CheckPoint Firewall NG 安装

NGX R70 checkpoint 防火墙双机热备安装文档说明：需要二个防火墙和一个管理服务器。

二个防火墙必须用3个以上的网卡（外网，内网，心跳线）。

我们先装第一台防火墙。

系统的提示信息出现，90秒内没有按键，安装将取消，立刻按enter 键。

其中，add driver可用于添加设备，可以通过device list查看设备驱动是否正常。

选择ok键继续选择你要安装的软件刀片。

动态路由的选择，如果不需要就选第一个。

选择US 键盘。

配置。

配置第一个防火墙的IP和默认网关，为避免冲突我们把WEB https://192.168.1.254:4434/访问的端口改成4434格式化你的硬盘选择OK。

安装完成OK，重新启动。

第二台防火墙的安装，和第一台一样（IP不太一样）。

立即按回车90秒以内。

选择OK按自己的需求选择软件刀片选择路由是否需要动态路由。

不需要选第一个。

US键盘编辑第一端口方便进入WEB https://192.168.1.253:4434/进行配置。

配置IP和默认网关。

修改成4434端口。

格式化。

重新启动。

在IE浏览器输入https://192.168.1.254:4434/进行第一台防火强的环境配置。

默认帐号和密码都是admin输入一个新的密码。

下一步。

配置3个接口，外网，内网，和心跳线。

配置外网的默认网关。

配置对应的DNS。

修改一下防火强的名称。

时间配置。

下一步，所有人都人访问这个CLIENT。

集群中的checkpoint防火墙此界面只选择安全网关Security Gateway，不需要在每个集群成员中安装管理服务Security ManagementSecurity Management组件需要安装到一个独立的服务器上（Windows/liunx均可），以便统一管理集群中的各个网关成员我们要配置的防火墙集群，所以这里的网关类型选择“this gateway is a member of a cluster”（这个网关是一个集群的成员）。

Check Point刚拿到手的时候竟然是软件.[安装]:Check Point的安装很简单,不过厉害的是,它能安装到任何操作系统中,我开始安装到XP上,给了地址172.16.221.11,然后在我自己的机器上安装了管理工具,并用该工具登入了,可是感觉怪怪的,然后利用光盘安装了安全平台(SecurePlatform),这个安装和RedHat的安装竟然非常相似,(其实它就是一个建在linux平台上的东西),因为License的原因,我也给了172.16.221.11的地址,但是此时xp的172.16.221.11地址没有改掉,竟然也不报错误,然后发现后,我就修改XP的地址到172.16.221.12.[配置]1.Check Point作为firewall最少得两块网卡,和标准的防火墙一样.External ip已经给了:172.16.221.11,Internal interface IP为:192.168.91.1.2.安装了SecurePlatform后,启动系统,就会发现,熟悉的grub菜单,有四个选择的,其中第一个是防火墙,启动后就可以用了,第二个是操作系统(是linux的)的单用户模式.后面两个没怎么研究.3.第一次登录后(admin/admin),要求换密码,和用户名(可以不换).4.然后在别的机器上使用web GUI访问https://172.16.221.11,登录后会出现配置向导,按照提示一直走下去,很简单,向导结束后,会自动logout,然后再loing,就提示license问题,update license后,就开始配置了,其中有一个地方要求添加远程管理帐号信息(IP,username,password).5.在另一台机器上安装SmartDashboard R55,并用这个软件连接check point(帐号就是在向导中添加的).6.如果在向导中配置没问题的话,那么在管理软件的object map窗口中,应该就有一个简单的网络top了,把External network连接到Internet.7.双击map中的check point,在Topology中把两块网卡定义一下(哪个是对外,哪个对内),其他的就不需要配置了.8.在左边的Network Objects Tree中的Networks中添加一个New Network,这个Network就是内网的信息(IP,Netmask),同时在"NAT"那一项中把"Add Automatic Address..."选上.9.默认情况下,所有的请求都被drop的,所以,这里得添加一些rules,菜单中"Rules"->"Add Rules",位置自己定义(我这里是只定义内部所有的都能出去),然后把这个Rules做一个简单的修改,那就是在"INSTALL ON"中改成"Gateways","ACTION"改成"accept",(这个东西就在Security窗口中进行)10.这些配置结束后,保存一下,然后就开始安装Policy,首先,在菜单"Policy"->"Verify",如果结果没问题,就开始安装吧,"Policy"->"Install",然后听到check point硬盘一阵响,OK了,没有提示错误.11.再在客户机器上检查一下吧(ping)[日记]开始的时候,无论怎么配置都不行,有一次,我无意中把xp机器的网线拔掉了,管理软件提示说断掉了,合着我忙了半天都在xp机器上折腾.很纳闷,明明把IP地址都改掉了啊.这个问题就想不通了.估计是管理软件记下了MAC地址,然后根据这个寻址的.。

