最新Checkpoint防火墙安全配置手册V1.1.doc

《最新Checkpoint防火墙安全配置手册V1.1.doc》由会员分享，可在线阅读，更多相关《最新Checkpoint防火墙安全配置手册V1.1.doc（44页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-dateCheckpoint防火墙安全配置手册V1.1密 级：CheckPoint防火墙安全配置手册Version 1.1XX公司二零一五年一月-目 录1综述52Checkpoint的几种典型配置62.1checkpoint 初始化配置过程：62.2Checkpoint Firewall-1 GUI安装132.3Checkpoint NG的对象定义和策略配置183Checkp

2、oint防火墙自身加固341 综述本配置手册介绍了Checkpoint防火墙的几种典型的配置场景，以加强防火墙对网络的安全防护作用。同时也提供了Checkpoint防火墙自身的安全加固建议，防止针对防火墙的直接攻击。通用和共性的有关防火墙管理、技术、配置方面的内容，请参照中国移动防火墙安全规范。2 Checkpoint的几种典型配置2.1 checkpoint 初始化配置过程：在安装完Checkpoint软件之后，需要在命令行使用cpconfig命令来完成Checkpoint的配置。如下图所示，SSH连接到防火墙，在命令行中输入以下命令：IP350admin# cpconfigWelcome

3、to Check Point Configuration Program=Please read the following license agreement.Hit ENTER to continue.（显示Checkpoint License版权信息，敲回车继续，敲q可直接跳过该License提示信息）Do you accept all the terms of this license agreement (y/n) ? y（输入y同意该版权声明）Which Module would you like to install ?-(1) VPN-1 & FireWall-1 Enterp

4、rise Primary Management and Enforcement Module(2) VPN-1 & FireWall-1 Enforcement Module(3) VPN-1 & FireWall-1 Enterprise Primary ManagementCheckpoint Firewall-1/VPN-1支持多种安装模式，Firewall-1/VPN-1主要包括三个模块：GUI：用户看到的图形化界面，用于配置安全策略，上面并不存储任何防火墙安全策略和对象，安装于一台PC机上；Management：存储为防火墙定义的各种安全策略和对象；Enforcement Modul

5、e：起过滤数据包作用的过滤模块，它只与Managerment通信，其上的安全策略由管理模块下载；以上三个选项中如果Management与Enforcement Module安装于同一台设备上，则选择（1），如果Management与Enforcement Module分别安装于不同的设备上，则选择（2）或（3）。在此处我们选择（1）Enter your selection (1-3/a-abort) 1: 1IP forwarding disabledHardening OS Security: IP forwarding will be disabled during boot.Genera

6、ting default filterDefault Filter installedHardening OS Security: Default Filter will be applied during boot.This program will guide you through several steps where youwill define your Check Point products configuration.At any later time, you can reconfigure these parameters byrunning cpconfigConfig

7、uring Licenses.=Host Expiration FeaturesNote: The recommended way of managing licenses is using SecureUpdate.This window can be used to manage local licenses only on this machine.Do you want to add licenses (y/n) y ? n（询问用户是否需要安装Checkpoint License，可以在此时输入，也可在安装完毕时用命令行方式输入，因为使用命令行方式输入较为方便，建议用户在安装完毕后使

8、用copy - paste的方式输入License。在此处我们选择n）Configuring Administrators.=No Check Point Administrators are currentlydefined for this Management Station.Administrator name: fwadmin(配置Checkpoint Firewall-1/VPN-1的管理员用户名，注意系统自身与Checkpoint的管理员不相同)Password:Verify Password:（设置管理员的密码，Checkpoint管理员密码没有长度的限制）Permission

9、s for all Management Clients (Read/Write All, Read Only All, Customized) W（设置该管理员的用户权限，有三种权限，写权限W，读权限R，自定义权限C，在此处选择W，给予管理员最大的权限）Administrator fwadmin was added successfully and hasRead/Write permission to all management clientsAdd another one (y/n) n ?（提示是否还加入其它用户）Configuring GUI clients.=GUI client

10、s are trusted hosts from whichAdministrators are allowed to log on to this Management Stationusing Windows/X-Motif GUI.Do you want to Create a new list, Add or Delete one?: C（Checkpoint GUI软件需要安装在一台PC机上，但该GUI的IP地址需要定义，在此处我们选择C，创建一个GUI IP地址表）Please enter the list hosts that will be GUI clients.Enter

