Checkpoint中文资料[方案]

《Checkpoint中文资料[方案]》由会员分享，可在线阅读，更多相关《Checkpoint中文资料[方案]（35页珍藏版）》请在装配图网上搜索。

1、Check Point FireWall-1技 术 资 料目录Check Point FireWall-1技术白皮书1.FireWall-1简介21.1.状态检测机制21.2.FireWall-1产品组成31.2.1.Check Point FireWall-1产品包括以下模块：31.2.2.FireWall-1提供单网关和企业级两种产品组合。31.3.OPSEC41.4.企业级防火墙平安管理41.5.分布的客户机/效劳器结构41.6.认证Authentication51.7.地址翻译NAT51.8.内容平安51.9.连接控制61.10.路由器平安管理62.FireWall-1的规划72.1.

2、FireWall-1体系结构72.1.1.管理模块72.1.2.防火墙模块82.2.典型配置分析9网关方式配置9防火墙的网关和别离的管理工作站92.2.3.防火墙网关和两个内部网络102.2.4.由一个管理工作站和控制的两个防火墙网关112.2.5 失效恢复网关配置113.与Cisco PIX的比拟12Check Point FireWall-1安装配置手册4.FireWall-1安装154.1.安装前的准备154.1.1.网络环境准备154.1.2.配置需求164.2.一步一步的安装175.FireWall-1卸载286.停止FireWall-1运行286.1.卸载平安策略286.2.停止状

3、态检测286.3.屏蔽FireWall-1287.重新配置FireWall-1288.典型配置案例298.1.工程简介及工程要求：298.1.1.拓扑图298.1.2.工程具体要求如下：298.2.FireWall-1安装过程及考前须知：308.3.FireWall-1的规那么制定细节及含义308.4.定义网络规那么的考前须知：318.5.安装完FireWall-1防火墙后的测试工作329.小结32Check Point FireWall-1技术白皮书1. FireWall-1简介1.1. 状态检测机制FireWall-1提出了一个全新的“状态检测的防火墙技术，它可以在网络层实现所有必要的防火

4、墙功能。利用状态检测技术，FireWall-1的检测模块访问和分析所有从通讯层得到的数据。为了控制无连接的协议例如：基于RPC和UDP的应用，FireWall-1提供了虚拟会话信息，这些会话信息的“状态和“上下文数据动态地存储和更新。从通讯和应用状态积累起来的数据，网络配置和平安规那么常常用来产生适当的动作，接受、拒绝或者加密通讯的数据包。任何没有被平安规那么明确允许的数据包默认被丢弃，并且产生实时的报警，为系统管理者提供完全的网络状态。FireWall-1采用Check Point公司的状态检测Stateful Inspection专利技术，以不同的效劳区分应用类型，为网络提供高平安、高性能

5、和高扩展性保证。FireWall-1状态检测模块分析所有的包通讯层，汲取相关的通信和应用程序的状态信息。状态检测模块能够理解并学习各种协议和应用，以支持各种最新的应用。状态检测模块截获、分析并处理所有试图通过防火墙的数据包，保证网络的高度平安和数据完整。网络和各种应用的通信状态动态存储、更新到动态状态表中，结合预定义好的规那么，实现平安策略。状态检测模块可以识别不同应用的效劳类型，还可以通过以前的通信及其它应用程序分析出状态信息。状态检测模块检验IP地址、端口以及其它需要的信息以决定通信包是否满足平安策略。状态检测模块把相关的状态和状态之间的关联信息存储到动态连接表中并随时更新，通过这些数据，

6、FireWall-1可以检测到后继的通信。状态检测技术对应用程序透明，不需要针对每个效劳设置单独的代理，使其具有更高的平安性、高性能、更好的伸缩性和扩展性，可以很容易把用户的新应用添加到保护的效劳中去。FireWall-1提供的INSPECT语言，结合FireWall-1的平安规那么、应用识别知识、状态关联信息以及通信数据构成了一个强大的平安系统。INSPECT是一个面向对象的脚本语言，为状态检测模块提供平安规那么。通过策略编辑器制定的规那么存为一个用INSPECT写成的脚本文件，经过编译生成代码并被加载到安装有状态检测模块的系统上。脚本文件是ASCII文件，可以编辑，以满足用户特定的平安要求

7、。1.2. FireWall-1产品组成1.2.1. Check Point FireWall-1产品包括以下模块：l 根本模块： 状态检测模块Inspection Module：提供访问控制、客户机认证、会话认证、地址翻译和审计功能； 防火墙模块FireWall Module：包含一个状态检测模块，另外提供用户认证、内容平安和多防火墙同步功能； 管理模块Management Module：对一个或多个平安策略执行点安装了FireWall-1的某个模块，如状态检测模块、防火墙模块或路由器平安管理模块等的系统提供集中的、图形化的平安管理功能；l 可选模块 连接控制Connect Control：