防火墙安装操作手册By Shixiong Chen一、准备安装介质和服务器安装CheckPoint防火墙基于开放的服务器平台需要准备两点:如果选用的是Checkpoint的硬件，UTM-1则不需要考虑这些问题。

第一，准备好服务器，服务器最好选择IBM\HP\或者其他大品牌厂商的硬件平台，并且事先确认该品牌和型号的服务器与CheckPoint软件兼容性，将网卡扩展至与真实火墙一致，服务器需要自带光驱。

第二，准备好CheckPoint防火墙安装介质，注意软件的版本号与真实环境火墙一致，同时准备好最新的防火墙补丁。

二、SecurePlatform系统安装过程硬件服务器初始状态是裸机，将服务器加电后，设置BIOS从光盘启动，将CheckPoint软件介质放入光驱，然后出现如下界面:敲回车键盘开始安装。

出现如下界面，选择OK,跳过硬件检测。

选择安装的操作系统类型，根据自己防火墙操作系统的版本选择。

SecurePlatform Pro是带有高级路由和支持Radius的系统版本。

选择键盘支持的语言，默认选择US，按TAB键，继续安装。

配置网络接口，初始我们配置外网接口即可，选择eth0配置IP, 输入IP地址、子网掩码、以及默认网关，然后选择OK,继续。

选择OK.开始格式化磁盘。

格式化完成后开始拷贝文件，最后提示安装完成，按照提示点击OK.系统会自动重新启动。

然后出现登陆界面，如下所示。

第一次登陆系统，默认账号和密码都是admin，登陆后需要出入新的密码和管理员账号。

三、CheckPoint防火墙软件安装过程运行sysconfig 命令，启动安装防火墙包。

选择n,继续安装。

打开网络配置页面，选择1,配置主机名，选择3配置DNS服务器，选择4配置网络，选择5配置路由，注意要与生产线设备的配置保持一致，特别是路由要填写完整，主机名、接口IP和子网掩码要填写正确。

配置完成后，选择n,下一步继续配置，如下图所示，选择1配置时区(选择5，9，1)，选择2配置日期，选择3配置本地系统时间，选择4查看配置情况。

C h e c k p o i n t防火墙安全配置指南This model paper was revised by the Standardization Office on December 10, 2020Checkpoint防火墙安全配置指南中国联通信息化事业部2012年 12月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述1.1目的本文档规定了中国联通通信有限公司信息化事业部所维护管理的CheckPoint防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行CheckPoint防火墙的安全配置。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

本配置标准适用的范围包括：中国联通总部和各省公司信息化部门维护管理的CheckPoint防火墙。

1.3适用版本CheckPoint防火墙；1.4实施本标准的解释权和修改权属于中国联通集团信息化事业部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国联通集团信息化事业部进行审批备案。

