wike

htsrerved.

Classification:

Checkpoint

防火墻基本操作手冊

CheckPoint(中國)

TEL:(86)1084193348FAX:(86)1084193399

htsrerved.

Classification:

目錄

目錄.................................................................................................................................................................2

防火墻架構.....................................................................................................................................................3

防火墻的Web管理.......................................................................................................................................3

配置IP：.........................................................................................................................................4

配置DNS和Host:...........................................................................................................................5

配置路由:........................................................................................................................................5

通過防火墻的管理客戶端管理.....................................................................................................................5

添加防火墻.....................................................................................................................................7

添加策略步驟...............................................................................................................................10

IP節點添加...................................................................................................................................10

添加網段.......................................................................................................................................11

IPS的配置......................................美麗英語怎么說 ...............................................................................................................13

更新IPS庫........................................................................紅柳枝烤羊肉 ............................................................14

新建IPS動作庫............................................................................................................................14

應用控制.......................................................................................................................................................16

更新數據庫.................................................................電腦橫屏了怎么旋轉過來 ..................................................................16

添加應用控制策略.....................................................................................................................17

自定義添加應用...........................................................................................................................18

QOS配置.......................................................................................................................................................20

Qos策略的添加............................................................................................................................20

日志工具的使用........................................前后成語 ...................................................................................................20

篩選日志.......................................................................................................................................21

臨時攔截可以連接.......................................................................................................................22

htsrerved.

Classification:

防火墻架構

Checkpoint防火墻的管理是通過一個三層架構來實現的。首先我們可以在任意的機器上安

裝防火墻客戶端控制臺，然后利用控制臺的圖形化界面登錄checkpoint的管理服務器，定義出

各個網絡對象，定義企業各條策略，最后下發到防火墻執行模塊。具體實現過程見圖示：

防火墻的Web管理

首先打開Web管理界面，出現登錄界面：

htsrerved.

Classification:

登陸后的界面

設備的Web界面只能配置設備的IP地址，網關，DNS和路由。還可以針對設備的事件，SNMP監控，

代理等信息。

配置IP：

htsrerved.

Classification:

配置DNS和Host:

配置路由:

通過防火墻的管理客戶端管理

打開管理客戶端。

htsrerved.

Classification:

管理客戶端的界面介紹。

SmartDashboard是配置防火墻策略和對象的一個控制軟件，我們定義對象和規則時就利用他來

實現，SmartUpdate是用于添Licen時要用到的一個控制軟件，SmartViewTracker是查看日志時用

到的客戶端軟件。

點擊SmartDashboard后出現登錄界面，如圖：

htsrerved.

Classification:

這里輸入用戶名，密碼，以及管理服務器的ip地址。點擊ok登錄到配置界面。第一個選項Demo

Mode是查看防火墻的演示界面。點擊DemoMode選擇下拉列表框中的Advance選項可以查看Check

point公司定義的各項配置演示。

Cetificate（證書）選項是替代管理員用戶名和密碼驗證的一種選擇，這個證書有管理服務器

生成，用戶自己保存在本地，需要用它驗證時點擊旁邊的小方塊，添加這個證書，然后選擇管理服

務器地址，然后點擊ok登錄。

最下面的ReadOnly選項是以只讀方式登錄防火墻。沒有改配置的權限。

注意：防火墻一次只可以容許一個用戶以管理員身份登錄，可以修改火墻配置，其他以管理員

身份登錄防火墻的用戶，要么強制斷開當前已登陸的帳戶，要么以只讀身份登錄。

登陸SmartConsole配置界面：

添加防火墻

設備有兩種模式。一種是獨立模式，一種是分布式。獨立式則把防火墻和管理平臺都裝在一臺設備

上面。

分布式則把防火墻和管理平臺分別安裝在兩臺設備上面。管理平臺需要管理防火墻則要通過SIC來

進行管理。獨立式只需要安裝管理軟件則可以直接管理防火墻。分布式在安裝好后則只有Smart

Center。

右鍵點擊CheckPoint點擊SecurityGate腦神經口訣 way/Management…。

htsrerved.

Classification:

右鍵添加設備，添加有兩種模式。一種為向導模式，一種為自定義模式。

這里選擇自定義添加設備。選擇需要的對象，然后回出現彈出界面以便我們配置其具體屬性。

具體見圖示：

htsrerved.

Classification:

編輯防火墻的相關屬性，見圖所示，所標記的地方都是必須要做相應配置的。然后點擊Topology

點擊GetinterfacewithTopology的到防火墻接口信息。添加防火墻必須通過topology獲取到設備上面

的相關接口IP，否則策略下發后將不生效。

htsrerved.