8、为提供相同效劳的多个应用效劳器提供负载平衡功能； 路由器平安管理模块Router Security Management：提供通过防火墙管理工作站配置、维护3Com，Cisco，Bay等路由器的平安规那么； 其它模块，如加密模块等。l 图形用户界面GUI：是管理模块功能的表达，包括 策略编辑器：维护管理对象、建立平安规那么、把平安规那么施加到平安策略执行点上去； 日志查看器：查看经过防火墙的连接，识别并阻断攻击； 系统状态查看器：查看所有被保护对象的状态。1.2.2. FireWall-1提供单网关和企业级两种产品组合。l 单网关产品：只有防火墙模块包含状态检测模块、管理模块和图形用户界面各一

9、个，且防火墙模块和管理模块必须安装在同一台机器上。l 企业级产品：可以有假设干根本模块和可选模块以及图形用户界面组成，特别是可能配置较多的防火墙模块和独立的状态检测模块。企业级产品的不同模块可以安装在不同的机器上。1.3. OPSECCheck Point是开放平安企业互联联盟(OPSEC)的组织和倡导者之一。OPSEC允许用户通过一个开放的、可扩展的框架集成、管理所有的网络平安产品。OPSEC通过把FireWall-1嵌入到已有的网络平台如Unix、NT效劳器、路由器、交换机以及防火墙产品，或把其它平安产品无缝集成到FireWall-1中，为用户提供一个开放的、可扩展的平安框架。目前已有包括

10、IBM、HP、Sun、Cisco、BAY等超过135个公司参加到OPSEC联盟。1.4. 企业级防火墙平安管理FireWall-1允许企业定义并执行统一的防火墙中央管理平安策略。企业的防火墙平安策略都存放在防火墙管理模块的一个规那么库里。规那么库里存放的是一些有序的规那么，每条规那么分别指定了源地址、目的地址、效劳类型 、FTP、TELNET等、针对该连接的平安措施放行、拒绝、丢弃或者是需要通过认证等、需要采取的行动日志记录、报警等、以及平安策略执行点是在防火墙网关还是在路由器或者其它保护对象上上实施该规那么。FireWall-1管理员通过一个防火墙管理工作站管理该规那么库，建立、维护平安策略

11、，加载平安规那么到装载了防火墙或状态检测模块的系统上。这些系统和管理工作站之间的通信必须先经过认证，然后通过加密信道传输。FireWall-1直观的图形用户界面为集中管理、执行企业平安策略提供了强有力的工具。l 平安策略编辑器：维护被保护对象，维护规那么库，添加、编辑、删除规那么，加载规那么到安装了状态检测模块的系统上。l 日志管理器：提供可视化的对所有通过防火墙网关的连接的跟踪、监视和统计信息，提供实时报警和入侵检测及阻断功能。l 系统状态查看器：提供实时的系统状态、审计和报警功能。1.5. 分布的客户机/效劳器结构FireWall-1通过分布式的客户机/效劳器结构管理平安策略，保证高性能、

12、高伸缩性和集中控制。FireWall-1由根本模块防火墙模块、状态检测模块和管理模块和一些可选模块组成。这些模块可以通过不同数量、平台的组合配置成灵活的客户机/效劳器结构。管理模块包括了图形用户界面和管理员定义的相关管理对象规那么库，网络对象，效劳、用户等。防火墙模块、状态检测模块以及其它可选模块用来执行平安策略，安装了这些模块的系统称为受保护对象Firewalled System，又称为平安策略执行点Security Enforcement Point。FireWall-1的客户机/效劳器结构是完全集成的，只有一个统一的平安策略和一个规那么库，通过一个单一的防火墙管理工作站，管理多个装载了防

13、火墙模块、状态检测模块或可选模块的系统。1.6. 认证Authentication远程用户和拨号用户可以经过FireWall-1的认证后，访问内部资源。FireWall-1可以在不修改本地效劳器或客户应用程序的情况下，对试图访问内部效劳器的用户进行身份认证。FireWall-1的认证效劳集成在其平安策略中，通过图形用户界面集中管理，通过日志管理器监视、跟踪认证会话。FireWall-1提供三种认证方法：l 用户认证User Authentication：针对特定效劳提供的基于用户的透明的身份认证，效劳限于FTP、TELNET、 、 S、RLOGIN。l 客户机认证Client Authenti