第2章安全配置要求2.1系统安全2.1.1用户账号分配2.1.2删除无关的账号2.1.3密码复杂度2.1.4配置用户所需的最小权限2.1.5安全登陆2.1.6配置NTP安全配置SNMP2.1.7第3章日志安全要求3.1日志安全3.1.1启用日志功能3.1.2记录管理日志3.1.3配置日志服务器3.1.4日志服务器磁盘空间第4章访问控制策略要求4.1访问控制策略安全4.1.1过滤所有与业务不相关的流量4.1.2透明桥模式须关闭状态检测有关项4.1.3账号与IP绑定4.1.4双机架构采用VRRP模式部署4.1.5打开防御DDOS攻击功能4.1.6开启攻击防御功能第5章评审与修订本标准由中国联通集团信息化事业部定期进行审查，根据审视结果修订标准，并颁发执行。

CheckPoint NG with AI(R55) 防火墙安装步骤CheckPoint NG with AI(R55) 防火墙安装步骤(internet gateway 防火墙模块和管理模块安装在同一台网关机上)如何安装配置checkpoint R55防火墙：第一：了解整个网络的拓扑结构，包括：路由器内部口的ip地址，防火墙的Internet Ip地址和网络掩码，防火墙的内网Ip地址，防火墙DMZ区IP地址，Webserver的内网ip 地址，webServer的Internet Ip地址，mailServer的内网Ip地址，mailServer的Internet Ip地址，内部LAN的网络地址。

需要注意：防火墙的主机安装三个网卡，一个网卡接路由器，一个接DMZ区，一个网卡接内网的交换机。

Webserver和MailServer的网关指向防火墙的DMZ区网卡地址192.168.0.254，LAN中的工作站的网关指向防火墙的内网卡地址10.0.0.254。

如图1：在安装防火墙前要确认webserver在没有防火墙的情况下已经可以从互联网上访问到，保证通往外网的线路是通的。

第二：安装防火墙主机*作系统（这里以windows 2000 server为例）：1．将防火墙主机中增加网卡，这样，该主机有三块网卡2．安装windows 2000 server（中英文都可），建议打上sp2的补丁3．安装三个网卡的驱动程序，协议只需安装tcp/ip协议4. 配置ip地址，如图2：防火墙外网卡：（防火墙外网卡的地址，该ip address 61.132.122.116和subnet mask 255.255.255.248应该由客户或电信部门提供，应该和路由器在一个网段上，default gateway指向路由器内部口的ip地址:61.132.122.113）防火墙内网卡：（不要设网关）如图3如图4（防火墙内网卡的ip地址，防火墙在内部网的ip是:10.0.0.254 ,subnet mask是:255.255.255.0 ,网关不设定，应为防火墙此时自身就是内部网络的网关）,防火墙DMZ 区网卡：（不要设网关）.（防火墙DMZ网卡的ip地址，防火墙在内部网的ip是:192.168.0.254 ,subnet mask 是:255.255.255.0 ,网关不设定，应为防火墙此时自身就是DMZ网络的网关）5. 开启防火墙网关的路由转发功能开启该功能可以采用windows2000中的管理工具中的“路由和远程访问”工具开启，但根据我们多次安装实施经验，我们建议您按照下面的方法开启该功能：在开始菜单中的“运行”中，输入“regedit”打开注册表，转到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentContralSet\Services\Tcpip\Parameters项，将IPEnableRouter值设为1，重新启动机器。

安装checkpoint防火墙简单操作1.安装系统到虚拟机
选择OK
选择OK
自己合理分配每个目录下的空间大小；之后选择OK
设置登录密码，默认账号是admin（此账号用于登陆命令行和web管理界面的）；
设置登录的管理地址ip地址和默认网关。

完成之后reboot设备就可以。

2.Checkpoint防火墙初始化
打开web页面输入刚刚设置的管理地址，输入登录账号密码。

一直点击next
这是设置修改管理地址的；
设置设备主机名的
设置设备的时间
2.1选择management，这是把该设备设置成一台单独的smart center管理中心
设置登录smartdashboard的账号密码
设置允许登录center的设备，我们测试选择any
2.2选择security gateway，表示这是台单独的FW
设置SIC，用于center管理FW的key
3.center关联FW
右击checkpoint。

