CP防火墙维护培训手册.ppt

《CP防火墙维护培训手册.ppt》由会员分享，可在线阅读，更多相关《CP防火墙维护培训手册.ppt（88页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、NOKIA-CP防火墙维护手册TomasSimon2006年4月12日课程模块模块一模块一NOKIANOKIA平台介绍平台介绍模块二模块二CheckPointCheckPoint介绍介绍模块三模块三配置配置VPNVPN模块一NOKIA平台介绍本模块的主要内容NOKIANOKIA完整的服务架构完整的服务架构NOKIANOKIA产品线介绍产品线介绍IPSO3.8IPSO3.8介绍介绍基本的基本的voyagervoyager配置介绍配置介绍NOKIANOKIA的简单维护的简单维护NOKIANOKIA的监控功能的监控功能NOKIA完整的服务架构硬件平台层硬件平台层应用层应用层管理层管理层支持层支持层N

2、OKIA产品线介绍SOHOIP30Less than 25 usersEnterpriseIP120IP130IP330IP350IP380IP530250 1000 hosts protectedCarrier/xSPIP710IP740IP1260Over 1000 HostsNOKIA产品线介绍NOKIA产品线介绍IPSO3.8介绍IPSOIPSO开始于一个干净的微内核的操作系统，内核开始于一个干净的微内核的操作系统，内核中没有其他任何的额外服务；中没有其他任何的额外服务；内核是由内核是由FreeBSDFreeBSD衍生出来衍生出来,意味着意味着IPSOIPSO是一个是一个UNIX-ba

3、sedUNIX-based操作系统操作系统内核充分利用了包交换技术。事实上内核充分利用了包交换技术。事实上NOKIANOKIA防火墙防火墙可以被当作一个路由器来使用。可以被当作一个路由器来使用。IPSOIPSO作为一个操作系统作为一个操作系统,所以所以NOKIANOKIA平台上可以运平台上可以运行一些第三方的应用程序，比如：行一些第三方的应用程序，比如：CheckPointCheckPointFireWall-1andISSRealSecureFireWall-1andISSRealSecure3.8基本voyager配置介绍COMCOM口连接口连接9600,8N1,noParity,Null

4、ModemCable,noflow9600,8N1,noParity,NullModemCable,noflowcontrolcontrol基本voyager配置介绍ModelIP100 IP300 SeriesIP440IP530 and upBootmanager on:Disk PartitionNoneFLASH提供多种选择的启动shell:选择启动的内核 恢复出厂设置 单/多用户模式 预启动网络配置 诊断/修正信息 恢复Bootmanager密码基本voyager配置介绍1.1.给计算机选择一个给计算机选择一个 FQDNFQDN名字，但不是必须的；名字，但不是必须的；2.2.在在HO

5、STNAMEHOSTNAME后输入后输入“toivonen”toivonen”3.3.确认你的选择确认你的选择 为缺省用户为缺省用户“admin”admin”选择选择一个密码一个密码；确认一次密码；确认一次密码；基本voyager配置介绍4.4.选择以后配置选择以后配置NOKIANOKIA平台的模式；平台的模式；5.5.选择一个接口进行配置；选择一个接口进行配置；基本voyager配置介绍6.6.给被选择的接口分配一个给被选择的接口分配一个IPIP地址，并分配一个子网掩码；地址，并分配一个子网掩码；7.7.配置速率和模式；配置速率和模式；8.8.确认配置信息；确认配置信息；基本voyager配

6、置介绍9.9.打开打开IEIE浏览器，输入浏览器，输入NOKIANOKIA的的IPIP地址；地址；10.10.证窗口将出现在你的面前；证窗口将出现在你的面前；基本voyager配置介绍正确的输入了登录的用户名和密码，你将进入正确的输入了登录的用户名和密码，你将进入NokiaNokiaVoyagerhomeVoyagerhome页面页面基本voyager配置介绍ConfigureMonitor基本voyager配置介绍XRemember:不要在浏览器中使用BACK键-回到上一个页面-回到Config页面 -回到Home页面Remember:经常使用APPLY和SAVE键键-在当前页面应用这些设置

