Checkpoint防火墙安全配置手册V.doc

Checkpoint防火墙安全配置手册V.doc

《Checkpoint防火墙安全配置手册V.doc》由会员分享，可在线阅读，更多相关《Checkpoint防火墙安全配置手册V.doc（41页珍藏版）》请在冰点文库上搜索。

Checkpoint防火墙安全配置手册v1.1

CheckPoint防火墙

安全配置手册

Version1.1

XX公司

二零一五年一月

第41页共41页

目录

1 综述 5

2 Checkpoint的几种典型配置 6

2.1 checkpoint初始化配置过程：

6

2.2 CheckpointFirewall-1GUI安装 13

2.3 CheckpointNG的对象定义和策略配置 18

3 Checkpoint防火墙自身加固 34

1综述

本配置手册介绍了Checkpoint防火墙的几种典型的配置场景，以加强防火墙对网络的安全防护作用。

同时也提供了Checkpoint防火墙自身的安全加固建议，防止针对防火墙的直接攻击。

通用和共性的有关防火墙管理、技术、配置方面的内容，请参照《中国移动防火墙安全规范》。

2Checkpoint的几种典型配置

2.1checkpoint初始化配置过程：

在安装完Checkpoint软件之后，需要在命令行使用cpconfig命令来完成Checkpoint的配置。

如下图所示，SSH连接到防火墙，在命令行中输入以下命令：

IP350[admin]#cpconfig

WelcometoCheckPointConfigurationProgram

=================================================

Pleasereadthefollowinglicenseagreement.

Hit'ENTER'tocontinue...

（显示CheckpointLicense版权信息，敲回车继续，敲q可直接跳过该License提示信息）

Doyouacceptallthetermsofthislicenseagreement（y/n）?

y

（输入y同意该版权声明）

WhichModulewouldyouliketoinstall?

-------------------------------------------

（1）VPN-1&FireWall-1EnterprisePrimaryManagementandEnforcementModule

（2）VPN-1&FireWall-1EnforcementModule

（3）VPN-1&FireWall-1EnterprisePrimaryManagement

CheckpointFirewall-1/VPN-1支持多种安装模式，Firewall-1/VPN-1主要包括三个模块：

GUI：

用户看到的图形化界面，用于配置安全策略，上面并不存储任何防火墙安全策略和对象，安装于一台PC机上；

Management：

存储为防火墙定义的各种安全策略和对象；

EnforcementModule：

起过滤数据包作用的过滤模块，它只与Managerment通信，其上的安全策略由管理模块下载；

以上三个选项中如果Management与EnforcementModule安装于同一台设备上，则选择

（1），如果Management与EnforcementModule分别安装于不同的设备上，则选择

（2）或（3）。

在此处我们选择

（1）

Enteryourselection（1-3/a-abort）[1]:

1

IPforwardingdisabled

HardeningOSSecurity:

IPforwardingwillbedisabledduringboot.

Generatingdefaultfilter

DefaultFilterinstalled

HardeningOSSecurity:

DefaultFilterwillbeappliedduringboot.

Thisprogramwillguideyouthroughseveralstepswhereyou

willdefineyourCheckPointproductsconfiguration.

Atanylatertime,youcanreconfiguretheseparametersby

runningcpconfig

ConfiguringLicenses...

=======================

HostExpirationFeatures

Note:

TherecommendedwayofmanaginglicensesisusingSecureUpdate.

Thiswindowcanbeusedtomanagelocallicensesonlyonthismachine.

Doyouwanttoaddlicenses（y/n）[y]?

n

（询问用户是否需要安装CheckpointLicense，可以在此时输入，也可在安装完毕时用命令行方式输入，因为使用命令行方式输入较为方便，建议用户在安装完毕后使用copy->paste的方式输入License。

在此处我们选择n）

ConfiguringAdministrators...

=============================

NoCheckPointAdministratorsarecurrently

definedforthisManagementStation.

Administratorname:

fwadmin

（配置CheckpointFirewall-1/VPN-1的管理员用户名，注意系统自身与Checkpoint的管理员不相同）

Password:

VerifyPassword:

（设置管理员的密码，Checkpoint管理员密码没有长度的限制）

PermissionsforallManagementClients（Read/[W]riteAll,[R]eadOnlyAll,[C]us

tomized）W

（设置该管理员的用户权限，有三种权限，写权限W，读权限R，自定义权限C，在此处选择W，给予管理员最大的权限）

Administratorfwadminwasaddedsuccessfullyandhas

Read/Writepermissiontoallmanagementclients

Addanotherone（y/n）[n]?

（提示是否还加入其它用户）

ConfiguringGUIclients...

==========================

GUIclientsaretrustedhostsfromwhich

AdministratorsareallowedtologontothisManagementStation

usingWindows/X-MotifGUI.

Doyouwantto[C]reateanewlist,[A]ddor[D]eleteone?

