checkpoint基本操作手册-中文.pdf

1. CheckPoint 架构 . 2 2. 设置系统配置 . 2 2.1 设置 IP 地址 2 2.2 设置路由 . 3 2.3 配置备份 . 4 2.4 下载 SmartConsole（GUI Client） . 6 2.5 命令行（Console/SSH）登陆专家模式 6 3. 配置防火墙策略 . 6 3.1 安装 SmartConsole，登录策略配置管理 . 7 3.2 创建对象 . 7 3.2.1 创建主机对象 . 7 3.2.2 创建网络对象 . 8 3.2.3 创建组对象 . 9 3.3 创建策略 . 10 3.3.1 策略分组 . 13 3.4 创建地址转换（NAT） 14 3.4.1 自动地址转换（Static） 15 3.4.2 自动地址转换（Hide） . 15 3.4.3 手动地址转换 . 16 3.5 Install Policy . 18 4. 用户识别及控制 . 18 4.1 启用用户识别及控制 . 18 4.2 创建 AD Query 策略 . 22 4.3 创建 Browser-Based Authentication 策略 24 5. 创建应用及网址（URL）控制策略 25 5.1 启用应用或网址（URL）控制功能 25 5.2 创建应用及网址（URL）对象 25 5.3 创建应用及网址（URL）组对象 27 5.4 创建应用及网址（URL）控制策略 29 6. 创建防数据泄露（DLP）策略. 31 6.1 启用防数据泄露（DLP）功能 . 31 6.2 创建防数据泄露（DLP）对象 . 31 6.2.1 创建防数据泄露（DLP）网络对象 . 31 6.2.2 创建防数据泄露（DLP）分析内容对象 . 31 6.2.3 创建防数据泄露（DLP）分析内容组对象 . 31 6.3 创建防数据泄露（DLP）控制策略 . 31 7. 生成报表（SmartReporter） . 31 7.1 启用报表功能 . 32 7.2 生成报表前参数调整 . 32 7.3 生成报表 . 35 8. 事件分析（SmartEvent） 36 8.1 启用事件分析功能 . 36 8.2 查看事件分析 . 37 1. CheckPoint 架构 CheckPoint 分为三层架构，GUI 客户端（SmartConsole）是一个可视化的管理配置客 户端，用于连接到管理服务器（SmartCenter） ，管理服务器（SmartCenter）是一个集中 管理平台，用于管理所有设备，将策略分发给执行点（Firewall）去执行，并收集所有执 行点（Firewall）的日志用于集中管理查看，执行点（Firewall）具体执行策略，进行网络 访问控制 2. 设置系统配置 设备的基本配置需要在 WEB 下进行，如 IP、路由、DNS、主机名、备份及恢复、时间日 期、管理员账户，默认 web 管理页面的连接地址为 https://192.168.1.1:4434，如果已更 改过 IP，将 192.168.1.1 替换为更改后的 IP 2.1 设置 IP 地址 例：设置 LAN2 口的 IP 为 10.0.255.2 登录 web 后选择 NetworkConnections 直接点击 LAN2 管理服务器管理服务器 SmartCenter GUI Client SmartConsole 执行点执行点 Firewall 填入 IP 地址和掩码，点击 Apply 2.2 设置路由 例：设置默认路由为 10.0.255.1 登录 web 后选择 NetworkRouting 点击 NewDefault Route， （如果设置普通路由，点击 Route） 填入默认路由，点击 Apply 2.3 配置备份 此备份包括系统配置和 CheckPoint 策略等所有配置 例：将配置备份出来保存 选择 ApplicanceBackup and Restore 选择 BackupStart Backup 输入备份的文件名，点击 Apply（由于日志可能会较大，增加备份文件的大小，可考虑 去掉 Include Check Point Products log files in the backup 前面的勾） 选择 Yes 等待备份文件打包 当弹出下载文件提示后，将文件保存至本地 2.4 下载 SmartConsole（GUI Client） 选择 Product ConfigurationDownload SmartConsole 选择 Start Download 2.5 命令行（Console/SSH）登陆专家模式 登陆命令行（Console/SSH）默认模式下仅支持部分操作及命令，如需要执行更高权限的 命令或操作时需登陆专家模式 在命令行中输入 expert 回车，根据提示输入密码即可登陆，默认密码同 web、console、 SSH 登陆密码相同 # expert Enter expert password: You are in expert mode now. 3. 