7、-保存当前运行的配置文件到disk硬盘中基本voyager配置介绍点击点击“Config”“Config”键，进入配置界面；键，进入配置界面；以下为配置主界面；以下为配置主界面；基本voyager配置介绍时间、时区的配置时间、时区的配置点击点击“SystemConfiguration”-“LocalTimeSetup”“SystemConfiguration”-“LocalTimeSetup”进入进入timetime配置界面配置界面基本voyager配置介绍网络接口的设置网络接口的设置点击点击“Top”“Top”回到主配置界面回到主配置界面点击点击“Interfaces”“Interfaces

8、”进入接口配置界面进入接口配置界面基本voyager配置介绍物理接口的设置物理接口的设置点击对应接口的点击对应接口的“physical”physical”在在“Physical“PhysicalConfiguration”,Configuration”,改变接改变接口的口的linkspeedlinkspeed和和duplexduplex点击点击“Apply”“Apply”和和“Save”“Save”基本voyager配置介绍逻辑接口的设置逻辑接口的设置点击点击“Up”“Up”键回到键回到“InterfaceConfiguration”“InterfaceConfiguration”界面界面将给

9、对应的接口分配将给对应的接口分配IPIP地址地址选择对应接口的选择对应接口的“Logical“LogicalInterface”Interface”进入进入“LogicalInterface”“LogicalInterface”配置界面配置界面基本voyager配置介绍给接口分配给接口分配IPIP地址地址给接口输入相应的给接口输入相应的IPIP地址和地址和子网掩码长度；子网掩码长度；选择选择“On”“On”，激活接口；，激活接口；可以修改接口的逻辑名字；可以修改接口的逻辑名字；点击点击“Apply”and“Save”“Apply”and“Save”点击点击“Up”“Up”回到回到“Interf

10、aceConfiguration”“InterfaceConfiguration”界面；界面；基本voyager配置介绍静态路由静态路由点击点击“Top”“Top”键回到键回到主配置界面；主配置界面；点击点击“Routing“RoutingConfiguration”-Configuration”-“StaticRoutes”“StaticRoutes”基本voyager配置介绍配置缺省网关配置缺省网关在在“Gateway”“Gateway”一栏一栏,确保确保defaultdefault的状态是的状态是“on”“on”，并被配置了正，并被配置了正确的确的IPIP地址；地址；如果没有被设置，见下

11、如果没有被设置，见下一页；一页；基本voyager配置介绍配置缺省网关配置缺省网关选择选择“GatewayType“GatewayTypeaddress”address”；点击点击“Apply”“Apply”新的新的“GatewayAddress”“GatewayAddress”一栏出现；一栏出现；输入正确的输入正确的“Gateway“GatewayAddress”,“Description”Address”,“Description”和和“Priority”“Priority”；这个这个“GatewayAddress”“GatewayAddress”被被识别为上一级的路由器；识别为上一级的路

12、由器；点击点击“Apply”“Apply”和和“Save”“Save”基本voyager配置介绍配置主机名称表配置主机名称表点击点击“SystemConfiguration”-“HostAddressAssignment“SystemConfiguration”-“HostAddressAssignment基本voyager配置介绍1.1.输入一个设备的计算机名；输入一个设备的计算机名；2.2.所有做所有做HAHA的设备必须列出各的设备必须列出各自的计算机名；自的计算机名；3.3.这还要包括管理服务器这还要包括管理服务器4.4.输入确切的输入确切的IPIP地址地址5.5.点击点击“Apply”

13、Apply”和和“Save”Save”基本voyager配置介绍建立备份管理员和监控用户建立备份管理员和监控用户点击点击“SecurityandAccess”SecurityandAccess”“Configuration”Configuration”“Users”“Users”；UIDUID为为0 0的用户被认为的用户被认为adminadmin用户；用户；监控用户有只读权限：监控用户有只读权限：UID102UID102为为RORO权限权限 监控用户可以监控用户可以CLICLI登录登录 监控用户可以进入监控用户可以进入ConfigConfig，但，但不能改变任何设置和保存；不能改变任何设置和保

14、存；1.创建管理员用户名创建管理员用户名 Apply2.设置管理密码设置管理密码 Save基本voyager配置介绍DNSDNS设置设置点击点击“DNS”DNS”进入配置界面；进入配置界面；输入输入domaindomain名字和名字和DNSDNS服务器；服务器；日志文件中的反相查询需要日志文件中的反相查询需要DNSDNS功能；功能；NOKIA的简单维护Voyager需要FTP服务器比较少的人为操作在CLI下使用newpkg命令：从IPSO得到更到的反馈可以从不同的从程序安装两种方式的安装和升级软件NOKIA的简单维护从从voyagervoyager安装软件安装软件1.1.输入输入FTPFTP服

