Check Point SMB
操作手冊
目錄
準備 3
初始化 4
配置IP 4
初始化 5
Check Point 1100 Web配置 13
初始化到獨立式 13
配置IP,路由 13
開啓功能 16
配置策略 16
查看日誌 17
Check Point 1100 SC配置 19
初始化到分佈式 19
連接到Smart Center 21
開啓功能模塊 25
配置下發策略 26
應用控制介紹 27
IPS介紹 27
S to S的***和 遠程*** 28
建立S to S的***。 28
配置案例 29
600與R75。40***配置問題的解決方法 37
建立遠程*** 38
準備
首先我們可以看下設備的外觀,大小與小型交換機相符。外觀分爲正面板和背面板。
正面板主要用於顯示設備的電源指示燈,狀態指示等,網絡連接狀態燈。
背面板主要用於電源插口,外網/內網插口,Console口,reboot按鍵和恢復原廠按鈕。
初始化
配置IP
接通電源後首次開啓設備,用一條網線接入設備的LAN1-LAN8口任意一個端口,把IP配置成DHCP。
配置成DHCP後可以到網卡信息界面查看是否已經獲取到IP,如果能獲取到則證明設備已經啓動好了。初始化
接下來我們就通過Web界面對設備進行初始化。首次登陸的地址爲:https://192.168.1.1:4434,打開頁面會自動跳轉到初始化界面。
點擊Next進入下一步。在該頁面設定管理員的帳號密碼,選擇所在的國家。
點擊Next進入下一步,設定時間,有兩種方式,背部別爲手動和自動,手動設定則爲手動設定到指定時間。自動則是通過NTP服務器獲取時間。
點擊Next進入下一步,設定設備的名稱和域名,無域名則不需要輸入。
點擊Next進入下一步,設定設備的使用模式,1100是支持被Smart Center管理的,目前支持管理1100的設備有Smart Center R77和R75.47。其他版本暫無法完美支持。
(選擇分佈式管理,我們使用R75.47對1100進行管理測試)
點擊Next進入下一步,設定外網的連接模式,可以選擇稍後配置完後再進行設定。
點擊Next進入下一步,設置內網的管理IP和是否設定DHCP,包括DHCP的網段設定。
點擊Next進入下一步,選擇是否設定wifi的密鑰和名稱,這裏選擇稍後設定。
點擊Next進入下一步,選擇允許通過那些方式訪問設備,可以選擇內網,外網,無線和***四種方式。除了設定訪問方式還可以指定IP訪問。
點擊Next進入下一步,激活設備有兩種方式,一種爲在線激活方法,一種爲離線激活方式,也可以直接點擊Next而不激活,將有30天的試用期。如果直接點擊Next他會提醒您未激活,直接點OK即可。
點擊OK之後要進行配置SIC,由於之前我們選擇的是分佈式,所以我們需要設定一個SIC密鑰用於跟Smart Center進行連接,方便Smart Center進行管理。
點擊Next進入下一步,連接SmartCenter,我們可以選擇稍後加入管理。勾選下面的選項點擊Next。
點擊Next後會出現設備的基本信息,確認無誤後點擊Finsh完成初始化。
Check Point 1100 Web配置
初始化到獨立式
獨立式適用於部署一臺設備的辦事處或者企業。對於一些預算較低的公司可以選擇獨立模式以保證預算。當然,並不是您選擇了獨立式後就不可再進行修改。您可以在初始化是選擇初始化爲獨立模式,後期需要添加新CP時再把模式更改爲分佈式,前提是您需要單獨在購買一臺Smart Center或者安裝一臺Smart Center進行管理。
注:Check Point 2200系列以上則無法在初始化選擇獨立式後再次修改。
注:HA情況強烈建議使用分佈式,不使用獨立式。
配置IP,路由
配置設備的IP和DHCP服務器。
首先點擊你需要修改的網絡組進行修改。默認每個網絡組等於一個交換機。在該設備中可以同時建立多個網絡組。最多可以同時建立8個網絡組,針對CP的8個接口做8個網絡組。默認CP初始化完畢後會把8個lan接口劃分到一個網絡組當中,如果需要新建網絡組。則需要先從默認網絡組中把你們需要單獨做網絡組的接口分離出來。接口除了做網絡組也可以接口自身做成一個有IP的接口。在網絡組裏面的所有接口的網關都是指向網絡組的ip,而自身做成接口的則按照自身分配的IP座位網關。
例1,做成網絡組:
首先雙擊您需要分離出來的網口,在Assigned處選擇Unassigned。把需要的接口分離出來後,點擊New Switch
在此處選擇你需要加入到該網絡組的接口前面勾選。
設定網絡組的IP地址。
是否開啓DHCP服務器。如果開啓則設定DHCP分配的地址段和保留的地址。
配置完成後點擊Apply完成。
例2,自身做成Switch:
