CheckPoint NAT 详解V2

Checkpoint与ASA做IPsec vpn 实验步骤实验拓扑：实验步骤：一、Checkpoint端配置步骤1、在防火墙属性页面里勾选IPsec VPN,并设置本端名称及外网口IP址，点击确认。

（红框部分为必要设置）再次打开防火墙属性，在Topology页面，定义本端VPN加密域，确保拓扑与实际一致，Localnet-1.0为本端内网网段2、添加VPN对端设备，定义对端名称及对端设备建立VPN使用的出口IP地址确保Topology与实际一致，定义对端拓扑和加密Domain，peer-2.0为对方需走VPN 隧道的内网网段3、建立Ipsec VPN隧道,点击Communities—New—Meshed设定隧道名称添加本地和对端VPN网关设备定义VPN建立过程中两个阶段的加密和验证方式，必须与路由器端一致，第一个阶段对应对端设备的IKE第一阶段配置crypto isakmp policy 10，第二个阶段对应对端设备转换集配置。

设置预共享密钥设置VPN的高级属性，注： group组两端必须一致4、定义VPN策略，双向允许，否则只能进行单向通信。

二、对端ASA防火墙IPSEC配置interface GigabitEthernet0/0nameif outsidesecurity-level 0ip address 192.168.2.1 255.255.255.0!interface GigabitEthernet0/1nameif insidesecurity-level 100ip address 172.16.2.1 255.255.255.0access-list CPVPN extended permit ip 172.16.2.0 255.255.255.0 172.16.1.0 255.255.255.0route outside 0.0.0.0 0.0.0.0 192.168.2.2 1crypto ipsec transform-set deppon esp-3des esp-md5-hmaccrypto map outside_map 10 match address CPVPNcrypto map outside_map 10 set peer 192.168.3.1crypto map outside_map 10 set transform-set depponcrypto map outside_map interface outsidecrypto isakmp enable outsidecrypto isakmp policy 10authentication pre-shareencryption 3deshash md5group 2lifetime 86400tunnel-group 180.168.12.10 type ipsec-l2ltunnel-group 180.168.12.10 ipsec-attributespre-shared-key hfq@123456至此配置完成！三、验证是否建立成功1、ASA端VPN状态ciscoasa# SH cry isa saIKEv1 SAs:Active SA: 1Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 11 IKE Peer: 192.168.3.1Type : L2L Role : initiatorRekey : no State : MM_ACTIVEThere are no IKEv2 SAsciscoasa# show cry ips sainterface: outsideCrypto map tag: outside_map, seq num: 10, local addr: 192.168.2.1access-list CPVPN extended permit ip 172.16.2.0 255.255.255.0 172.16.1.0 255.255.255.0local ident (addr/mask/prot/port): (172.16.2.0/255.255.255.0/0/0)remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)current_peer: 192.168.3.1#pkts encaps: 19, #pkts encrypt: 19, #pkts digest: 19#pkts decaps: 19, #pkts decrypt: 19, #pkts verify: 19#pkts compressed: 0, #pkts decompressed: 0#pkts not compressed: 19, #pkts comp failed: 0, #pkts decomp failed: 0#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #TFC rcvd: 0, #TFC sent: 0#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0#send errors: 0, #recv errors: 0local crypto endpt.: 192.168.2.1/0, remote crypto endpt.: 192.168.3.1/0 path mtu 1500, ipsec overhead 58(36), media mtu 1500PMTU time remaining (sec): 0, DF policy: copy-dfICMP error validation: disabled, TFC packets: disabledcurrent outbound spi: 36CA5528current inbound spi : 6901DACAinbound esp sas:spi: 0x6901DACA (1761729226)transform: esp-3des esp-md5-hmac no compressionin use settings ={L2L, Tunnel, IKEv1, }slot: 0, conn_id: 31961088, crypto-map: outside_mapsa timing: remaining key lifetime (kB/sec): (3914998/28704) IV size: 8 bytesreplay detection support: YAnti replay bitmap:0x00000000 0x000FFFFFoutbound esp sas:spi: 0x36CA5528 (919229736)transform: esp-3des esp-md5-hmac no compressionin use settings ={L2L, Tunnel, IKEv1, }slot: 0, conn_id: 31961088, crypto-map: outside_mapsa timing: remaining key lifetime (kB/sec): (3914998/28704) IV size: 8 bytesreplay detection support: YAnti replay bitmap:0x00000000 0x000000012、 Checkpoint端VPN状态。

NOKIA防火墙安装手册Version 1.1NOKIA防火墙安装手册一．基本知识 (3)二．IPSO系统初始化 (3)1．Console电缆连接 (3)2．加电后系统初始化 (4)3．初始化配置 (5)4．通过浏览器登录NOKIA防火墙 (7)5．配置网络接口 (8)设置eth-s1p2c0 (9)设置其余接口 (11)6．设置系统时钟 (12)7．设置默认路由和静态路由 (13)1．设置默认路由 (13)2．设置静态路由 (15)三．CheckPoint系统初始化 (16)1．初始化命令 (16)2．安装产品类型选择 (18)3．防火墙运行模式选择 (18)4．License管理 (19)5．设置CheckPoint管理员帐号和权限 (19)7．设置管理客户端（GUI）地址 (20)8．输入初始化密钥并初始化内部CA (22)四．客户端软件SmartConsole安装 (23)1．运行CheckPoint集成安装包 (23)五．配置CheckPoint防火墙 (26)1．运行SmartConsole中的SmartDashboard组件 (26)2．登录防火墙管理模块SmartCenter (26)3．建立被防火墙管理的网络对象 (28)1．主机(Nodes)对象的建立 (28)2．地址范围（Address Range）对象的建立 (31)3．网络服务对象(Services)的添加 (33)4．安全规则(Rules)的添加 (34)第六章常见维护任务 (39)第一节管理员口令更改 (39)第二节 license下发 (39)第三节一些有用的trouble shooting 工具 (39)防火墙安装手册一．基本知识NOKIA安全平台系统由两部分构成：路由操作系统和其上运行的安全应用。