11、hostname or IP address, one per line, terminating with CTRL-D or your EOF character.10.0.0.15Is this correct (y/n) y ?（输入完地址后需要按CTRL-D结束定义GUI）Configuring Groups.=Check Point access and execution permissions-Usually, a Check Point module is given group permissionfor access and execution.You may now n

12、ame such a group or instruct the installationprocedure to give no group permissions to the Check Point module.In the latter case, only the Super-User willbe able to access and execute the Check Point module.Please specify group name for no group permissions:No group permissions will be granted. Is t

13、his ok (y/n) y ?Setting Group Permissions. Done.（为Checkpoint生成一个管理组，在此处不需要生成专门管理组，直接敲回车，不生成组）Configuring Random Pool.=You are now asked to perform a short random keystroke session.The random data collected in this session will be used invarious cryptographic operations.Please enter random text conta

14、ining at least six differentcharacters. You will see the * symbol after keystrokes thatare too fast or too similar to preceding keystrokes. Thesekeystrokes will be ignored.Please keep typing until you hear the beep and the bar is full. .Thank you.（随意敲入字符，以便Checkpoint用它作为随机的加密参数。随意敲任意，直到出现Thank you）C

15、onfiguring Certificate Authority.=The system uses an internal Certificate Authorityto provide Secured Internal Communication (SIC) Certificatesfor the components in your System.Note that your components wont be able to communicatewith each other until the Certificate Authority is initializedand they

16、 have their SIC Certificate.Press Enter to initialize the Certificate Authority.(输入回车开始生成证书) Internal Certificate Authority created successfully Certificate was created successfullyCertificate Authority initialization ended successfully（证书生成完成）The FQDN (Fully Qualified Domain Name) of this Managemen

17、t Serveris required for proper operation of the Internal Certificate Authority.（默认的证书名称为FQDN）Would you like to define it now (y/n) y ?The management FQDN is IP350. Do you want to change it? (y/n) n ?Press Enter to send it to the Certificate Authority.（按回车键开始发送证书）NOTE: If the FQDN is incorrect, the I

18、nternal CA cannot function properly,and CRL retrieval will be impossible.Are you sure IP350 is the FQDN of this machine (y/n) n ? y FQDN initialized successfullyThe FQDN was successfully sent to the CAConfiguring Certificates Fingerprint.=The following text is the fingerprint of this Management mach

19、ine:SODA KNEE MEAT LIEN ADD LAP WISH JIBE JIM AMEN EACH SAIDDo you want to save it to a file? (y/n) y ? n（询问是否将Management Server上的指纹存储到文件中）generating GUI-clients INSPECT codeinitial_management:Compiled OK.Hardening OS Security: Initial policy will be applieduntil the first policy is installed（在配置完成C

20、heckpoint后，Checkpoint会将操作系统做一个加固，除Checkpoint GUI外，其它的任何服务都不能连接到防火墙）In order to complete the installation of moduleyou must reboot the machine.Do you want to reboot? (y/n) y ? n（Checkpoint将询问是否重新启动，为便于使用命令行增加Checkpoint License，在此处点击n）IP350admin# cplic putlic eval 01Jan2003 dHEkKf7rt-BN9eeqjJx-9vxuF5E

21、fN-X5TxP4Mqp CPMP-EVAL-1-3DES-NG CK-CPHost Expiration Featureseval 1Jan2003 CPMP-EVAL-1-3DES-NG CK-CP(使用命令行增加Checkpoint License，该命令行可直接从Checkpoint 的正式License中Copy到命令行模式下)IP350admin#syncIP350admin#rebootcleaning up.syncing disks. doneRebooting.a) 重新启动后，整个CheckPoint VPN-1/FW-1 NG 安装完成。2.2 Checkpoint F

22、irewall-1 GUI安装1、插入Checkpoint NG 光盘，将自动运行，出现下列界面，点击Next。如果没有自动出现下列界面，双击光盘所在盘符下的Setup.exe文件，光盘将会自动运行。 2、出现License 协议，点击Next按钮继续。3、出现产品安装菜单，内含两大项SERVER/GATEWAY COMPONENTS和MOBILE/DESKTOP COMPONENTS，前者是安装于SERVER端上的组件，后者是针对移动用户VPN应用和客户会话验证的组件。在此选择SERVER/GATEWAY COMPONENTS，点击Next按钮。4、出现Server端组件选择窗口，由于VPN