14、cation：基于客户机IP的认证，对访问的协议不做直接的限制。客户机认证不是透明的，需要用户先登录到防火墙认证IP和用户身份之后，才允许访问应用效劳器。客户机不需要添加任何附加的软件或做修改。当用户通过用户认证或会话认证后，同时也就已经通过客户机认证。l 会话认证Session Authentication：提供基于效劳会话的的透明认证，与IP无关。采用会话认证的客户机必须安装一个会话认证代理，访问不同的效劳时必须单独认证。FireWall-1提供多种认证机制供用户选择：S/Key，FireWall-1 Password，OS Password，LDAP，SecureID，RADIUS，TA

15、CACS等。1.7. 地址翻译NATFireWall-1支持三种不同的地址翻译模式：l 静态源地址翻译：当内部的一个数据包通过防火墙出去时，把其源地址一般是一个内部保存地址转换成一个合法地址。静态源地址翻译与静态目的地址翻译通常是配合使用的。l 静态目的地址翻译：当外部的一个数据包通过防火墙进入内部网时，把其目的地址合法地址转换成一个内部使用的地址一般是内部保存地址。l 动态地址翻译也称为隐藏模式：把一个内部网的地址段转换成一个合法地址，以解决企业的合法IP地址太少的问题，同时隐藏内部网络结构，提高网络平安性能。1.8. 内容平安FireWall-1的内容平安效劳保护网络免遭各种威胁，包括病毒

16、、Jave和ActiveX代码攻击等。内容平安效劳可以通过定义特定的资源对象，制定与其它平安策略类似的规那么来完成。内容平安与FireWall-1的其它平安特性集成在一起，通过图形用户界面集中管理。OPSEC提供给用开发接口API以集成第三方内容过滤系统。FireWall-1的内容平安效劳包括：l 利用第三方的防病毒效劳器，通过防火墙规那么配置，扫描通过防火墙的文件，去除计算机病毒；l 根据平安策略，在访问WEB资源时，从 页面剥离Java Applet，ActiveX等小程序及Java，Script等代码；l 用户定义过滤条件，过滤URL；l 控制FTP的操作，过滤FTP传输的文件内容；l

17、SMTP的内容平安隐藏内部地址、剥离特定类型的附件等；l 可以设置在发现异常时进行记录或报警；l 通过控制台集中管理、配置、维护。1.9. 连接控制FireWall-1的连接控制模块提供了负载平衡功能，在提供相同效劳的多个应用效劳器之间实现负载分担，应用效劳器不要求都放在防火墙后面。用户可选用不同的负载均衡算法：l Server Load该方法由效劳器提供负载均衡算法，需要在应用效劳器端安装负载测量引擎；l Round TripFireWall-1利用ping命令测定防火墙到各个应用效劳器之间的循回时间，选用循回时间最小者响应用户请求；l Round RobinFireWall-1根据其记录表

18、中的情况，简单地指定下一个应用效劳器响应；l RandomFireWall-1随机选取应用效劳器响应；l DomainFireWall-1按照域名就近原那么，指定最近的应用效劳器响应。1.10. 路由器平安管理可以通过FireWall-1的管理工作站对企业范围内的路由器提供集中的平安管理：l 通过图形用户界面生成路由器的过滤和配置；l 引入、维护路由器的访问控制列表；l 记录路由器事件需要路由器支持日志功能；l 在路由器上执行通过图形用户界面制定的平安策略。FireWall-1可以集中管理以下路由器：ll Cisco routers, IOS version 9 - 11l Cisco PIX

19、 Firewall，ll2. FireWall-1的规划2.1. FireWall-1体系结构FireWall-1有两个主要模块组成，管理模块和防火墙模块。2.1.1. 管理模块管理模块包括图形用户界面GUI和管理效劳器。图形用户界面是管理效劳器的前端，它管理FireWall-1的数据库：配置规那么、网络对象、效劳、用户等。管理模块可以配置成为Client/Server结构。客户端可以运行在Windows 95、Windows NT或者X/Motif图形用户界面的系统上，控制着运行在支持平台的管理效劳器。客户端通过GUI和用户进行交互，但是所有数据数据库和配置文件有管理效劳器来维护。2.1.2

20、. 防火墙模块防火墙模块包括状态检测模块、FireWall-1平安效劳器，并具有高可用性的特性。以下图描述了防火墙模块和状态检测模块之间的关系。状态检测模块通过驻留程序的方式实现了平安访问控制、客户端和会话认证、网络地址翻译、日志报警和加密功能。并且负责同管理进行模块通讯。防火墙模块实现了用户认证、内容平安等功能。运行平台如下表所示：组件平台FireWall-1 GUI客户端Client/Server配置Windows 95, Windows NT (3.51 and 4.0),X/Motif (on Solaris 2.5 and higher, HP-UX10.x, IBM AIX 4.2