路由操作系统为NOKIA公司自主版权的IPSO，这是一个全功能的路由操作系统：支持V.35，X.21，A TM OC-3，FDDI，E1/T1，PRI/BRI等多种广域网接口和快速以太网，千兆以太网等局域网接口；支持RIPv1&v2，IGRP，OSPF，BGP4等单播路由协议；支持PIM,DVMRP等多播路由协议；也支持VRRP和Cluster的高可靠性配置。

Checkpoint 笔记2012/12/11目录1实验拓扑1．2实验网卡桥接1．3 DynamipsGUI来制作1．4实验平台与教程2 checkpoint 初始化与配置…….2．1 smartConsole2．2 chekcpoint理论基础2．2．1 Policy packet2．2．2 Policy design2．2．3完全卸载安全策略2．2．4 cp 的implied Rules 隐含的策略2．2．5 Checkpoint NAT种类2．2．6 Checkpoint 认证方式2．2．7 Vpn3 Checkpoint 实验手册3．1 Remote access vpn 实验3．2 Site to site vpn 实验3．3 Context filter 实验3．4用户认证实验3．4．1 user auth3．4．2 session auth3．4．3 client auth3．5 NAT实验3．5．1 Hide nat动态配置方法：3．5．2手动配置Hide nat3．5．3静态转换动态配置3．5．4静态转换手动的配置3．5．5端口转换3．6 开启Smartportal 实验1、实验拓扑：1．2实验网卡桥接1．3通过DynamipsGUI来制作桥接的三台虚拟路由器生成BA T文件就可以了。

1．4实验平台与教程Checkpoint 防火墙图形化界面配置Checkpoint IoS: CheckPoint_NGX_R65_Suite_SPLAT_Linux30.ISO 视频教程: 秦柯CheckPoint防火墙.isz虚拟机安装vmware 9需要通过web进去初始化，初始化完成后，会应该默认的deny 策略。

(只支持IE浏览器)二、checkpoint 初始化与配置基本的信息都可以通过web去做修改和查看。

全功能版的授权只有15天，如果15天后想继续使用，只能够重装checkpoint 系统，授权是跟网卡绑在一起，暂时还没有找到办法去破解。

Check Point防火墙基础操作手册（IPS）上海证券交易所（SSE）上海迅扬信息科技有限公司二零一五年一月目录第1章SmartDashboard的使用及基本管理技术 (3)1.1编辑防火墙对象 (3)1.2添加主机和网络对象 (8)1.2.1添加主机对象： (8)1.2.2添加网络对象： (9)1.3制定访问策略和配置地址翻译（NAT） (10)1.3.1配置访问策略 (10)1.3.2地址翻译（NA T） (11)1.4防地址欺骗功能介绍 (15)1.5策略的下发 (17)第2章入侵防护（IPS）策略的配置 (19)2.1 IPS概览 (19)2.2 IPS配置 (20)2.2.1 定义IPS的防火墙 (20)2.2.2 定义IPS Profile (22)2.2.3 配置Protections (27)2.2.4 配置Geo Protection (29)2.2.5 IPS特征库更新 (30)2.2.6 Follow Up选项 (33)2.2.7 Additional Setting选项 (33)2.3禁用IPS (34)第3章防病毒（Anti-Virus/Anti-Bot）策略配置 (35)第4章SmartView Tracker的使用 (40)第1章 SmartDashboard的使用及基本管理技术SmartDashboard是配置防火墙策略和对象的一个控制软件，我们定义对象和规则时就利用它来实现，SmartUpdate是用于添License时要用到的一个控制软件，SmartView Tracker是查看日志时用到的客户端软件。

