1、 上海赛高数码科技有限公司Check Point防火墙基础操作手册(IPS)中银国际北明软件股份有限公司二零一四年四月目 录第1章 SmartDashboard的使用及基本管理技术31.1 编辑防火墙对象31.2 添加主机和网络对象81.2.1 添加主机对象:81.2.2 添加网络对象:91.3 制定访问策略和配置地址翻译(NAT)101.3.1 配置访问策略101.3.2 地址翻译(NAT)111.4 防地址欺骗功能介绍151.5 策略的下发17第2章 入侵防护(IPS)策略的配置192.1 IPS概览192.2 IPS配置202.2.1 定义IPS的防火墙202.2.2 定义IPS Pro
2、file222.2.3 配置Protections272.2.4 配置Geo Protection292.2.5 IPS特征库更新302.2.6 Follow Up选项332.2.7 Additional Setting选项332.3 禁用IPS34第3章 SmartView Tracker的使用35第38页 第1章 SmartDashboard的使用及基本管理技术SmartDashboard是配置防火墙策略和对象的一个控制软件,我们定义对象和规则时就利用它来实现,SmartUpdate是用于添License时要用到的一个控制软件,SmartView Tracker是查看日志时用到的客户端软件
3、。1.1 编辑防火墙对象首先打开控制台软件,出现登录界面:点击SmartDashboard后出现登录界面,如图:这里输入用户名、密码以及管理服务器的IP地址。点击OK登录到配置界面。 Demo Mode选项是查看防火墙的演示界面,点击Demo Mode登录可以查看Check point 公司定义的各项配置演示;Read Only 选项是以只读方式登录防火墙,没有改配置的权限;Use Certificate(证书)选项是替代管理员用户名和密码验证的一种选择,这个证书有管理服务器生成,用户自己保存在本地,需要用它验证时点击,添加这个证书,然后选择管理服务器地址,然后点击OK登录。注意:防火墙一次只
4、可以容许一个用户以管理员身份登录,可以修改防火墙配置,其他以管理员身份登录防火墙的用户,要么强制断开当前已登录的账户,要么以只读身份登录。登录SmartConsole配置界面:上图为SmartDashboard的主界面,左边是定义各种对象的区域,有防火墙对象、主机对象、网络对象、以及组对象。右边为功能概览。在Check Point选项下选择要编辑的防火墙对象双击打开,出现弹出界面以便我们配置其具体属性。具体见图示:编辑防火墙的相关属性,见图所示,所标记的地方是需要检查的。然后点击Topology 点击Get interface with Topology得到防火墙接口信息。配置完成,点击OK
5、。完成防火墙配置。然后下面的配置节点对象以及网络对象都是相同意思,做好相应配置。下面有相应截图:注意:在防火墙上如果新添加路由的话,一定要到防火墙属性里把Interface 重新“get” 一下,就是要执行一下上面的步骤。因为防地址欺骗功能在起作用(关于防地址欺骗功能介绍请参见后面章节),否则新加的路由涉及的网段就上不了网。1.2 添加主机和网络对象1.2.1 添加主机对象:添加主机然后弹出配置窗口配置name和IP就可以,其他不用配置(做NAT除外)如下所示:1.2.2 添加网络对象:在Network属性上点击右键,然后选择Network弹出上面窗口,配置网段、子网掩码,完成配置。1.3 制
6、定访问策略和配置地址翻译(NAT)1.3.1 配置访问策略在第一次添加规则的时候,我们点击图中的按钮,然后在规则库中会出现一条默认规则。然后我们引用定义好的对象,制订规则。见下图:在图中我们要添加相应对象,直接在对应栏中点击右键,然后在弹出的对话框中选择相应对象。我们参照一条完整的规则:图中定义了内网到任何地方的http服务都接受,就是内网用户可以访问网页。其他规则类似,就是添加:谁、到哪里、访问什么服务、是否接受、是否记录日志以及安装在哪台防火墙上。上面就是定义规则的方式,规则定义是非常灵活的,我们只需要把相应对象定义出来,然后再定义访问的服务,然后是否接受就完成策略的定义了。1.3.2 地
7、址翻译(NAT)地址转换功能是Check Point 防火墙的一个主要功能模块,通过他我们可以很方便的把网络或者主机映射到公网,我们可以做静态地址映射(Static NAT),可以作动态地址映射(Hide NAT)。具体的操作见我们配置网络和主机属性章节,在他们属性页面中有NAT一项,我们只需要编辑这一项既可实现NAT该对象到公网,当然我们需要具有相应公网的地址分配给这个对象。任何作了NAT的对象,我们在NAT的Address Translation策略中我们都可以看到其对应的规则,这是它自动生成的。无须我们自己定义。(1)对主机作Hide NAT因为我们部分主机可以访问到公网,所以要把这些主