:

C

（CheckpointGUI软件需要安装在一台PC机上，但该GUI的IP地址需要定义，在此处我们选择C，创建一个GUIIP地址表）

PleaseenterthelisthoststhatwillbeGUIclients.

EnterhostnameorIPaddress,oneperline,terminatingwithCTRL-DoryourEOFcharacter.

10.0.0.15

Isthiscorrect（y/n）[y]?

（输入完地址后需要按CTRL-D结束定义GUI）

ConfiguringGroups...

=====================

CheckPointaccessandexecutionpermissions

-------------------------------------------

Usually,aCheckPointmoduleisgivengrouppermission

foraccessandexecution.

Youmaynownamesuchagrouporinstructtheinstallation

proceduretogivenogrouppermissionstotheCheckPointmodule.

Inthelattercase,onlytheSuper-Userwill

beabletoaccessandexecutetheCheckPointmodule.

Pleasespecifygroupname[fornogrouppermissions]:

Nogrouppermissionswillbegranted.Isthisok（y/n）[y]?

SettingGroupPermissions...Done.

（为Checkpoint生成一个管理组，在此处不需要生成专门管理组，直接敲回车，不生成组）

ConfiguringRandomPool...

==========================

Youarenowaskedtoperformashortrandomkeystrokesession.

Therandomdatacollectedinthissessionwillbeusedin

variouscryptographicoperations.

Pleaseenterrandomtextcontainingatleastsixdifferent

characters.Youwillseethe'*'symbolafterkeystrokesthat

aretoofastortoosimilartoprecedingkeystrokes.These

keystrokeswillbeignored.

Pleasekeeptypinguntilyouhearthebeepandthebarisfull.

[....................]

Thankyou.

（随意敲入字符，以便Checkpoint用它作为随机的加密参数。

随意敲任意，直到出现Thankyou）

ConfiguringCertificateAuthority...

====================================

ThesystemusesaninternalCertificateAuthority

toprovideSecuredInternalCommunication（SIC）Certificates

forthecomponentsinyourSystem.

Notethatyourcomponentswon'tbeabletocommunicate

witheachotheruntiltheCertificateAuthorityisinitialized

andtheyhavetheirSICCertificate.

Press'Enter'toinitializetheCertificateAuthority...

（输入回车开始生成证书）

InternalCertificateAuthoritycreatedsuccessfully

Certificatewascreatedsuccessfully

CertificateAuthorityinitializationendedsuccessfully

（证书生成完成）

TheFQDN（FullyQualifiedDomainName）ofthisManagementServer

isrequiredforproperoperationoftheInternalCertificateAuthority.

（默认的证书名称为FQDN）

Wouldyouliketodefineitnow（y/n）[y]?

ThemanagementFQDNisIP350.Doyouwanttochangeit?

（y/n）[n]?

Press'Enter'tosendittotheCertificateAuthority...

（按回车键开始发送证书）

NOTE:

IftheFQDNisincorrect,theInternalCAcannotfunctionproperly,

andCRLretrievalwillbeimpossible.

AreyousureIP350istheFQDNofthismachine（y/n）[n]?

y

FQDNinitializedsuccessfully

TheFQDNwassuccessfullysenttotheCA

ConfiguringCertificate'sFingerprint...

========================================

ThefollowingtextisthefingerprintofthisManagementmachine:

SODAKNEEMEATLIENADDLAPWISHJIBEJIMAMENEACHSAID

Doyouwanttosaveittoafile?

（y/n）[y]?

n

（询问是否将ManagementServer上的指纹存储到文件中）

generatingGUI-clientsINSPECTcode

initial_management:

CompiledOK.

HardeningOSSecurity:

Initialpolicywillbeapplied

untilthefirstpolicyisinstalled

（在配置完成Checkpoint后，Checkpoint会将操作系统做一个加固，除CheckpointGUI外，其它的任何服务都不能连接到防火墙）

Inordertocompletetheinstallationofmodule

youmustrebootthemachine.

Doyouwanttoreboot?

（y/n）[y]?

n

（Checkpoint将询问是否重新启动，为便于使用命令行增加CheckpointLicense，在此处点击n）

IP350[admin]#cplicputliceval01Jan2003dHEkKf7rt-BN9eeqjJx-9vxuF5EfN-X5TxP4MqpCPMP-EVAL-1-3DES-NGCK-CP

HostExpirationFeatures

eval1Jan2003CPMP-EVAL-1-3DES-NGCK-CP

（使用命令行增加CheckpointLicense，该命令行可直接从Checkpoint的正式License中Copy到命令行模式下）

IP350[admin]#sync

IP350[admin]#reboot

cleaningup...

syncingdisks...done

Rebooting...

a）重新启动后，整个CheckPointVPN-1/FW-1NG安装完成。

2.2CheckpointFirewall-1GUI安装

1、插入CheckpointNG光盘，将自动运行，出现下列界面，点击Next。

如果没有自动出现下列界面，双击光盘所在盘符下的Setup.exe文件，光盘将会自动运行。

2、出现License协议，点击Next按钮继续。

3、出现产品安装菜单，内含两大项——SERVER/GATEWAYCOMPONENTS和MOBILE/DESKTOPCOMPONENTS，前者是安装于SERVER端上的组件，后者是针对移动用户VPN应用和客户会话验证的组件。