21、.1 and 4.3.0)FireWall-1管理效劳器Client/Server配置Windows NT (3.51 and 4.0, Intel only), SolarisFireWall-1管理模块OpenLook GUI)Solaris 2.5 and higherFireWall-1防火墙模块Windows NT (Intel only), Solaris 2.5 andhigher, HP-UX 10.x, IBM AIX 4.2.1 and 4.3.0,Nokia IP RoutingFireWall-1状态检测模块Windows NT (Intel only), Solari

22、s 2.5 andhigher, HP-UX 10.x, IBM AIX 4.2.1 and 4.3.0,Bay Networks, TimeStep PermitGate, Xylan(limited functionality)SecuRemoteWindows 95, Windows NT (3.51 and 4.0,Intel only)2.2. 典型配置分析2.2.1. 网关方式配置这种配置需要以下产品的一个：n 单网关产品n 企业中心如果需要加密，应该选择相应的VPN-1产品。另外，如果路由器需要由防火墙来管理，还应该选择Open Security Extension/1产品。2.

23、2.2. 防火墙的网关和别离的管理工作站这种配置需要以下产品：n 网关方式的企业中心n 即使只需要一个产品，产品的不同模块必需安装在两个主机的每一个上防火墙模块安装在防火墙网关上，管理模块安装在管理工作站上。如果安装了企业中心，管理工作站应该安装在内部网络的一个主机上。这样管理工作站可以管理其它网关和主机上任何数量的防火墙模块或者状态检测模块。每一个其它的防火墙模块和状态检测模块是一个独立的产品。如果需要加密，应该选择相应的VPN-1产品。另外，如果路由器需要由防火墙来管理，还应该选择Open Security Extension/1产品。2.2.3. 防火墙网关和两个内部网络这种配置需要以下

24、产品的一个：n 单网关产品n 企业中心如果安装了企业中心，管理工作站应该安装在内部网络的一个主机上。这样管理工作站可以管理其它网关和主机上任何数量的防火墙模块或者状态检测模块。每一个其它的防火墙模块和状态检测模块是一个独立的产品。如果需要加密，应该选择相应的VPN-1产品。另外，如果路由器需要由防火墙来管理，还应该选择Open Security Extension/1产品。2.2.4. 由一个管理工作站和控制的两个防火墙网关这种配置需要以下产品：n FireWall-1企业中心为第一个网关和管理工作站提供n 防火墙模块为第二个网关提供如果需要加密，应该选择相应的VPN-1产品。另外，如果任何一

25、个路由器需要由防火墙来管理，还需要Open Security Extension的一个产品。另外可以用网络平安中心代替FireWall-1企业中心。管理工作站和第一个网关的防火墙模块是网络平安中心的一局部。2.2.5. 失效恢复网关配置这种配置需要以下产品：n FireWall-1企业中心如果需要加密，应该选择相应的VPN-1产品。另外，如果任何一个路由器需要由防火墙来管理，还需要Open Security Extension的一个产品。另外，可以用网络平安中心代替FireWall-1企业中心。3. 与Cisco PIX的比拟比拟工程CHECK POINT FIREWALL-1CISCO PI

26、X防火墙产品产品类型Cisco PIX Firewall 520介质软件防火墙硬件防火墙操作系统CPU品牌/类型/频率Sun/UltraSPARC-II/300 MHzIntel/Pentium/ 233 MHz硬件平台Sun Ultra II520技术核心技术完全的状态检测技术ASA自适应平安算法状态信息从七个层次得到的信息关于数据包的来源和目的的信息访问控制网络层过滤FTP, , SMTP , SMTP认证方法RADIUS, TACACS, TACACS+, SecurID, Defender, OS password, S/KeyRADIUS, TACACS+, Secure, AXEN

27、T, CRYPTOCard, NDS, NT domain,Unix domain协议认证All protocolsFTP, , telnetURL过滤支持支持第三方URL过滤支持WebSense, SurfWatchFinjan, Trend, WorldTalk内容过滤支持支持第三方病毒扫描产品支持Trend Micro, Symantec, eSafe, Data Fellows,IntegralisMIMEsweeper, Trend端口转换支持支持网络地址转换支持支持管理远程GUI支持支持远程GUI可管理防火墙的数量无限制10个远程GUI和被管理的防火墙的会话加密加密加密，w/opt