8、机作 Hide NAT ,先把所有的主机建立出来,然后对配置他们的 NAT 属性,选择其中一台做操作,其他配置都相同。选择 ssy这台主机:(见下页)然后选择 NAT 属性,选择 Add Automatic Address,Translation method 选择 Hide,Install on Gateway 选择下拉列表框选择我们的防火墙网关对象。完成点击确定。完成 Hide NAT 的配置后我们需要验证 NAT 是否配置成功,在 Check Point 界面上选择 NAT ,查看Address Tanslation策略里面多了一条 ssy的配置 (2)对服务器作静态NAT如果我们内网中
9、有WEB服务器或者是邮件服务器等需要对外提供服务的主机,所以我们要把他们映射到公网,前提是要具备可用的公网IP分配给对应的服务器。这里我们做个演示:首先把服务器对象定义出来,在Nodes上点击右键,然后选择Host,然后配置服务器的属性,再选择左边窗口中的NAT属性。点击NAT,编辑NAT属性,选择Add Automatic Address Translation rules,然后在Translation methed 中选择选择Static,然后在下面的小框中输入自己分配给服务器的公网地址。最后在Install on上选择当前防火墙然后点击确定,静态NAT就配置完成。上图中是对服务器对象作静
10、态NAT,给它一个公网地址,在NAT的Address Tanslation 中下图中自动生成两条NAT策略。见下图:1.4 防地址欺骗功能介绍Anti-Spoofing 是防止地址欺骗的功能,其意思是不容许从外网口收到的冒充源地址为内网地址的数据包访问内网其他主机,或者不是某个网段但冒充是这个网段地址企图访问某些主机的数据包,都将被阻止,其功能就是在防火墙外网和内网口上实现,具体配置过程如下,首先双击防火墙对象,打开属性配置界面,然后选择Topology,见图:出现防火墙接口信息,如果我们系统的接口和路由配置好后,我们单击Get,然后选择Interface或是interface with to
11、pology 就可以得到接口配置信息。这里我们需要在网络接口上配置Anti-Spoofing ,所以首先双击其中任一接口开始配置。首先双击外网接口,在下面弹出的对话框中选择Topology因为是外网口,按照默认的配置启用了Anti-Spoofing。在图中Anti-Spoofing选项中查看“perform Anti-Spoofing based on interface”点击确定。外网口Anti-Spoofing功能启用了。然后在内网口我们也配置Anti-Spoofing功能。回到防火墙属性的Topology界面点击内网接口,双击它打开配置属性页面,选择Topology在上图中我们看到定义了
12、此接口为“Internal(leads to the local)”然后在下面的IP Addresses behind this 有三个选项,第一个Not Defined (不定义),第二个是定义此接口后面的网段后面的IP,如果我们防火墙后面只有一个网段我们通常选择这项,如果我们防火墙内网有几个网段,则需要选择第三项Specific,要把所有的内网网段定义成一个组,选择这个组,就可以完成配置,下面的Anti-Spoofing选择“perform Anti-Spoofing based on interface”就启用Anti-Spoofing了。1.5 策略的下发我们定义了网络对象,做了地址翻
13、译(NAT),并且制订了相应的策略,那么我们要把这些策略从管理服务器上下发到防火墙模块上,让他们执行这些策略,做访问控制保护我们的网络。所以,前面所作的那些策略真正的执行者是防火墙模块。点击进入Policy界面:安装方式如图示:见图最上面标记出,按钮即是做策略下发,然后弹出对话框,确认我们选中了要安装策略的防火墙,然后点击OK,则策略会下发到该防火墙上。然后策略生效,该防火墙开始执行管理服务器下发的策略。第2章 入侵防护(IPS)策略的配置Check Point防火墙基础IPS软件刀片是一个入侵防御系统,通过分析流量内容来检查它是否对你的网络存在风险。IPS全面保护网络、服务器和操作系统安全,
14、使其免受网络攻击、程序漏洞、以及恶意代码和间谍软件、蠕虫爆发等带来的网络威胁。2.1 IPS概览登录SmartDashboard,点击IPS选项卡,出现如下图IPS策略配置界面,左侧是IPS策略导航面板,右边是配置界面项目描述Overview查看IPS状态、活动和安全更新等Enforcing Gateways执行IPS防护的安全网关列表Profiles定义IPS配置文件Protections各种防护配置Geo Protection按照源或目的国家执行防护Network Exceptions定义不执行IPS的资源Download Updates手动或自动更新IPS安全数据库Follow Up跟踪