选择如下图所示：
输入FW的name和ip，点击conmmunication，输入之前设置的key，点击initialize
关联正常，之后就是添加策略和对象进行测试。

CheckPoint防火操作手册1 配置主机对象定义防火墙策略时，如需对I P 地址进行安全策略控制则需首先配置这个对象，下面介绍主机对象配置步骤，在“Network Objects”图标处，选择“Nodes”属性上点击右键，选择“Node”，点击“Host”选项，定义主机对象的名称，IP Address属性，同时可按照该主机的重要性定义颜色，配置完成后点击OK,主机对象创建完成。

2 配置网段对象定义防火墙策略时，如需对网段进行安全策略控制则需首先配置这个网络对象，配置步骤如下，在防火墙“Network”属性上点击右键，选择“Network”，选项，定义网段名称，比如DMZ，Internal，建议根据网段所处位置定义，配置网段地址和子网掩码，如有必要可以添加注释（Comment），配置完成后点击确认。

3 配置网络组对象如果需要针对单个I P 地址、IP 地址范围或者整个网段进行安全策略控制，可以将这些对象添加到网络组，如下在防火墙“Group”属性上点击右键，选择“Simple Group”选项，成后点击O K 即可4 配置地址范围对象除了配置I P 地址，网段，也可以指定地址范围(IP range)，地址范围对象配置步骤是，如下在防火墙“Network”属性上点击右键，选择去掉“Do not show empty folders”选项，让I P Range 配置属性显示出来。

配置“Address Rage”，选择“Address Ranges”，如下图输入地址名称、起始IP地址与结束IP地址，完成后点击OK即可。

5 配置服务对象5.1 配置T CP 服务对象Check Point 防火墙内置了预定义的近千种服务，包括T CP、UDP、RPC、ICMP 等各种类型服务，通常在定义防火墙安全策略时，大多数服务已经识别并内置，因此无需额外添加，但也有很多企业自有开发程序使用特殊端口需要自行定义，下面介绍如何自定义服务，如下图所示，点击第二个模块标签，即S ervices，已经预定义多种类型服务，用户根据需要自定义新的服务类型，下面举例定义T CP 类型服务，右键点击“TCP”，选择“New TCP如下图，可以点以单个TCP服务端口服务对象，如果是一段端口，可以定义端口范围以上举例新建T CP 协议的端口服务，如需定义U DP 协议或其他协议类型按照同样流程操作即可。

Nokia安全平台CheckPoint防⽕墙操作⼿册Nokia安全平台&CheckPoint防⽕墙操作⼿册上海数讯信息技术有限公司⼆○○三年⼗⽉⽬录⼀、NOKIA平台操作⼿册 (2)1、IPSO的安装 (2)2、CHECKPOINT的安装 (10)3、N OKIA平台基本配置 (11)⼆、CHECKPOINT防⽕墙（FP3版本）操作⼿册 (17)1、安装 (17)2、设置 (36)A、增加⼀个Cluster对象 (36)B、增加⼀个主机对象 (41)C、增加⼀个⽹络对象 (43)D、设置全局属性 (45)E、编辑安全策略 (46)F、编辑VPN策略 (47)G、编辑QoS策略 (51)3、系统窗⼝ (52)数讯科技信息⽆限数讯科技信息⽆限⼀、 N okia 平台操作⼿册1、IPSO 的安装Nokia 平台的操作系统IPSO 的安装可以有两种⽅式：●串⼝控制台⽅式● WEB 界⾯voyager ⽅式A 、串⼝控制台⽅式将Nokia 平台的串⼝控制线连接到⼀台PC 的串⼝上，并开启终端仿真程序，将Nokia 平台上电后出现下列界⾯：选择1：bootmgr;待出现BOOTMGR 提⽰符后，键⼊命令：install,然后系统提⽰是否继续，回答yes,出现如下界⾯：系统提⽰从匿名FTP服务器安装还是从⼀个有⽤户名和密码的FTP服务器安装，选择你喜欢的⽅式，并按回车，数讯科技信息⽆限选择你想从哪个端⼝上传⽂件，并输⼊这个端⼝的IP、服务器IP、FTP ⽤户名、密码、路径等，并按回车，数讯科技信息⽆限系统⾃动下载⽂件并安装到系统中，然后⾃动重启，数讯科技信息⽆限IPSO安装完成。