（注：由于上证所本次采用桥模式（透明模式）部署实施checkpoint NGTP 设备，防火墙配置基于网络全通模式配置，无需特别单独配置防火墙策略。

）1.1 编辑防火墙对象首先打开控制台软件，出现登录界面：点击SmartDashboard后出现登录界面，如图：这里输入用户名、密码以及管理服务器的IP地址。

CheckPoint基本操作⼿册-中⽂1. CheckPoint架构 (2)2. 设置系统配置 (2)2.1 设置IP地址 (2)2.2 设置路由 (3)2.3 配置备份 (4)2.4 下载SmartConsole（GUI Client） (6)2.5 命令⾏（Console/SSH）登陆专家模式 (6)3. 配置防⽕墙策略 (6)3.1 安装SmartConsole，登录策略配置管理 (7)3.2 创建对象 (7)3.2.1 创建主机对象 (7)3.2.2 创建⽹络对象 (8)3.2.3 创建组对象 (9)3.3 创建策略 (10)3.3.1 策略分组 (13)3.4 创建地址转换（NAT） (14)3.4.1 ⾃动地址转换（Static） (15)3.4.2 ⾃动地址转换（Hide） (15)3.4.3 ⼿动地址转换 (16)3.5 Install Policy (18)4. ⽤户识别及控制 (18)4.1 启⽤⽤户识别及控制 (18)4.2 创建AD Query策略 (22)4.3 创建Browser-Based Authentication策略 (24)5. 创建应⽤及⽹址（URL）控制策略 (25)5.1 启⽤应⽤或⽹址（URL）控制功能 (25)5.2 创建应⽤及⽹址（URL）对象 (25)5.3 创建应⽤及⽹址（URL）组对象 (27)5.4 创建应⽤及⽹址（URL）控制策略 (29)6. 创建防数据泄露（DLP）策略 (31)6.1 启⽤防数据泄露（DLP）功能 (31)6.2 创建防数据泄露（DLP）对象 (31)6.2.1 创建防数据泄露（DLP）⽹络对象 (31)6.2.2 创建防数据泄露（DLP）分析内容对象 (31)6.2.3 创建防数据泄露（DLP）分析内容组对象 (31)6.3 创建防数据泄露（DLP）控制策略 (31)7. ⽣成报表（SmartReporter） (31)7.1 启⽤报表功能 (32)7.2 ⽣成报表前参数调整 (32)7.3 ⽣成报表 (35)8. 事件分析（SmartEvent） (36)8.1 启⽤事件分析功能 (36)8.2 查看事件分析 (37)1. CheckPoint 架构CheckPoint 分为三层架构，GUI 客户端（SmartConsole ）是⼀个可视化的管理配置客户端，⽤于连接到管理服务器（SmartCenter ），管理服务器（SmartCenter ）是⼀个集中管理平台，⽤于管理所有设备，将策略分发给执⾏点（Firewall ）去执⾏，并收集所有执⾏点（Firewall ）的⽇志⽤于集中管理查看，执⾏点（Firewall ）具体执⾏策略，进⾏⽹络访问控制2. 设置系统配置设备的基本配置需要在WEB 下进⾏，如IP 、路由、DNS 、主机名、备份及恢复、时间⽇期、管理员账户，默认web 管理页⾯的连接地址为https://192.168.1.1:4434，如果已更改过IP ，将192.168.1.1替换为更改后的IP 2.1 设置IP 地址例：设置LAN2⼝的IP 为10.0.255.2 登录web 后选择Network Connections直接点击LAN2管理服务器 SmartCenterGUI ClientSmartConsole执⾏点 Firewall填⼊IP地址和掩码，点击Apply2.2设置路由例：设置默认路由为10.0.255.1登录web后选择Network→Routing点击New→Default Route，（如果设置普通路由，点击Route）填⼊默认路由，点击Apply2.3配置备份此备份包括系统配置和CheckPoint策略等所有配置例：将配置备份出来保存选择Applicance→Backup and Restore选择Backup→Start Backup输⼊备份的⽂件名，点击Apply（由于⽇志可能会较⼤，增加备份⽂件的⼤⼩，可考虑去掉Include Check Point Products log files in the backup前⾯的勾）选择Yes等待备份⽂件打包当弹出下载⽂件提⽰后，将⽂件保存⾄本地2.4下载SmartConsole（GUI Client）选择Product Configuration Download SmartConsole选择Start Download2.5命令⾏（Console/SSH）登陆专家模式登陆命令⾏（Console/SSH）默认模式下仅⽀持部分操作及命令，如需要执⾏更⾼权限的命令或操作时需登陆专家模式在命令⾏中输⼊expert回车，根据提⽰输⼊密码即可登陆，默认密码同web、console、SSH登陆密码相同# expertEnter expert password:You are in expert mode now.3.配置防⽕墙策略CheckPoint防⽕墙的策略执⾏顺序为⾃上⽽下执⾏，当满⾜某⼀条策略时将会执⾏该策略设定的操作，并且不再匹配后⾯的策略***如果策略中包含⽤户对象，即使匹配该策略，仍然会继续匹配后⾯的策略，只有当后⾯的策略没有匹配或者后⾯的策略中匹配的操作是drop时才会执⾏之前包含⽤户的策略通常CheckPoint策略配置的顺序依次为防⽕墙的管理策略、VPN策略、服务器（DMZ）策略、内⽹上⽹策略、全部Drop策略创建CheckPoint防⽕墙策略的步骤为创建对象、创建策略并在策略中引⽤对象、Install Policy***CheckPoint中配置的更改必须Install Policy之后才会⽣效3.1安装SmartConsole，登录策略配置管理直接运⾏下载的SmartConsole安装包进⾏安装，安装完成后登陆SmartDashboard例：打开策略管理运⾏SmartDashboard输⼊⽤户名、密码以及SmartCenter（管理服务器）的IP地址，点击OK登陆3.2创建对象CheckPoint配置策略的基本步骤为创建需要的对象、创建策略、在策略中引⽤对象、Install Policy 3.2.1创建主机对象例：创建IP为192.168.10.1的对象选择Nodes→Node→Host在Name处输⼊对象名（字母开头），在IP Address处输⼊对象的IP地址，如192.168.10.1，点击OK3.2.2创建⽹络对象例：创建⽹段为192.168.10.0，掩码为255.255.255.0的对象选择Networks Network…输⼊⽹段对象名，⽹段，掩码（由于是中⽂版系统的关系，部分字样可能显⽰不全），点击OK3.2.3创建组对象如果有多个对象需要在策略中引⽤，⽅便起见可将这些对象添加到⼀个组中，直接在策略中引⽤该组即可例：将⽹段192.168.10.0和192.168.11.0添加到⼀个组对象中选择Groups→Groups→Simple Group…输⼊组对象的名字，将⽹段对象192.168.10.0和192.168.11.0在左侧Not in Group窗⼝中双击移⼊到右侧的In Group窗⼝中，点击OK3.3创建策略创建策略前需根据需求先确定创建的位置例：在第6条和第7条之间创建1条允许192.168.10.0⽹段访问任何地⽅任何端⼝的策略，并记录⽇志选中第7条策略，单击右键，选择Add Rule Above添加后会出现⼀条默认策略，需要做的就是在这条策略上引⽤对象在Source对应的⼀栏中，右键点击Any，选择Network Object…找到192.168.10.0这个⽹段的对象后选中，并点击OK由于是访问任何地址的任何端⼝，所以在Destination、VPN、Service栏中保持Any不变在Action栏中点击右键选择Accept在Track栏中点击右键选择Log，这样凡是被这条策略匹配的连接都会记录下⽇志，⽤于在SmartView Tracker中查看完成后的策略如下图3.3.1策略分组当策略数⽬较多时，为了⽅便配置和查找，通常会对策略进⾏分组例：将7、8、9三条⽇志分为⼀个组选中第7条策略，点击右键，选择Add Section Title Above输⼊名字后点击OK如下图所⽰，7、8、9三条策略就分在⼀个组中了，点击前⾯的+-号可以打开或缩进3.4创建地址转换（NAT）在CheckPoint中地址转换分为⾃动和⼿动两种，其中⾃动⼜分为Static NAT和Hide NAT Static NATStatic是指将内部⽹络的私有IP地址转换为公有IP地址，IP地址对是⼀对⼀的，是⼀成不变的，某个私有IP地址只转换为某个公有IP地址。

