CP防火墙维护培训手册PPT课件

NOKIA CP防火墙维护手册 TomasSimon2006年4月12日 课程模块 模块一NOKIA平台介绍模块二CheckPoint介绍模块三配置VPN 模块一NOKIA平台介绍 本模块的主要内容 NOKIA完整的服务架构NOKIA产品线介绍IPSO3 8介绍基本的voyager配置介绍NOKIA的简单维护NOKIA的监控功能 NOKIA完整的服务架构 硬件平台层 应用层 管理层 支持层 NOKIA产品线介绍 NOKIA产品线介绍 NOKIA产品线介绍 IPSO3 8介绍 IPSO开始于一个干净的微内核的操作系统 内核中没有其他任何的额外服务 内核是由FreeBSD衍生出来 意味着IPSO是一个UNIX based操作系统内核充分利用了包交换技术 事实上NOKIA防火墙可以被当作一个路由器来使用 IPSO作为一个操作系统 所以NOKIA平台上可以运行一些第三方的应用程序 比如 CheckPointFireWall 1andISSRealSecure 基本voyager配置介绍 COM口连接9600 8N1 noParity NullModemCable noflowcontrol 基本voyager配置介绍 提供多种选择的启动shell 选择启动的内核恢复出厂设置单 多用户模式预启动网络配置诊断 修正信息恢复Bootmanager密码 基本voyager配置介绍 给计算机选择一个FQDN名字 但不是必须的 在HOSTNAME后输入 toivonen 确认你的选择为缺省用户 admin 选择一个密码 确认一次密码 基本voyager配置介绍 选择以后配置NOKIA平台的模式 选择一个接口进行配置 基本voyager配置介绍 给被选择的接口分配一个IP地址 并分配一个子网掩码 配置速率和模式 确认配置信息 基本voyager配置介绍 打开IE浏览器 输入NOKIA的IP地址 证窗口将出现在你的面前 基本voyager配置介绍 正确的输入了登录的用户名和密码 你将进入NokiaVoyagerhome页面 基本voyager配置介绍 Configure Monitor 基本voyager配置介绍 回到上一个页面 回到Config页面 回到Home页面 Remember 经常使用APPLY和SAVE键 在当前页面应用这些设置 保存当前运行的配置文件到disk硬盘中 基本voyager配置介绍 点击 Config 键 进入配置界面 以下为配置主界面 基本voyager配置介绍 时间 时区的配置点击 SystemConfiguration LocalTimeSetup 进入time配置界面 基本voyager配置介绍 网络接口的设置点击 Top 回到主配置界面点击 Interfaces 进入接口配置界面 基本voyager配置介绍 物理接口的设置点击对应接口的 physical 在 PhysicalConfiguration 改变接口的linkspeed和duplex点击 Apply 和 Save 基本voyager配置介绍 逻辑接口的设置点击 Up 键回到 InterfaceConfiguration 界面将给对应的接口分配IP地址选择对应接口的 LogicalInterface 进入 LogicalInterface 配置界面 基本voyager配置介绍 给接口分配IP地址给接口输入相应的IP地址和子网掩码长度 选择 On 激活接口 可以修改接口的逻辑名字 点击 Apply and Save 点击 Up 回到 InterfaceConfiguration 界面 基本voyager配置介绍 静态路由点击 Top 键回到主配置界面 点击 RoutingConfiguration StaticRoutes 基本voyager配置介绍 配置缺省网关在 Gateway 一栏 确保default的状态是 on 并被配置了正确的IP地址 如果没有被设置 见下一页 基本voyager配置介绍 配置缺省网关选择 GatewayType address 点击 Apply 新的 GatewayAddress 一栏出现 输入正确的 GatewayAddress Description 和 Priority 这个 GatewayAddress 被识别为上一级的路由器 点击 Apply 和 Save 基本voyager配置介绍 配置主机名称表点击 SystemConfiguration HostAddressAssignment 基本voyager配置介绍 输入一个设备的计算机名 所有做HA的设备必须列出各自的计算机名 这还要包括管理服务器输入确切的IP地址点击 Apply 和 Save 基本voyager配置介绍 建立备份管理员和监控用户点击 SecurityandAccess Configuration Users UID为0的用户被认为admin用户 监控用户有只读权限 UID102为RO权限监控用户可以CLI登录监控用户可以进入Config 但不能改变任何设置和保存 1 创建管理员用户名 Apply 2 设置管理密码 Save 基本voyager配置介绍 DNS设置点击 DNS 进入配置界面 输入domain名字和DNS服务器 日志文件中的反相查询需要DNS功能 NOKIA的简单维护 Voyager需要FTP服务器比较少的人为操作在CLI下使用newpkg命令 从IPSO得到更到的反馈可以从不同的从程序安装 两种方式的安装和升级软件 NOKIA的简单维护 从voyager安装软件输入FTP服务器信息 选择要下载的包 点击APPLY进行拷贝 1 2 3 NOKIA的简单维护 选择要安装的包 点击APPLY 点击出现的超级链接进行安装 选择installorupgrade这个链接 4 NOKIA的简单维护 安装完成后还需要做一些事情 重新登录 安装完成的包显示在列表中 NOKIA的简单维护 从CLI安装软件使用Newpkg命令选择CLI的安装速度很快 记住选项 n 说明包的名字 i 只安装 不激活 REMEMBER 安装软件之前 检查MD5 NOKIA的简单维护 NOKIA的简单维护 NOKIA配置的备份 NOKIA的简单维护 管理配置设置点击ManageConfigSets配置保存在 config db 目录 选择一个新的配置 并将该配置载入为active配置 点击 save 操作将覆盖active配置文件 