15、作了标记的防护Additional SettingsHTTP检测2.2 IPS配置2.2.1 定义IPS的防火墙打开IPS-Enforcing Gateways,可以查看目前运行IPS的安全网关,双击Gateway进行编辑。在Firewall选项卡,打开Network Objects-Check Point,双击要启用IPS的防火墙对象,选中IPS选项,即在该防火墙上启用了IPS。在IPS页面,“Assign IPS Profile” 为该网关分配一个IPS配置文件。 “Protect internal hosts only”只保护内网主机。“Perform IPS inspection on
16、 all traffic”对所有流量执行IPS检测,此选项将占用更多防火墙资源。选择 “Bypass IPS inspection when gateway is under heavy load”和“Track”、“log”,防火墙在高负荷下不再执行IPS检测并记录log,可在“Advanced”处定义当CPU在什么范围时为高负荷。2.2.2 定义IPS Profile打开IPS-Profiles页面,可以查看当前已定义的IPS配置(Default和Recommended为系统自定义配置)点击New-Create new profile可以手动创建一个IPS Profile说明: 两种IPS
17、 Mode:“Prevent”检测到异常,阻止连接;“Detect”只检测不阻止 “Activate protections according to IPS Policy”根据IPS Policy激活相关防护;“Activate protections manually”手动激活相关防护,选择此项后“IPS Policy”页面所有选项为灰色。打开“IPS Policy”见下图:Client Protections保护客户端Server Protections保护服务器Do not activate protections with severity不激活危害性为指定级别或以下的防护Do no
18、t activate protections with confidence-level不激活信任级别为指定或以下的防护Do not activate protections with performance impact不激活对性能影响为指定或以下的防护Do not activate Protocol Anomalies不激活协议异常的防护Do not activate protections in the following categories不激活知指定类别的防护在“Updates Policy”页面指定最新更新的防护自动设定为“Detect”还是“Prevent”打开“Network
19、 Exceptions”页面定义不执行IPS检测的资源(新建的Profile需要先完成创建过程才能添加排除),点击New按钮(例如:定义HR部门主机访问Management时不执行CPMI端口的防护)。项目描述Single protections选择某种防护属性All supported protections针对所有支持的防护Source选择源Destination选择目的Service选择服务Apply this exception on all R70 gateways应用此设置在所有R70或以上安全网关上Apply this exception on 只在指定防火墙上应用此设置注:Ne
20、twork Exceptions也可在主界面的选项进行设置打开Troubleshooting页,点击Detect-Only按钮,则该IPS Profile只执行检测而不阻止。此功能主要用于排查故障。2.2.3 配置Protections打开Protections页面,可以查看所有系统内置Protections,可以按By Type和By Protocol进行分类。双击想要配置的“Protection”,可以看到该“Protections”的类型、危害级别和对性能的影响等信息,以及它在各IPS Profile的“Action”。如下图“Protections”在“Default Protecti
21、on Profile”下未激活,在“Recommended Protections Profile”下是阻止动作。项目描述Edit修改该Protections在相应IPS Profile的配置Change Action修改该Protections在相应IPS Profile的ActionPrevent on all Profiles:在所有Profile的Action设置为PreventDetect on all Profiles:在所有Profile的Action设置为DetectDeactivate on all Profiles:在所有Profile禁用该ProtectionFollow