Check Point UTM-1用户手册第一章使用向导 (3)一、从配置UTM开始 (3)1、登陆UTM (3)2、配置网卡 (4)3、配置路由 (5)4、配置主机名 (6)5、调整时间 (7)二、步骤1－配置之前......一些有用的术语 (7)三、步骤2－安装和配置 (8)四、步骤3－第一次登录到SmartCenter服务器 (9)五、步骤4－在安全策略定义之前 (11)六、步骤5－为安全策略定义规则 (16)七、步骤6－来源和目的 (17)第二章策略管理 (17)一、有效的策略管理工具需要 (18)二、CheckPoint管理策略的解决方案 (18)1、策略管理概况 (18)2、策略集 (19)3、规则分节标题 (21)4、查询和排列规则以及对象 (21)三、策略管理需要注意的问题 (22)四、策略管理配置 (22)第三章SmartView Tracker (25)一、跟踪的需求 (25)二、CheckPoint对跟踪的解决方案 (26)1、跟踪概况 (26)2、SmartView Tracker (27)3、过滤 (28)4、查询 (29)5、通过日志切换维护日志文件 (29)6．通过循环日志来管理日志空间 (29)7、日志导出功能 (30)8、本地日志 (30)9、使用日志服务器记录日志 (30)10、高级跟踪操作 (30)三、跟踪需要考虑的问题 (31)四、跟踪配置 (32)1、基本跟踪配置 (32)2、SmartView的查看选项 (32)3、配置过滤器 (33)4、配置查询 (33)5、维护 (34)6、本地日志 (35)7、使用日志服务器 (35)8、自定义命令 (36)9、阻断入侵 (37)10、配置报警命令 (37)第一章使用向导一、从配置UTM开始1、登陆UTM5、调整时间二、步骤1－配置之前……一些有用的术语这里介绍一些有助于理解本章内容的相关信息。

Security Policy（安全策略）是由系统管理员创建的，用来管理进和出的网络通信连接。

CheckPoint防火操作手册1 配置主机对象定义防火墙策略时，如需对I P 地址进行安全策略控制则需首先配置这个对象，下面介绍主机对象配置步骤，在“Network Objects”图标处，选择“Nodes”属性上点击右键，选择“Node”，点击“Host”选项，定义主机对象的名称，IP Address属性，同时可按照该主机的重要性定义颜色，配置完成后点击OK,主机对象创建完成。

2 配置网段对象定义防火墙策略时，如需对网段进行安全策略控制则需首先配置这个网络对象，配置步骤如下，在防火墙“Network”属性上点击右键，选择“Network”，选项，定义网段名称，比如DMZ，Internal，建议根据网段所处位置定义，配置网段地址和子网掩码，如有必要可以添加注释（Comment），配置完成后点击确认。

3 配置网络组对象如果需要针对单个I P 地址、IP 地址范围或者整个网段进行安全策略控制，可以将这些对象添加到网络组，如下在防火墙“Group”属性上点击右键，选择“Simple Group”选项，成后点击O K 即可4 配置地址范围对象除了配置I P 地址，网段，也可以指定地址范围(IP range)，地址范围对象配置步骤是，如下在防火墙“Network”属性上点击右键，选择去掉“Do not show empty folders”选项，让I P Range 配置属性显示出来。

配置“Address Rage”，选择“Address Ranges”，如下图输入地址名称、起始IP地址与结束IP地址，完成后点击OK即可。

5 配置服务对象5.1 配置T CP 服务对象Check Point 防火墙内置了预定义的近千种服务，包括T CP、UDP、RPC、ICMP 等各种类型服务，通常在定义防火墙安全策略时，大多数服务已经识别并内置，因此无需额外添加，但也有很多企业自有开发程序使用特殊端口需要自行定义，下面介绍如何自定义服务，如下图所示，点击第二个模块标签，即S ervices，已经预定义多种类型服务，用户根据需要自定义新的服务类型，下面举例定义T CP 类型服务，右键点击“TCP”，选择“New TCP如下图，可以点以单个TCP服务端口服务对象，如果是一段端口，可以定义端口范围以上举例新建T CP 协议的端口服务，如需定义U DP 协议或其他协议类型按照同样流程操作即可。

随着Internet的普及，触网的企业是与日俱增，但是网上黑客猖獗，一旦企业内部网连上Internet之后，如果你不采取任何安全措施，就会裸露在外、任人宰割，所以网络安全最首要的任务，就是如何防止黑客通过Internet非法入侵，于是防火墙技术就应运而生了。

一、防火墙是什么？众所周知，Internet上信息传输的基本单位是数据包，所有的Internet通信都是通过数据包交换来完成的，而每个数据包都包含一个目标IP地址、端口号，以及源IP地址和端口号，其中IP地址与Internet上一台电脑对应，而端口号则和机器上的某种服务或会话相关联。

