checkpoint防火墙相关培训cp访问控制和nat

1、访问控制与NATChapterSmartConsole 组件SmartDashboardSmartMapSmartView TrackerSmartView MonitorEventia ReporterEventia AnalyzerSmartProvisioningSmartUpdateManage Endpoint Security ServerSecurity Management Server安全管理服务器 术语往往交替使用SmartCenter Server = Security Management Server用户管理安全策略安全策略与组织数据存储的地方维护Security G

2、ateways 数据库包括对象定义安全策略日志文件在SmartDashboard定义策略保存在Security Management Server在SmartDashboard 中管理用户用户与管理员类型AdministratorsRead OnlyRead/WriteAdministrator Groups用于识别管理员应有的权限去安装策略在SmartDashboard建立的管理员帐号并不同于在OS层面的管理员帐号External User ProfilesGroupsLDAP GroupsTemplatesUsers安全策略基础Security Policy安全策略使用策略库定义的一套网络

3、安全规则Rule Base包含了network objects 例如 gateways, hosts, networks, routers, and domains.一旦策略库被定义, 策略会通过网络分布到所有的安全网关上.The Rule Base 为每一个应用定义规则的source, destination, service, 和action定义如何跟踪这些应用在SmartDashboard管理对象 代表实际主机与设备无形组成部分(services)Resources资源一个组织的每个组件都有一个对应的对象表示可以被策略使用Objects Tree对象树Smartdashboard 结构对

4、象树功能选项卡对象列表菜单与快捷方式管理对象在Object Tree上建立对象编辑对象删除对象克隆主机和网络对象对象的添加Smartdashboard 结构(对象树)Firewall Policy 选项卡1.数据到达firewall,从第一条策略开始匹配2. Firewall根据source，destination，service,vpn进行匹配3.如果匹配成功，数据会根据Action中的内容执行动作4.如果匹配不成功，数据会找下一条策略进行匹配5.如果所有策略都不匹配成功，系统会找到最后一条any any drop隐含/显式策略 Implicit vs. Explicit RulesCont

5、rol ConnectionsAccept control connections类型Gateway specificAcceptance of IKE and RDP trafficCommunication with various types of serversPolicy Global Properties FireWall Implied RulesFirstBefore LastLast配置记录隐含策略记录隐藏记录日志勾选启用隐含策略隐含策略位置隐含规则的位置关系Before LastFirstLast一些有用信息策略从上到下执行放置最严格的策略在策略最上层组对象或合并规则可以使

6、策略更清晰首先添加clean up rule 清空策略到每个新的策略包使用 section titles注释每条策略常用的规则要放在不常用规则的前面.Rule Base 配置必须安装安全策略可以指定安装的网关对象只有被管理的对象才可以安装策略Install On 字段是规则库中可以指定安装在具体的网关的设定检查安全策略看是否有重复策略IP Addressing why NATRFC 1918 私有网络的地址分配Class A : 10.0.0.0-10.255.255.255Class B : 172.16.0.0-172.31.255.255Class C : 192.168.0.0-192

7、.168.255.255Hide NAT Static NAT NAT 与其实现方式(自动实现的NAT)NAT 与其实现方式(自动实现的NAT)Hide NAT (自动实现模式)双击需要做NAT的对象点选NAT选项卡打勾“Add automatic Address Translation”Translation 选择 Hide选择 Hide 成gateway的地址还是Hide成某个具体IP选择 需要安装的firewallStatic NAT (自动实现模式)双击需要做NAT的对象点选NAT选项卡打勾“Add automatic Address Translation”Translation 选

8、择 Static填入映射到外网的IP地址选择 需要安装的firewallNAT 与其实现方式(手工实现的NAT)NAT 与其实现方式(手工实现的NAT)为什么需要手工NAT互联网地址不够使用多个业务多个IP对应一个服务器需要取消某些NAT的情况VPN环境下不实现NAT灵活的NAT设置手工NAT需要注意的事项NAT策略顺序Proxy ARP / ARP IssueSk30197添加Second IP 创建编辑$FWDIR/conf/local.arp对外发布的公网地址外物理网卡的Mac地址NAT表结构 数据到达firewall 从第一条策略开始匹配2. Firewall根据original pa

9、cket 中source，destination，service进行匹配3.如果匹配成功，数据会根据translated packet表中的source，destination，service的内容进行NAT4.如果匹配不成功，数据会找下一条NAT策略进行匹配手工NAT策略自动NAT策略防火墙安装对象与策略安装策略管理概述可能需要多个版本的安全政策，但对象数据库不变.添加唉或者综合当前策略创建新策略当保存策略时策略的管理需要策略包 (包含 Security, NAT, and Desktop and QoS Policy rules)分布式安装与多安全网关需要每个网关一套策略包策略管理流程的工

10、具策略包预定义安装网关目标Section Titles查询排序策略管理与版本控制变更策略与对象的回退方法工具策略包管理Database Revision Control策略数据库版本控制Database Revision Control实施新的对象和规则时，网络改变或调整的规则和对象，建立后备配置当你保存策略时包括一个网关上的所有政策，对象和用户配置，包括设置中的SmartDefense，全局属性它可以被配置为自动创建新的数据库版本，安装政策执行Database Revision Control File Database Revision Control保存并继续Policy or Data

11、base Management UtilityPolicy or Database Management UtilityConsiderationsDatabase Revision Control Database versions consists of all Policies, objects and users configured, including settings in SmartDefense and Global Properties Ideal management utility for stand alone deployment, or distributed with a single Gateway deployment Configurable to automatically create new database versions on Policy installationPolicy Package Management Policy Package including only Security and NAT, QoS, and Desktop Security settings Ideal management utility for a distributed i