28、ional encryption card远程GUI平台支持Solaris, Windows NT, 95, AIX, HP-UXWindows NT事件经由SNMP Trap提示支持支持事件经由e-mail提示支持支持事件经由自定义的脚本提示支持不支持日志/报告计费支持支持日志信息排序支持不支持日志信息过滤支持支持日志文件格式文本格式系统日志格式日志文件输出格式ASCII文本VPNIPSec加密算法支持DES, Triple DESDES, Triple DESIPSec认证算法支持MD5, SHA-1, CBC-DES-MACMD5, SHA-1IKE支持支持支持其它加密算法支持RC4-4

29、0, FWZ-1, DES-40, CAST, CAST-40不支持其它认证算法支持不支持MD5CA效劳器产品支持EntrustNetscape (Entrust and VeriSign)性能100M带宽情况下延迟时间单位：秒不启动NAT启动NAT吞吐率Mbps不启动NAT6075启动NAT4575可扩展性系统扩展只需要增加相应的模块即可系统扩展需要更换设备可升级性软件可升级方便、维护简单硬件升级比拟复杂互操作性同路由器可管理3Com、Cisco、Bay路由器的平安规那么仅可同Cisco路由器进行互操作价格公开报价人民币报价7.4万约15万Check Point FireWall-1安装配置

30、手册4. FireWall-1安装4.1. 安装前的准备4.1.1. 网络环境准备为了能使防火顺利的安装配置,在网关上安装前必须确定一些问题比方：当前的路由配置，DNS设置等。1 路由请按下面的步骤来确认当前的路由配置情况：a) 从要内部网络可信任网络的一个主机经由网关向外部网络不信任网络的路由器发送一个ICMP包使用ping命令；b) 从要内部网络可信任网络的一个主机经由网关向向Internet网络发送一个TELNET命令，确认能到达Internet主机；c) 从Internet主机向内部网络的主机发送TELNET命令。如果任何一个测试没有成功，请查明原因再进行下一步。2 IP转发对于NT，

31、翻开“Advanced TCP/IP Configuration中的“IP Enable Routing选项。3 DNS确认您的DNS能正常工作，最简单的方法是让您的内部一台机器用浏览器浏览Internet上的某个著名的站点。如果不能正常连接，这说明DNS效劳是无效的，请在解决这个问题后继续下一步的操作。4 IP地址确认网关上所有网卡的IP地址的定义情况，当您配置防火墙的平安策略是您需要这些信息,如果您安装的是单网关产品你还需要知道外网卡(与Internet相连接的网卡)的名称。NT上用ipconfig /all查看IP地址的有关信息。注意：在NT上用“-来隔离MAC地址的字段。5 网关确认网

32、关的外网卡对应的网关IP地址，可在lmhosts里查找。这可以使在网关上定义一个网络对象时，在“Workstation Properties中单击“Get Address时得到它的IP地址。如果没有正确配置，ISAKMP/OAKLEY加密功能将不能正常工作。6 FirWall-1的部件配置确定需要安装哪些FireWall-1的模块，并确定在每一个计算机上要安装的FireWall-1组件。7 连通性确认所有要安装防火墙模块的主机包括GUI 客户端都是连通的，可以通过主机之间互相发出的ping命令来确认所有的主机是连通的。如果在安装防火墙时不做这些工作，那么在安装了防火墙后一旦出现连通性方面的问题

33、你将不能确定问题的根源在那里。你可以节省很多时间去调试FireWall-1，就仅仅为了发现连通性的问题。注意：如果你以前已经安装了防火墙请停止它们包括图形控制界面。4.1.2. 配置需求FireWall-1GUI Client最小安装的硬件配置需求操作系统WINDOWS95 或 WINDOWSNT硬盘空间20兆内 存16兆网 卡该操作系统支持的所有网卡FireWall-1 Management server最小安装的硬件配置需求硬件平台SUN SPACE-BASED SYSTEMINTEL X86 OR PENTIUMHP PA-RISC 700/800RS6000 POWERPC操作系统Wi

34、ndowsNT(Intel only)Solair 2.5 或更高版本硬盘空间20兆内 存管理模块最少需要32兆，建议使用40M网 卡该操作系统支持的所有网卡FireWall-1防火墙模块最小安装的硬件配置需求硬件平台SUN SPACE-BASED SYSTEMINTEL X86 OR PENTIUMHP PA-RISC 700/800RS6000 POWERPC操作系统WindowsNT(Intel only)Solair 2.5 或更高版本硬盘空间20兆内 存16兆网 卡该操作系统支持的所有网卡4.2. 一步一步的安装在Windows NT下从CD-ROM安装FireWall-1软件模块，

