第3頁，共19頁安裝配置CHECKPOINT防火墻大綱首先明確兩個概念VPN/FWMoudule或者ManagermentServer在WINDOWS上安裝的最小需求GUIClient在WINDOWS上安裝的最小需求安裝之前的準備工作安裝軟件總過程配置防火墻總過程具體安裝過程安裝Licenses啟動GUI，定義網(wǎng)絡(luò)對象定義安全策略（RuleBase）定義NAT創(chuàng)建一個管理員帳號Administrator創(chuàng)建一個GUICilentKeyHitSessionCertificateAuthorityFingerprint（指紋）高可用性HA（HighAvailability）首先明確兩個概念：VPN/FWMoudule；部署在網(wǎng)關(guān)上，其安全策略在ManagermentServer上創(chuàng)建并編譯后下載到Moudule上執(zhí)行。它可以安裝在多種硬件平臺上。它包括兩部分：一、檢測模塊：根據(jù)安全策略對所有通過它的通訊進行檢測。二、安全服務(wù)器：提供認證和應(yīng)用層的內(nèi)容安全。ManagermentServer：在PolicyEditorGUI上定義的安全策略，最后保存在ManagermentServer上。它的主要工作是維護CHECKPOINT數(shù)據(jù)庫，包括：定義的網(wǎng)絡(luò)對象，定義的用戶，LOG文件等。VPN/FWMoudule或者ManagermentServer在WINDOWS上安裝的最小需求：操作系統(tǒng)：NT、WIN2000CPU：PII300以上硬盤剩余空間：40M內(nèi)存：128MGUIClient在WINDOWS上安裝的最小需求：操作系統(tǒng)：WIN9X、WINME、WINNT4+SP6、WIN2000professional硬盤剩余空間：40M內(nèi)存：128M安裝之前的準備工作在安裝VPN-1/FW-1的計算機去掉不需要的服務(wù)，例如：NETBEUI、FTP、HTTPserver保證內(nèi)網(wǎng)、外網(wǎng)、DMZ區(qū)都能互通（ping）關(guān)閉WINDOWS上的IPForwding，該功能由VPN-1/FW-1來控制。驗證DNS：在內(nèi)網(wǎng)瀏覽一個外部知名網(wǎng)站，能訪問即可。定義IP地址：記下準備分配給計算機各網(wǎng)卡的IP地址備用。（在計算機的DOS狀態(tài)下鍵入config/all，即可顯示各網(wǎng)卡的IP地址）確認網(wǎng)關(guān)計算機名與外網(wǎng)卡的IP地址相對應(yīng)（可以查看計算機\system32\drivers\etc\lmhost.asm）目的是為了確保在把網(wǎng)關(guān)定義為一個網(wǎng)絡(luò)對象時（見二、1、）通過點擊getaddress時，可以自動獲得IP地址，如果不能獲取，IKE加密過程會不正常。決定在那臺計算機上下列安裝軟件（module、managementserver、GUI），如果是安裝單網(wǎng)關(guān)產(chǎn)品，module、managementserver、GUI可以安裝在同一臺計算機上，當(dāng)然GUI也可以安裝在另一臺計算機上進行遠程控制。確認計算機的操作系統(tǒng)軟件版本和平臺與VPN/FW組件相對應(yīng)如果安裝前已經(jīng)有VPN/FW在本機上運行，那么，把他們退出運行（包括GUI）安裝軟件總過程在安裝軟件（module、managementserver）之前把計算機從網(wǎng)絡(luò)上斷開，安裝完畢再接入網(wǎng)絡(luò)中在網(wǎng)關(guān)設(shè)備/計算機上安裝VPN/FWmodule在managementserver上安裝VPN-1/FW-1在管理工作站上安裝GUIClient以上過程安裝完畢之后，把他們接入到網(wǎng)絡(luò)中去，并驗證他們與網(wǎng)絡(luò)的連通性。在managementserver上定義GUI主機在managementserver上定義管理員帳號（具備管理安全策略的權(quán)限）把以上計算機連接到網(wǎng)絡(luò)中，并保證對網(wǎng)絡(luò)的連通性配置防火墻總過程啟動GUIClient連接到managementserver創(chuàng)建安全策略定義網(wǎng)絡(luò)對象，定義添加GUIClient主機名、定義管理員并設(shè)置權(quán)限。