B、WEB 界⾯voyager⽅式第⼀次打开NOKIA 平台，使⽤Console连接上去，出现如下界⾯：输⼊主机名：firewall；输⼊admin⽤户的Password，并确认；选择使⽤基于Web的浏览⽅式——选择1；数讯科技信息⽆限2、使⽤Web界⾯对NOKIA进⾏管理，⾸先需要定义⼀块⽹卡地址、掩码和⽹卡的属性，我们定义在eth-s1p3上，定义地址为192.1.2.2，掩码长度24位，然后定可以通过这个地址对NOKIA进⾏基于Web的管理。

Checkpoint防⽕墙安全配置⼿册V1.1Checkpoint防⽕墙安全配置⼿册v1.1CheckPoint防⽕墙安全配置⼿册Version 1.1XX公司⼆零⼀五年⼀⽉第1页共41 页⽬录1 综述 (3)2 Checkpoint的⼏种典型配置 (4)2.1 checkpoint 初始化配置过程： (4)2.2 Checkpoint Firewall-1 GUI安装 (13)2.3 Checkpoint NG的对象定义和策略配置 (19)3 Checkpoint防⽕墙⾃⾝加固 (37)1综述本配置⼿册介绍了Checkpoint防⽕墙的⼏种典型的配置场景，以加强防⽕墙对⽹络的安全防护作⽤。

同时也提供了Checkpoint防⽕墙⾃⾝的安全加固建议，防⽌针对防⽕墙的直接攻击。

通⽤和共性的有关防⽕墙管理、技术、配置⽅⾯的内容，请参照《中国移动防⽕墙安全规范》。

2Checkpoint的⼏种典型配置2.1checkpoint 初始化配置过程：在安装完Checkpoint软件之后，需要在命令⾏使⽤cpconfig命令来完成Checkpoint 的配置。

如下图所⽰，SSH连接到防⽕墙，在命令⾏中输⼊以下命令：IP350[admin]# cpconfigWelcome to Check Point Configuration Program================================================= Please read the following license agreement.Hit 'ENTER' to continue...（显⽰Checkpoint License版权信息，敲回车继续，敲q可直接跳过该License提⽰信息）Do you accept all the terms of this license agreement (y/n) ?y（输⼊y同意该版权声明）Which Module would you like to install ?-------------------------------------------(1) VPN-1 & FireWall-1 Enterprise Primary Management and Enforcement Module(2) VPN-1 & FireWall-1 Enforcement Module(3) VPN-1 & FireWall-1 Enterprise Primary ManagementCheckpoint Firewall-1/VPN-1⽀持多种安装模式，Firewall-1/VPN-1主要包括三个模块：GUI：⽤户看到的图形化界⾯，⽤于配置安全策略，上⾯并不存储任何防⽕墙安全策略和对象，安装于⼀台PC机上；Management：存储为防⽕墙定义的各种安全策略和对象；Enforcement Module：起过滤数据包作⽤的过滤模块，它只与Managerment通信，其上的安全策略由管理模块下载；以上三个选项中如果Management与Enforcement Module安装于同⼀台设备上，则选择（1），如果Management与Enforcement Module分别安装于不同的设备上，则选择（2）或（3）。

当前最新版本NGX R65（试用版，官方网站下载，十五天内可以使用checkpoint全部功能，要想到期再使用，需要购买许可证（每一种功能需要相应的许可证）的，Checkpoint许可证一般是和网卡进行绑定的），在R60之前Checkpoint防火墙叫做NG（Next Generation 下一代网管），在R60以后称之为叫NGX（下一代防火墙增强版）1、按回车键进行安装，否则90秒后讲终止安装2、Device list显示checkpoint所支持的硬件列表，如果是特殊硬件，可以选择“Add Driver”进行添加硬件驱动。