雙擊你需要做成Switch的接口,然後在Assigned to 選擇 Separate Network。
設定網口的IP地址:
是否開啓該網口的DHCP服務器,配置DHCP網段和預留的IP。
路由配置
需要配置靜態路由選擇Device找到頁面下的Routing選項卡。
點擊New添加路由。
在打開的新增頁面中設定目的地址,源地址,
服務和下一跳,點擊Apply完成新增。
開啓功能
在獨立模式下面開啓功能模塊只需要登陸設備後在設備的Home界面下的Security Dashboard,選擇您需要開啓的功能。在設備購買時都會導入license。導入後沒有購買的模塊將無法被開啓。
配置策略
配置CP的策略。首先需要確認是否是否開啓了開功能模塊。可以在上一個教程中查看開啓方法或者在Acces Policy下選擇Blade Contorl開啓該模塊。在該頁面同時也集成了應用控制和URL控制模塊的開啓和關閉。
在Firewall Policy可以選擇Standard標準模式(攔截所有從外網進來的數據)或者選擇Strict攔截模式(攔截所有出去和進來的數據),選擇OFF爲關閉。
模塊開啓完成後,接下來就可以配置Policy了。選擇Policy界面點擊New進行添加策略。
查看日誌
在獨立式中查看經過防火牆的日誌,點擊Logs & Monitoring查看Logs。
點擊Security Logs查看防火牆的訪問日誌。
點擊System Logs查看系統日誌
可以在Status中查看到設備的連接信息,包括:
連接到設備的活動PC
***通道狀態
活動連接
3Dreport
可以在Scurity Report生成設備下的日誌。
點擊Reports Dashboard查看基於每小時,每天,每週,每月的報告。
點擊Hourly Report\Daily Report\weekly Report\monthly Report,選擇Generate Report針生成對設備每小時\天\周\月的運行報告。
Check Point 1100 SC配置
初始化到分佈式
點擊Next進入下一步,設定設備的使用模式,1100是支持被Smart Center管理的,
目前支持管理1100的設備有Smart Center R77和R75.47。其他版本暫無法完美支持。
(選擇分佈式管理,我們使用R75.47對1100進行管理測試)
點擊OK之後要進行配置SIC,由於之前我們選擇的是分佈式,所以我們需要設定一個SIC密鑰或者使用自動認證用於跟Smart Center進行連接,方便Smart Center進行管理。(這裏我們選擇第二個,自動認證)
連接到Smart Center
當Check Point 1100被選爲獨立模式後。登陸該設備的1100可以發現界面中少了許多選項。且無法在web下開啓防火牆的功能。開啓功能必須要通過Smart Center進行開啓。
查看1100與Smart Center的連接狀態可以在Seurity Dashboard中查看是否有被管理。或者查看跟Smart Center連接是否正常。
圖中我們可以看得出目前該設備與Smart Center的連接狀態爲斷開。現在我們開始對他們進行對接。首先打開Smart Center。在Firewall界面中添加防火牆。
選擇Security Gateway/Management…添加設備。選擇嚮導模式進行添加設備。點擊Wizard Mode進行嚮導模式添加設備。設備名稱寫入Gateway-1100,設備的軟件版本爲1100 Appliances。輸入設備的IP地址:192.168.1.12
點擊下一步,配置設備與Smart Center的連接信息。選擇連接方式。不需要通過SIC進行連接。選擇連接Connect進行連接。連接後狀態會更換成: 點擊下一步進入設備功能的開啓。默認只開啓了FireWall功能,其他功能均未開啓。可以按照您購買的功能模塊開啓相應的功能。
開啓所需的功能後點擊下一步配置是否內網所有IP都自動進行NAT。配置完成後最後確認下配置信息
開啓功能模塊
被Smart Center所管理的設備需要開啓功能有兩種方式。
第一種是在添加設備時開啓所需要的功能。
第二種是在Smart Center中打開新增的設備。下方可以進行功能的開啓與關閉。勾選則爲開啓,不勾選則爲關閉
配置下發策略
上邊標記處是添加防火牆規則的按鈕。左邊是定義各種對象的區域,有防火牆對象,主機對象,網絡對象,以及組對象。右邊Security選項顯示的是規則庫,顯示當前定義的各條規則。下面是已經定義的所有對象以及他們相應得屬性。
在第一次添加規則的時候,我們點擊圖中的按鈕,然後在規則庫中會出現一條默認規則。