35、请按以下步骤进行：第一步：在Windows下翻开“文件菜单，选择“运行。第二步：输入Windows路径下运行“setup程序。第三步：在“Select Components窗口中选择要安装的FireWall-1组件如图4-1。图4-1第四步：如果以前您已经在您的计算机中安装了 FireWall-1 安装程序将提示是否升级或覆盖现有的系统如图4-2。在整个安装过程中，临时文件和目录将会保存在有环境变量所指定的路径下。图4-2注意：如果你的计算机中已经有FireWall-1在运行中，它将会自动终止。在安装完成后必需重新启动FireWall-1，配置平安规那么。如果选择升级安装，那么以前所定义的对象

36、和平安策略将被保存，如果选择覆盖安装，以前所定义的对象和平安策略将被删除。第五步：在“Choose Destination Location窗口中选择要安装的路径如图4-3。图4-3可以通过“Browse按钮选择和默认路径不同的路径。注意：如果FireWall-1的安装路径和“Choose Destination Location所指定的默认路径不同，就必需设置环境变量“FWDIR，使其指向安装FireWall-1的路径。如果不进行设置，将影响“fwinfo调试工具的功能。图4-4第六步：选择“next按钮继续安装。第七步：在“Select Product Type窗口中，选择要安装的Fire

37、Wall-1组件如图4-4。按照下表选择要安装的产品。要安装的FIREWALL-1产品选择项FireWall-1 Enterprise CenterVPN-1 & FireWall-1 Enterprise productFireWall-1 Network security centerFireWall-1 Internet GatewayVPN-1 & FireWall-1 single Gateway productFireWall-1 Internet Gateway/nFireWall-1 Enterprise security consoleVPN-1 & FireWall-1 E

38、nterprise Management productFireWall-1 FireWall ModuleVPN-1 &FireWall-1 FireWall moduleFireWall-1 FireWall Module/nFireWall-1 Inspection ModuleFireWall-1 inspection moduleFireWall-1 Inspection Module/n要安装的VPN-1产品选择项VPN-1 Enterprise Encryption CenterVPN-1 & FireWall-1 Enterprise productVPN-1 Enterpri

39、se Security centerVPN-1 Global Security CenterVPN-1 Gateway/nVPN-1 & FireWall-1 single Gateway productVPN-1 Enterprise security consoleVPN-1 & FireWall-1 Enterprise Management productVPN-1 ModuleVPN-1&FireWall-1 FireWall module单击“next进行下一步的安装。第八步：如果要安装FireWall-1 Enterprise Center，将出现选择安装模块的对话框如图4-5。

40、图4-5假设安装防火墙模块，选择“FireWall Module；假设安装管理效劳器，选择“Management Server。第九步：如果选择“FireWall-1 FireWall Module产品，将提示选择指定的产品如图4-6。图4-6第十步：如果选择“FireWall-1 Inspection Module产品，将提示选择指定的产品如图4-7。图4-7第十一步：增加license如图4-8所示。图4-8第十二步：添加新的license请点击add将弹出如图4-9的对话框。图4-9输入licenses数据，单击“OK。注意：如果你只须要运行Window GUI Client，不需要输入

41、license。增加license对话框中各项说明：工程说明Host你申请licenses 所使用的主机IPFeature您申请licenses的特性说明，有空格分开。例如：pfm routers control encryptionKey License。例如：7ffe25da-bff63481-36a8b7b3第十三步：点击next继续下一步的安装。第十四步：指定管理员对话框如图4-10。图4-10指定可以经由GUI客户端管理防火墙的管理员，管理员可以通过GUI客户端和所安装的管理效劳器进行通讯。注意：至少必需定义一个管理员，否那么将不能和管理效劳器进行通讯。第十五步：单击“add增加一个

42、管理员，弹出“Edit Administrator对话框，如图4-11所示。图4-11第十六步：输入“Administrator Name和“Password最多可以输入8个字符，口令须要输入两次。第十七步：从下拉菜单中选择选择管理员的权限“Permission。第十八步：单击“next进行下一步的安装。第十九步：指定GUI Client，这样管理员可以通过远程计算机使用GUI Client管理所安装的管理效劳器。注意：如果没有定义GUI Client，仅可以通过和管理效劳器安装在同一个主机的GUI客户端来管理管理效劳器如图4-12所示。输入GUI客户端的名字，单击“add按钮，把GUI客户端