Classification:

配置完成，點擊ok。完成防火墻配置。然后下面的配置節點對象以及網絡對象都是相同意思，做好

相應配置。

設備添加完成后我們可以在樹形欄中看到設備添加成功后會出現一個新設備。

添加策略步驟

添加完設備之后我們要添加公司內部需要經過防火墻的網段。可以只添加需要做策略的網段或

者IP。

首先添加IP節點，右鍵Nodes點擊Node-Host添加IP節點。

IP節點添加

設備IP節點的名稱

htsrerved.

Classification:

添加網段

添加網段。右鍵NetWork點擊Network添加網段。

添加網段的屬性。

htsrerved.

Classification:

添加策略，源/目的地址可以套用建立的節點或者網段。

添加完策略之后需要對策略進行下發。下發策略到防火墻有兩種方式

1.通過點擊快捷按鈕來進行下發。

1、測試策略是否有錯誤。

2、下發策略到防火墻

3、顯示策略下發的防火墻

4、顯示策略下發記錄

htsrerved.

Classification:

2.通過點擊菜單中的Policy中的Install進行下發

IPS的配置

CheckPoint的IPS功能在防火墻上面開啟后可以基本攔截70%的攻擊，如果需要做更精確的配置

可以通過手動自定義IPS的攔截事件。

IPS界面

htsrerved.

Classification:

更新IPS庫

初次開啟IPS需要先對IPS的庫進行更新。通過點擊DownloadUpdate更新數據庫

更新完庫后我們可以針對IPS的項目進行修改。首先我們新建一個動作庫。

新建IPS動作庫

htsrerved.

Classification:

新建完之后可以看到。該庫名為test模式為掃描。如果需要進一步對設備進行測試。可以針對

這個規則進行修改。點開在Test這一列針對需要修改的進行修改。默認為全掃描

模式。

只需要雙擊你需要修改的規則。

選擇你需要修改的動作庫，這里選擇test

htsrerved.

Classification:

應用控制

應用控制可以限制用戶的應用訪問和url訪問。做到內網的應用控制

初次使用應用控制需要更新應用數據庫到最新。

更新數據庫

htsrerved.

Classif七夕民俗 ication:

添加應用控制策略

選擇應用控制模塊后點擊Policy然后點擊添加策略進行添加。

CheckPoint的應用控制是通過云端去識別應用，你可以到應用庫中查看目前可以識別的應用或者URL，

還可以針對類型進行控制，如果限制shoppint則可以針對所有購物網站進行限制。它會通過網站的

特征碼來匹配。匹配成功后來進行限制。

htsrerved.

Classification:

AppWike

點擊AppWike可以檢索到防火墻上更新到的所有應用。

自定義添加應用

點擊Next

htsrerved.

Classification:

點擊Next

htsrerved.

Classification:

點擊完成。

QOS配置

默認打開Qos頁面有一條默認策略，無限制。右鍵點擊添加策略，添加新策略

Qos策略的添加

日志工具的使用

SmartTracket日志查看工具：

htsrerved.

Classification:

CheckPoint自帶的日志查看工具可以對設備的日志進行篩選，分類。圖中我們看到有相應注釋，

左邊AllRecords是顯示防火墻的所有日志,Firewall是顯示防火墻的日志，VPN是顯示的VPN的日志，如

果我們點擊圖中上面的向下的小箭頭，即顯示最新出現的日志。正中是日志顯示區域。

篩選日志

可以針對不同的需求對日志進行篩選，如要篩選時間為2013年11月4日則右鍵data選擇Eidtfelter

輸入要設定的時間。添加指定的事件后系統會把相應的日志顯示出來。

設定你需要進行篩選的事件段。也可以指定某一個時間。

htsrerved.

Classification:

除了可以設定時間也可以篩選策略類型，源地址，目的地址，動作，命中的策略數這些都是可

以進行篩選。也可以對發出該日志的設備進行篩選。

臨時攔截可以連接

通過blockingconnections進行設置公司的防御。臨時禁止可疑攻擊。選擇該連接右鍵blocking

connections就可以自定義該疑似攻擊的連接進行攔截設定。可以針對該連接的源，目標，端口來

或者源IP或者目的IP進行攔截。該日志只能通過monitor進行查看。Tracket無法查看該攔截日

志。只能在Active中進行設定。只能針對實時正在試用的連接進行配置臨時攔截。