然後我們引用定義好的對象,制訂規則。見下圖:在圖中我們要添加相應對象,直接在對應欄中點擊右鍵,然後在彈出的對話框中選擇相應對象。
添加完策略後。需要下發策略後,該策略纔會被應用到設備上面。需要點擊下發策略按鈕 纔可以被下發到設備上面。
(應用控制,URL控制,IPS,結合AD域和***請參考SmartCenter配置手冊。)
應用控制介紹
Check Point的應用控制可以針對一個類型的網站或者應用進行限制。方便用戶在不知道網站或着應用名稱的情況下通過類型確認該應用或網站類型。如淘寶網,天貓,京東,易迅這些購物網站需要禁止只能一個一個添加。而checkpoint則是通過特徵碼把一個所有關於購物的網站進行限制。應用和URL控制都是在Fire Wall進行修改。1100把Firewall和策略做到了一個地方。方便用戶修改。
IPS介紹
IPS中文爲***防禦,可以針對外網來的***進行防禦。在Web中選擇Threat Prevention中打開IPS監控。默認開啓後不需要做設置就可以攔截80%的***。
S to S的***和 遠程***
S to S ***是點到點的***。針對客戶有兩臺checkpoint防火牆做的***。他們的加密方式有兩種,分別是通過密鑰和通過證書形式完成加密。
建立S to S的***。
首先需要開啓Site to Site ***的模塊功能,在***界面下的Site To Site 中的lade Control中進行開啓。
開啓完成後到*** Site添加站點。打開*** Sites 點擊New 添加***對端設備。
在界面中我們需要配置對端設備的名稱,IP,密鑰或證書和對方訪問本端的***網段
設定完成後在另外一段的設備中添加一臺對端的設備。寫入名稱,IP,密鑰或着證書和對端參加***的網段。設定完成之後可以在*** Tunnle中查看***建立的狀態。
配置案例
在配置中需要把設備的默認版本升級到R75.20.40或以上的版本。否則在導入證書時會無法導入。
環境:
對端是一臺Check Point R75.40用的固定IP,IP爲:10.10.10.1,內網的網段爲:192.168.1.0。
本端是SMB 620設備版本是R75.20.50,使用ADSL撥號。內網的網段是192.168.168.0
配置步驟:
首先需要通過Smart Center生成一個證書。用於雙方進行認證。在SC下面右鍵點擊Check Point窗口選擇UTM-1 Edge Gateway。
在彈出的窗口中輸入設備的名稱。點擊Edit Registration Key,自動生成一個密鑰,由於620不支持被管理,在這裏我們點擊自動生成密鑰,點擊OK。勾選最下方的External Managed Gateway,選擇Topology。
在該頁面的*** Domain中選擇manually defined 在複選框中選擇自身的內網網段。點擊IPSec ***。
在該界面中生成證書。首先點擊Repostory Of Certficates Available to the Gateway下面的Add,在彈出的界面當中輸入設備的名稱。點擊Generate生成證書,把生成的數據找個文本記錄起來,中間用(,)分隔。
記錄完畢後點擊OK。證書生成完成後點擊Matching Crteria。
在上端選擇Internal_ca,勾選DN選項,在後面填入前面獲取到的數據。
點擊OK保存後再次OK關閉本窗口後再次打開跳到該界面點擊Export P 12。設定一個證書的密碼。
輸入兩次,點擊OK選擇導出路徑,生成證書p12文件。
生成證書後接下來我們需要配置設備自身的***。選擇R75.40的設備選擇Topology,在該頁面的*** Domain中選擇manually defined 在複選框中選擇自身的內網網段。點擊IPSec ***。
接下來開始配置兩端對聯的***站點,點擊頁面當中的選擇小鎖頭,在站點中雙擊Site to Site的***,在打開的界面當中進行配置。
在該頁面中選擇 Participating Gateways,彈出的窗口中點擊Add添加需要參加***的網關,完成後單擊Advanced Settings。
選擇Advanced *** Properties,勾選頁面當中的Disable NAT inside the *** community。點擊OK完成配置。
配置完站點後我們需要添加條策略使***通過。
添加完策略後記得下發策略。
配置完成後我們
開啓Site to Site ***的模塊功能,在***界面下的Site To Site 中的lade Control中進行開啓。
開啓完成後到*** Site添加站點。打開*** Sites 點擊New 添加***對端設備。