防火墙（下图1）就是用一段"代码墙"把电脑和Internet分隔开，它时刻检查出入防火墙的所有数据包，决定拦截或是放行这个包。

通俗地讲，防火墙就象是设在局域网与外界之间的哨卡，所有出入网络的信息都要途经防火墙，接受防火墙的“盘查”，防火墙只会给“榜上有名”的数据“放行”。

防火墙可以是一种硬件、固件或者软件，例如专用防火墙设备、就是硬件形式的防火墙，包过滤路由器是嵌有防火墙固件的路由器，而代理服务器等软件就是软件形式的防火墙。

二、使用防火墙的优越性防火墙作为屏障，可以时刻抗击来自各种线路的攻击，阻止非法用户侵入内部网，限定局域网访问WEB站点和Internet服务权限；时刻监视网络安全，受到攻击时产生报警；对通过的信息记录在册、使我们对黑客的攻击能“有案可查”；防火墙一般有路由器功能，采用的NAT（网络地址转换）技术可使整个局域网对外只占用一个IP地址，节约了IP地址资源；防火墙还可以记录整个局域网的上网流量，据此查出带宽瓶颈、记录上网连接的费用情况。

三、防火墙的种类防火墙从诞生到现在，已经历了四个发展阶段：基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。

目前常见的防火墙属于具有安全操作系统的防火墙，例如NETEYE、NETSCREEN、TALENTIT等。

Checkpoint 简单配置手册一．客户端软件SmartConsole安装1．运行CheckPoint集成安装包安装管理防火墙的客户端2只选择安装SmartConsole，别的都不选选择安装SmartConsole的所有组件二．配置CheckPoint防火墙1．运行SmartConsole中的SmartDashboard组件2．登录防火墙管理模块SmartCenter输入用户名，密码，防火墙管理模块的IP地址；SmartDashboard要求验证防火墙的指纹属性，选择“Approve”通过验证即可进入防火墙配置界面3．建立被防火墙管理的网络对象1．主机(Nodes)对象的建立右键选择界面左侧的对象栏里的Nodes，从弹出菜单里选择new nodes->host添加主机对象IP10.19.0.34填写Name:IP10.19.0.34填写IP：10.19.0.34选择是否“Web Server”；如果选中了“Web Server”则CheckPoint会自动打开对该机的http 服务的相关防护措施；静态NAT配置因为该Server需要被静态映射到外网段的219.239.38.138地址上去，所以必须必须选择该主机属性里的“NAT”选项配置NA T选择“Add Automatic Address Translation(自动地址翻译)”选项✧在Translation下拉选项框中选择“Static”✧在Translate to IP文本框中填写该主机映射之后的IP地址：219.239.36.13✧点击“OK”2．网络服务对象(Services)的添加进入services对象栏，右键点击TCP对象，从弹出菜单里选择New TCP在弹出对话框里填入必要的信息填写Name: CaiWuPort: 84443．安全规则(Rules)的添加从菜单栏里选择Rules->Add Rules->Bottom系统添加的默认策略是“any any drop”,即全部丢弃，需要对其进行修改右键点击第一条规则“DESTINA TION”栏里的“Any”对象，从弹出菜单里选择“Add”从弹出对话框里选择“IP10.11.0.1”对象右键点击第一条规则“SERVICE”栏里的“Any”对象，从弹出菜单里选择“Add”从弹出对话框里选择“CaiWu”对象右键点击第一条规则“ACTION”栏里的“drop”对象，从弹出菜单里选择“accept”；以使匹配该规则的数据包被允许通过配该规则的数据包作日志纪录按照上面的方法添加其余规则，以允许IP10.19.0.34访问Range10.11.0.2-5对象的sqlnet1服务最后下发防火墙的安全规则。

这次去xx第一次安装防火墙，积累了一些经验，现就xxxx为例，叙述一下如何配置checkpoint Firewall-1防火墙。

第一：了解整个网络的拓扑结构，包括：路由器内部口的ip地址，防火墙的Internet Ip地址和网络掩码，防火墙的内网Ip地址，Webserver内网的ip地址，webServer的Internet Ip 地址，mailServer的内网Ip地址，mailServer的Internet Ip地址。