在此选择SERVER/GATEWAYCOMPONENTS，点击Next按钮。

4、出现Server端组件选择窗口，由于VPN-1&Firewall-1、PolicyServer组件已经安装于防火墙上，只需要安装ManagerClients组件，即GUI。

只选择ManagerClients，点击Next继续。

5、出现准备安装提示，点击Next继续。

6、出现安装路径选择窗口，默认路径为C:

\ProgramFiles\Checkpoint\ManagerntClients。

7、出现CheckpointNGGUI组件选择窗口。

其中各组件功能说明如下：

lPolicyEditor是用来编辑Firewall的安全策略。

lLogViewer用来察看Firewall的Log，包括历史纪录、当前连接纪录和管理员操作纪录。

lSecureClientPackagingTool用于VPN用户，将VPN客户端所需的软件包和策略封成一个数据包，发送给移动VPN用户。

lTrafficMonitor是用于实时监测Firewall上数据流量情况，可以按照协议、对象等生成实时的曲线图表。

该模块需额外购买。

lSecureUpdate是用于管理防火墙的各组件和License，并能增加、删除、升级各组件和License。

lReportingTool用来分析防火墙生成的Log，生成各种类型报表和图表。

该模块需额外购买。

lUserMonitor是用来对用户进行集中管理的工具，该模块需要额外购买。

根据交行的实际情况，在此我们只需要选择上PolicyEditor、LogViewer、SecureUpdate。

点击Next继续。

8、完成安装，点击确定按钮。

此时完成CheckpointGUI的安装。

2.3CheckpointNG的对象定义和策略配置

1、首先使用GUI连接到CheckpointManagerment，点击开始—程序—CheckpointManagementClient—PolicyEditorNG后，出现下列窗口，在UserName和Password栏中填入在防火墙中使用cpconfig命令配置的用户名和口令。

Managerment中填入Managerment的IP地址，即为防火墙的IP地址。

注意：

在防火墙初始配置完成后，Checkpoint会对操作系统做一个加固，除了CheckpointGUI能够连接防火墙外，其它所有端口都被CheckpointNG关闭。

2、如果GUI正确的连接到防火墙的Management上时，会出现下列的窗口，其中的Fingerprint是GUI与CheckpointManagerment之间的指纹验证（密钥），用来GUI是连接到了正确的Management上。

点击Approve按钮。

3、点击Approve按钮后，将出现下列界面，这即是CheckpointNG的PolicyEditor的主界面。

除了防火墙对象自动成生以外，其它对象还未定义。

策略还是处于空白状态。

4、首先定义防火墙对象，双击NetworkObjects—Checkpoint—IP350（防火墙名字）对象，出现下面的窗口，在GeneralProperties中将FloodGate-1勾掉（Disable）。

FloodGate-1是用于带宽管理的软件，在此处不需要。

如果用户没有VPN应用，可以将VPN-1pro和VPN-1net都勾掉（Disable）。

见下图

5、在左边点击Topology，定义防火墙的拓扑结构和Anti-Spoofing（地址欺骗），首先点击GetTopology按钮，使CheckpointFirewall-1自动获取到防火墙上所有已定义出的网卡。

6、获取的网卡地址将显示在下列的窗口中，点击Accept确认。

7、双击每块网卡，并点出弹出窗口中的Topology标签项，定义网卡的Anti-Spoofing，对于防火墙连接内部的网卡，选择Internal（Leadstothelocal），IPAddressesbehindthis中选择NetworkdefinedbytheinterfaceIPandNetMask。

Anti-Spoofing中将PerformAnti-Spoofingbaseoninterface勾上（Enable）。

这样定义以后，所有来自非内部网卡所有网段的数据包都将被防火墙内部网卡丢弃掉。

注意：

如果防火墙内部有多个网段，建议用户使用以下方法定义Anti-Spoofing：

1、在防火墙NetworkObjects—Network中定义各个网段；

2、在防火墙NetworkObjects—Group中定义一个组，将各个网段加入这个组中；

3、双击防火墙的的内部网卡，定义Topology时，IPAddressesbehindthis中选择Specified，在下拉条中选择刚才定义的Group。

8、在防火墙对象的Tepology中双击外部网卡，在Topology标签项中定义外部网卡，选择External（leadsouttothe），在下面的Anti-Spoofing中，建议用户勾掉（Disable）PerformAnti-Spoofingbasedoninterface选项，即不对外部网卡做Anti-Spoofing。

如下图：

9、防火墙对象定义完毕后，开始定义主机、网络对象等。

在左边NetworkObjects中，在Node上右键单击，在弹出菜单中选择New—Host。

10、在弹出的窗口上填入主机名和真实IP地址。

11、如果该主机需要做NAT