22、 UpMark for Follow UP:作标记,用于跟踪Unmark for Follow UP:如果已作标记,此选项才可用,用于取消标记Edit Follow Up Comment:编辑标记备注View Logs跳转到SmartView Tracker,查看IPS日志若要修改该Protection在某个Profile的配置,双击相应Profile项目描述Action according to IPS Policy根据IPS Policy定义ActionOverride IPS Policy with手动指定Action,此设置重置IPS Policy定义的ActionTrack记录日志C
23、apture Packets抓包,用于故障排查2.2.4 配置Geo Protection打开“Geo Protections”页面,可以配置允许或拒绝去往或来自某个国家的流量。首先配置“Profile”和“Action”,即是否为指定“IPS Profile”激活“Geo Protection”。Policy for Specific Countries:只有激活后才可以针对指定国家添加Policy,点击Add按钮项目描述Country选择国家Direction选择方向Action执行的动作,Allow or BlockTrack跟踪选项,Log或AlertPolicy for other
24、countries:除了以上指定国家,为其他国家设置策略。2.2.5 IPS特征库更新打开Download Updates页面,显示最新更新日期及版本。(1)在线更新点击Update Now,现在更新IPS数据库。输入Check Point Support Account进行更新,更新及安装过程需要一段时间。(2)按计划自动更新点击Scheduled Update配置IPS按计划更新项目描述Edit schedule制定更新计划User Center credentials更新所用帐户认证On update failure perform 更新失败后尝试次数On Successful upda
25、te perform install policy更新成功后安装策略(3)离线更新点击Offline Update,选择更新包,可以执行离线更新复选项:“Apply Revision Control”:更新前保存配置并创建数据库备份;“Check for new update”:登录Smart Dashboard时即检查IPS更新。2.2.6 Follow Up选项打开“IPS”、“Follow Up”选项,可以查看已标记的“Protections”“Mark newly downloaded protections for follow up”最新下载的“Protections”自动作标记。
26、点击“Mark”按钮可以手动指定“Protection”作标记;右击所选“Protection”可取消标记。2.2.7 Additional Setting选项HTTP inspection:“Enable HTTP inspection on nonstandard ports for the IPS Blade”启用非标准端口的http检测2.3 禁用IPS打开SmartDashboard,登录SmartCenter,双击打开防火墙对象,取消IPS选项,确定退出,安装策略即可。第3章 SmartView Tracker的使用Check Point的日志功能是我们排除故障的有效工具,当网络出
27、现问题时,我们可以通过查看防火墙日志是否是防火墙作了阻断。如果发现是防火墙的原因,则应当检查相应策略,排除故障。下面就先介绍日志的界面及其基本功能。具体见图示:选择SmartView Tracker ,登录到日志界面图中我们看到有相应注释,左边All Records是显示防火墙的所有日志,Firewall 是显示防火墙的日志,IPS是显示的IPS的日志,如果我们点击上图中向下的小箭头,即显示最新出现的日志。正中是日志显示区域。在日志界面中我们如果点击Active就会显示当前活动连接的日志,如果我们发现其中某个连接有攻击行为,我们可以立即阻断其攻击,具体是单击导航条中Tools,选择block。即可以采取阻断。日志界面中的Management是记录我们对防火墙所作的操作的界面。IPS日志信息的查询点击IPS Blade选项,选择“All”查看所有IPS log,也可根据选项分类查看双击打开任一 log查看详细信息
浙ICP备2021020529号-1 | 浙B2-20240490 