23、-1&Firewall-1、Policy Server组件已经安装于防火墙上，只需要安装Manager Clients组件，即GUI。只选择Manager Clients，点击Next继续。5、出现准备安装提示，点击Next继续。6、出现安装路径选择窗口，默认路径为C:Program FilesCheckpointManagernt Clients。7、出现Checkpoint NG GUI组件选择窗口。其中各组件功能说明如下：l Policy Editor是用来编辑Firewall的安全策略。l Log Viewer用来察看Firewall的Log，包括历史纪录、当前连接纪录和管理员操作纪录

24、。l SecureClient Packaging Tool用于VPN用户，将VPN客户端所需的软件包和策略封成一个数据包，发送给移动VPN用户。l Traffic Monitor是用于实时监测Firewall上数据流量情况，可以按照协议、对象等生成实时的曲线图表。该模块需额外购买。l Secure Update是用于管理防火墙的各组件和License，并能增加、删除、升级各组件和License。l Reporting Tool用来分析防火墙生成的Log，生成各种类型报表和图表。该模块需额外购买。l User Monitor是用来对用户进行集中管理的工具，该模块需要额外购买。根据交行的实际情况

25、，在此我们只需要选择上Policy Editor、Log Viewer、Secure Update。点击Next继续。8、完成安装，点击确定按钮。此时完成Checkpoint GUI的安装。2.3 Checkpoint NG的对象定义和策略配置1、首先使用GUI连接到Checkpoint Managerment，点击开始 程序 Checkpoint Management Client Policy Editor NG 后，出现下列窗口，在User Name和Password栏中填入在防火墙中使用cpconfig命令配置的用户名和口令。Managerment中填入Managerment的IP地址

26、，即为防火墙的IP地址。 注意：在防火墙初始配置完成后，Checkpoint会对操作系统做一个加固，除了Checkpoint GUI能够连接防火墙外，其它所有端口都被Checkpoint NG关闭。2、如果GUI正确的连接到防火墙的Management上时，会出现下列的窗口，其中的Fingerprint是GUI与Checkpoint Managerment之间的指纹验证（密钥），用来GUI是连接到了正确的Management上。点击Approve按钮。3、点击Approve按钮后，将出现下列界面，这即是Checkpoint NG的Policy Editor的主界面。除了防火墙对象自动成生以外，

27、其它对象还未定义。策略还是处于空白状态。 4、首先定义防火墙对象，双击Network Objects Checkpoint IP350(防火墙名字)对象，出现下面的窗口，在General Properties中将FloodGate-1 勾掉（Disable）。FloodGate-1是用于带宽管理的软件，在此处不需要。如果用户没有VPN应用，可以将VPN-1 pro和VPN-1 net都勾掉（Disable）。见下图 5、在左边点击Topology，定义防火墙的拓扑结构和Anti-Spoofing（地址欺骗），首先点击Get Topology按钮，使Checkpoint Firewall-1自动

28、获取到防火墙上所有已定义出的网卡。 6、获取的网卡地址将显示在下列的窗口中，点击Accept确认。 7、双击每块网卡，并点出弹出窗口中的Topology标签项，定义网卡的Anti-Spoofing，对于防火墙连接内部的网卡，选择Internal (Leads to the local)，IP Addresses behind this中选择 Network defined by the interface IP and Net Mask。Anti-Spoofing中将Perform Anti-Spoofing base on interface勾上（Enable）。这样定义以后，所有来自非内部

29、网卡所有网段的数据包都将被防火墙内部网卡丢弃掉。 注意：如果防火墙内部有多个网段，建议用户使用以下方法定义Anti-Spoofing：1、 在防火墙Network Objects Network中定义各个网段；2、 在防火墙Network Objects Group中定义一个组，将各个网段加入这个组中；3、 双击防火墙的的内部网卡，定义Topology时，IP Addresses behind this中选择Specified，在下拉条中选择刚才定义的Group。 8、在防火墙对象的Tepology中双击外部网卡，在Topology标签项中定义外部网卡，选择External (leads ou

30、t to the)，在下面的Anti-Spoofing中，建议用户勾掉（Disable）Perform Anti-Spoofing based on interface选项，即不对外部网卡做Anti-Spoofing。如下图：9、防火墙对象定义完毕后，开始定义主机、网络对象等。在左边Network Objects中，在Node上右键单击，在弹出菜单中选择New Host。 10、在弹出的窗口上填入主机名和真实IP地址。 11、如果该主机需要做NAT，则点击左边的NAT，Checkpoint NG支持两种形式的NAT，一种为Hide模式，即Many-to-one，按端口进行映射，将内部IP映射到

