防火墙基本操作手册_图文.docVIP

CheckPoint 防火墙基本操作手册 北京盛港世纪科技有限公司 项目安全组 二00六年十一月 目录 1 基本概念和基础知识 (3 1.1 了解check point 防火墙架构 (3 1.2 防火墙的管理 (3 2 SmartDashboard的使用及基本管理技术 (5 2.1 编辑防火墙对象 (6 2.2 添加主机和网络对象 (10 2.3 制定访问规则和配置地址翻译(NAT (12 2.4 防地址欺骗功能介绍 (20 2.5 SmartDefence 功能 (22 2.6 策略的下发 (23 3 SmartView Tracker的使用 (24 1 基本概念和基础知识 1.1 了解check point 防火墙架构 Check point 防火墙的管理是通过一个三层架构来实现的。首先我们可以在任意的机器上安装防火墙客户端控制台,然后利用控制台的图形化界面登录check point 的管理服务器,定义出各个网络对象,定义企业各条策略,最后下发到防火墙执行模块。具体实现过程见图示: 1.2 防火墙的管理 首先打开控制台软件,出现登录界面: SmartDashboard是配置防火墙策略和对象的一个控制软件,我们定义对象和规则时就利用他来实现,SmartUpdate是用于添License时要用到的一个控制软件,SmartView Tracker是查看日志时用到的客户端软件。 点击SmartDashboard后出现登录界面,如图: 这里输入用户名,密码,以及管理服务器的ip地址。点击ok 登录到配置界面。第一个选项Demo Mode 是查看防火墙的演示界面。点击Demo Mode 选择下拉列表框中的Advance选项可以查看Check point 公司定义的各项配置演示。 Cetificate(证书选项是替代管理员用户名和密码验证的一种选择,这个证书有管理服务器生成,用户自己保存在本地,需要用它验证时点击旁边的小方块,添加这个证书,然后选择管理服务器地址,然后点击ok 登录。 最下面的Read Only 选项是以只读方式登录防火墙。没有改配置的权限。 注意:防火墙一次只可以容许一个用户以管理员身份登录,可以修改火墙配置,其他以管理员身份登录防火墙的用户,要么强制断开当前已登陆的帐户,要么以只读身份登录。 登陆SmartConsole配置界面: 上边标记处是添加防火墙规则的按钮。左边是定义各种对象的区域,有防火墙对象,主机对象,网络对象,以及组对象。右边Security选项显示的是规则库,显示当前定义的各条规则。下面是已经定义的所有对象以及他们相应得属性。 2 SmartDashboard的使用及基本管理技术 下面我们介绍定义对象的配置方法,如防火墙对象,主机对象,网络对象等。以及编辑这些对象属性。 2.1 编辑防火墙对象 在Check point 防火墙对象 FW_HLW 上双击打开。出现弹出界面以便我们配置其具体属性。 具体见图示: 编辑防火墙的相关属性,见图所示,所标记的地方是需要检查的。然后点击Topology 点击Get interface with Topology的到防火墙接口信息。 配置完成,点击ok 。完成火墙配置。然后下面的配置节点对象以及网络对象都是相同意思,做好相应配置。 下面有相应截图: 在防火墙上如果新添加路由的话,一定要到防火墙属性里把 Interface 重新 get 以下,就是要执行以下上面的步骤。或则新加的路由涉及的网段就上不了网。这是因为防地址欺骗功能在起作用。关于防地址欺骗功能介绍请参见后面章节。 2.2 添加主机和网络对象 添加主机然后弹出配置窗口配置name,ip就可以,其他不用配置(做NAT除外如下所示: 添加网络对象: 在NetWorks属性上点击右键,然后选择New NetWork弹出上面窗口,配置网段,子网掩码。完成配置。 2.3 制定访问规则和配置地址翻译(NAT 定义好对象后,我们引用各个对象配置相应的规则。 在第一次添加规则的时候,我们点击图中的按钮,然后在规则库中会出现一条默认规则。然后我们引用定义好的对象,制订规则。见下图:在图中我们要添加相应对象,直接在对应 栏中点击右键,然后在弹出的对话框中选择相应对象。 我们参照一条完整的规则: 图中定义了内网到任何地方的http服务都接受,就是内网用户可以访问网页。其他规则 类似,就是添加,谁,到哪里,访问什么服务,是否接受,是否记录日志,以及安装在哪台防火墙上。 上面就是定义规则的方式,规则定义是非常灵活的,我们只需要把相应对象定义出来,然后再定义访问的服务,然后是否接受就完成策略的定义了。 地址翻译 地址转换功能是check point 防火墙的一个主要功能模块,通过他