可以实现出厂缺省设置 可以通过FTP把本地的配置文件保存到另外机器上 NOKIA的简单维护 配置的备份和恢复点击ConfigBackupandRestore 配置保存在 config db 目录 选择你要备份 定制一个备份计划任务 从 var backup恢复通过Voyager sFTP或者HTTP选项把备份文件恢复到NOKIA平台 NOKIA的简单维护 两种方式升级IPSO版本Voyager进入ManageIPSOImages界面进入NEWIMAGE界面在CLI下使用newimage命令这些升级IPSO版本的方法将保留Voyager的设置 NOKIA的简单维护 从Voyager升级IPSO简单需要服务器使用FTPorHTTP测试是否可启动 NOKIA的简单维护 从CLI升级IPSO用newimage命令把另一版本的OS放到HD上 Newimage usagesyntax 模块二CheckPoint介绍 本模块的主要内容 CheckPoint公司介绍OPSEC技术介绍CheckPoint的主要优势CheckPoint的安全架构CheckPoint的安装 配置CheckPoint的日志查看 CheckPoint公司介绍 CheckPoint公司是世界上发展速度最快的软件公司之一 在网络防火墙市场上持续保持领先地位 作为世界领先的IP网络策略管理解决方案供应商 CheckPoint公司的产品包括 领先的企业安全解决方案FireWall 1 VPN解决方案VPN 1和带宽管理解决方案FloodGate 1 其全资子公司MetaInfo提供先进的网络和IP地址管理软件 以简化复杂网络的配置 集成和管理 公司总部位于美国加利福利亚州雷德伍德城 OPSEC技术介绍 CheckPoint专利的OPSEC OpenPlatformforSecureEnterpriseConnectivity 技术为各厂商安全产品的整合提供了方便统一的接口 CheckPointFireWall 1可以有效地集成第三方的安全产品 为企业网络安全提供了统一 全面 灵活的管理平台 因而覆盖了网络安全的方方面面 您甚至可以通过FireWall 1管理Cisco Bay Xylan等网络设备供应商的不同产品 CheckPoint主要优势 企业集中管理下的分布式客户机 服务器结构对网络应用的广泛支持增强的加密和身份认证功能精确可靠的内容安全开放的平台 更多的选择全方位的安全解决方案 CheckPoint的安全架构 管理安全策略 对象数据库 日志数据库和协调管理员登录 用户接口 用于建立对象和安全策略 查看日志和FW状态 维护控制模块 FWM执行安全策略 并向管理服务器报告状态和日志数据 ManagementServer SmartCenterServer Multiplefirewallmodules FWM EnforcementPoints ManagementModule SmartConsole CP各个组件支持不同的系统平台 NokiaWindowsSolaris2SunOS4HP UXAIXRedHatLinuxOthers SmartConsole GUI SmartCenter Management Server WindowsX Motif NokiaWindowsSolaris2SunOS4HP UXAIXLinux Enforcement Firewall Module CheckPoint的安全架构 CP组件的不同组合 CheckPoint的安全架构 CheckPoint的安装 配置 CheckPoint执行模块的安装1 通过voyager安装CP软件包 CheckPoint的安装 配置 2 通过console口连接防火墙 执行cpconfig命令进行防火墙执行模块初始化 选择安装方式 采用集中还是单独方式 选择管理模块服务器类型在选择了安装模块和checkpoint的HA软件后询问是否增加license输入一些随机码输入一个activekey CheckPoint的安装 配置 3 防火墙管理服务器的安装选择一台WINDOWS2000系统安装smartcenter防火墙管理端软件设置管理客户端的用户名和密码以及访问权限设置管理客户端的IP地址 允许这个IP登录 输入随机数 产生内部证书用来使防火墙模块和管理服务器进行认证 CheckPoint的安装 配置 4 防火墙GUI的安装选择一台WINDOWS系统安装CP防火墙GUI客户端 CheckPoint的安装 配置 CP管理服务器的配置1 打开CP客户端GUI 输入上一步设置的用户名 口令和管理服务器的地址 CheckPoint的安装 配置 2 第一次登录 需要 指纹 校验 点击approve 3 进入防火墙管理服务器配置界面 CheckPoint的安装 配置 4 定义防火墙FW对象 CheckPoint的安装 配置 5 输入FW对象的主机名 模块等信息 输入SIC 并获得防火墙FW对象的属性 CheckPoint的安装 配置 6 编辑每个防火墙对象的拓扑属性 设置属于外网还是内网 并设置是否执行IP地址欺骗 CheckPoint的安装 配置 7 定义策略 定义网络对象和定义规则 CheckPoint的安装 配置 8 下发策略 记录日志 CheckPoint的日志查看 SmartViewTracker界面 CheckPoint的日志查看 查看该记录详细信息 CheckPoint的日志查看 对管理员操作的审计 CheckPoint的日志查看 SystemStatusViewer 系统状态查看器 登录SystemStatusSystemStatus界面模块查看模块状态产品详细信息窗口提示信息 CheckPoint的日志查看 SystemStatus界面 CheckPoint的日志查看 模块三VPN的配置 测试环境网络拓扑 模拟内网客户端IP 192 168 0 10 Gw1 公网VPN网关Ext IP 211 99 182 171Int IP 192 168 0 1平台 IP330安装软件 VPN 1Module SmartCenter Gw2 内网VPN网关 NATed Ext IP 211 99 182 172Int IP 10 0 0 1平台 IP330安装软件 VPN 1Module SmartCenter 模拟内网客户端IP 10 0 0 10 安装所有软件 客户端安装SmartConsoleR55在公网