在界面中我們需要配置對端設備的名稱,IP,密鑰或證書和對方訪問本端的***網段
設定完成後在另外一段的設備中添加一臺對端的設備。寫入名稱,IP,密鑰或着證書和對端參加***的網段。設定完成之後可以在*** Tunnle中查看***建立的狀態。
600與R75。40***配置問題的解決方法
First Step: Verify the other peer's Certificate name (CRL Distribution address).
- To verify the local Certificate's CRL Distribution address, go to: "***" - > "Certificates"- > "Internal Certificate".
- Under "Internal *** Certificate" there is the CRL Distribution URL. This is the Local URL address and should be provided to the remote *** peer.
Second Step: Adding a network object that represents the CRL Distribution URL of the Remote *** peer.
This step provides the local gateway with the capability of resolving the remote peer's trusted certificate locally.
On each gateway, there is a need to create a "Network Object" that includes the external IP address of the remote *** peer, and define the CRL Distribution URL Name as the "Network Object's" Name.
For example: In a scenario where the remote gateway's CRL Distribution is: "http://Samba:182654.ICA1.crl" and the external IP address is: 173.13.64.63 - On the local gateway, you have to add a "Network object" that includes the remote *** peer's CRL info:
Type: Single IP
IP address: 173.13.64.63
Object name: Samba - Mark the option ""Allow DNS server to resolve this Object name".
- Click "Apply".
Third Step: Uncheck the following checkboxes:
• "Retrieve CRL From HTTP Server(s)"
• "Cache CRL on the Security Gateway" - Go to ***: Under "Certificates", go to "Trusted Certificates".
- Double-click on the certificate in order to open its Edit window.
-
Uncheck the following:
o "Retrieve CRL From HTTP Server(s)"
o "Cache CRL on the Security Gateway" - Click "Apply".
點擊http://zevercn.com/ 學習瞭解
建立遠程***
首先需要開啓Remote ***的模塊功能,在***界面下找到Remote ***中的Blade Control。在開啓的下方可以選擇接入的方式。默認開啓的方式爲Check Point客戶端,還可以開啓的方式有SSL ***和Windows ***工具。如果需要用到這些功能勾選啓用即可。
開啓了功能和登陸方式後接下來配置remote ***的用戶。打開Remote Access Users頁面,點擊Add添加Remote Access用戶。
在添加頁面中可以看到,只要設定用戶名,密碼,勾選只用於Remote Access即可。
設定完用戶後可以點擊Advanced設定用戶登陸後獲取的IP地址和獲取到的DNS服務器。