OK——开始安装（此过程是安装的checkpoint的系统——secureplatform）3、选择checkpoint的操作系统（都是基于linux）SecurePlatform——标准版系统，SecurePlatform Pro——专业版操作系统，增加新特性，支持登录到系统的用户名和密码可以支持radius服务器认证，支持动态路由协议Check Point SecurePlatform Std- Delivered on bootable CD- Automatically installed pre-hardened operating system 自动安装预硬操作系统- Automatically installs Check Point security solutions 自动安装Check Point的安全解决方案- CLI for management 命令行管理- Web interface for management web管理界面- SNMP Support- FIPS 140-2 Compliance Mode- Add new drivers- Kernel based Red Hat ES 3.0Check Point SecurePlatform Pro (aditionallicense required)有许可证要求 - All features SecurePlatform Std and拥有标准版所以特性- Centralized administrator management through RADIUS支持Radius认证 - Supported Dynamic Routing Protocols支持动态路由协议- RIP-1、RIP-2、OSPF、BGP- Multicast Protocols支持组播协议- PIM-DM、PIM-SM、IGMP4、选择键盘类型，默认US5、为CheckPoint选择一个作为管理用的网络接口6、为选定的管理接口配置相关IP地址（一般是公网IP）7、指定在通过HTTPS对Checkpoint进行管理的时候所用的端口，默认是443，可以进行修改8、选择OK，Checkpoint讲对硬盘进行格式化9、开始执行SecurePlatform安装过程10、系统安装完成、选择OK进行重启，11、默认帐户是admin 密码admin登陆之后需要修改密码，同时需要修改admin帐户名可以不修改用户名（直接输入admin）12、登陆系统后，接下来需要进行初始化，两种方式初始化，第一种是图形，通过htttps，第二种是在命令行执行sysconfig命令，基于命令的初始化（这里以命令行做演示）13、欢迎界面，“q”退出，“n”继续14、网络配置菜单，提供5个菜单选项，逐个进行配置，先配置主机名，选择对应代码“1”15、主机名的菜单选项，“1”设置一个主机名；“2”查看主机名，我们选择“1”，然后回车16、输入主机名17、输入“e”退回到主界面18、选择“2”配置域名（可以不设），如要设置，跟设置主机名步骤相同，选择“3”设置域名服务器（DNS）地址，这个必须设，checkpoint很多功能需要DNS解析19、选择“1”添加一个DNS地址，“2”是删除一个DNS地址，“3”是查看DNS设置，设置完成后输入“e”，回到主菜单20、选择“4”，进行设置网卡21、选择“2”，配置网络连接22、选择要设置的网卡23、选择“1”，对eht0网卡进行IP地址的设置24、设置完成后，“e”回到上一级菜单25、在这仍然选择“2”，对其他网卡进行设置，步骤相同26、IP设置完成后，回到主菜单，选择“5”设置网关27、选择“1”，设置缺省网关28、设置完成后，输入“n”继续29、在这个菜单中，主要是对时间以及时区进行设置，具体方法按照向导操作30．时区和时间设置完成后，继续“n”，在这问你是从TFTP服务器上导入配置文件31、输入“n”继续32、试用版license许可协议，输入“y”继续总部；“UTM”要低端一些，适用于中小企业，输入“n”继续34、输入“n”全新安装35、选择安装的组件、“VPN-1 Power”是必须安装的，接下来一直继续36、开始安装37、此处我们输入“n”，因为我们用的试用版没有licenses38、此处要求添加一个管理员，这个管理员必须添加，他是不是用来登陆系统的，是用来通过控制台连接防火墙时候用的帐户39、添加访问端，指定从哪里能通过控制台40、配置完成。