15、务器信息；服务器信息；2.2.选择要下载的包；选择要下载的包；3.3.点击点击APPLYAPPLY进行拷贝；进行拷贝；123NOKIA的简单维护564.4.选择要安装的包，点击选择要安装的包，点击APPLYAPPLY；5.5.点击出现的超级链接进行点击出现的超级链接进行安装；安装；6.6.选择选择installorupgradeinstallorupgrade这个这个链接；链接；4NOKIA的简单维护 安装完成后还需要做一些事情:重新登录；安装完成的包显示在列表中；NOKIA的简单维护从从CLICLI安装软件安装软件使用使用NewpkgNewpkg命令命令选择选择CLICLI的安装速度很快；的

16、安装速度很快；记住选项记住选项-n:-n:说明包的名字说明包的名字-i:-i:只安装，不激活只安装，不激活REMEMBER:安装软件之前，检查MD5IPSO 3.8 Build 23NOKIA的简单维护NOKIA的简单维护BackupMethodBackupMethodDescriptionDescriptionNotesNotes1 1管理配置设置管理配置设置SavesIPSOconfigSavesIPSOconfigJustsavesVoyagerconfigurationJustsavesVoyagerconfigurationConfigfileistext,local,andmust

17、becopiedoffConfigfileistext,local,andmustbecopiedofftheNokiaIPSecurityPlatformtheNokiaIPSecurityPlatform2 2配置的备份和恢复配置的备份和恢复SavesIPSOconfigSavesIPSOconfigLogFilesLogFilesHomeDirectoriesHomeDirectoriesApplicationSettingsApplicationSettingsFilesare.tgzandplacedinthe/var/backupFilesare.tgzandplacedinthe

18、/var/backupdirectorydirectoryFilesarelarge,andneedtobecopiedoffoftheFilesarelarge,andneedtobecopiedoffoftheNokiaIPSecurityPlatformNokiaIPSecurityPlatformJobscanbescheduledJobscanbescheduledNOKIA配置的备份NOKIA的简单维护管理配置设置管理配置设置 点击点击Manage Config SetsManage Config Sets配置保存在配置保存在/config/db/config/db/目录；目录；选

19、择一个新的配置，并将该配选择一个新的配置，并将该配置载入为置载入为activeactive配置；配置；点击点击savesave操作将覆盖操作将覆盖activeactive配置文件；配置文件；可以实现出厂缺省设置；可以实现出厂缺省设置；可以通过可以通过FTPFTP把本地的配置文把本地的配置文件保存到另外机器上。件保存到另外机器上。NOKIA的简单维护配置的备份和恢复配置的备份和恢复点击点击ConfigBackupandConfigBackupandRestoreRestore；配置保存在配置保存在/config/db/config/db/目录；目录；选择你要备份；选择你要备份；定制一个备份计划任

20、务；定制一个备份计划任务；从从/var/backup/var/backup恢复恢复 通过通过VoyagersFTPVoyagersFTP或者或者HTTPHTTP选项把备份文件恢复选项把备份文件恢复到到NOKIANOKIA平台平台 NOKIA的简单维护两种方式升级两种方式升级IPSOIPSO版本版本1.1.VoyagerVoyager进入进入 ManageIPSOImagesManageIPSOImages界面界面进入进入NEWIMAGENEWIMAGE界面界面2.2.在在 CLICLI下使用下使用newimagenewimage命令命令这些升级这些升级IPSOIPSO版本的方法将保留版本的方法

21、将保留VoyagerVoyager的设置。的设置。NOKIA的简单维护从从VoyagerVoyager升级升级IPSOIPSO简单简单需要服务器需要服务器使用使用FTPorHTTPFTPorHTTP测试是否可启动测试是否可启动NOKIA的简单维护从从CLICLI升级升级IPSOIPSO用用newimagenewimage 命令把另一命令把另一版本的版本的OSOS放到放到HDHD上；上；NewimageusagesyntaxNewimageusagesyntax模块二CheckPoint介绍本模块的主要内容CheckPointCheckPoint公司介绍公司介绍OPSECOPSEC技术介绍技术介