需要注意：防火墙的主机安装两个网卡，一个网卡接路由器，一个网卡接内网的交换机。

Webserver和MailServer的网关指向防火墙的内网卡地址10.84.0.254。

如图：在安装防火墙前要确认webserver在没有防火墙的情况下已经可以从互联网上访问到，保证通往外网的线路是通的第二：安装防火墙主机操作系统：1．将防火墙主机中增加网卡，这样，该主机有两个网卡2．安装winnt（中英文都可），打上sp6的补丁3．安装两个网卡的驱动程序，协议只需安装tcp/ip协议，如图：（装有两个网卡，安装驱动程序）（只有一个协议tcp/ip）（防火墙外网卡的地址，该ip address 61.132.122.116和subnet mask 255.255.255.248应该由客户或电信部门提供，应该和路由器在一个网段上，default gateway指向路由器内部口的ip 地址:61.132.122.113）（防火墙内网卡的ip地址，防火墙在内部网的ip是:10.84.0.254 ,subnet mask 是:255.255.255.0 ,网关不设定，应为防火墙此时自身就是内部网络的网关）（此项一定要选中）当重新启动后，使用命令ipconfig /all应该有如下显示：Windows NT IP ConfigurationHost Name . . . . . . . . . : firewallDNS Servers . . . . . . . . :Node Type . . . . . . . . . : BroadcastNetBIOS Scope ID. . . . . . :IP Routing Enabled. . . . . : YesWINS Proxy Enabled. . . . . : NoNetBIOS Resolution Uses DNS : NoEthernet adapter El90x2:Description . . . . . . . . : 3Com 3C90x Ethernet AdapterPhysical Address. . . . . . : 00-60-08-CA-DE-F4DHCP Enabled. . . . . . . . : NoIP Address. . . . . . . . . : 10.84.0.254Subnet Mask . . . . . . . . : 255.255.255.0Default Gateway . . . . . . :Ethernet adapter IBMFE1:Description . . . . . . . . : IBM 100/10 EtherJet PCI AdapterPhysical Address. . . . . . : 00-02-55-A0-A2-B1DHCP Enabled. . . . . . . . : NoIP Address. . . . . . . . . : 61.132.122.116Subnet Mask . . . . . . . . : 255.255.255.248Default Gateway . . . . . . : 61.132.122.113（注意：IBMFE1 是防火墙外网卡的名称，00-02-55-A0-A2-B1 是防火墙外网卡的网卡地址，在以后的防火墙安装会用到）此时，可以测试一下，ping 61.132.122.116 （防火墙外网卡地址）可以ping 通，ping 10.84.0.254（防火墙内网卡地址）可以ping 通，ping 61.132.122.113 （路由器地址）可以ping通，ping 10.84.0.1 （Web Server的内网地址）可以ping通，ping 61.132.122.118 （Web Server的Intenet 地址）不能ping通第三：安装防火墙check point firewall-1，按照如下步骤，如果没有特别指明，采用缺省设置将checkpoint firewall-1光盘放入到光驱中，自动运行；选择：server/GateWay …只选择vpn-1/Firewall-1 复选框选择Stand alone install选择25 个用户采用缺省设置选择不用Meta Ip Products增加防火墙License,（该License于ip地址是绑定的，如果测试安装，使用测试的license,可以向代理商要，也可以从上申请）增加管理员用户和口令加入防火墙外网卡的ip地址：61.132.122.116GUI管理员的Ip地址，由于管理员就在本机上，所以不用输入，直接下一步输入防火墙外网卡的网卡名称：IBMFE1选择Ip Forward输入随机字符，知道安装程序告诉你完成为止采用缺省安装完成按照防火墙的提示，重新启动主机此时，通过“开始”找到checkpoint firewall-1的CheckPoint Configration tool，启动该程序，可以看到防火墙的目前配置，如下图：此时，可以测试一下，从WebServer Ping 10.84.0.254 （防火墙内网卡地址）可以ping 通，从WebServer Ping 61.132.122.116 （防火墙外网卡地址）可以ping 通，从WebServer Ping 61.132.122.113 （路由器地址）不能ping 通（由于地址翻译的问题，会在下面配置），第四：定义网络对象启动checkpoint policy editor程序，输入管理员名称和口令后，输入localhost（本机），进入了安全策略管理窗口点工具条的红色圈中的按钮，进入管理对象窗口点new WorkStation ，增加防火墙对象增加属性窗口，如下图：输入对象名称firewall，ip中输入防火墙外网卡的ip地址61.132.122.116，选中GateWay，选中Internal，选中vpn-1 & firewall 4.1，选中managemeng statio点Interfaces的tag，设定Interface,如图：可以通过Get按钮直接得到，不过，需要edit一下，使内网卡的security属性为this net，外网卡的security属性为Others，如图中红圈处。

双CheckPoint防火墙实施方案目录第一章客户环境概述 (4)1.1概述 (4)1.2网络拓扑与地址分配表 (4)1.3安装前准备事宜 (6)第二章Nokia IP380安装与配置 (7)2.1概述 (7)2.2初始化nokia380 (7)2.3设置nokia基本信息 (8)2.3.1 Nokia 端口IP地址设定 (8)2.3.2设置网关路由 (8)2.3.3设置Nokia平台时间 (9)2.3.4设定Nokia高可用VRRP参数 (9)2.4初始化checkpoint (14)2.4.1在nokia平台上checkpoint的安装与卸载 (14)2.4.2初始化checkpoint (16)第三章管理服务器的安装与配置 (17)3.1checkpoint smartcenter的安装 (18)3.1.1安装前的准备 (18)3.1.2安装步骤 (18)3.2配置checkpoint对象和参数 (20)3.2.1 建立sic (20)3.2.2 定义防火墙对象拓扑结构 (21)3.2.3使用同样的步骤按照表1的参数建立IP380B checkpoint gateway对象。

(21)3.3基于nokia vrrp或者cluster的设置 (22)3.3.1基于Nokia VRRP的设置 (22)3.3.2为nokia vrrp定义策略 (22)3.3.3高可用性的检查 (23)3.4nokia cluster 的设置 (23)3.5暂时没有 (23)第四章策略设定 (24)4.1概述 (24)4.2 netscreen的策略 (24)4.3经过整理后转换成checkpoint的策略 (24)4.4 设定策略 (24)4.4.1 定义主机对象 (24)4.4.2 定义网络对象 (25)4.4.3定义组 (26)4.4.4 定义服务 (26)4.4.5 添加标准策略 (27)4.4.6 添加NAT策略 (27)第五章切换与测试 (29)5.1切换 (29)5.2测试 (29)5.3回退 (30)第六章日常维护 (31)6.1防火墙的备份与恢复 (31)6.1.1 nokia 防火墙的备份与恢复方法 (31)6.1.2 checkpoint management 上的备份与恢复 (33)第一章客户环境概述1.1概述XXXXXX公司因应企业内部的网络需求，对总部网络进行扩容改动，中心防火墙从原来的netscreen换成两台Nokia IP380，两台nokia互为热备。