31、防火墙的外部网口上，多用于内部上网，不需要外部访问的环境。一种为Static模式，即one-to-one，按IP Address进行映射，多用于内部主要需要对外提供访问的环境。12、在Network Objects中Network上单击鼠标右键，在弹出菜单中选择New Network中定义一个网段对象。1、 在弹出的窗口上填入网段名、网段地址和掩码。14、根据需要定义网段的NAT。15、同定义主机和网段对象相同的方法定义Group对象。16、填入Group名字，选择所要加入该组的对象。17、定义完各个对象后，现在开始添加策略，点击菜单Rules Add Rule Botton增加一条新的策略，

32、该策略将会在右上方的策略配置窗中口显示出来。18、定义各策略时可直接将对象从左边窗口中拖入策略行中。例如 SOURCE和DESTINATION可从左边Network Objects标签项中拖入。 Service可从左边Services标签项中拖入。19、Services也可在Service中用鼠标右键单击，选择Add加入。20、根据业务需求详细制定各条策略。定义完毕后点击菜单File Save，或点出Save按钮，存储策略。 注意：存储策略并没有使策略在防火墙上起作用，需要Install策略使用当前的策略起作用。 21、点击Policy Install 菜单开始加载刚才定义的安全策略。22、出

33、现策略加载对象选择窗口，将需要加载该策略的防火墙后面的Security框勾选上（Enable），点击OK开始加载策略。 23、出现下列窗口时，表明策略已经加载完毕，该安全策略已经在防火墙上起作用了。 24、察看防火墙的Log时，可以点击Windows Log Viewer菜单，出现Log Viewer窗口，在其中可察看详细的Log。3 Checkpoint防火墙自身加固CheckPoint为软件防火墙，需要安装在相应的操作系统上，因此自身加固需要对操作系统和防火墙软件两部分来进行。CheckPoint Firewall/VPN-1软件自身为一个安全的防火墙系统，只需安装相应的hotfix即可修

34、补防火墙的安全漏洞。对于操作系统而言，CheckPoint自带的SecurePlatform操作系统为进行了安全加固后的Linux操作系统，在没有启动防火墙服务时只有一个SSH服务是开放的，在启动了防火墙服务后，则默认只有管理服务器能连接上，其余访问均被丢弃，因此对于SecurePlatform不需要做加固工作。对于另一个常见的CheckPoint支持的操作系统Solaris，需要做以下的安全修补工作：（针对Solaris 8）（1） 安装Solaris 8 Core flavor（2） 安装Solaris 8光盘中下列包- SUNWlibC- SUNWlibCx- SUNWter- SUNW

35、admc- SUNWadmfw- SUNWscpr- SUNWscpu- SUNWscpux- SUNWsra- SUNWsrh- SUNWmdb- SUNWmdbx- SUNWtoo（3） 从Sun Solve站点安装以下补丁集- 109326-07 - 110723-04 - 108434-01- 108435-01- 108528-14（4） 删除以下多余的包- SUNWadmr- SUNWatfsr- SUNWatfsu- SUNWauda- SUNWaudd- SUNWauddx- SUNWcg6- SUNWcg6x- SUNWdfb- SUNWdtcor- SUNWfcip- SU

36、NWfcipx- SUNWfcp- SUNWfcpx- SUNWfctl- SUNWfctlx- SUNWftpr- SUNWftpu- SUNWi15cs- SUNWi1cs- SUNWkey- SUNWluxdx- SUNWluxop- SUNWluxox- SUNWm64- SUNWm64x- SUNWmdi- SUNWmdix- SUNWnamow- SUNWnisr- SUNWnisu- SUNWpcelx- SUNWpcmci- SUNWpcmcu- SUNWpcmcx- SUNWpcmem- SUNWpcser- SUNWpl5u- SUNWpsdpr- SUNWrmodu- SUNWses- SUNWsesx- SUNWsndmr- SUNWsndmu- SUNWsolnm- SUNWssad- SUNWssadx- SUNWtleux- SUNWudf- SUNWudfr- SUNWudfrx- SUNWusb- SUNWusbx- SUNWwsr2- SUNWxwdv- SUNWxwdvx- SUNWxwmod- SUNWxwmox