的模式 10 配置防火墙的基本属性 11 添加并配置Cluster成员 12 添加Cluster1 管理地址 192 168 0 246 13 点击Communication按钮 输入SIC密码 点击Initialize进行验证 14 添加Cluster2 管理地址 192 168 0 247 15 点击Communication按钮 输入SIC密码 点击Initialize进行验证 16 编辑Topology 17 点击EditTopology进入编辑窗口 在编辑窗口点击Getallmembers topology按钮 topology内容自动获取 18 19 20 创建VXS防火墙 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 对象 节点 主机 36 37 对象 网络 网段 38 39 策略的创建 40 在第一次添加规则的时候 我们点击图中的按钮 然后在规则库中会出现一条默认规则 然后我们引用定义好的对象 制订规则 见下图 在图中我们要添加相应对象 直接在对应栏中点击右键 然后在弹出的对话框中选择相应对象 41 42 43 图中定义了内网到任何地方的http服务都接受 就是内网用户可以访问网页 其他规则类似 就是添加 谁 到哪里 访问什么服务 是否接受 是否记录日志 以及安装在哪台防火墙上 上面就是定义规则的方式 规则定义是非常灵活的 我们只需要把相应对象定义出来 然后再定义访问的服务 然后是否接受就完成策略的定义了 44 地址翻译 地址转换功能是checkpoint防火墙的一个主要功能模块 通过他我们可以很方便的把网络或者主机映射到公网 我们可以做静态地址映射 StaticNAT 可以作动态地址映射 HideNAT 具体的操作见我们配置网络和主机属性章节 在他们属性页面中有NAT一项 我们只需要编辑这一项既可实现NAT该对象到公网 当然我们需要具有相应公网的地址分配给这个对象 任何作了NAT的对象 我们在AddressTranslation中我们都可以看到其对应的规则 这是它自动生成的 无须我们自己定义 45 对主机做HideNAT 因为我们部分主机可以访问到公网 所以要把这些主机作HideNat 先把所有的主机建立出来 然后对配置他们的NAT属性 选择其中一台做操作 其他配置都相同 46 然后选择NAT属性 选择AddAutomaticAddress Translationmethod选择Hide InstallonGateway选择下拉列表框选择我们的防火墙网关对象 完成点击确定 47 完成HideNAT的配置后我们需要验证NAT是否配置成功 48 对服务器作静态NAT 首先把服务器对象定义出来 在Nodes上点击右键 然后选择Host 然后配置服务器的属性 再选择左边窗口中的NAT属性 49 点击NAT 编辑NAT属性 选择AddAutomaticAddressTranslationrules 然后在Translationmethod中选择选择Static 然后在下面的小框中输入自己分配给服务器的公网地址 最后在installon上选择当前防火墙然后点击确定 静态NAT就配置完成 50 51 手工添加NAT 52 不同的防火墙映射成不同的地址 53 防地址欺骗 AntiSpoofing是防止地址欺骗的功能 其意思是不容许假冒的从外网口收到的冒充源地址为内网地址的数据包访问内网其他主机 或者不是某个网段但冒充是这个网段地址企图访问某些主机的数据包 都将被阻止 其功能就是在防火墙外网和内网口上实现 具体配置过程如下 首先双击防火墙对象 打开属性配置界面 然后选择Topology 见图 54 55 出现防火墙接口信息 如果我们系统的接口和路由配置好后 我们单击Get 然后选择Interface或是interfacewithtopology就可以得到接口配置信息 这里我们需要在网络接口上配置AntiSpoofing 所以首先双击其中任一接口开始配置 首先双击外网接口 在下面弹出的对话框中选择Topology 56 57 因为是外网口 按照默认的配置启用了AntiSpoofing 在图中Anti Spoofing选项中查看 performAnti Spoofingbasedoninterface 点击确定 外网口Anti Spoofing功能启用了 然后在内网口我们也配置Anti Spoofing功能 回到防火墙属性的Topology界面点击内网接口 双击它打开配置属性页面 选择Topology 58 59 在上图中我们看到定义了此接口为 Internal leadstothelocal 然后在下面的IPAddressesbehindthis有三个选项 第一个NotDefined 不定义 第二个是定义此接口后面的网段后面的IP如果我们防火墙后面只有一个网段我们通常选择这项 如果我们防火墙内网有几个网段 则需要选择第三项Specify 要把所有的内网网段定义成一个组 选择这个组 就完成 下面的Anti Spoofing选择 performAnti Spoofingbasedoninterface 就启用Anti Spoofing了 60 策略的下发 我们定义了网络对象 做了地址翻译 并且制订了相应的策略 那么我们要把这些策略从管理服务器上下发到防火墙模块上 让他们执行这些策略 做访问控制保护我们的网络 所以 前面所作的那些策略真正的执行者是防火墙模块 策略的安装方式如图示 61 62 Crossbeam防火墙培训 SmartViewMonitor部分 63 SmartViewMonitor 状态查看器SmartViewMonitor是一个高效的网络和安全分析系统 使用它可帮助安全管理员更容易的管理他们的网络 SmartViewMonitor可以查看防火墙状态 CPU利用率 内存利用率 硬盘剩余百分比等 64 65 66 Crossbeam防火墙培训 SmartViewTracker部分 67 SmartViewTracker是我们排出故障的有效工具 当网络出现问题时 我们可以通过查看防火墙日志是否是防火墙作了阻断 如果发现是防火墙DROP掉了 则检查策略 排除故障 68 图中我们看到有相应注释 左边AllRecords是显示防火墙的所有日志 Firewall是显示防火墙的日志 VPN是显示的VPN的日志 如果我们点击图中上面的向下的小箭头 即显示最新出现的日志 正中是日志显示区域 69 在日志界面中我们如果点击Active就会显示当前活动连接的日志 如果我们发现其中某个连接有攻击行为 我们可以立即阻断其攻击 具体是单击导航条中Tools 选择block 即可以采取阻断 70 Crossbeam防火墙培训 添加License篇 71 添加License步骤 确认服务器与防火墙是否连通 72 把原来的LicenseDetach 73 在防火墙上重置SIC 在防火墙上重置SIC admin C25 HJZX IDC 1admin suPassword root C25 HJZX IDC 1admin cpconfigThisprogramwillletyoure configureyourCheckPointproductsconfiguration ConfigurationOptions 1 Licenses 2 SNMPExtension 3 GroupPermissions 4 PKCS 11Token 5 RandomPool 6 SecureInternalCommunication 7 VPNx 8 Disableclustermembershipforthisgateway 9 DisableCheckPointSecureXL 10 AutomaticstartofCheckPointProducts 11 Exit Enteryourchoice 1 11 6ConfiguringSecureInternalCommunication TheSecureInternalCommunicationisusedforauthenticationbetweenCheckPointcomponentsTrustState TrustestablishedWouldyoulikere initializecommunication y n n yNote TheSecureInternalCommunicationwillberesetnow andallCheckPointServiceswillbestopped cpstop Nocommunicationwillbepossibleuntilyouresetandre initializethecommunicationproperly Areyousure y n n yEnterActivationKey xxxxxxRetypeActivationKey xxxxxxinitial module CompiledOK 74 HardeningOSSecurity InitialpolicywillbeapplieduntilthefirstpolicyisinstalledTheSecureInternalCommunicationwassuccessfullyinitializedConfigurationOptions 1 Licenses 2 SNMPExtension 3 GroupPermissions 4 PKCS 11Token 5 RandomPool 6 SecureInternalCommunication 7 VPNx 8 Disableclustermembershipforthisgateway 9 DisableCheckPointSecureXL 10 Autom