43、增加到列表中去。要删除列表中的GUI客户端，选中后单击“remove按钮。图4-12图4-13第二十步：如果仅仅在一个主机上安装了防火墙模块，必须指定它的“Master，这样所有的日志和报警将被发送到“Master，也可以通过“Master，防火墙模块可以维护它的平安规那么如图4-13。第二十一步：输入主机名，单击“add按钮增加主机到“Master列表中如图4-14。可以输入任何数量的“Master，防火墙模块将使用列表中能建立连接的第一个主机，所以列表中主机名字的顺序是很重要的。要移动列表中的“Master，选中它后上移按“Up，下移“Down。当增加一个“Master时，需要指定“Mas

44、ter管理模块和防火墙模块之间进行通讯的认证口令。这个口令和在“Master上发出的“fw putkey命令的口令完全一样。图4-14第二十二步：输入两次口令，按“OK确定。图4-15第二十三步：在图4-13中按“next，进行下一步的安装。如果在本地安装了一个管理模块，必须指定远程的防火墙模块如图4-15所示，防火墙模块上，该“Master被定义为管理模块。第二十四步：输入主机名，单击“Add按钮，将增加该主机到远程防火墙模块列表中。第二十五步：当增加一个远程的防火墙模块时，必须指定在管理模块和远程防火墙模块之间的通讯的认证口令。这个口令和从远程被保护主机上发出的“fw putkey命令所使

45、用的口令一样。第二十六步：单击“Next进行下一步的安装。对于单网关产品仅FireWall Module/n和Inspection Module/n产品需要配置外部网卡如图4-16所示。图4-16第二十七步：指定外网卡名称如图4-16所示，而不是它的IP。在命令行方式下用ipconfig观察网卡的名称，网卡的名称会在第一行中描述。例如：在第一行会显示：Ethernet Apapter E159x1网卡名为 E159x1第二十八步：指定在网关上是否需要FireWall-1进行IP 转发。如果不允许FireWall-1控制IP转发，那么当没有加载平安策略时例如系统重新启动，系统将不能被防火墙保护。

46、配置IP转发如图4-17所示。图4-17第二十九步：单击“next进行下一步的安装。第三十步：指定SMTP平安效劳器的参数如图4-18所示。图4-18第三十一步：单击“next进行下一步的安装。第三十二步：按“Key Hit Session如图4-19所示窗口的提示生成随机密钥。图4-19每个字符之间延迟几秒钟，不要连续两次键入同样的字符，并且尽可能变换字符间的延迟。第三十三步：为本机生成key如图2-20。图2-20这是个RSA的key，该主机用来生成通讯用的数字签名和认证。这样，该主机就具有证书授权的能力。第三十四步：单击“finish结束配置过程。第三十五步：现在您已经完成了防火墙的安装

47、。如果现在没有配置这些选项，以后可以运行FireWall-1的配置程序。5. FireWall-1卸载要卸载FireWall-1，双击FireWall-1程序组中的Uninstaller即可。6. 停止FireWall-1运行有三种方法可以停止FireWall-1的运行。6.1. 卸载平安策略这种方法仅留下状态检测模块，但是平安策略是空的。此时防火墙仍然有效，但是它所导致的结果是接受所有的数据包，并没有日志发生。6.2. 停止状态检测一、“Control Panel程序组中选择“services；二、选择“FireWall-1 daemon；三、选择“stop。虽然通过这种方法可以停止Fire

48、Wall-1的运行，数据包还会通过FireWall-1，但是不做任何处理。6.3. 屏蔽FireWall-1一、在“Control Panel程序组中选择“Devices；二、选择“FireWall-1；三、单击“Startup；四、选择“Disable五、重新启动计算机。重新启动后计算机后，防火墙将停止运行。7. 重新配置FireWall-1运行FireWall-1的管理管理配置程序可以重新配置FirWall-1。8. 典型配置案例8.1. 工程简介及工程要求：8.1.1. 拓扑图8.1.2. 工程具体要求如下：1、 内网(1、2、3、4)是受到保护的，不能受到INTERNET 的访问；2、

49、 内网和WWW效劳器、MAIL效劳器可以访问INTERNET ；3、 内网和WWW、MAIL可以相互访问；4、 WWW、MAIL效劳器是对外效劳的地址，任何人员均可以进行访问只限相应的效劳。8.2. FireWall-1安装过程及考前须知：注意在产品安装之前一定要检查网络的通畅性，包括内网及外网，否那么影响CHECK POINT的后期检查工作。1、 进入安装CHECK POINT 光盘，进入windows目录，选择setup进行产品的安装这个选项可以同时安装放火墙模块、GUI管理界面，Management管理模块；2、 根据系统提示选择安装路径等等；3、 在模块安装选择是选择第二项，即防火墙模