定義組，并把用戶加入組定義Rulebase（安全策略）外網(wǎng)用戶只能訪問DMZ區(qū)內(nèi)網(wǎng)用戶可以訪問內(nèi)網(wǎng)、外網(wǎng)、DMZ區(qū)管理員可以從任何IP地址TELNET登陸到DMZ區(qū)的（SMTP、WEB、FTP）服務(wù)器定義NAT在本地驗證安全策略的正確性把安全策略分發(fā)到安裝到VPN-1/FW-1Moudule的計算機上。通過菜單policy—》install具體安裝過程在WINDOWS中插入光盤會自動運行SETUP程序。在第一個畫面forevaluation:當(dāng)你僅需要作測試時點擊該項，并且保證你手頭有評估用的臨時LIENCESforpurchasedproduct:NEXT:當(dāng)你手頭已經(jīng)有正式LIENCES時，點擊該按鈕在licenseagreement頁面，選擇YES在ProductMenu頁面，選擇你所購買的產(chǎn)品，一般選缺省項，點擊NEXT在Server/GatewayComponentss頁面，選擇你所要安裝的具體模塊，點擊NEXT說明：A、如果僅僅是在其他管理工作站上安裝CLIENT，那么在以上頁面只選中ManagementClient即可。B、安裝過程自動安裝SVNFoundation，SVN用于除GUIClient以外的所有NG產(chǎn)品。在VPN-1/FW-1EnterpriseProduct頁面選擇安裝在本機上的產(chǎn)品的類型。EnterprisePrimaryManagement在第一臺計算機上安裝SERVEREnterpriseSecondaryManagement在第二臺計算機上安裝SERVEREnforcementModule&PrimaryManagement同時安裝SERVER和MODULEEnforcementModule只安裝MODULE在BackwardCompatibility頁面，選擇是否支持向下兼容：Installwithbackwardcompatibility.如果你需要管理CP4.1ModuleInstallwithoutbackwardcompatibility.在DynamicallyAssignedIPAddress頁面，選擇是否使用動態(tài)分配IP地址？在ChooseDestination頁面，顯示CP安裝的缺省路徑，建議不要更改，否則以后還需要設(shè)置環(huán)境變量，很麻煩的。選擇ManagementClient要安裝的具體內(nèi)容，（無論用不用，最好都選中）安裝完畢，重新啟動計算機。安裝Licenses（GUICient不需要Licenses）獲取Licenses：所有CP產(chǎn)品都需要相應(yīng)的Licenses來激活，GUI除外。如果你購買了正版的CP軟件，那么在包裝上會有一個CertificateKey，例如是：“CK0123456789ab”你可以通過它來獲取一個臨時Licenses，（有效期一個月），而后可以獲取永久Licenses，具體辦法咨詢你的集成商。如果你沒有購買正版的CP軟件，但是你想作測試，你也可以通過神州數(shù)碼協(xié)調(diào)索取臨時Licenses做測試。安裝Licenses：你必須有Licenses才能使用CP產(chǎn)品，如果沒有在安裝配置過程中輸入Licenses，你還可以按照下面的步驟安裝Licenses，Licenses應(yīng)安裝在Managementserver和Module上。 在cpconfigLicenses頁面只能管理本機（要集中管理多個Licenses只能通過SecureUpdate）。在該頁面有3項內(nèi)容需要設(shè)置： IPAddreess：本機外網(wǎng)卡的IP地址，在申請Licenses時提交的。 ExpirationDate：Licenses的過期時間，如MAY25，2002。 SKU/Feature：例如：CPSUITE-EVAL-3DES-v50 SignatureKey：例如：SAFGGGEEF–SDFDSFDS–SDFSWER–SDFSERWT 手動填寫完畢，點擊按鈕“Calculate”來計算你的輸入是否有誤。 安裝Licenses也可以通過直接從文件（一般是EMAIL發(fā)來的TXT附件）中獲取，啟動GUI，定義網(wǎng)絡(luò)對象啟動GUI，輸入你的用戶名，口令，和服務(wù)器名，進入PolicyEditor界面。定義網(wǎng)絡(luò)對象的一些注意事項：在CP數(shù)據(jù)庫中不需要定義PrimaryManagementServer的對象。一般地，在安全策略中沒有必要涉及ManagementServer。ManagementServer根據(jù)其數(shù)據(jù)庫中的定義，可以自動與其他CPModule之間建立加密通訊。相反，你必須明確的定義所有安裝Module的計算機。