22、绍 CheckPointCheckPoint的主要优势的主要优势CheckPointCheckPoint的安全架构的安全架构CheckPointCheckPoint的安装、配置的安装、配置CheckPointCheckPoint的日志查看的日志查看CheckPoint公司介绍CheckPointCheckPoint公司是世界上发展速度最快的软件公司公司是世界上发展速度最快的软件公司之一，在网络防火墙市场上持续保持领先地位。作为之一，在网络防火墙市场上持续保持领先地位。作为世界领先的世界领先的IPIP网络策略管理解决方案供应商，网络策略管理解决方案供应商，CheckPointCheckPoint

23、公司的产品包括：领先的企业安全解决公司的产品包括：领先的企业安全解决方案方案FireWall-1,VPNFireWall-1,VPN解决方案解决方案VPN-1VPN-1和带宽管理解决和带宽管理解决方案方案FloodGate-1FloodGate-1。其全资子公司。其全资子公司MetaInfoMetaInfo提供先进提供先进的网络和的网络和IPIP地址管理软件，以简化复杂网络的配置、地址管理软件，以简化复杂网络的配置、集成和管理。公司总部位于美国加利福利亚州雷德伍集成和管理。公司总部位于美国加利福利亚州雷德伍德城。德城。OPSEC技术介绍CheckPointCheckPoint专利的专利的OPS

24、ECOPSEC（OpenPlatformforOpenPlatformforSecureEnterpriseConnectivitySecureEnterpriseConnectivity）技术为各厂商安）技术为各厂商安全产品的整合提供了方便统一的接口，全产品的整合提供了方便统一的接口，CheckPointCheckPointFireWall-1FireWall-1可以有效地集成第三方的安全产品，为可以有效地集成第三方的安全产品，为企业网络安全提供了统一、全面、灵活的管理平企业网络安全提供了统一、全面、灵活的管理平台，因而覆盖了网络安全的方方面面。您甚至可以台，因而覆盖了网络安全的方方面面。您

25、甚至可以通过通过FireWall-1FireWall-1管理管理CiscoCisco、BayBay、XylanXylan等网络设等网络设备供应商的不同产品。备供应商的不同产品。CheckPoint主要优势企业集中管理下的分布式客户机企业集中管理下的分布式客户机/服务器结构服务器结构对网络应用的广泛支持对网络应用的广泛支持 增强的加密和身份认证功能增强的加密和身份认证功能精确可靠的内容安全精确可靠的内容安全开放的平台，更多的选择开放的平台，更多的选择全方位的安全解决方案全方位的安全解决方案CheckPoint的安全架构管理安全策略，对象数据库，日志数据库和协调管理员登录用户接口，用于建立对象和安

26、全策略，查看日志和FW状态，维护控制模块FWM执行安全策略，并向管理服务器报告状态和日志数据Management Server(SmartCenter Server)Multiple firewall modules(FWM)Enforcement PointsManagement Module(SmartConsole)CP各个组件支持不同的系统平台 NokiaWindows Solaris2SunOS4HP-UXAIXRedHatLinuxOthersSmartConsole(GUI)DatabasesFWMFWDSmartCenter(Management)ServerWindowsX/

27、Motif NokiaWindowsSolaris2SunOS4HP-UXAIXLinuxEnforcement(Firewall)ModuleFWDSecurityserversInspectionModuleSNMPCheckPoint的安全架构CP组件的不同组合CheckPoint的安全架构CheckPoint的安装、配置CheckPointCheckPoint执行模块的安装执行模块的安装1 1、通过、通过voyagervoyager安装安装CPCP软件包软件包CheckPoint的安装、配置2 2、通过、通过consoleconsole口连接防火墙，执行口连接防火墙，执行cpconfi

28、gcpconfig命令进命令进行防火墙执行模块初始化：行防火墙执行模块初始化：选择安装方式（采用集中还是单独方式）选择安装方式（采用集中还是单独方式）选择管理模块服务器类型选择管理模块服务器类型 在选择了安装模块和在选择了安装模块和checkpointcheckpoint的的HAHA软件后软件后 询问是否增加询问是否增加licenselicense输入一些随机码输入一些随机码 输入一个输入一个activekeyactivekeyCheckPoint的安装、配置3 3、防火墙管理服务器的安装、防火墙管理服务器的安装选择一台选择一台WINDOWS2000WINDOWS2000系统安装系统安装sma