Checkpoint防⽕墙命令⾏维护⼿册Checkpoint防⽕墙命令⾏维护⼿册制订模版：NGX-R65版本号：V1.0⽬录⼀、基本配置命令 (1)1.1SYSCONFIG (1)1.2CPCONFIG (2)1.3CPSTOP (3)1.4CPSTART (3)1.5EXPERT (3)1.6IDLE (4)1.7WEBUI (4)1.8脚本添加路由 (4)⼆、查看系统状态 (1)2.1TOP (1)2.2DF –H (2)2.3FREE (2)三、HA相关命令 (1)3.1CPHAPROB STAT (1)3.2CPHAPROB –A IF (1)3.3CPHACONF SET_CCP BROADCAST (1)3.4CPHAPROB LIST (2)3.5CPHASTART/CPHASTOP (3)3.6FW CTL PSTAT (3)四、常⽤维护命令 (1)4.1VER (1)4.2FW VER (1)4.3查看防⽕墙UTM/POWER版本 (1)4.4查看防⽕墙硬件型号 (1)4.5LICENSE查看和添加 (1)4.6IFCONFIG/IFCONFIG –A (1)4.7MII-TOOL (1)4.8ETHTOOL (1)4.9CPSTAT FW (2)4.10会话数查看 (1)五、⽇志查看命令 (1)5.1FW LOG (1)5.2FW LSLOGS (1)5.3FW LSLOGS –E (1)5.4FW LOGSWITCH (1)5.5导出⽇志⽂件 (2)六、防⽕墙的备份和恢复 (1)6.1备份防⽕墙 (1)6.2在IE中备份 (1)6.3在防⽕墙上备份 (2)6.4恢复防⽕墙 (2)⼀、基本配置命令1.1sysconfig可以对系统进⾏配置和修改，⽐如主机名修改，DNS配置修改，以及路由的配置等，另外还可以配置DHCP功能，以及产品的安装等等如上图所⽰，在命令提⽰符输⼊：sysconfig，将会出现下图所列⼀些选项，在Your choice 后⾯输⼊你想配置的选项前的数字，然后按回车可以看到，依次的选项为主机名，域名，域名服务，时间和⽇期，⽹络连接，路由，DHCP服务配置，DHCP中继配置，产品安装，产品配置等例如我们选择5，为防⽕墙新增⼀个接⼝IP地址然后选择2，进⾏连接配置，也就是配置IP地址选择1进⾏IP地址配置更改如上图所⽰按照提⽰配置IP地址和⼦⽹掩码进⾏其他配置也如同上述操作，选择对应的编号然后按照提⽰进⾏配置1.2cpconfig可以对checkpoint防⽕墙进⾏相关的配置，如下图所⽰，也是按照列表的形式列出，分别是license，snmp，PKCS#11令牌，随机池，SIC，禁⽤cluster，禁⽤安全加速，产品⾃动启动常⽤的选项⼀般为SIC的配置，cluster功能模块的启⽤等；选择7是开启cluster功能模块；选择5是设置SIC。

Checkpoint防火墙实施维护手册一、前言经过一段时间的学习和实际的工作，下面把学习和工作中的一些资料加以整理，方便以后更好地工作。

由于学习不系统和工作经验不足，有什么错漏的地方希望大家不吝指教。

二、防火墙的创建1、创建Gateway防火墙◆创建Gateway对象◆选择创建防火墙的模式◆配置防火墙的基本属性◆编辑防火墙的拓扑◆编辑防地址欺骗首先双击外网接口，在下面弹出的对话框中选择Topology。

选择如图所示外网口Anti-Spoofing功能启用了。

首先双击内网接口，在下面弹出的对话框中选择Topology。

选择如图所示内网口Anti-Spoofing功能启用了。

2、创建Cluster防火墙◆创建Cluster对象◆选择创建防火墙的模式◆配置防火墙的基本属性◆添加并配置Cluster成员注：IP为的管理地址（192.168.0.246）◆输入SIC码添加Cluster2同理◆编辑Topology点击Edit Topology进入编辑窗口，在编辑窗口点击Get all members’topology按钮，topology内容自动获取：如要修改，双击要修改的内容，在弹出的窗口中修改：编辑完成后，在Topology属性中能看到完整的Topology结构：3、创建VXS防火墙◆创建vsx对象◆配置vsx基本属性 ip address为管理地址◆添加物理接口◆编辑vsx拓扑◆添加接口◆添加路由◆添加vr◆配置vr属性◆配置vr拓扑◆创建vs◆配置vs基本属性◆配置vs拓扑◆创建vsw◆配置vsw基本属性◆配置vsw拓扑三、Nodes和Networks的创建1、添加Nodes对象2、添加Networks对象四、策略的创建1、策略和对象的管理◆策略包管理 (Policy package management)(仅包含规则集)◆给策略包命名并选择策略类型：◆数据库版本控制 (Database Revision Control) (包括对象和规则集)2、编辑策略◆添加新策略，选择Rules->Add Rule->Below或者点击红圈中的添加按钮：配置策略内容（在需要添加的地方点击右键添加，已经有定义好的对象拖拽也可）：NO：规则序号NAME：规则名称SOURCE：源地址DESTINATION：目的地址SERVICE：选择允许或禁止的服务ACTION：此策略要做的动作（Accept，Drop，Reject）TRACK：是否要记录日志（Log，Alert，Account）INSTALL ON：选择安装在那个防火墙上TIME：可以编辑策略生效的时间段◆Server的添加假如列表中没有server，可以自己新建3、下发策略◆选择Policy->Install或者点击红圈下发按钮◆在弹出的对话框中选择策略安装的防火墙，点击OK下发五、NAT配置1、静态地址映射◆将Nodes做静态地址映射◆将Networks做静态地址映射2、动态地址映射◆将Nodes做动态地址映射◆将Networks做动态地址映射动态映射的地址可以是Gateway也可以映射到指定的IP Address3、手工添加NAT4、针对不同的防火墙映射成不同的地址六、添加License◆确认服务器与防火墙是否相通◆假如原来有License，把原来的License Detach◆在防火墙上重置SIC，然后在服务器上重建SIC连接◆把Licenses添加到管理服务器上◆在服务器上Attach/Get Licenses◆在防火墙上Attach/Get Licenses◆最后检查Licenses是否生效七、查看防火墙状态◆SmartView Monitor中可查看防火墙运行状态◆查看防火墙状态、CPU利用率、内存利用率、硬盘剩余百分比八、查看日志◆在SmartView Tracker中可查看日志◆双击日志可以查看日志的详细信息◆使用日志过滤方便查看关心的日志九、备份和恢复1、管理服务器的定期备份Unix、Linux和Solaris系统下，$FWDIR/conf 和 $FWDIR/lib 目录需要定期备份。