在以下窗口中創(chuàng)建一個FWALL對象：打開以上窗口有3種方式：A、在菜單“Manage”中選擇“NetworkObjects”然后點擊“NEW”B、在對象工具條上點擊圖標C、網(wǎng)絡(luò)對象樹中點擊圖表填寫FWALL對象的各項內(nèi)容A、NAME：鍵入該計算機的HOSTNAMEIPAddress；鍵入外網(wǎng)卡IP地址，例如Cvomment:對該對象加以注釋或描述TYPE類型：選擇Gateway（如果是GUI可選擇HOST）CPProductsInstalled：選擇本機安裝的CP版本：這里選擇“NG”O(jiān)bjectManagementManagedbythisManagementServer(internal):如本機同時安裝SERVER和ModuleManagedbyanotherManagementServer(internal):與以上相反Communication按鈕：點擊后出現(xiàn)：輸入ONE-TIME口令，開始與ManagementServer進行第一次通訊，點擊“Intitaliza”按鈕，此時，ManagementServer會加密發(fā)出簽名認證到FWALL上，用于建立ManagementServer與Module之間的信任關(guān)系。如果返回的Truststate是“TrustEstablish”，則說明二者之間的信任關(guān)系已經(jīng)建立。點擊“CLOSE”添加一個接口（Interface）在以下窗口中點擊“Topology”定義接口的最簡單的方法就是點擊上圖中的“GetTopology”按鈕，可以直接獲取接口信息。祥見下圖：當(dāng)然，你也可以手動定義接口信息：通過點擊上圖中的“ADD”按鈕即可然后輸入每個接口的NAME、IP地址、子網(wǎng)掩碼，是內(nèi)網(wǎng)卡還是外網(wǎng)卡 最終的定義結(jié)果如下：定義內(nèi)網(wǎng)（loaclnet）定義該網(wǎng)絡(luò)的NAME、IP地址、子網(wǎng)掩碼，注釋內(nèi)容，是否把廣播地址看作網(wǎng)絡(luò)的一部分定義DMZ區(qū)網(wǎng)絡(luò)具體內(nèi)容同上定義DMZ區(qū)中的WEB、FTP、MAILSERVER（主機）輸入該主機的NAME、IP地址、子網(wǎng)掩碼，注釋內(nèi)容，TYPE類型（選擇HOST）不要選中“□CheckPointproductinstalled

創(chuàng)建Users在下圖中點擊“ADD”，（缺省只顯示標準用戶的模板，）然后輸入該USER的用戶名，設(shè)置其認證方法為操作系統(tǒng)口令。定義安全策略（RuleBase）在定義完網(wǎng)絡(luò)對象和USER之后，就可以開始定義安全策略了。點擊工具欄中的圖標，來添加一條策略了1、缺省的一套丟棄一切包的策略必須更改。2、開始定義策略，以上的SOURCE源設(shè)備或地址、DESTINATION、目的設(shè)備或地址SERVICE：服務(wù)ACTION：對應(yīng)的操作TRACK：是否跟蹤INSTALLON：安裝位置TIME：時間以上所有內(nèi)容都可以通過點擊對應(yīng)的位置來選擇對象 3、以下舉例說明：第一條：任何設(shè)備、地址對FWALL的訪問都拒絕響應(yīng)，并記錄下來，發(fā)送告警第二條：內(nèi)網(wǎng)可以訪問除了FTP服務(wù)器之外的所有地址或設(shè)備。第三條：內(nèi)網(wǎng)對FTP服務(wù)器的訪問，只開放了FTP服務(wù)，其他服務(wù)均被拒絕第四條；所有網(wǎng)絡(luò)或地址均可通過SMTP協(xié)議訪問EMAIL服務(wù)器第五條：所有網(wǎng)絡(luò)或地址均可通過HTTP協(xié)議訪問WEB服務(wù)器第六條：Managers用戶組內(nèi)的所有成員均可通過TELNET協(xié)議訪問FTP服務(wù)器，但是必須通過口令認證。第七條：除以上允許的策略外，其他所有通過FWALL的通訊都被拒絕。注意：以上只是個例子，絕對不可照搬?。。?！你必須根據(jù)你公司的網(wǎng)絡(luò)拓撲和實際需求情況制定自己的安全策略。4、在本地驗證你的安全策略5、驗證無誤，下發(fā)你的安全策略到相應(yīng)的FWALL上去。在“Policy”菜單上選擇“Install”來下發(fā)你的安全策略定義NAT1、有兩種方法可以進行IP地址轉(zhuǎn)換，Hiding：把你所有的非法IP地址隱藏在合法地址之后， 優(yōu)點：你仍使用你已有的有限的合法地址 缺點：外網(wǎng)不能建立與非法地址主機的連接。