配置防火墙策略 CheckPoint 防火墙的策略执行顺序为自上而下执行，当满足某一条策略时将会执行 该策略设定的操作，并且不再匹配后面的策略 ***如果策略中包含用户对象，即使匹配该策略，仍然会继续匹配后面的策略，只有当 后面的策略没有匹配或者后面的策略中匹配的操作是 drop 时才会执行之前包含用户的 策略 通常 CheckPoint 策略配置的顺序依次为防火墙的管理策略、 VPN 策略、 服务器 （DMZ） 策略、内网上网策略、全部 Drop 策略 创建 CheckPoint 防火墙策略的步骤为创建对象、创建策略并在策略中引用对象、 Install Policy ***CheckPoint 中配置的更改必须 Install Policy 之后才会生效 3.1 安装 SmartConsole，登录策略配置管理 直接运行下载的 SmartConsole 安装包进行安装，安装完成后登陆 SmartDashboard 例：打开策略管理 运行 SmartDashboard 输入用户名、密码以及 SmartCenter（管理服务器）的 IP 地址，点击 OK 登陆 3.2 创建对象 CheckPoint 配置策略的基本步骤为创建需要的对象、 创建策略、 在策略中引用对象、 Install Policy 3.2.1 创建主机对象 例：创建 IP 为 192.168.10.1 的对象 选择 NodesNodeHost 在 Name 处输入对象名（字母开头） ，在 IP Address 处输入对象的 IP 地址，如 192.168.10.1，点击 OK 3.2.2 创建网络对象 例：创建网段为 192.168.10.0，掩码为 255.255.255.0 的对象 选择 NetworksNetwork… 输入网段对象名， 网段， 掩码 （由于是中文版系统的关系， 部分字样可能显示不全） ， 点击 OK 3.2.3 创建组对象 如果有多个对象需要在策略中引用，方便起见可将这些对象添加到一个组中，直接 在策略中引用该组即可 例：将网段 192.168.10.0 和 192.168.11.0 添加到一个组对象中 选择 GroupsGroupsSimple Group… 输入组对象的名字， 将网段对象 192.168.10.0 和 192.168.11.0 在左侧 Not in Group 窗 口中双击移入到右侧的 In Group 窗口中，点击 OK 3.3 创建策略 创建策略前需根据需求先确定创建的位置 例：在第 6 条和第 7 条之间创建 1 条允许 192.168.10.0 网段访问任何地方任何端口的策 略，并记录日志 选中第 7 条策略，单击右键，选择 Add RuleAbove 添加后会出现一条默认策略，需要做的就是在这条策略上引用对象 在 Source 对应的一栏中，右键点击 Any，选择 Network Object… 找到 192.168.10.0 这个网段的对象后选中，并点击 OK 由于是访问任何地址的任何端口，所以在 Destination、VPN、Service 栏中保持 Any 不变 在 Action 栏中点击右键选择 Accept 在 Track 栏中点击右键选择 Log，这样凡是被这条策略匹配的连接都会记录下日志，用 于在 SmartView Tracker 中查看 完成后的策略如下图 3.3.1 策略分组 当策略数目较多时，为了方便配置和查找，通常会对策略进行分组 例：将 7、8、9 三条日志分为一个组 选中第 7 条策略，点击右键，选择 Add Section TitleAbove 输入名字后点击 OK 如下图所示，7、8、9 三条策略就分在一个组中了，点击前面的+-号可以打开或缩进 3.4 创建地址转换（NAT） 在 CheckPoint 中地址转换分为自动和手动两种，其中自动又分为 Static NAT 和 Hide NAT Static NAT Static 是指将内部网络的私有 IP 地址转换为公有 IP 地址， IP 地址对是一对一的， 是 一成不变的，某个私有 IP 地址只转换为某个公有 IP 地址。

借助于静态转换，可以实现 外部网络对内部网络中某些特定设备（如服务器）的访问 Hide NAT Hide NAT 是指改变外出数据包的源端口并进行端口转换，即端口地址转换（PAT， Port Address Translation).采用端口多路复用方式内部网络的所有主机均可共享一个合 法外部 IP 地址实现对 Internet 的访问，从而可以最大限度地节约 IP 地址资源同时， 又可隐藏网络内部的所有主机，有效避免来自 internet 的攻击因此，目前网络中应用 最多的就是端口多路复用方式 3.4.1 自动地址转换（Static） ***防火墙本身网口地址不能做自动 Static 地址转换 例：将内网的 web 服务器 192.168.10.10 发布至公网地址 58.246.25.91 创建 web 服务器对象，在左边一栏中选择 NAT 在 Add Automatic Address Translation rules 前打勾，Translation method 选择为 Static， Translate to IP Address 输入 58.246.25.91，点击 OK 添加一条允许访问的策略，由于是 web 服务器，端口为开放为 http 和 https ***自动 Static NAT 的主机对象包括本地 IP 和 NAT 后的 IP， 如下图所示的策略表示允 许访问 192.168.10.10 和 58.246.25.91 的 http、https 3.4.2 自动地址转换（Hide） 例：内网段 192.168.10.0 需要上 Internet 访问任意资源 创建网络对象 192.168.10.0，选择 NAT 在 Add Automatic Address Translation rules 前打勾，Translation method 选择为 Hide， 选择 Hide behind Gateway，点击 OK 创建一条允许网段 192.168.10.0 访问任意地址任意端口的策略 3.4.3 手动地址转换 由于手动 NAT 涉及到 proxy arp，在 CheckPoint 中如果使用到手动 NAT，需要更改 local.arp 文件添加 NAT 后 IP 地址对应的 MAC，关于 proxy arp 可参考 ***如果手动 NAT 对应的外网地址已经在自动 NAT 中使用，那就无需更改 local.arp 例：将公网地址 58.246.25.91 的 80 端口映射到内网地址 192.168。