29、rtcentersmartcenter防防火墙管理端软件火墙管理端软件设置管理客户端的用户名和密码以及访问权限设置管理客户端的用户名和密码以及访问权限 设置管理客户端的设置管理客户端的IPIP地址（允许这个地址（允许这个IPIP登录）登录）输入随机数，产生内部证书用来使防火墙模块和输入随机数，产生内部证书用来使防火墙模块和管理服务器进行认证管理服务器进行认证 CheckPoint的安装、配置4 4、防火墙、防火墙GUIGUI的安装的安装选择一台选择一台WINDOWSWINDOWS系统安装系统安装CPCP防火墙防火墙GUIGUI客户客户端。端。CheckPoint的安装、配置CPCP管理服务器的

30、配置管理服务器的配置1 1、打开、打开CPCP客户端客户端GUIGUI，输入上一步设置的用户名、，输入上一步设置的用户名、口令和管理服务器的地址；口令和管理服务器的地址；CheckPoint的安装、配置2 2、第一次登录，需要、第一次登录，需要“指纹指纹”校验，点击校验，点击approve;approve;3 3、进入防火墙管理服务器配置界面；、进入防火墙管理服务器配置界面；CheckPoint的安装、配置4 4、定义防火墙、定义防火墙FWFW对象；对象；CheckPoint的安装、配置5 5、输入、输入FWFW对象的主机名、模块等信息，输入对象的主机名、模块等信息，输入SICSIC，并获得防

31、火墙并获得防火墙FWFW对象的属性；对象的属性；CheckPoint的安装、配置6 6、编辑每个防火墙对象的拓扑属性，设置属于外网、编辑每个防火墙对象的拓扑属性，设置属于外网还是内网，并设置是否执行还是内网，并设置是否执行IPIP地址欺骗；地址欺骗；CheckPoint的安装、配置7 7、定义策略：定义网络对象和定义规则；、定义策略：定义网络对象和定义规则；CheckPoint的安装、配置8 8、下发策略；、下发策略；记录日志记录日志CheckPoint的日志查看SmartViewTrackerSmartViewTracker界面界面CheckPoint的日志查看查看该记录详细信息查看该记录详

32、细信息CheckPoint的日志查看对管理员操作的审计对管理员操作的审计CheckPoint的日志查看SystemStatusViewerSystemStatusViewer（系统状态查看器）（系统状态查看器）登录登录SystemStatusSystemStatusSystemStatusSystemStatus界面界面模块查看模块查看模块状态模块状态产品详细信息窗口产品详细信息窗口 提示信息提示信息CheckPoint的日志查看SystemStatusSystemStatus界面界面CheckPoint的日志查看模块三VPN的配置测试环境网络拓扑模拟内网客户端IP:192.168.0.10G

33、w1：公网VPN网关Ext.IP：211.99.182.171Int.IP：192.168.0.1平台：IP330安装软件：VPN-1 Module&SmartCenterGw2：内网VPN网关 （NATed）Ext.IP：211.99.182.172Int.IP：10.0.0.1平台：IP330安装软件：VPN-1 Module&SmartCenter模拟内网客户端IP:10.0.0.10安装所有软件客户端安装客户端安装SmartConsoleR55SmartConsoleR55在公网网关上安装在公网网关上安装VPN-1Module/ManagementVPN-1Module/Managem

34、ent在内网网关上安装在内网网关上安装VPN-1Module/ManagementVPN-1Module/Management定义对象-GW1TopologyofGW1Interface属性定义接口属性（内or外）是否执行IP欺骗和记录日志定义Network定义VPN域定义对象-GW2（以同样方式定义其接口属性、VPN域）设置VPNCommunityVPN成员及属性加入网关成员不被加密的服务VPN参数设置增强设置设置共享密钥添加VPN规则Test分别从两边内网的客户端分别从两边内网的客户端“Ping”“Ping”对方对方从一边内网的客户端从一边内网的客户端“FTP”“FTP”到对方内网的客户端到对方内网的客户端日志信息查看