C l a s s i f i c a t i o n : [P r o t e c t e d ]© 2017 Check Point Software Technologies Ltd.保留所有权利。

本产品及相关文档受版权保护，并且凭限制其使用、复制、分发及反编译的许可进行分销。

未经Check Point 的事先书面授权，不得对本产品或相关文档的任何部分，以任何形式或任何方式进行复制。

在本手册编制过程中以已非常谨慎，但Check Point 不对任何错误或疏漏承担责任。

本出版物及其中所述功能如有更改，恕不另行通知。

限制权利图注：政府的使用、复制或纰漏须符合DFARS 252.227-7013 和FAR 52.227-19 的“技术数据和计算机软件权利”一条中第(c)(1)(ii) 款规定的限制。

商标：参考版权页/copyright.html以获取我们的商标清单。

参考第三方版权声明/3rd_party_copyright.html以获取相关版权和第三方许可的清单。

重要信息Latest Software我们建议您安装最新版软件，以获得最新的完善功能、更好的稳定性、更高的安全级别，并防止发展中的新攻击入侵。

Check Point R80如需更多有关此版本的信息，请参见R80主页/solutions?id=sk108623。

Latest Version of this Document下载此文档的最新版本/documentation_download?ID=46534。

如需了解更多内容，请访问Check Point 支持中心 。

FeedbackCheck Point 一直在致力于完善其文档。

请发送您的意见给我们，以帮助我们不断改进mailto:**********************************?subject=FeedbackonCheckPointSecurity Management R80 Administration Guide 。

一、概述1.1 Nat简介网络地址转换(NAT,Network Address Translation)被广泛应用于各种类型Internet接入方式和各种类型的网络中。

原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

借助于NAT，私有(保留)地址的"内部"网络通过路由器发送数据包时，私有地址被转换成合法的IP地址，一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。

NAT将自动修改IP报文头申的源IP地址和目的IP地址，Ip 地址校验则在NAT处理过程中自动完成。

有些应用程序将源IP 地址嵌入到IP报文的数据部分中，所以还需要同时对报文进行修改，以匹配IP头中已经修改过的源IP地址。

否则，在报文数据都分别嵌入IP地址的应用程序就不能正常工作。

1.2 NAT实现方式NAT的实现方式有三种，即静态转换Static Nat、动态转换Dynamic Nat 和端口多路复用OverLoad。

静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。

借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。

动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址对是不确定的，而是随机的，所有被授权访问上Internet 的私有IP地址可随机转换为任何指定的合法IP地址。

也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。

动态转换可以使用多个合法外部地址集。

当ISP提供的合法IP地址略少于网络内部的计算机数量时。

可以采用动态转换的方式。

端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，Port Address Translation).采用端口多路复用方式。

Checkpoint PPPOE 双线配置本文介绍Checkpoint 防火墙双线路，其中一条为PPPOE线路时的配置方法，以及PPPOE 接口注意事项1.实验拓扑图Internal网段：192.168.30.0/24Eth1：模拟ISP1线路Eth2：模拟ISP2线路，模拟PPPOE拨号获得172.16.2.30地址2. 双线路IPS Redundancy1.接口配置通过GAIA页面配置eth1 为静态IP 202.100.1.30，新建一个pppoe接口，捆绑到物理接口eth2，配置PPPOE拨号账号密码2.配置路由请注意：实际过程中，pppoe接口默认路由下一跳应该配置为pppoe接口3.配置负载均衡进入Smartdashbord，打开网关对象属性，勾选ISP Redundancy，4.配置NAT因为是双线路，推荐配置自动NAT隐藏到网关5.测试从Internal 192.168.30.10发起两次Telnet 访问11.1.1.2，查看日志，NAT转换信息。

一次被转换成为172.16.2.30，第二次转换为202.100.1.30.2.PPPOE拨号PPPOE需要注意两个点：1.SecureXL状态由于GAIA系列操作系统中的SecureXL技术部支持PPPOE接口加速，所以需要关闭它，否则内网用户无法正常上网。

操作：在CLI界面敲cpconfig去disable SecureXL。

2.MTU问题由于pppoe协议会在IP包头中进行二次封装导致包头大小增加8个byte，然而默认的接口MTU1500,导致客户发送一个1500byte 的IP数据包到防火墙时被分片，造成异常，通常表现为网页打开慢或者打不开。

所以，我们首先需要去调整接口MTU值为1492，（我推荐1432如果客户有还有IPSec需求的话注意设备流量入口/出口的MTU，入口=出口-8byte）。

所以我们需要修改MTU,，tcp-mss 也需调整，可以根据MTU值来自动调整tcp-mss步骤：A.网关设备修改tcp-mss自适应进入expert模式Vi $FWDIR/boot/modules/fwkern.confFwkern.conf中增加一行fw_clamp_tcp_mss=1B.修改接口MTUSet interface eth2 mtu 1432Save configRebootC.修改管理服务器上的tcp-mss关闭所有管理服务器的客户端连接，在Smartconsole安装目录中找到GuiBbEdit打开找到fw_clamp_tcp_mss属性改成ture，保存退出，再打开smartdashbord安装策略D.在网关expert模式中查看修改后状态，确认值为1Fw ctl get int fw_clamp_tcp_mss。