Static；靜態(tài)轉(zhuǎn)換，在一一對應(yīng)的基礎(chǔ)上實現(xiàn)非法地址與合法地址的轉(zhuǎn)換（對應(yīng)） 優(yōu)點：外網(wǎng)能建立與非法地址主機的連接。 缺點：需要太多的合法地址2、定義過程定義一臺主機（HOST）點擊“NAT”標簽選中“∨AddAutomaticAddressTranslationRules”設(shè)置“Hide”和“Static”NAT公網(wǎng)地址公網(wǎng)地址創(chuàng)建一個管理員帳號Administrator必須至少定義一個管理員，否則將無人能管理SERVER輸入NAME，口令（至少四個字符，不能有空格）設(shè)定權(quán)限：主管理員最好選Read/WriteAll，對于其他級別的管理員可以分別單獨設(shè)置其權(quán)限。對于并發(fā)會話（幾個管理員同時登陸）的處理為防止幾個管理員同時修改一個安全策略，VPN/FW執(zhí)行一個鎖定機制：即若干管理員可以同時瀏覽一個安全策略，但是只能有一個有寫入的權(quán)限。管理員獲得寫入權(quán)限的條件是：該管理員必須具有Read/WriteAll的權(quán)限同一時間內(nèi)沒有其他管理員獲得寫入的權(quán)限，如果你登陸時已經(jīng)有人登陸進去，那么系統(tǒng)會提示你是否愿意退出登陸還是愿意以只讀的方式登陸。當(dāng)然，如果你愿意，你也可以了直接以只讀的方式登陸，在登陸界面選中“ReadOnly”即可。創(chuàng)建一個GUICilent如果managementserver和Module安裝在同一臺計算機上，就不再需要指定GUI主機名了。如果不指定其他GUI主機名，那么，只能在同一臺計算機安裝的GUI上進行管理工作。在GUIClient頁面的RmoteHostname欄中輸入以下五種格式的地址：IP地址： 例如：計算機名： 例如：CLIENTAAAAny：表示對CLIENT計算機沒有限制，但是必須在RULEBASE中添加明確的允許或禁止的主機的策略條目IP1-IP2： 設(shè)定一個地址范圍，例如-0設(shè)定20臺主機WildCard： 例如：10.1.33.*或者*.注意：如果GUI與managementserver之間的連接通過Module，那么，安全策略必須首先安裝在Module上，保證新創(chuàng)建的GUI能串過Module連接到managementserver。KeyHitSession為生成一個隨機加密關(guān)鍵字的seeds，你需要任意輸入若干字符，但是，鍵入每個字符應(yīng)有幾秒的時間間隔，不要連續(xù)輸入同樣的兩個字符，字符輸入之間的延時盡量不同。CertificateAuthority該頁面用于安裝InternalCertificateAuthority，并生成一個授權(quán)給ManagementServer的加密內(nèi)部通訊SecureInternalCommunication(SIC)，SIC認證用于對CP通訊組件之間的通訊進行授權(quán)。或者對CP通訊組件與OPSEC應(yīng)用程序之間的通訊的授權(quán)。.該頁面用于對PrimaryManagementServer與本機（GUI）之間的一次連接（one-timelink）通訊進行加密。PrimaryManagementServer沿著這條鏈路把認證分發(fā)到本機上，一旦認證到達本機，那么本機就可以與其他的CP通訊組件之間進行通訊。為了初始化一個Module的通訊，在PolicyEditor上輸入同樣的one-time口令。在GUIClient上連接到ManagementServer，并打開PolicyEditor，創(chuàng)建一個Module對象，設(shè)置一個NAME，和一個IP地址在GeneralPropeties頁面，選擇CheckPointGateway,點擊“Communication”輸入口令。在進行下一步以前必須確保在Module上已經(jīng)啟動SVNFoundation服務(wù)和VPN-1/FW-1服務(wù)，并且保證Module和ManagementServer能夠進行IP通訊點擊“Intalize”按鈕，開始Module的初始化進程。此時，簽名認證被加密傳輸?shù)組odule上。TrustState欄會報告Module的狀態(tài)：在ManagementServer上的ICA（InternernalCertificateAuthority）發(fā)出認證Certificate，并且已發(fā)送到Module上之后，就算建立起了TrustState信任狀態(tài)如果Module被初始化或者RESET，那么，cpconfig中報告的Module的信任狀態(tài)將和PolicyEditor中報告的不同。cpconfig中報告的Module的信