50、块单网关产品；4、 根据系统提示选择安装路径；5、 安装完防火墙模块时系统提示注册license的提示，根据从网上注册的LICENSES许可协议进行注册，请注意license一定要保存好；6、 添加系统管理员以对系统进行维护，请注意，系统管理员的密码一定不要少于4位且一定要保管好；7、 图形控制界面GUI，管理模块配置Masters Configuration，远程防火墙模块不必进行安装，因为本产品是单网关产品；8、 在下一步中要指定外网卡的名称，注意不是IP，如果不知道外网卡的名称可以用ipconfig，进行查看；9、 在IP Forwarding 中选择Control IP Forward

51、ing(允许IP转发)；10、 在SMTP Security Server 中使用缺省选项即可。8.3. FireWall-1的规那么制定细节及含义根据工程具体要求进行放火墙平安策略的制定：在本工程中网络对象有以下几种：1、 FireWall-1Check Point，位置：网关2、 工作站网段Net1，工作站Net2，工作站Net3，工作站Net4，位置：内网3、 Mail效劳器Mail，位置：DMZ4、 WWW效劳器WWW位置：DMZ下面分别对网络对象进行定义：1、FireWall-1定义对象WorkstationIP Address位置：Internal类型：Gateway放火墙版本：F

52、ireWall-4.0外网卡IP内网卡IP2、内网工作站：Net1，Net2，Net3，Net4，定义对象：WorkstationIP Address：10.10.10.1位置：内网类型：host，防火墙不安装NAT：类型static 3、WWW效劳器定义对象：workstationIP Address位置：内网类型：host，防火墙不安装网卡IPNAT：类型static4、Mail效劳器 定义对象：workstationIP Address位置：内网类型：host，防火墙不安装网卡IPNAT：类型static IP：203.207.134.11。5、定义Group组，将Net1，Net2，N

53、et3，Net4放到这个组中netgroup8.4. 定义网络规那么的考前须知：1、 规那么的定义是有先后顺序的，先定义的规那么级别大，后定义的规那么级别小，当两个规那么有冲突时，以满足先定义的规那么为准；2、 为了网络的平安，第一条规那么一般定义成任何人或网络对象不能访问防火墙，最后一条定义成任何人不能以任何形式访问网络对象；3、 网络对象，规那么可以随时进行修改，但是修改后只有进行安装才能使其起作用，如果让防火墙失效可以进行防火墙的反安装，方法：在拉下式菜单中选择“PolicyInstall或者选择Uninstall4、 定义网络对象的方法是在拉下式菜单中选择“ManageNet Obje

54、cts，然后选择New，菜单5、 系统启动防火墙自动运行；6、 查看防火墙工作日志可以在拉下式菜单中选择“WindowsLog View7、 查看防火墙工作状态可以在拉下式菜单中选择“WindowsSystem Status8、 在定义网络规那么时，可以通过点鼠标右键对每一个网络对象进行定义，还可以对其进行反选即除选中项不可用外，其他项均可以使用；9、 右键点中每一条规那么前的序列号项，可以对其进行屏蔽、隐藏等操作，还可以对选中的规那么之前或之后添加一条新规那么。下表将本工程实际方案具体定义方式列出参见以下表格：NO.SOURCEDESTINATIONSERVICEACTIONTRACKINS

55、TALLONTIME1AnyFwallAnyRejectAlertGatewayAny2NetgroupwwwmailfwallanyAnyACCEPTShortGatewayAny3AnyNetgroupAnyRejectShortGatewayAny4Anywww ACCEPTShortGatewayAny5AnymailSmtpPop3ACCEPTShortGatewayAny6AnyAnyAnyRejectAlertGatewayAny添完上表后需要进行防火墙的安装，才能使防火墙生效。8.5. 安装完FireWall-1防火墙后的测试工作1、 在内网用一台主机或工作站ping防火墙，p

56、ing不通那么测试成功；2、 在外网用一台主机或工作站ping防火墙 ，ping不通那么测试成功；3、 内网的所有机器 可以访问Internet测试成功；4、 在任何地点可以访问WWW、Mail 测试成功；5、 当测试不成功时可以试着采用以下方法进行调试：例如内网不能访问Internet，可以先将最后一条不允许访问的规那么改成允许访问，测试网络能否进行访问，如不行，那么将倒数第二条不允许访问的规那么改成允许访问，依次类推，直到网络能够按照要求进行访问，也可以先加上根本规那么，然后逐条加规那么，测试网络能否进行访问，这两种方法都可以检查平安策略的正确性和逻辑的合理性。9. 小结Check Point FireWall-1防火墙是目前国际市场占有率最高的防火墙产品，通过了美国国际计算机平安协会ICSA认证及欧洲ITSEC E3认证。